Die meisten Sicherheitsvorfälle im Mittelstand beginnen nicht mit einer technischen Lücke, sondern mit einer organisatorischen. Niemand ist zuständig. Die wirksamste Schutzmaßnahme für einen Betrieb mit acht Mitarbeitern kostet keinen Euro: ein Name hinter jeder Aufgabe, ein Datum daneben, eine geteilte Checkliste, die jeder sehen kann.
Die Lücke sitzt selten in der Firewall, sondern im Posteingang. Und ein Posteingang gehört immer einer konkreten Person, nie einer Abteilung.
Der teure Irrtum: Sicherheit ist kein Technikproblem
Rund zwei Drittel aller untersuchten Sicherheitsverletzungen enthalten ein menschliches Element, etwa einen Klick auf einen Link, weitergegebene Zugangsdaten oder eine Fehlkonfiguration (Verizon Data Breach Investigations Report 2024). Verhalten lässt sich nicht kaufen. Es muss organisiert werden, und organisieren heißt: jemand ist dafür verantwortlich.
Das ist die unbequeme Nachricht für jede Geschäftsführung, die das Thema mit einem Virenscanner erledigt glaubt. Der Schaden ist real und konkret:
Cyberangriffe verursachen der deutschen Wirtschaft rund 178,6 Milliarden Euro Schaden pro Jahr (Bitkom, Wirtschaftsschutz 2024). Für einen kleinen Betrieb bedroht ein einziger Vorfall häufig die gesamte Betriebsfähigkeit.
Der entscheidende Punkt vorab, der sonst gerne hinten im Fazit untergeht: Verantwortung ohne Kompetenz ist gefährlich. Wer einen internen Sicherheitsverantwortlichen benennt, muss ihm Werkzeuge und externe Hilfe geben. Sonst entsteht Verantwortung ohne Wirkung.
Was folgt, ist kein Abschluss in fünf Tagen, sondern ein belastbarer Startpunkt. Jeder Schritt bekommt einen Namen.
Hinweis: Die folgenden Fallbeispiele sind typische, anonymisierte Szenarien aus der Beratungspraxis. So läuft es regelmäßig ab.
Tag 1 bis 2: Passwörter und Zwei-Faktor, eine Person aktiviert
Beginnen Sie dort, wo der häufigste Einbruch passiert. Ein typischer Fall: Eine Steuerkanzlei verlor die Kontrolle über ihren E-Mail-Account, weil ein Mitarbeiter dasselbe Passwort für Kanzlei und ein privates Shopping-Portal nutzte. Das Portal wurde gehackt, das Passwort landete im Darknet, die Angreifer loggten sich ein und leiteten Mandantenkorrespondenz um. Ein wiederverwendetes Passwort, ein Totalschaden.
Die Gegenmaßnahme kostet wenig bis nichts. Ein Passwort-Manager wie Bitwarden ist als Open-Source-Version kostenlos, die Teams-Variante liegt bei rund 3 € pro Nutzer und Monat (Stand 2024). Damit nutzt jeder Mitarbeiter für jeden Dienst ein eigenes, starkes Passwort.
Wichtiger noch ist die Zwei-Faktor-Authentifizierung, kurz 2FA, also die zweite Bestätigung beim Login über das Smartphone. Microsoft Authenticator oder Google Authenticator sind gratis. Selbst ein gestohlenes Passwort öffnet ohne den zweiten Faktor keine Tür. Aktivieren Sie 2FA zuerst auf dem E-Mail-Konto, denn dort hängt der Rest.
Heute erledigt: Eine benannte Person aktiviert 2FA auf dem E-Mail-Konto und richtet den Passwort-Manager für alle ein.
Tag 3: Backups, eine Person testet die Wiederherstellung
Ein typischer Fall: Eine Schreinerei öffnete einen Anhang namens „Auftragsbestätigung_Küche.pdf.exe". Innerhalb von zwanzig Minuten waren Angebote, Konstruktionspläne und Kundendatei verschlüsselt. Das letzte Backup lag auf demselben Server, ebenfalls verschlüsselt. Drei Wochen Betriebsunterbrechung.
Der anerkannte Standard ist die 3-2-1-Regel, empfohlen unter anderem von BSI und CISA:
| Ziffer | Bedeutung |
|---|---|
| 3 | drei Kopien Ihrer Daten |
| 2 | auf zwei unterschiedlichen Medientypen |
| 1 | davon eine Kopie außerhalb des Betriebs |
Praktisch heißt das für einen Betrieb ohne IT: ein automatisches tägliches Backup auf eine externe Festplatte (50 bis 80 € einmalig), die nach dem Vorgang physisch getrennt wird. Diese Trennung ist entscheidend, denn Ransomware verschlüsselt zunehmend auch netzwerkverbundene Backups. Ergänzend eine Cloud-Synchronisation mit Versionsverlauf, etwa über OneDrive, das in vielen Microsoft-365-Lizenzen bereits enthalten ist.
Entscheidend: Ein Backup, das nie zurückgespielt wurde, ist kein Backup, sondern eine Hoffnung. Eine benannte Person stellt einmalig eine Testdatei wieder her.
Heute erledigt: Automatisches Backup eingerichtet und eine Testwiederherstellung durchgeführt.
Tag 4: Mitarbeiter schulen, Phishing erkennen
Keine Technik filtert Phishing vollständig weg, denn die Mail richtet sich an den Menschen, nicht an die Maschine. Eine halbe Stunde reicht für die Grundlagen: Wie erkennt man gefälschte Absender, verdächtige Anhänge, den Druck zur Eile? Das BSI stellt unter awareness.bsi.de kostenloses Schulungsmaterial bereit.
Entscheidend ist die Wiederholung und die Zuständigkeit. Eine benannte Person prüft monatlich, ob jeder neue Mitarbeiter die 30-Minuten-Schulung hatte. Vereinbaren Sie eine einfache Regel: Wer unsicher ist, klickt nicht, sondern fragt nach. Diese eine Norm hätte die Schreinerei verschont.
Heute erledigt: Schulung terminiert, eine Person übernimmt die monatliche Kontrolle.
Tag 5: Updates und Zugriffsrechte, eine Person prüft
Ungepatchte Systeme gehören zu den am leichtesten ausnutzbaren Schwachstellen (BSI-Lagebericht). Ein typischer Fall: Eine Physiotherapiepraxis betrieb ihren Verwaltungs-PC noch unter Windows 7, dessen Support seit 2020 ausgelaufen ist. Angreifer nutzten eine längst gepatchte Lücke und griffen Patientendaten ab, mit Meldepflicht und berufsrechtlichen Folgen.
Stellen Sie automatische Updates für Betriebssystem und Anwendungen ein. Trennen Sie sensible Geräte vom Gäste-WLAN, was sich in einer handelsüblichen Fritzbox kostenlos konfigurieren lässt. Und prüfen Sie, wer Zugriff auf was hat. Nicht jeder Mitarbeiter braucht jede Datei.
Heute erledigt: Automatische Updates aktiv, Zugriffsrechte einmal durchgesehen.
Wo die fünf Schritte nicht reichen
Zwei Pflichten gehören zusätzlich auf den Tisch der Geschäftsführung. Erstens die DSGVO: Sie verpflichtet auch den Ein-Personen-Betrieb. Datenpannen mit Risiko für Betroffene sind binnen 72 Stunden meldepflichtig (Art. 33). Bußgelder reichen bis 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 83). Zweitens: Für sensible Branchen wie Praxen und Kanzleien reichen kostenlose Werkzeuge allein oft nicht aus, hier verlangen Schweigepflicht und Berufsrecht mehr.
Über den hessischen DIGI-Zuschuss und DigiBoost Rheinland-Pfalz lassen sich Sicherheitsmaßnahmen und Beratung bezuschussen, abhängig von der aktuellen Förderperiode (Details unter /foerderung).
Die fünf Schritte können Sie am Montag selbst beginnen. Wenn Sie vorher wissen wollen, welche Lücken in Ihrem Betrieb tatsächlich offen sind, liefert ein kostenloses Audit den Befund. Was wir dabei prüfen, finden Sie unter /leistungen.