IT-Sicherheits-Checkliste für KMU: 15 Punkte, die Sie heute prüfen sollten
Warum IT-Sicherheit in KMU oft unterschätzt wird
Viele kleine und mittlere Unternehmen gehen davon aus, dass Cyberkriminelle vorrangig Großkonzerne ins Visier nehmen. Das Gegenteil ist wahr: Laut aktuellen Studien des BSI sind KMU überproportional häufig von Cyberangriffen betroffen – gerade weil ihre Schutzmaßnahmen oft lückenhaft sind. Die gute Nachricht: Die wirksamsten Schutzmaßnahmen sind keine Raketenwissenschaft. Sie erfordern konsequente Umsetzung, nicht zwingend ein großes Budget.
Diese Checkliste gibt Ihnen einen schnellen Überblick über die wichtigsten Sicherheitsmaßnahmen – aufgeteilt in vier Bereiche. Haken Sie durch, was bereits erledigt ist, und identifizieren Sie, wo Handlungsbedarf besteht.
Bereich 1: Zugriffsschutz
Der unbefugte Zugriff auf Systeme und Daten ist eine der häufigsten Ursachen für Sicherheitsvorfälle. Schwache Passwörter und fehlende Zugriffskontrollen öffnen Angreifern Tür und Tor.
1. Starke Passwortrichtlinie durchgesetzt Sind alle Mitarbeitenden verpflichtet, Passwörter mit mindestens 12 Zeichen, Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen zu verwenden? Ein zentraler Passwort-Manager vereinfacht die Umsetzung erheblich.
2. Multi-Faktor-Authentifizierung (MFA) aktiviert MFA ist eine der effektivsten Maßnahmen gegen kompromittierte Konten. Sie sollte mindestens für E-Mail, VPN und Cloud-Dienste wie Microsoft 365 aktiv sein. Ohne MFA ist ein gestohlenes Passwort gleichbedeutend mit vollem Systemzugriff.
3. Benutzerkonten nach dem Minimalprinzip vergeben Jeder Mitarbeitende sollte nur auf die Systeme und Daten zugreifen können, die er für seine Arbeit tatsächlich benötigt. Administratorrechte gehören nicht in den Alltag.
4. Ehemalige Mitarbeitende sofort gesperrt Konten ausgeschiedener Mitarbeitender müssen am letzten Arbeitstag deaktiviert werden – inklusive E-Mail, VPN-Zugang und alle Cloudkonten.
Bereich 2: Geräte & Netzwerk
Ungeschützte Endgeräte und Netzwerke sind ein zentrales Einfallstor für Schadsoftware und Angreifer von außen.
5. Aktuelle Betriebssysteme und Software Veraltete Software ohne aktuelle Sicherheitsupdates ist eines der größten Risiken überhaupt. Automatische Updates sollten aktiviert sein – und es muss jemanden geben, der die tatsächliche Umsetzung überwacht.
6. Endpoint Protection auf allen Geräten installiert Jeder Unternehmens-PC, jedes Notebook und jedes mobile Gerät benötigt eine aktive Endpoint-Schutzlösung. Moderne Endpoint Detection & Response (EDR) geht deutlich über klassisches Antivirenprogramm hinaus.
7. Unternehmens-WLAN vom Gäste-WLAN getrennt Besucher und Externe sollten niemals Zugang zum Unternehmensnetzwerk erhalten. Ein separates Gastnetzwerk ist schnell eingerichtet und verhindert, dass fremde Geräte in Berührung mit internen Systemen kommen.
8. Firewall konfiguriert und aktiv überwacht Eine Firewall allein reicht nicht – sie muss korrekt konfiguriert und regelmäßig überprüft werden. Veraltete Regeln öffnen oft ungewollt Türen nach außen.
9. Mobile Geräte über MDM verwaltet Smartphones und Tablets, die Unternehmens-E-Mails oder Daten enthalten, müssen zentral verwaltet werden. Mobile Device Management (MDM) ermöglicht bei Verlust eine Fernlöschung und erzwingt Sicherheitsrichtlinien.
Bereich 3: Backup & Wiederherstellung
Backups sind die letzte Verteidigungslinie. Ob nach einem Ransomware-Angriff oder einem Hardware-Ausfall – ohne funktionierendes Backup ist der Schaden oft nicht wiedergutzumachen.
10. Regelmäßige Backups nach der 3-2-1-Regel Die 3-2-1-Regel besagt: drei Kopien Ihrer Daten, auf zwei verschiedenen Medien, davon eine außerhalb des Unternehmens (z. B. in der Cloud). Tägliche Backups sind für die meisten Unternehmen der richtige Rhythmus.
11. Backups regelmäßig auf Wiederherstellbarkeit getestet Ein Backup, das sich im Ernstfall nicht wiederherstellen lässt, ist wertlos. Mindestens vierteljährlich sollte ein Wiederherstellungstest durchgeführt und dokumentiert werden.
12. Backup-Medien vor Ransomware geschützt (Immutable Backup) Klassische Backups können von Ransomware ebenfalls verschlüsselt werden. Unveränderliche Backups (Immutable Backup) oder offline gespeicherte Sicherungen schützen davor.
Bereich 4: E-Mail-Sicherheit
E-Mail ist nach wie vor der häufigste Angriffsvektor. Phishing, gefälschte Absenderadressen und schädliche Anhänge verursachen Millionenschäden – auch in kleinen Unternehmen.
13. Spam- und Phishing-Schutz aktiviert Einfache Spamfilter genügen nicht mehr. Fortgeschrittene E-Mail-Schutzlösungen wie Microsoft Defender for Office 365 analysieren Links und Anhänge in Echtzeit und blockieren verdächtige Inhalte, bevor sie den Posteingang erreichen.
14. E-Mail-Authentifizierung eingerichtet (SPF, DKIM, DMARC) Diese drei DNS-Einträge verhindern, dass Angreifer E-Mails in Ihrem Namen versenden. SPF, DKIM und DMARC sind technische Maßnahmen, die Ihr IT-Dienstleister in wenigen Stunden einrichten kann – und die oft fehlen.
15. Mitarbeitende regelmäßig zu Phishing geschult Technik allein schützt nicht ausreichend. Mitarbeitende sind das wichtigste Glied in der Sicherheitskette. Regelmäßige Schulungen und simulierte Phishing-Tests erhöhen die Wachsamkeit und reduzieren das Risiko menschlicher Fehler erheblich.
Was tun, wenn mehrere Punkte offen sind?
Keine Panik – aber auch kein Aufschieben. Priorisieren Sie die Punkte nach Risiko: MFA, Backups und E-Mail-Schutz haben erfahrungsgemäß den größten Hebel. Viele Maßnahmen lassen sich mit einem versierten IT-Dienstleister innerhalb weniger Tage umsetzen.
Wenn Sie eine vollständige Bestandsaufnahme Ihrer IT-Sicherheit wünschen, bieten wir einen kostenlosen IT-Sicherheitscheck an: Jetzt IT-Check starten.
Wollen Sie IT-Sicherheit dauerhaft in guten Händen wissen? Unser Managed Security Service übernimmt Monitoring, Patch Management, Endpoint Protection und E-Mail-Sicherheit für Ihr Unternehmen – zu festen monatlichen Kosten, ohne interne IT-Ressourcen zu binden.
Weiterlesen: Managed Services: Warum IT-Outsourcing sich für KMU lohnt und NIS2 Richtlinie: Was KMU wissen müssen