Pharma, Patch und Panik: Was passiert, wenn der Kunde plötzlich Sicherheit verlangt?

Ein Szenario, das kein Einzelfall mehr ist – und jedes mittelständische Unternehmen betreffen kann.

Ein pharmazeutisches Unternehmen aus Schleswig-Holstein. Familiengeführt. 240 Mitarbeitende. 35 Millionen Euro Jahresumsatz. Jahrzehntelang erfolgreich – mit gleichbleibendem Kundenstamm, guter Produktqualität und einer ISO 9001-Zertifizierung im Rücken. Doch dann – plötzlich – wackelt ein tragender Pfeiler des Geschäftsmodells.

📬 Der Kunde stellt Sicherheitsfragen – und nichts passt mehr

Ein langjähriger Kunde – ein internationaler Pharmakonzern – stellt eine Anforderung, wie sie mittlerweile zum Standard geworden ist:
Ein Sicherheitsfragebogen zur Lieferkettensicherheit. Kein Gimmick, sondern eine Folge von regulatorischen Anforderungen (u. a. EU-Verordnung, ISO/IEC 27036, NIS2-Richtlinie, TISAX). Themen wie:

• Zugriffsrechte und Rollenverwaltung
• Patch- und Schwachstellenmanagement
• Backup-Strategie und Wiederanlaufprozesse
• Risikoanalyse und IT-Notfallpläne

Die Antwort des Geschäftsführers?

„Mit IT habe ich noch nie Geld verdient. Das betrifft uns doch nicht.“

Doch – es betrifft Sie. Direkt. Heute. Nicht erst, wenn ein Hackerangriff auf der Titelseite steht.

🚨 Die Realität: 12 Millionen Euro stehen plötzlich auf der Kippe

Der Sicherheitsfragebogen kann nicht beantwortet werden.
Die IT-Infrastruktur ist nicht dokumentiert.
Das ERP-System ist veraltet – bekannte CVEs offen.
Zuständigkeiten? Ungeregelt.
Der einzige IT-Mitarbeiter? Überlastet.

Folge: Der Kunde stoppt neue Aufträge. Kein Vertrauen – keine Lieferfreigabe.

Ein Unternehmen verliert nicht wegen eines Angriffs, sondern wegen fehlender strategischer Vorbereitung. Und das ist kein Sonderfall – das ist heute Realität in vielen Branchen: Maschinenbau, Medizintechnik, Automotive-Zulieferer, Logistik, Lebensmittelproduktion, Chemie …

📌 Warum NIS2 alles verändern wird – spätestens ab Januar 2026

Mit der Umsetzung der EU-Richtlinie NIS2 (Network and Information Security Directive) wird Informationssicherheit zur gesetzlichen Pflicht – für tausende mittelständische Unternehmen in Deutschland.

Betroffen sind u. a. Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in sicherheitsrelevanten Branchen. Auch das genannte Pharmaunternehmen fällt darunter.

Was bedeutet das konkret?

• Sie müssen Sicherheitsmaßnahmen nachweisen – strukturiert und risikobasiert
• Sie müssen Sicherheitsvorfälle binnen 24 h melden
• Sie müssen ein ISMS betreiben – kein ISO-Wahnsinn, aber belastbar
• Sie als Geschäftsführer haften persönlich bei Versäumnissen

🛠 Unsere Lösung: 3-Stufen-Ansatz für Entscheider

Kein ISO-27001-Projekt. Keine Zertifizierungs-Orgie. Sondern ein klarer, praxisnaher Weg in die Sicherheit:

1. Sicherheits-Kurzcheck (Pauschal 2.950 €)

• Technischer & organisatorischer Quick-Scan
• Darstellung konkreter Risiken (intern & gegenüber Kunden)
• Empfehlung für Sofortmaßnahmen
• Kommunikationshilfe für Kunden oder Auditoren

2. Cyber-Readiness kompakt – 90 Tage

• 10 umsetzbare Maßnahmen zur Stärkung Ihrer Resilienz
• Dokumentation und Verantwortlichkeiten
• Notfallkonzepte, Awareness, Wiederanlaufplanung

3. ISMS light – dauerhaft stabil

• Risikoanalyse auf Prozessebene
• Verankerung von Sicherheitsmaßnahmen in der Organisation
• Reifegradmodell zur Weiterentwicklung – keine Überforderung

💡 Fazit: Kundenbindung braucht Sicherheit – und ein Mindestmaß an Vorbereitung

Viele Geschäftsführer sagen:
„Das betrifft uns nicht. IT ist ein Kostenfaktor.“

Unsere Erfahrung zeigt: IT ist ein Vertrauensfaktor – für Kunden, für Partner, für Banken. Wer vorbereitet ist, verliert keine Kunden. Wer strukturiert handelt, hat Antworten. Und wer rechtzeitig handelt, hat keine schlaflosen Nächte.

📞 Jetzt handeln – bevor Kunden Konsequenzen ziehen

Sie möchten wissen, ob Ihr Unternehmen betroffen ist? Oder ob Kunden in Ihrer Branche bereits Sicherheitsnachweise verlangen?

Dann lassen Sie uns sprechen.

📩 compliance@nordsec-it.de

📞 Oder rufen Sie uns an 0431-3630-1910 – diskret, unverbindlich und lösungsorientiert.

Dieser Beitrag basiert auf realen Kundenprojekten aus dem Mittelstand.