IT-Sicherheits-Checkliste für KMU

• Passwort-Manager einführen: Bitwarden (kostenlos, DSGVO-konform, für Teams geeignet) oder KeePass
• Alle alten, schwachen oder wiederverwendeten Passwörter für wichtige Dienste durch neue, zufällige ersetzen (mindestens 16 Zeichen)
• Zwei-Faktor-Authentifizierung (2FA) für alle wichtigen Konten aktivieren: E-Mail, Microsoft 365, Bank, Cloud-Dienste
• Mitarbeiter über neues Passwort-System kurz einweisen (10 Minuten reichen)

Tipp: Über 80 % aller erfolgreichen Angriffe beginnen mit einem kompromittierten Passwort. Ein Passwort-Manager ist die effektivste Einzelmaßnahme.

• Windows Update auf "Automatisch" stellen — auf allen Geräten prüfen (Einstellungen → Update & Sicherheit)
• Browser-Updates aktivieren: Chrome, Edge und Firefox aktualisieren sich meist selbst — einmal prüfen
• Microsoft 365 oder Office: Auto-Update in den Office-Einstellungen aktivieren
• Router-Firmware prüfen: Im Router-Admin-Panel nach Firmware-Updates suchen (oft vergessen!)
• Windows 10-Geräte identifizieren und Migrationsplan erstellen (Support endete Oktober 2025)

Tipp: Ungepatchte Software ist der häufigste Einfallsweg für Ransomware. Updates schließen bekannte Sicherheitslücken, bevor Angreifer sie ausnutzen können.

• 3 Kopien Ihrer Daten: Original + 2 Backups
• 2 verschiedene Medien: z. B. externe Festplatte + Cloud (OneDrive, Nextcloud)
• 1 Kopie extern: Mindestens eine Kopie physisch außerhalb des Büros (oder Cloud)
• Backup automatisieren: Windows Sicherung oder dedizierte Software (Veeam Free, Duplicati) einrichten
• Wiederherstellung einmal testen — ein Backup, das nicht wiederherstellbar ist, ist kein Backup

Ransomware-Schutz: Ein aktuelles, offline gespeichertes Backup ist der einzige zuverlässige Schutz gegen Erpressungssoftware. Nur dann müssen Sie kein Lösegeld zahlen.

• Mitarbeiter für Phishing sensibilisieren: "Nie auf Links in unerwarteten E-Mails klicken"
• Absender-Domain prüfen: Die sichtbare Absenderadresse kann gefälscht sein — in den E-Mail-Header schauen
• Spam-Filter in Microsoft 365 oder Google Workspace auf "Strikt" setzen
• DKIM, SPF und DMARC für Ihre eigene Domain einrichten — verhindert Missbrauch Ihrer Domain für Phishing
• Klare Regel für verdächtige E-Mails: Nicht öffnen, an IT weiterleiten, Kollegen informieren

Häufigste Angriffe: Gefälschte Rechnungen, "Ihr Konto gesperrt"-E-Mails, Paket-Benachrichtigungen. Im Zweifel: Direkt beim vermeintlichen Absender anrufen (nicht auf eine Nummer in der E-Mail!)

• Lokale Windows-Konten: Mitarbeiter sollten keine Administrator-Rechte haben — nur Standard-User-Konto
• Freigegebene Laufwerke prüfen: Jeder Mitarbeiter sollte nur Zugriff auf Ordner haben, die er braucht
• Ausgeschiedene Mitarbeiter: Konten sofort deaktivieren — nicht nur das Windows-Login, auch E-Mail, Cloud, VPN
• Gäste-WLAN einrichten: Kunden und Besucher niemals ins Firmen-WLAN lassen
• Externe Dienste (Steuerberater, IT-Dienstleister): Eigene beschränkte Zugänge, kein Sharing von Admin-Passwörtern

Insider-Risiko minimieren: Nicht nur externe Angreifer sind eine Gefahr. Versehentliche Dateilöschung oder unbeabsichtigte Datenweitergabe durch Mitarbeiter sind häufige Ursachen für Datenverluste.