Kleine Unternehmen gelten bei Cyberkriminellen als besonders lohnende Ziele — nicht weil sie viel Geld haben, sondern weil ihre IT-Sicherheit oft kaum vorhanden ist. Kein dedizierter IT-Verantwortlicher, keine klaren Prozesse, veraltete Systeme. Das BSI verzeichnet jedes Jahr mehr Angriffe auf den Mittelstand. Dieser Artikel zeigt Ihnen sieben Maßnahmen, die Sie konkret umsetzen können — ohne IT-Studium und ohne ein großes Budget.
Warum IT-Sicherheit für KMU kein optionales Thema mehr ist
Die verbreitete Annahme, Cyberkriminelle würden sich nur für Konzerne interessieren, ist gefährlich falsch. Tatsächlich sind kleine Unternehmen mit 5 bis 50 Mitarbeitern häufig das bevorzugte Ziel — automatisierte Angriffe machen keinen Unterschied zwischen einem Handwerksbetrieb in Buxtehude und einem DAX-Konzern in Frankfurt. Was einen Unterschied macht, ist die Vorbereitung.
Ransomware, Phishing und Datenpannen kosten kleine Unternehmen im Durchschnitt mehrere Zehntausend Euro — an direktem Schaden, Ausfallzeit und Reputationsverlust. Hinzu kommen mögliche DSGVO-Bußgelder bei unzureichend geschützten Kundendaten. Die gute Nachricht: Die Grundlagen sind kein Hexenwerk. Die folgenden sieben Maßnahmen decken den größten Teil Ihres Risikos ab.
Ein Ransomware-Angriff legt ein mittelständisches Unternehmen im Schnitt 3 bis 21 Tage lahm. Die direkten Kosten liegen typischerweise zwischen 50.000 und 500.000 Euro — oft mehr als alle IT-Sicherheitsmaßnahmen der letzten zehn Jahre zusammen.
1. Sichere Passwörter und ein Passwort-Manager
Was es ist: Ein Passwort-Manager ist eine Software, die für jeden Dienst ein einzigartiges, komplexes Passwort generiert und speichert. Ihr Team muss sich nur noch ein einziges Master-Passwort merken.
Warum es wichtig ist: Der mit Abstand häufigste Einstiegspunkt für Angreifer sind kompromittierte Zugangsdaten. "123456" oder das Geburtsdatum der Kinder reichen aus, um einem Angreifer innerhalb von Sekunden Zugang zu Ihren Systemen zu verschaffen.
Wie Sie es umsetzen: Führen Sie einen Team-Passwort-Manager ein — Bitwarden (Open Source, günstig) oder 1Password sind bewährte Optionen. Definieren Sie eine Passwort-Richtlinie: mindestens 16 Zeichen, kein Passwort doppelt verwenden. Das ist an einem Nachmittag eingerichtet.
Was passiert, wenn Sie es nicht tun: Ein einziges geleaktes Passwort aus einem Datenbreach — zum Beispiel von einer alten Webseite — kann reichen, um Ihr E-Mail-Postfach, Ihr Cloud-Laufwerk und Ihre Buchhaltungssoftware zu kompromittieren. Das ist kein Worst-Case, das ist Alltag.
2. Zwei-Faktor-Authentifizierung (2FA) überall aktivieren
Was es ist: Nach der Passworteingabe wird ein zweiter Code verlangt — zum Beispiel aus einer App wie Google Authenticator oder Microsoft Authenticator. Selbst wenn ein Angreifer Ihr Passwort kennt, kommt er ohne diesen Code nicht rein.
Warum es wichtig ist: 2FA ist eine der wirkungsvollsten Einzelmaßnahmen im Bereich IT-Security für KMU. Microsoft zufolge werden damit 99,9 Prozent aller automatisierten Angriffe auf Konten verhindert.
Wie Sie es umsetzen: Aktivieren Sie 2FA mindestens für E-Mail, Microsoft 365 oder Google Workspace, Banking und alle Cloud-Dienste. Bei Microsoft 365 ist das in den Sicherheitseinstellungen des Admin-Centers in wenigen Klicks für das gesamte Team erledigt.
Was passiert, wenn Sie es nicht tun: Business E-Mail Compromise — Angreifer übernehmen die E-Mail eines Geschäftsführers und schicken gefälschte Überweisungsanfragen an die Buchhaltung. Allein in Deutschland entstehen dadurch jährlich Schäden in Millionenhöhe.
3. Software und Systeme aktuell halten
Was es ist: Regelmäßige Updates für Betriebssysteme, Browser, Office-Anwendungen und alle weiteren Programme auf allen Geräten — Laptops, PCs, Server.
Warum es wichtig ist: Sicherheitslücken in veralteter Software sind der zweitbeliebteste Angriffsweg. Hersteller schließen bekannte Lücken durch Updates — wer diese nicht einspielt, hält die Hintertür für Angreifer offen.
Wie Sie es umsetzen: Aktivieren Sie automatische Updates für Windows und macOS. Für Unternehmen mit mehreren Geräten empfiehlt sich ein Patch-Management-Tool oder ein MSP, der das zentral übernimmt. Windows 10 verliert im Oktober 2025 den Support — ein konkreter Handlungsbedarf für viele KMU.
Was passiert, wenn Sie es nicht tun: WannaCry — der bekannteste Ransomware-Angriff der Geschichte — nutzte eine Windows-Sicherheitslücke aus, für die Microsoft bereits einen Patch veröffentlicht hatte. Tausende Unternehmen, die das Update nicht eingespielt hatten, verloren ihre gesamten Daten.
4. Regelmäßige Datensicherungen nach der 3-2-1-Regel
Was es ist: Die 3-2-1-Regel bedeutet: 3 Kopien Ihrer Daten, auf 2 verschiedenen Medientypen, davon 1 Kopie extern oder in der Cloud — getrennt vom laufenden System.
Warum es wichtig ist: Ein Backup ist die letzte Verteidigungslinie. Bei einem Ransomware-Angriff werden Ihre Daten verschlüsselt — wer kein sauberes Backup hat, zahlt das Lösegeld oder verliert alles.
Wie Sie es umsetzen: Richten Sie automatisierte, tägliche Backups ein. Lokales Backup auf eine externe Festplatte oder ein NAS, plus eine Cloud-Kopie — zum Beispiel mit Veeam, Acronis oder dem integrierten Windows Server Backup. Testen Sie das Backup regelmäßig: Ein Backup, das sich nicht wiederherstellen lässt, ist kein Backup.
Was passiert, wenn Sie es nicht tun: Ein Steuerberater in der Metropolregion Hamburg verliert durch einen Ransomware-Angriff alle Mandantendaten der letzten fünf Jahre. Das letzte Backup ist drei Jahre alt und ebenfalls verschlüsselt. Ende der Geschichte.
5. Mitarbeiter für Phishing sensibilisieren
Was es ist: Phishing bezeichnet gefälschte E-Mails, die aussehen wie legitime Nachrichten von Banken, Microsoft, der Post oder Kollegen — mit dem Ziel, Zugangsdaten zu stehlen oder Schadsoftware zu installieren.
Warum es wichtig ist: Technik kann vieles abfangen — aber nicht alles. Wenn ein Mitarbeiter auf einen Link klickt und seine Zugangsdaten eingibt, hilft die beste Firewall nichts. Der Mensch ist statistisch das schwächste Glied in der IT-Sicherheitskette.
Wie Sie es umsetzen: Führen Sie eine kurze, jährliche Schulung durch. Zeigen Sie reale Phishing-Beispiele. Erklären Sie die drei wichtigsten Erkennungsmerkmale: unerwartete Dringlichkeit, ungewöhnliche Absenderadressen, Links zu fremden Domains. Anbieter wie KnowBe4 ermöglichen simulierte Phishing-Tests für das gesamte Team.
Was passiert, wenn Sie es nicht tun: Ein Mitarbeiter in der Buchhaltung klickt auf eine E-Mail, die angeblich von der Geschäftsführung kommt — mit der Bitte, dringend eine Überweisung durchzuführen. Ohne Schulung ist das schwer zu erkennen. Mit Schulung ist es offensichtlich.
6. Firewall und Netzwerksegmentierung
Was es ist: Eine Firewall kontrolliert den Datenverkehr zwischen Ihrem Netzwerk und dem Internet. Netzwerksegmentierung bedeutet, dass verschiedene Bereiche Ihres Netzwerks voneinander getrennt sind — zum Beispiel Gäste-WLAN vom internen Firmennetzwerk.
Warum es wichtig ist: Ohne Firewall ist Ihr Netzwerk direkt dem Internet ausgesetzt. Ohne Segmentierung kann sich ein Angreifer, der einen Bereich kompromittiert hat, frei im gesamten Netzwerk bewegen.
Wie Sie es umsetzen: Für kleine Unternehmen reicht zunächst ein professioneller Router mit integrierter Firewall — zum Beispiel eine Sophos XGS oder eine Fortinet FortiGate Einstiegslösung. Richten Sie ein separates WLAN für Gäste und Besucher ein. Ihr reguläres Firmennetzwerk sollte niemals direkt zugänglich sein.
Was passiert, wenn Sie es nicht tun: Ein Handwerksbetrieb betreibt sein Büro-Netzwerk und das WLAN für Kundenbesuche im gleichen Netz. Ein Besucher mit einem kompromittierten Gerät hat damit automatisch Zugang zu allen Geräten im Büro — inklusive NAS und Büro-PCs.
7. Klare Zugriffsrechte und Nutzerkonten
Was es ist: Jeder Mitarbeiter hat nur Zugang zu den Daten und Systemen, die er für seine Arbeit tatsächlich braucht. Administratorrechte werden nur dort vergeben, wo sie wirklich notwendig sind.
Warum es wichtig ist: Das Prinzip heißt "Least Privilege" — minimale Rechte. Wenn ein Mitarbeiterkonto kompromittiert wird, begrenzt das den Schaden auf den Bereich, auf den dieser Mitarbeiter Zugriff hatte. Ohne diese Trennung kann ein einziges kompromittiertes Konto das gesamte Unternehmen lahmlegen.
Wie Sie es umsetzen: Überprüfen Sie, wer in Ihrem Unternehmen Administratorrechte hat — und ob das wirklich notwendig ist. Richten Sie für jeden Mitarbeiter ein eigenes Konto ein, keine geteilten Zugänge. Deaktivieren Sie Konten ausgeschiedener Mitarbeiter sofort am letzten Arbeitstag.
Was passiert, wenn Sie es nicht tun: Ein ehemaliger Mitarbeiter hat noch aktiven Zugang zu Ihrem CRM und den Kundendaten — aus Vergessen, nicht aus böser Absicht. Bis das auffällt, können Monate vergehen. DSGVO-konform ist das nicht.
Was LIGHT DM für Ihre IT-Sicherheit tut
IT-Sicherheit für kleine Unternehmen ist kein einmaliges Projekt, sondern ein laufender Prozess. Die meisten KMU haben weder die Zeit noch das interne Know-how, um all das selbst zu überwachen, aktuell zu halten und im Ernstfall schnell zu reagieren.
Als Managed Service Provider aus der Metropolregion Hamburg betreuen wir kleine Unternehmen mit 5 bis 50 Mitarbeitern — persönlich, direkt und ohne Callcenter. Unsere IT-Security-Leistungen umfassen unter anderem:
- Zentral gesteuertes Patch-Management: alle Geräte immer auf aktuellem Stand
- Backup-Monitoring und regelmäßige Wiederherstellungstests
- Firewall-Einrichtung und -Verwaltung mit professionellen Business-Lösungen
- Benutzer- und Rechteverwaltung über Microsoft 365 und Azure Active Directory
- Phishing-Simulationen und Mitarbeitersensibilisierung
- Sicherheits-Audits: wo steht Ihr Unternehmen gerade wirklich?
Wir arbeiten mit festen Monatspauschalen — keine Überraschungsrechnungen, volle Planungssicherheit. Und wenn etwas brennt, sind wir erreichbar.
IT-Sicherheit professionell umsetzen?
Wir analysieren Ihre aktuelle IT-Sicherheitslage und zeigen Ihnen genau, wo Handlungsbedarf besteht — ohne Fachchinesisch und ohne versteckte Kosten. Vereinbaren Sie ein kostenloses Erstgespräch.
IT-Security Leistungen ansehen