IT-Sicherheit für kleine Unternehmen: 10 wichtige Maßnahmen

Das häufigste Passwort in Deutschland ist immer noch "123456". Und viele Mitarbeiter verwenden dasselbe Passwort für E-Mail, Online-Banking und den Firmen-Login. Ein einziger Datenleak reicht, um Zugang zu allem zu erhalten.

Die Lösung: Ein Passwort-Manager. Tools wie Bitwarden (Open Source, kostenlos für Einzelnutzer) oder 1Password (ab 3 Euro/Monat) generieren und speichern sichere Passwörter. Jeder Dienst bekommt ein einzigartiges, zufälliges Passwort mit mindestens 16 Zeichen. Der Mitarbeiter muss sich nur noch ein Master-Passwort merken.

Zusätzlich: Zwei-Faktor-Authentifizierung (2FA) für alle wichtigen Dienste aktivieren. E-Mail, Cloud-Speicher, Buchhaltung, Banking: Überall, wo es möglich ist. Auch wenn ein Passwort gestohlen wird, schützt der zweite Faktor vor unbefugtem Zugriff.

Jede Software hat Sicherheitslücken. Hersteller schließen diese durch Updates. Wenn Sie Updates verzögern, haben Angreifer ein offenes Fenster, das sie ausnutzen können. Die meisten erfolgreichen Angriffe nutzen bekannte Schwachstellen, für die es bereits Patches gibt.

Windows und macOS: Aktivieren Sie automatische Updates. Planen Sie einen Neustart pro Woche ein, damit Updates installiert werden können. Montagnacht ist ein guter Zeitpunkt.

Software: Browser, Office, PDF-Reader, E-Mail-Programme: Alle aktuell halten. Die meisten Programme können automatisch aktualisieren.

Router und Netzwerkgeräte: Oft vergessen, aber besonders kritisch. Prüfen Sie quartalsweise, ob Firmware-Updates verfügbar sind. Ein gehackter Router gibt Angreifern Zugang zu Ihrem gesamten Netzwerk.

Ransomware verschlüsselt Ihre Daten und fordert Lösegeld. Ohne Backup stehen Sie vor der Wahl: Zahlen oder alles verlieren. Mit einem aktuellen Backup stellen Sie Ihre Daten einfach wieder her.

Die 3-2-1-Regel:

3 Kopien Ihrer Daten: das Original und zwei Backups. 2 verschiedene Medien: zum Beispiel lokale Festplatte und Cloud. 1 Kopie an einem anderen Standort: Falls Ihr Büro durch Brand oder Wasserschaden zerstört wird.

Automatisieren Sie Ihre Backups: Manuelle Backups werden vergessen. Richten Sie tägliche automatische Backups ein. Für die meisten KMU reicht eine Kombination aus lokalem NAS und Cloud-Backup.

Backups testen: Ein Backup, das sich nicht wiederherstellen lässt, ist wertlos. Testen Sie quartalsweise die Wiederherstellung. Können Sie Ihre wichtigsten Dateien und Systeme tatsächlich aus dem Backup rekonstruieren?

Die Firewall ist der Türsteher Ihres Netzwerks. Sie kontrolliert, welcher Datenverkehr rein und raus darf. Die Windows-Firewall und der Router bieten bereits einen Grundschutz, aber für Unternehmen reicht das oft nicht.

Router-Firewall konfigurieren: Ändern Sie das Standard-Passwort Ihres Routers. Deaktivieren Sie nicht benötigte Dienste und Ports. Aktivieren Sie die SPI-Firewall und blockieren Sie eingehende Verbindungen, die nicht explizit erlaubt sind.

Netzwerk segmentieren: Trennen Sie Ihr Gäste-WLAN vom Firmennetzwerk. IoT-Geräte (Drucker, Kameras, Smart-Home) gehören in ein separates Netzwerk. So kann ein gehackter Drucker nicht auf Ihre Buchhaltungsdaten zugreifen.

VPN für Homeoffice: Mitarbeiter im Homeoffice sollten sich per VPN ins Firmennetzwerk einwählen. Das schützt die Datenübertragung auch in unsicheren WLANs. WireGuard ist eine moderne, schnelle VPN-Lösung.

Die beste Technik hilft nichts, wenn ein Mitarbeiter auf den Link in einer Phishing-Mail klickt. Regelmäßige Schulungen sind deshalb eine der wirksamsten Sicherheitsmaßnahmen.

Was Mitarbeiter wissen müssen:

Phishing erkennen: Verdächtige Absender, Zeitdruck, unerwartete Anhänge, Links die auf andere Domains führen als behauptet. Im Zweifel: Nicht klicken, sondern beim IT-Verantwortlichen nachfragen.

Social Engineering: Angreifer geben sich am Telefon als Microsoft-Support, Geschäftspartner oder Vorgesetzte aus. Niemals Passwörter oder Zugangsdaten am Telefon herausgeben, auch nicht an vermeintliche Vorgesetzte.

USB-Sticks: Keine fremden USB-Sticks anschließen. Das klingt banal, ist aber ein häufiger Angriffsvektor. Auch Werbe-USB-Sticks von Messen können kompromittiert sein.

Schulungsrhythmus: Einmal pro Jahr reicht nicht. Kurze, monatliche Sicherheitstipps per E-Mail oder im Team-Meeting halten das Bewusstsein wach. Phishing-Simulationen zeigen, wo noch Schulungsbedarf besteht.

6. E-Mail-Sicherheit: Aktivieren Sie SPF, DKIM und DMARC für Ihre Domain. Diese Protokolle verhindern, dass Angreifer E-Mails in Ihrem Namen versenden. Ein Spam-Filter vor dem Postfach blockiert die meisten Phishing-Mails automatisch.

7. Verschlüsselung: Aktivieren Sie die Festplattenverschlüsselung auf allen Geräten (BitLocker bei Windows, FileVault bei Mac). Falls ein Laptop gestohlen wird, sind die Daten ohne Passwort unlesbar. HTTPS für Ihre Website ist ohnehin Pflicht.

8. SIEM und Monitoring: Security Information and Event Management (SIEM) Systeme wie Wazuh überwachen Ihre IT-Infrastruktur rund um die Uhr. Sie erkennen verdächtige Aktivitäten und alarmieren Sie, bevor ein Angriff erfolgreich ist. Auch für KMU gibt es bezahlbare Lösungen.

9. Notfallplan: Was tun Sie, wenn es passiert? Definieren Sie vorab: Wer wird informiert? Welche Systeme werden zuerst wiederhergestellt? Wie kommunizieren Sie mit Kunden? Ein getesteter Notfallplan spart im Ernstfall wertvolle Stunden.

10. Physische Sicherheit: Serverräume abschließen, Bildschirme sperren beim Verlassen des Arbeitsplatzes (Windows+L), keine Passwörter auf Post-its am Monitor, Besucher nicht unbeaufsichtigt an Arbeitsplätze lassen.

Wir unterstützen Sie bei der Umsetzung aller Maßnahmen. Auf unserer IT-Sicherheit Seite finden Sie unsere Leistungen.