IT-Sicherheit für kleine Unternehmen:
10 Maßnahmen, die sofort wirken.

Kein Panikmachen. Keine Verkaufsmasche für teure Security-Software. Hier geht es um 10 konkrete Maßnahmen, die du diese Woche umsetzen kannst – und die den Unterschied machen zwischen „leichtes Ziel" und „zu aufwendig, weiter zum nächsten".

Denn genau so denken Angreifer. Sie suchen nicht das schwierigste Ziel – sie suchen das einfachste. Und bei vielen KMU steht die Tür weit offen.

1. Starke Passwörter und Zwei-Faktor-Authentifizierung

„Firma2024!" ist kein sicheres Passwort. Klingt offensichtlich, ist aber immer noch der häufigste Angriffsvektor. Über 80 % aller Sicherheitsvorfälle beginnen mit kompromittierten Zugangsdaten.

Sofort umsetzen: Führe einen Passwort-Manager ein (Bitwarden, 1Password oder KeePass). Aktiviere Zwei-Faktor-Authentifizierung (2FA) für alle geschäftskritischen Dienste: E-Mail, Cloud-Speicher, Banking, Social Media. Das dauert eine Stunde und schließt das größte Einfallstor.

2. Regelmäßige Backups – getestet, nicht nur vorhanden

Ein Backup, das nie getestet wurde, ist kein Backup. Es ist eine Hoffnung. Ransomware-Angriffe auf KMU haben sich 2025 verdoppelt – und die Lösegeldforderungen starten bei 10.000 €.

Sofort umsetzen: 3-2-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 Kopie außerhalb des Büros (Cloud oder externer Datenträger). Und einmal im Quartal testen: Kannst du eine Datei aus dem Backup wiederherstellen? Wenn nicht, hast du kein Backup.

3. Updates und Patches – keine Ausreden

„Das Update machen wir nächste Woche" ist einer der teuersten Sätze in der IT-Sicherheit. Bekannte Sicherheitslücken werden innerhalb von Stunden nach Veröffentlichung ausgenutzt. Nicht Wochen. Stunden.

Sofort umsetzen: Aktiviere automatische Updates für Betriebssysteme, Browser und Office-Software. Für geschäftskritische Systeme (Server, CMS, Shop): fester Update-Zyklus – mindestens monatlich, bei kritischen Patches sofort.

4. E-Mail-Sicherheit ernst nehmen

90 % aller Cyberangriffe starten mit einer E-Mail. Phishing ist kein Anfängertrick mehr – moderne Phishing-Mails sind grammatikalisch perfekt, personalisiert und kaum von echten E-Mails zu unterscheiden.

Sofort umsetzen: SPF, DKIM und DMARC für deine Domain konfigurieren (dein IT-Dienstleister oder Hoster hilft dir). Spam-Filter auf „streng" stellen. Und die wichtigste Regel für alle Mitarbeitenden: Kein Klick auf Links in E-Mails, die zu Logins auffordern. Immer manuell die Adresse im Browser eingeben.

5. Mitarbeitende sensibilisieren

Die beste Firewall der Welt hilft nichts, wenn jemand auf den Anhang „Rechnung_final.exe" klickt. Menschliches Versagen ist und bleibt das größte Sicherheitsrisiko – nicht aus Dummheit, sondern aus Zeitdruck und Routine.

Sofort umsetzen: Einmal im Halbjahr 30 Minuten Awareness-Schulung. Keine PowerPoint-Schlacht – sondern echte Beispiele: „So sieht eine Phishing-Mail aus, so erkennst du sie." Es gibt kostenlose Phishing-Simulationen, die das greifbar machen. Und bitte: Eine Kultur schaffen, in der es okay ist zu fragen, bevor man klickt.

6. WLAN absichern

Das Firmen-WLAN mit dem Passwort „Willkommen123" auf der Rückseite des Routers ist ein offenes Tor. Und ein separates Gäste-WLAN ist keine Höflichkeit – es ist Sicherheit.

Sofort umsetzen: WPA3-Verschlüsselung aktivieren (mindestens WPA2). WLAN-Passwort ändern und nicht öffentlich aushängen. Getrenntes Netz für Gäste und IoT-Geräte. Den Router-Zugang mit einem individuellen Passwort sichern – nicht das Standard-Passwort des Herstellers.

7. Mobile Geräte einbeziehen

Das Firmen-Smartphone ohne PIN, auf dem die geschäftlichen E-Mails, Cloud-Zugänge und Kundendaten liegen: Im Taxi vergessen – und das Unternehmen hat ein DSGVO-Problem.

Sofort umsetzen: Bildschirmsperre mit PIN oder Biometrie auf allen Geräten. Fernlöschung aktivieren (bei Apple und Android standardmäßig möglich). Geschäftliche Daten nur in verschlüsselten Apps. Und eine klare Regel: Private Apps und geschäftliche Daten werden getrennt.

8. Zugriffsrechte nach dem Minimalprinzip

Nicht jeder Mitarbeitende braucht Zugriff auf alles. Der Azubi muss nicht die Buchhaltungsdaten sehen. Die Praktikantin braucht keinen Admin-Zugang zum Webserver.

Sofort umsetzen: Prüfe, wer auf welche Systeme und Daten Zugriff hat. Reduziere auf das Notwendige. Entziehe Zugänge sofort, wenn jemand das Unternehmen verlässt. Klingt banal – wird in den meisten KMU nicht gemacht.

9. Notfallplan erstellen

Was tust du, wenn morgen früh die Bildschirme schwarz bleiben? Wenn eine Lösegeldforderung auf dem Server liegt? Die meisten KMU haben keinen Plan – und verlieren im Ernstfall Stunden mit der Frage „Wen rufen wir an?".

Sofort umsetzen: Ein einseitiges Dokument: Wer ist verantwortlich? Wen rufen wir an (IT-Dienstleister, Versicherung, Datenschutzbeauftragter)? Wo liegen die Backups? Wie erreichen wir Kunden, wenn E-Mail ausfällt? Ausdrucken, nicht nur digital speichern. Im Ernstfall funktioniert dein Computer vielleicht nicht.

10. Professionelle Hilfe – aber richtig

Irgendwann reicht das eigene Know-how nicht. Und das ist völlig in Ordnung. Aber „professionelle Hilfe" heißt nicht, den teuersten Vertrag beim nächstbesten IT-Systemhaus zu unterschreiben.

Sofort umsetzen: Lass einmal jährlich einen Security-Check machen – extern, unabhängig. Kein Verkaufsgespräch, sondern eine ehrliche Bestandsaufnahme. Frag nach konkreten Ergebnissen: Was ist gut? Wo sind Lücken? Was hat Priorität? Und setz um, was empfohlen wird – nicht alles auf einmal, aber konsequent.