Cyberangriffe sind keine Großunternehmens-Problem mehr — 80 % der Attacken zielen auf den Mittelstand, weil die Abwehrhuerden hier niedriger sind. Diese Checkliste benennt die zehn wichtigsten Maßnahmen, die in jedem KMU Standard sein sollten.

1. Multi-Faktor-Authentifizierung (MFA) überall

Für E-Mail, VPN, Remote-Zugriffe, Admin-Konten. Zweiter Faktor ist der wirksamste Einzelschutz gegen übernommene Passwörter. Microsoft Authenticator oder YubiKey sind Standard.

2. Immutable Backups

Ein Backup, das vom Angreifer überschrieben werden kann, ist kein Backup. Moderne Lösungen (Veeam Hardened Repo, Object Lock bei S3-Speichern) schützen Sicherungen gegen unbefugte Änderungen. Mehr dazu auf unserer Backup-Seite.

3. EDR statt klassischer Antivirus

Endpoint Detection & Response (z. B. SentinelOne, Microsoft Defender for Business) erkennt moderne Angriffe, die Signaturen-Scanner nicht sehen. Rollback-Funktion bei Ransomware ist Pflicht.

4. Patch-Management mit klarer SLA

Windows, Office, Browser, Firmware: jede Schwachstelle, die länger als 14 Tage offen bleibt, ist ein Risiko. Automatisiertes Patch-Management ist Standard, keine Magie.

5. Netzwerk-Segmentierung

Produktion getrennt von Office, Gaeste-WLAN getrennt von Firmennetz, Server-VLANs getrennt von Client-VLANs. Begrenzt die Ausbreitung eines erfolgreichen Angriffs.

6. Awareness-Training für Mitarbeiter

Phishing-Simulationen + jährliche Schulungen. Der Mensch ist die häufigste Einstiegsstelle — aber auch die einzige, die aktiv mitdenken kann.

7. Privileged Access Management

Keine Dauer-Admin-Rechte. Administrative Zugriffe über separate Admin-Konten, wenn möglich mit Just-in-Time-Aktivierung. Reduziert das Blast-Radius eines kompromittierten Accounts dramatisch.

8. Incident-Response-Plan

Was passiert am Tag der Ransomware? Wer wird angerufen? Wo sind die Backups? Welche Systeme werden zuerst wiederhergestellt? Wenn der Plan im Ernstfall geschrieben wird, ist es zu spät.

9. Dokumentierte Netzstruktur

Netzwerkplan, Geräte-Inventar, Software-Liste. Prüfer, Versicherer und — im Notfall — Incident-Response-Team brauchen diese Informationen binnen Minuten.

10. Regelmäßige Restore-Tests

Ein Backup, das noch nie wiederhergestellt wurde, ist keine Sicherheit — es ist Hoffnung. Mindestens quartalsweise Restore-Test in isolierter Umgebung.

Unser Angebot: Der kostenfreie System-Check prüfen diese zehn Punkte objektiv und liefert eine schriftliche Einschätzung. Ohne Verpflichtung, ohne Vertriebsdruck.