IT-Sicherheit · 9 Min. Lesezeit · von Florian Hesse
Inhalt
Warum kleine Unternehmen zum Ziel werden Die Checkliste: 10 Grundlagen der IT-Sicherheit Backup: Ihre letzte Verteidigungslinie IT-Sicherheit und DSGVO gehören zusammen Womit fangen Sie an?Kaum ein Thema wird von kleinen Betrieben so gern verschoben wie die IT-Sicherheit. Solange alles läuft, scheint sie unnötig. Nach einem Ransomware-Vorfall ist sie plötzlich das Wichtigste im Unternehmen, dann aber zu spät. Dabei liegt die gute Nachricht auf der Hand: Ein Großteil der Angriffe scheitert bereits an soliden Grundlagen. Sie brauchen dafür keine Sicherheitsabteilung, sondern einen klaren Plan.
Warum kleine Unternehmen zum Ziel werden
Die Vorstellung „Für uns interessiert sich doch niemand" ist der gefährlichste Irrtum in der IT-Sicherheit. Moderne Angriffe sind kein gezieltes Hacking durch Spezialisten, sondern laufen automatisiert. Programme scannen rund um die Uhr das Internet nach verwundbaren Systemen, ungepatchten Servern und geleakten Passwörtern. Ob dahinter ein Konzern oder ein Handwerksbetrieb mit fünf Rechnern steht, spielt für diese Automatik keine Rolle.
Gerade das macht kleine und mittlere Unternehmen attraktiv: Sie haben genauso wertvolle Daten wie große Firmen (Kundendaten, Aufträge, Buchhaltung), aber oft deutlich weniger Schutz. Ein einziger verschlüsselter Server kann einen Betrieb tagelang lahmlegen. Die Kosten aus Ausfall, Datenverlust und Wiederherstellung übersteigen die einer vernünftigen Absicherung meist um ein Vielfaches.
Die Checkliste: 10 Grundlagen der IT-Sicherheit
Diese zehn Punkte decken die häufigsten Einfallstore ab. Sie sind nach Wirkung sortiert, nicht nach Aufwand. Wer die ersten fünf sauber umsetzt, hat bereits das Gros der typischen Angriffe abgewehrt.
1. Regelmäßige, getestete Backups
Das wichtigste Sicherheitsnetz überhaupt. Sichern Sie nach der 3-2-1-Regel und testen Sie die Wiederherstellung regelmäßig. Mehr dazu im Abschnitt weiter unten.
2. Updates und Patches, zeitnah
Die meisten erfolgreichen Angriffe nutzen Lücken, für die längst ein Update bereitsteht. Betriebssysteme, Server, Firewall, Router und Anwendungen gehören konsequent aktuell gehalten. Automatisierte Update-Prozesse nehmen Ihnen diese Daueraufgabe ab.
3. Firewall und Netzwerksegmentierung
Eine ordentliche Firewall trennt Ihr Netz vom Internet. Genauso wichtig ist die Trennung innerhalb des Netzes: Server, Arbeitsplätze, Gäste-WLAN und Kameras gehören in getrennte Bereiche (VLANs). So kann sich ein Angreifer nicht ungehindert vom infizierten Laptop bis zum Server durcharbeiten.
4. Starke Passwörter und Zwei-Faktor-Authentifizierung (2FA)
Passwörter allein reichen nicht mehr, sie werden erraten, wiederverwendet oder gestohlen. Ein zweiter Faktor (App oder Hardware-Token) sorgt dafür, dass ein geklautes Passwort allein nichts wert ist. Aktivieren Sie 2FA überall, wo es geht, besonders bei E-Mail, VPN und Cloud-Diensten. Ein Passwortmanager macht starke, einmalige Passwörter im Alltag erst praktikabel.
5. Sensibilisierte Mitarbeiter
Die meisten Angriffe beginnen mit einer E-Mail. Phishing zielt nicht auf Technik, sondern auf Menschen. Wer eine gefälschte Rechnung oder eine angebliche Chef-Mail erkennt, verhindert den Schaden, bevor er entsteht. Kurze, praxisnahe Schulungen wirken hier mehr als jede teure Software.
6. Moderner Endpunktschutz
Ein aktueller Virenschutz auf allen Geräten bleibt sinnvoll, idealerweise mit Verhaltenserkennung statt reiner Signaturen. Er ist ein Baustein, kein Allheilmittel, und ersetzt keine der anderen Maßnahmen.
7. Verschlüsselung von Geräten und Daten
Notebooks und mobile Datenträger gehen verloren oder werden gestohlen. Mit Festplattenverschlüsselung sind die Daten darauf für Dritte wertlos. Für den E-Mail- und Datentransfer gilt: nur verschlüsselte Verbindungen.
8. Durchdachte Zugriffsrechte
Nicht jeder braucht Zugriff auf alles. Nach dem Prinzip der minimalen Rechte bekommt jeder nur, was er für seine Arbeit tatsächlich benötigt. Das begrenzt den Schaden, wenn ein Konto kompromittiert wird, und ist zugleich sauberer Datenschutz.
9. Monitoring und Protokollierung
Man kann nur abwehren, was man bemerkt. Ein einfaches Monitoring meldet ausgefallene Dienste, volllaufende Festplatten oder auffällige Anmeldeversuche, oft bevor daraus ein Ausfall wird. Genau dafür haben wir unser eigenes Werkzeug FloppyOps gebaut.
10. Ein schriftlicher Notfallplan
Wer im Ernstfall improvisiert, verliert Zeit. Ein knapper Plan beantwortet vorab die wichtigsten Fragen: Wer wird informiert? Welche Systeme werden zuerst getrennt? Woher kommt das Backup? Wer darf entscheiden? Eine Seite reicht oft schon.
Backup: Ihre letzte Verteidigungslinie
Wenn alle anderen Maßnahmen versagen, entscheidet das Backup über das Überleben des Betriebs. Bewährt hat sich die 3-2-1-Regel:
- 3 Kopien Ihrer Daten (das Original plus zwei Backups).
- 2 verschiedene Medien, damit nicht ein einziger Defekt alles trifft.
- 1 Kopie außer Haus, offline oder unveränderbar, sicher vor Ransomware, Feuer und Diebstahl.
Entscheidend ist der Zusatz „unveränderbar": Moderne Ransomware sucht gezielt nach erreichbaren Backups und verschlüsselt sie mit. Ein Offsite-Backup, das im Ernstfall nicht überschrieben werden kann, ist deshalb Gold wert. In unseren Projekten setzen wir dafür auf den Proxmox Backup Server, oft auf ausgemusterter Hardware, die als reiner Backup-Speicher ein zweites Leben bekommt. Wie das in der Praxis aussieht, zeigt unsere Fallstudie zur Gebäudereinigung Hinderlich.
IT-Sicherheit und DSGVO gehören zusammen
Datenschutz und IT-Sicherheit sind zwei Seiten derselben Medaille. Die DSGVO verlangt „geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten, und genau das ist gelebte IT-Sicherheit. Ein Datenleck ist damit nicht nur ein technisches, sondern auch ein rechtliches Problem, inklusive Melde- und Dokumentationspflichten. Wer seine Systeme absichert und Daten möglichst im Haus oder bei deutschen Anbietern hält, erfüllt beides zugleich. Mehr dazu in unserem Ratgeber DSGVO-konformes Hosting.
Womit fangen Sie an?
Sie müssen nicht alles auf einmal umsetzen. Sinnvoll ist diese Reihenfolge:
- Sofort: Backups einrichten und testen, 2FA für E-Mail und VPN aktivieren, offene Updates einspielen.
- Kurzfristig: Firewall und Netzwerktrennung prüfen, Zugriffsrechte aufräumen, Mitarbeiter für Phishing sensibilisieren.
- Mittelfristig: Monitoring aufsetzen, Verschlüsselung ausrollen, Notfallplan schreiben.
Wer hier Unterstützung möchte, muss das nicht allein stemmen. Wir betreuen kleine und mittlere Betriebe in Oranienburg und Oberhavel persönlich, von der ersten Bestandsaufnahme bis zum laufenden Betrieb. IT-Sicherheit ist bei uns fester Teil der laufenden IT-Betreuung, nicht ein teures Extra. Wie sich der Aufwand rechnet, sehen Sie in unserem Kostenvergleich.