Die meisten Angriffe auf KMU sind nicht raffiniert, sondern nutzen offene Türen. Wer die folgenden zehn Punkte umsetzt, reduziert das Risiko drastisch, ohne ein IT-Sicherheitsprojekt in Konzerngröße zu starten.
Die zehn Punkte
- Zwei-Faktor-Authentifizierung überall. Vor allem E-Mail, Cloud, Buchhaltung und Fernzugriff.
- Sichere Passwörter mit Manager. Kein Passwort mehrfach, keine Passwörter in Excel.
- Automatische Updates. Für Betriebssysteme, Browser und alle eingesetzten Programme.
- Datensicherung mit Trennung. Backups, die nicht dauerhaft mit dem System verbunden sind, sind resistent gegen Verschlüsselungsangriffe.
- Rollen und Rechte prüfen. Ehemalige Mitarbeiter entfernen, Admins reduzieren, Zugriffe auf das Nötigste begrenzen.
- Phishing-Awareness. Kurze Schulungen, konkrete Beispiele, regelmäßige Auffrischung.
- Endgeräte-Schutz. Aktueller Virenschutz, Festplattenverschlüsselung, Bildschirmsperre.
- Sichere Fernzugriffe. Kein direktes Öffnen von Ports, sondern geschützte Verbindungen mit Rechteverwaltung.
- Notfallplan mit klaren Kontakten. Wer wird wann informiert, wer entscheidet, wer spricht mit der Öffentlichkeit.
- Externe Prüfung im Jahresrhythmus. Ein strukturierter Check deckt Lücken auf, die intern selten auffallen.
Was oft übersehen wird
- Alte Konten von Praktikanten und Aushilfen, die nie deaktiviert wurden.
- Router und Netzwerk-Hardware, die seit Jahren keine Firmware-Updates bekommen haben.
- Backups, die niemand jemals getestet hat.
- Vertragspartner mit Zugriff auf interne Systeme ohne klaren Prozess.
Wenn Sie das strukturiert prüfen lassen wollen: siehe IT-Sicherheitsaudit und die Awareness-Schulung.
