Laut BSI-Lagebericht sind mittelständische Unternehmen inzwischen häufiger Ziel von Cyberangriffen als Großkonzerne – weil sie interessante Daten haben, aber in der Regel deutlich schwächer geschützt sind. Die gute Nachricht: Ein Großteil der erfolgreichen Angriffe lässt sich mit vergleichsweise einfachen und günstigen Maßnahmen verhindern. Die schlechte Nachricht: Diese Maßnahmen sind in vielen KMU schlicht nicht umgesetzt.
Maßnahme 1: Multi-Faktor-Authentifizierung konsequent einführen
Gestohlene Passwörter sind die Eintrittskarte Nummer eins für Angreifer. Multi-Faktor-Authentifizierung (MFA) macht ein gestohlenes Passwort allein wertlos – der Angreifer braucht zusätzlich Zugriff auf das zweite Gerät oder die App des Nutzers. MFA für E-Mail, VPN und alle cloudbasierten Dienste einzuführen ist eine der wirkungsvollsten Schutzmaßnahmen und in den meisten modernen Systemen ohne zusätzliche Kosten aktivierbar.
Priorität hat MFA für E-Mail-Konten (besonders Geschäftsführung und Finanzen), VPN-Zugänge und alle Systeme, die von außen erreichbar sind. Beginnen Sie dort – der Rest kann schrittweise folgen.
Maßnahme 2: Backup-Strategie nach der 3-2-1-Regel
Ransomware verschlüsselt alle erreichbaren Daten – inklusive verbundener Netzlaufwerke und Cloud-Synchronisierungen. Wer kein Offline-Backup hat, zahlt entweder Lösegeld oder verliert seine Daten. Die 3-2-1-Regel: drei Kopien, auf zwei verschiedenen Medien, davon eine außerhalb des Unternehmens (oder offline). Das klingt aufwändig, ist aber mit modernen Backup-Lösungen weitgehend automatisierbar. Mindestens genauso wichtig: Backups regelmäßig testen. Ein Backup, das nicht wiederhergestellt werden kann, ist wertlos.
Maßnahme 3: Patch-Management ernst nehmen
Die meisten erfolgreichen Cyberangriffe nutzen keine Zero-Day-Exploits, sondern bekannte Sicherheitslücken in veralteter Software – für die es längst Patches gibt. Windows-Updates, Browser, Office-Suite, VPN-Client, Firewall-Firmware: Alles, was mit dem Internet verbunden ist oder sensible Daten verarbeitet, muss regelmäßig aktualisiert werden. Automatische Updates sind für die meisten Systeme aktivierbar und nehmen die operative Last erheblich.
Erstellen Sie eine einfache Inventarliste aller Systeme mit Versionsnummer und letztem Update-Datum. Systeme, die seit mehr als drei Monaten kein Update erhalten haben, sind ein Risiko.
Maßnahme 4: Mitarbeiter schulen – der Faktor Mensch
Über 80 % aller erfolgreichen Angriffe beginnen mit einem menschlichen Fehler: ein Klick auf einen Phishing-Link, ein geöffneter E-Mail-Anhang, ein Passwort, das auf einer gefälschten Login-Seite eingegeben wird. Technische Schutzmaßnahmen helfen nur bis zu einem gewissen Grad. Mitarbeiter müssen wissen, wie Phishing-Mails aussehen, wie sie verdächtige Aktivitäten melden und warum bestimmte Regeln existieren. Eine jährliche Schulung – auch in Form eines kurzen, praxisnahen Workshops – kann den Unterschied machen.
Maßnahme 5: Minimalprinzip bei Zugriffsrechten
Jeder Nutzer sollte nur die Rechte haben, die er für seine Arbeit tatsächlich benötigt. Kein Mitarbeiter ohne IT-Aufgaben braucht lokale Administratorrechte auf seinem Rechner. Kein Vertriebsmitarbeiter braucht Zugriff auf Buchhaltungsdaten. Das Minimalprinzip begrenzt den Schaden, den ein kompromittiertes Konto anrichten kann – und ist eine der am häufigsten vernachlässigten Grundschutzmaßnahmen.
Fazit
IT-Sicherheit für KMU erfordert kein Enterprise-Budget und keine eigene Sicherheitsabteilung. Die fünf beschriebenen Maßnahmen sind mit überschaubarem Aufwand umsetzbar und schützen gegen den Großteil der realen Bedrohungen. Der häufigste Fehler ist nicht der fehlende Wille, sondern das fehlende Wissen, wo anzufangen ist. Fangen Sie mit MFA an – heute.
Freiberuflicher IT-Berater mit M.Sc. Informatik (THM Gießen) und über 20 Jahren Praxiserfahrung. Schreibt über IT-Strategie, Software-Entwicklung und Digitalisierung im deutschen Mittelstand.
