IT-Sicherheit Checkliste 2026: 12 Punkte für KMU

Ein funktionierendes Backup ist die wichtigste Verteidigungslinie gegen Ransomware. Die vom BSI empfohlene 3-2-1-Strategie verlangt drei Kopien Ihrer Daten auf mindestens zwei unterschiedlichen Speichermedien, davon mindestens eine Kopie offline oder offsite gelagert. Konkret heißt das: produktive Daten auf dem Server, eine zweite Kopie auf einem getrennten NAS oder Backup-Server und eine dritte Kopie in der Cloud (z. B. Veeam, Acronis, Synology C2) oder auf einer rotierenden externen Festplatte, die physisch getrennt aufbewahrt wird. Wichtig: Das Backup muss vor der Ransomware sicher sein, also durch Air-Gap, Immutable Storage oder Snapshot-Schutz mit S3 Object Lock abgesichert werden. Mindestens einmal pro Quartal sollten Sie eine vollständige Wiederherstellung testen - laut Bitkom scheitert sonst rund jedes dritte Backup im Ernstfall. Notieren Sie das Test-Datum schriftlich, das ist für NIS2-Audits und Versicherer relevant. Aktuelle KMU-Lösungen kosten zwischen 500 und 5.000 Euro pro Jahr und sind binnen weniger Tage einsatzbereit.

Über 60 Prozent aller erfolgreichen Cyberangriffe nutzen laut ENISA-Bericht 2025 bekannte, ungepatchte Schwachstellen aus - allen voran Log4j, ProxyShell, MOVEit und Citrix-Bugs. Ein systematisches Patch-Management ist deshalb Pflicht. Aktivieren Sie automatische Updates für Betriebssysteme (Windows Update for Business, macOS Software Update), Browser, Office-Suiten und Standardsoftware. Für geschäftskritische Anwendungen wie ERP, CRM und Praxisverwaltungssysteme richten Sie ein zentrales Patch-Tool ein - z. B. Microsoft Intune, ManageEngine Patch Manager Plus oder PDQ Deploy. Definieren Sie klare Service-Level: Sicherheitskritische Patches (CVSS ≥ 7) innerhalb von 7 Tagen einspielen, alle übrigen innerhalb von 30 Tagen. Identifizieren und ersetzen Sie End-of-Life-Software (z. B. Windows 7, alte SQL-Server-Versionen) - sie erhält keine Sicherheitsupdates mehr und ist ein direktes Einfallstor. Halten Sie ein Patch-Inventar mit Versionsnummern aller eingesetzten Systeme - viele Versicherer verlangen dieses Inventar im Versicherungsantrag oder verweigern andernfalls die Deckung.

Multi-Faktor-Authentifizierung gilt als die wirksamste Einzelmaßnahme gegen Account-Übernahme. Microsoft veröffentlichte 2024 eine interne Auswertung, wonach MFA über 99,2 Prozent aller automatisierten Account-Angriffe verhindert. Aktivieren Sie MFA verpflichtend für alle Cloud-Dienste (Microsoft 365, Google Workspace, Salesforce, AWS), VPN-Zugänge, Admin-Konten und E-Mail-Postfächer. Bevorzugt nutzen Sie phishing-resistente Verfahren wie FIDO2-Sicherheitsschlüssel (YubiKey, Feitian) oder Passkeys - normale TOTP-Apps sind besser als nichts, aber durch moderne Phishing-Kits umgehbar. SMS als zweiter Faktor sollte vermieden werden, da SIM-Swapping-Angriffe zunehmen. Einige Cyber-Versicherer wie Hiscox, Allianz und VHV setzen MFA für privilegierte Konten als Mindestanforderung voraus - ohne MFA verliert die Police im Schadenfall ihre Wirksamkeit (Obliegenheitsverletzung). Die Einrichtung dauert pro Mitarbeiter rund 15 Minuten und ist mit Microsoft Authenticator oder Google Authenticator kostenlos möglich. Für eine zentrale Steuerung empfiehlt sich eine Identity-Lösung wie Azure AD Conditional Access oder Okta.

Schwache und mehrfach verwendete Passwörter gehören laut Verizon DBIR 2024 zu den drei häufigsten Angriffsvektoren - 49 Prozent aller Datendiebstähle beginnen mit kompromittierten Zugangsdaten. Ein zentraler Passwortmanager beendet das Problem 'Post-it am Monitor' und ermöglicht für jedes System ein einzigartiges, langes Passwort. Etablierte Lösungen für KMU sind 1Password Business (ab 8 USD/Nutzer/Monat), Bitwarden (kostenlos für Selbsthosting, 5 USD/Nutzer für Cloud), Keeper, Dashlane oder LastPass Business - wobei nach den LastPass-Vorfällen 2022/2023 viele Unternehmen auf 1Password oder Bitwarden gewechselt sind. Wichtig sind die Funktionen Geteilte Tresore (für Teams), Notfall-Zugriff, Audit-Logs und Single-Sign-On-Anbindung. Schulen Sie Mitarbeiter in der Nutzung des Tools - oft scheitert die Einführung an mangelnder Akzeptanz, nicht an der Technik. Verbieten Sie Passwortspeicherung in Browsern und privaten Apps. Die 12-Zeichen-Empfehlung des BSI (vier zufällige Wörter mit Sonderzeichen) gilt nur, wenn ein Passwortmanager verwendet wird - andernfalls sollten Passphrasen mit mindestens 16 Zeichen verwendet werden.

Eine gut konfigurierte Firewall und konsistente Endpoint-Security sind der Standardschutz für jedes Unternehmensnetzwerk. Nutzen Sie eine Next-Generation Firewall (NGFW) wie Sophos XGS, Fortinet FortiGate, Palo Alto Networks PA-Series oder Cisco Meraki MX - Geräte ab ca. 800 Euro Anschaffungspreis decken den Bedarf eines kleinen KMU ab. Wichtig sind aktivierte Funktionen wie Intrusion Prevention (IPS), URL-Filter, Application Control und SSL-Inspection. Segmentieren Sie das Netzwerk: Server, Office-Endgeräte, IoT-Geräte (Drucker, Kameras, Heizungsanlagen) und Gast-WLAN gehören in getrennte VLANs. Auf den Endgeräten selbst gehört eine zentral verwaltete Endpoint-Suite - reine Microsoft Defender-Konfiguration ist seit Windows 11 erstaunlich gut, wird aber bei höheren Anforderungen durch dedizierte Lösungen ergänzt. Aktivieren Sie zwingend Logging und sichern Sie die Logs mindestens 90 Tage auf - im Vorfall sind sie für die Forensik unentbehrlich. Konfigurieren Sie regelmäßige Schwachstellen-Scans, etwa mit Greenbone, Tenable Nessus Essentials oder Microsoft Defender Vulnerability Management.

Klassisches Antivirus auf Signaturbasis reicht 2026 nicht mehr aus. Moderne Angriffe nutzen dateilose Malware, Living-off-the-Land-Techniken und maßgeschneiderten Code, der von signaturbasierten Lösungen nicht erkannt wird. Einsatz einer Endpoint Detection & Response (EDR) oder besser Extended Detection & Response (XDR)-Lösung ist daher Standard - etwa Microsoft Defender for Endpoint (im M365 Business Premium ab ca. 22 EUR/Nutzer/Monat enthalten), Sophos Intercept X, CrowdStrike Falcon, SentinelOne Singularity oder Bitdefender GravityZone. EDR-Tools verhalten sich verhaltensbasiert, blockieren verdächtige Prozessketten in Echtzeit und ermöglichen forensische Telemetrie über Wochen hinweg. Für KMU ohne eigenes Security Operations Center empfiehlt sich ein Managed EDR/XDR mit 24/7-Betrieb durch einen MSSP - die Kosten liegen bei 4-12 Euro pro Endpoint und Monat und sind im Vergleich zum Schadenrisiko eine sehr günstige Investition. Cyber-Versicherer wie Allianz und Hiscox honorieren EDR-Einsatz mit deutlich besseren Konditionen, oft 15-25 Prozent Prämienrabatt.

Der Mensch bleibt der häufigste Einfallsvektor: 74 Prozent aller Cybervorfälle haben laut Verizon DBIR 2024 einen menschlichen Faktor (Phishing, Social Engineering, Fehlkonfiguration, gestohlene Zugangsdaten). Eine systematische Awareness-Schulung mindestens zweimal pro Jahr, ergänzt durch monatliche Phishing-Simulationen, senkt die Klickrate auf bösartige Mails von typischerweise 30 Prozent auf unter 5 Prozent - das belegen Studien von KnowBe4, Hornetsecurity und Bitkom. Etablierte Plattformen für KMU sind G DATA Security Awareness Training, Hornetsecurity Security Awareness Service, KnowBe4, Lucy Security und SoSafe. Die Kosten liegen bei 3-8 Euro pro Mitarbeiter und Monat. Behandeln Sie Themen wie Phishing, CEO-Fraud, sichere Passwörter, Datenschutz, Social Engineering, Telefonbetrug und Umgang mit Wechseldatenträgern. Definieren Sie einen klaren Meldeweg für verdächtige E-Mails (idealerweise ein Phish-Alert-Button im Outlook). Dokumentieren Sie Schulungsteilnahmen lückenlos - sowohl NIS2-Audits als auch der Cyber-Versicherer können den Nachweis verlangen. Ein eigener kurzer Code of Conduct zur IT-Nutzung ergänzt die Schulung sinnvoll.

Ein dokumentierter Incident-Response-Plan entscheidet im Ernstfall über die Schadenshöhe. Im Durchschnitt vergehen laut IBM Cost of a Data Breach Report 2024 in Europa 264 Tage von der Kompromittierung bis zur Erkennung - jeder Tag früher reduziert die Schadensumme um durchschnittlich 1,2 Prozent. Ihr Plan sollte mindestens enthalten: klare Rollen (Incident Commander, IT-Lead, Kommunikation, Recht, Geschäftsführung), Notfall-Telefonnummern (interne IT, externer Dienstleister, Cyber-Versicherer-Hotline, Datenschutzbehörde, ZAC der Polizei), die ersten 30 Minuten in einem Schritt-für-Schritt-Drehbuch, definierte Eskalationsstufen, Vorlagen für Lagemeldungen und Kommunikation. Üben Sie den Plan mindestens einmal pro Jahr in einer Tabletop-Übung mit der Geschäftsleitung - das ist kein optionaler Schritt, sondern fester Bestandteil von NIS2 § 30 Abs. 2 Nr. 2 BSIG. Wichtig: Schalten Sie im Vorfall sofort den Cyber-Versicherer ein, bevor Sie eigene Maßnahmen einleiten. Vorzeitige Systemwiederaufsetzungen ohne Forensik können zur Leistungsverweigerung führen. Bewährte Vorlagen für Incident-Response-Pläne stellen das BSI (IT-Notfallkarte), die Allianz für Cyber-Sicherheit und das CERT-Bund kostenlos zur Verfügung.

Das Least-Privilege-Prinzip - jeder Benutzer und jeder Dienst erhält nur die minimal notwendigen Rechte - ist eine der wirksamsten Maßnahmen gegen die laterale Ausbreitung von Angriffen. In der Praxis bedeutet das: Kein Mitarbeiter arbeitet routinemäßig mit Administratorrechten auf dem Endgerät, separate Admin-Konten werden nur für administrative Tätigkeiten genutzt. Active Directory bzw. Entra ID werden konsequent mit Berechtigungsgruppen statt direkter Rechtevergabe aufgebaut. Privilegierte Konten (Domain Admin, lokale Admins, SQL Server SA) werden mit Privileged Access Management (PAM) wie BeyondTrust, CyberArk oder dem in Microsoft Entra enthaltenen Privileged Identity Management abgesichert - inklusive Just-in-Time-Aktivierung und Audit-Trail. Für Cloud-Dienste arbeiten Sie mit Conditional Access Policies (Standort-, Geräte- und Risiko-basiert). Mindestens einmal pro Quartal: Berechtigungs-Review für Fachsysteme (ERP, CRM, Praxisverwaltung) und Cloud-Speicher. Ehemalige Mitarbeiter sofort am Austrittstag deaktivieren und Zugänge auf inaktive Service-Accounts überprüfen. Der Aufwand ist überschaubar, die Wirkung im Schadenfall enorm: Ein kompromittierter Standard-Account kann ohne Admin-Rechte deutlich weniger anrichten als ein Domain Admin.

Datenverschlüsselung ist nicht nur eine Pflicht aus Art. 32 DSGVO, sondern auch ein zentraler Baustein des NIS2-Risikomanagements. Beim Datentransport setzen Sie ausnahmslos auf TLS 1.2 oder TLS 1.3 - alle internen und externen Webdienste sollten ausschließlich über HTTPS erreichbar sein, E-Mail-Server mit STARTTLS oder MTA-STS abgesichert. Für besonders sensible Branchenkommunikation (Heilberufe, Rechtsanwälte, KRITIS) sind zusätzliche Ende-zu-Ende-Verfahren wie S/MIME, PGP oder DE-Mail einzusetzen. Bei der Speicherung gilt: Festplattenverschlüsselung auf allen Endgeräten (BitLocker, FileVault, LUKS), Server-Volumes idealerweise mit BitLocker oder dm-crypt verschlüsselt. Cloud-Speicher mit serverseitiger Verschlüsselung und Schlüsselverwaltung im eigenen Hause (BYOK - Bring Your Own Key) sind 2026 Standard. Mobile Geräte werden über MDM/UEM-Lösungen wie Microsoft Intune, Jamf oder Hexnode zentral verschlüsselt. Wichtige Backups (insbesondere Cloud-Backups) müssen verschlüsselt sein, damit der Verlust eines Backup-Mediums keine DSGVO-Datenschutzverletzung darstellt. Dokumentieren Sie die Verschlüsselungsverfahren und Schlüsselverwaltung in einem Verfahrensverzeichnis - das ist DSGVO-Pflicht und im Schadenfall wertvoll.

Während der Incident-Response-Plan den unmittelbaren Vorfall beschreibt, regelt das Business Continuity Management (BCM) die Aufrechterhaltung des Geschäftsbetriebs. Beginnen Sie mit einer Business Impact Analysis (BIA): Welche Geschäftsprozesse sind kritisch, wie lange können sie ausfallen (Maximum Tolerable Downtime, MTD), welcher Datenverlust ist tolerabel (Recovery Point Objective, RPO)? Aus den Antworten leiten Sie konkrete Recovery-Time-Objectives (RTO) für IT-Systeme ab - z. B. 4 Stunden für die Praxisverwaltung, 24 Stunden für die Buchhaltung, 7 Tage für das CRM. Definieren Sie Notbetrieb-Strategien: alternative Standorte, manuelle Prozesse, mobile Hardware-Pools. Erstellen Sie einen Notfall-Kommunikationsplan: Wie erreichen Sie Mitarbeiter, Kunden und Lieferanten, wenn die E-Mail ausfällt? Bewährt haben sich vorbereitete Aushänge, ein vorab eingerichteter SMS-Verteiler und eine alternative Kommunikationsplattform (z. B. Signal-Gruppe). Mindestens einmal pro Jahr eine Übung durchführen - typischerweise als 'Cyber-Tabletop' mit fiktivem Ransomware-Szenario. Der Standard ISO 22301 bietet einen umfassenden Rahmen, für KMU reicht eine pragmatische Umsetzung mit den 5 Phasen Plan-Do-Check-Act. Cyber-Versicherer prüfen das BCM zunehmend im Underwriting - ein dokumentiertes Konzept senkt die Prämie spürbar.