Six Eight Consulting
Navigation öffnen
Kontakt
IT-Security-Grundlagen für kleine Unternehmen: Identitäten, Geräte, Cloud, Backups und Prozesse als Sicherheitsfundament
Blog

IT-Security-Grundlagen: Ein praxisnaher Leitfaden für kleine Unternehmen

Die wichtigsten IT-Security-Grundlagen für Startups und KMU: typische Angriffe, Basismaßnahmen und eine Mindest-Checkliste für den Einstieg.

Mika Schmidt, IT Security Experte

Mika Schmidt

IT Security Experte
Veröffentlicht: Aktualisiert: 6 Min. Lesezeit

IT-Security ist längst kein „Enterprise-Thema” mehr. Ransomware, Phishing und Accountübernahmen treffen heute auch kleine und mittlere Unternehmen, weil Angreifer dort mit wenig Aufwand viel Schaden anrichten können. Gleichzeitig fehlen oft Zeit, Budget und interne Security-Expertise.

Dieser Leitfaden richtet sich an Startups und KMU im IT-nahen Umfeld, die ihre Grundlagen in Ordnung bringen möchten, ohne direkt ein vollständiges ISMS nach ISO 27001 aufzubauen. Er orientiert sich an BSI IT-Grundschutz, NIST Cybersecurity Framework und praxisnahen ENISA-Empfehlungen für kleine Unternehmen.

Ziel ist ein pragmatischer Mindeststandard: Welche Basismaßnahmen sollten umgesetzt sein, damit ein einzelner Phishing-Link, ein verlorenes Notebook oder ein ungepatchtes System nicht direkt zur Unternehmenskrise wird?

Warum IT-Security-Grundlagen jetzt Chefsache sind

Viele Sicherheitsvorfälle beginnen banal: ein Login auf einer gefälschten Login-Seite, ein unachtsam bestätigter MFA-Request oder ein nicht eingespieltes Update auf einem VPN-Gateway. Die eigentliche Frage lautet deshalb nicht „Sind wir ein Ziel?”, sondern: Wie robust sind wir, wenn etwas schiefgeht?

Institutionen wie BSI, ENISA und NIST empfehlen kleinen Unternehmen, einen klaren Mindeststandard zu definieren: Welche Systeme sind kritisch, welche Daten besonders schützenswert, und welche Basismaßnahmen gelten für alle?

Typische Wirkungen guter Grundlagen

Tage

Wiederherstellung

Bei Ransomware geht es oft um Tage bis zur Wiederherstellung kritischer Systeme. Getestete Backups verkürzen diese Phase erheblich.

3-5

zentrale Maßnahmen

Backups, MFA, Patch-Management, Rechtekontrolle und Awareness verhindern bereits viele typische Schadensketten.

1

klare Verantwortung

Eine benannte verantwortliche Person reicht oft aus, um Prioritäten, Reporting und Entscheidungen zu strukturieren.

Was Informationssicherheit konkret bedeutet

Informationssicherheit beschreibt den Schutz von Informationen, unabhängig davon, ob sie in einer Datenbank, auf einem USB-Stick oder in einem Cloud-Dienst liegen. International haben sich drei Kernziele etabliert, die auch im BSI IT-Grundschutz und im NIST Cybersecurity Framework verwendet werden.

Die drei Grundziele der Informationssicherheit

Jede Maßnahme sollte mindestens eines dieser Ziele sichtbar unterstützen.
VertraulichkeitIntegritätVerfügbarkeit
Nur berechtigte Personen dürfen Daten sehen. Beispiele: Kundendaten, Zugangsdaten und Sicherheitskonzepte.Daten sind korrekt und unverändert. Manipulierte Konfigurationen oder Buchhaltungsdaten können reale Schäden verursachen.Systeme und Daten stehen zur Verfügung, wenn sie benötigt werden, etwa ERP, E-Mail, Cloud-Dienste oder Produktionssysteme.

Diese drei Ziele sind der rote Faden. Jede Maßnahme und jedes Tool lässt sich daran messen, welches Ziel es adressiert. So vermeiden kleine Unternehmen Flickenteppiche aus Einzellösungen.

Typische Angriffe auf Startups und KMU

Für viele Angriffe reicht ein einzelner schwacher Punkt: eine schlecht gesicherte Mailbox, ein nicht gehärteter Admin-Account oder fehlende Backups. Die folgenden Szenarien sind bei kleinen Unternehmen besonders relevant:

  • Phishing und Kontoübernahmen: Angreifer übernehmen E-Mail-Konten oder Cloud-Accounts und nutzen sie für Rechnungsbetrug, Social Engineering oder weitere Angriffe.

  • Ransomware: Daten auf Servern und Clients werden verschlüsselt, Backups häufig gleich mit. Der Betrieb steht still.

  • Business E-Mail Compromise: Manipulierte Rechnungs- oder Bankdaten wirken, als kämen sie von Geschäftsführung oder Finance.

  • Angriffe auf Webanwendungen und APIs: Schwachstellen in Webshops, Portalen oder APIs gehören zu den klassischen OWASP-Themen.

  • Missbrauch gestohlener Zugangsdaten: Wiederverwendung privater Passwörter, unsichere Passwortablage oder fehlende MFA führen zu stillen Kontoübernahmen.

Fünf technische Basismaßnahmen

Die meisten Standards empfehlen einen risikobasierten Ansatz. Für kleine Unternehmen gilt trotzdem oft: erst das Fundament, dann die Feinheiten.

Patch- und Update-Management

  • Automatische Updates für Betriebssysteme und Standardsoftware aktivieren.
  • Sicherheitsupdates für Firewalls, VPN, Router und Server priorisieren.
  • Monatlich prüfen, ob kritische Systeme aktuell sind, und das Ergebnis kurz dokumentieren.

Starke Authentifizierung und Identitätsmanagement

  • MFA verpflichtend für E-Mail, Cloud-Admin-Accounts, VPN, Remote Access und kritische SaaS-Systeme.

  • Passwort-Manager unternehmensweit nutzen, statt Excel, Browser-Speicher oder Notizzettel.
  • Admin-Accounts trennen: keine produktive Alltagsarbeit im Admin-Konto.

Backup-Strategie mit Rückweg

  • Backups mindestens täglich für zentrale Systeme und regelmäßige Snapshots wichtiger Daten.

  • Mindestens ein Backup logisch von Produktivsystemen trennen, etwa Offsite, anderer Cloud-Account oder WORM-Speicher.

  • Wiederherstellungen regelmäßig testen, nicht nur prüfen, ob Backup-Jobs laufen.

Endpoint- und E-Mail-Sicherheit

  • Laptops und Workstations zentral verwalten, etwa über MDM oder Endpoint-Management.
  • EDR oder Virenschutz mit zentralem Dashboard nutzen.

  • Basis-E-Mail-Filter, SPF, DKIM, DMARC und klare Meldewege für verdächtige Mails einrichten.

Netzwerk- und Cloud-Basis-Härtung

  • Gast-WLAN und Unternehmens-WLAN trennen.
  • Remote-Zugriffe nur über VPN oder Zero-Trust-Lösungen erlauben, nicht über offenes RDP.

  • In Cloud-Umgebungen Least Privilege, saubere Trennung von Produktion und Nicht-Produktion sowie geschützte Audit-Logs umsetzen.

Organisation, Prozesse und Mitarbeitende

Technik allein reicht nicht. Fast alle Frameworks betonen, dass Prozesse und Menschen mindestens so wichtig sind wie Tools.

Verantwortlichkeiten klären

  • Eine verantwortliche Person für IT-Security benennen, etwa Security Owner oder „CISO light”.

  • Eine Stellvertretung definieren, weil Urlaub, Krankheit und Ausfälle normal sind.
  • Security regelmäßig im Management berichten, auch wenn „nichts passiert ist”.

Einfache, gelebte Richtlinien

  • Kurzrichtlinie für Passwörter und MFA auf ein bis zwei Seiten.
  • Regeln für private Geräte, Homeoffice und Cloud-Dienste.

  • Prozess für On- und Offboarding von Mitarbeitenden mit Accounts, Zugriffsrechten und Geräten.

Awareness ohne Angstkultur

  • Regelmäßige kurze Trainings oder Lunch-and-Learn-Sessions.

  • „No blame”-Kultur: Mitarbeitende sollen verdächtige Mails melden, ohne Schuldzuweisung zu befürchten.

  • Positivbeispiele teilen: Wer einen Phishing-Versuch meldet, hat etwas richtig gemacht.

Mindest-Checkliste IT-Security

Die folgende Liste lässt sich in vielen Organisationen mit überschaubarem Aufwand umsetzen. Sie orientiert sich an Empfehlungen von BSI, ENISA und NIST für kleine Unternehmen.

Mindest-Checkliste für den Einstieg

  • Kritische Systeme und Daten identifizieren: ERP, CRM, Quellcode, Secrets, Finanzdaten und zentrale Cloud-Dienste.
  • MFA für E-Mail, Cloud-Admin, VPN, HR, Finance, Ticketing und andere zentrale Systeme aktivieren.
  • Backup-Strategie etablieren: tägliche Backups, logisch getrenntes Backup und dokumentierter Wiederherstellungstest.
  • Patch-Management definieren: monatlicher Patch-Day, klare Verantwortung und Priorisierung von VPN, Firewalls und Servern.
  • On- und Offboarding standardisieren: Accounts, Rechte, Geräte, Schulung und Entzug von Zugriffen verbindlich regeln.
  • Security-Meldeweg etablieren: eindeutige Adresse oder Chat-Kanal und klare Reaktion auch außerhalb der Kernarbeitszeit.

Roadmap in drei Ausbaustufen

Für viele Unternehmen ist es hilfreich, Security nicht als „Alles oder Nichts” zu sehen. Praktischer ist eine Roadmap in drei Ausbaustufen.

Security-Roadmap für kleine Unternehmen

  1. Stufe 10-3 Monate

    Grundschutz

    MFA für kritische Systeme, Backups mit Test, Patch-Day, zentrale Endpoint-Security und Basis-Richtlinien.

  2. Stufe 23-6 Monate

    Aufbau

    Formale Risikobewertung, Rollen und Prozesse, Logging und Monitoring sowie regelmäßige Awareness-Maßnahmen.

  3. Stufe 36+ Monate

    Zielbild

    ISMS nach BSI, NIST oder ISO, automatisierte Security-Tests, Incident-Response-Übungen und Lieferketten-Checks.

Rollen und Verantwortlichkeiten

Selbst kleine Teams profitieren davon, Security-Rollen zu benennen, auch wenn sie nur Teile der Arbeitszeit betreffen. Entscheidend ist Klarheit.

Rollenmodell für kleine Teams

Rollen müssen nicht als Vollzeitstellen existieren. Wichtig ist, dass Verantwortung nicht implizit bleibt.
RolleTypische PersonVerantwortungen
Security OwnerCTO, Head of Engineering oder IT-LeitungGesamtüberblick, Reporting an Management, Priorisierung von Maßnahmen und Freigabe von Policies.
IT-Betrieb / PlattformSystemadministration, DevOps oder SREPatch-Management, Backups, Logging und Basis-Härtung von Systemen und Netzen.
Security ChampionEntwicklerin oder Entwickler je Team oder ProduktSecurity-Aspekte in Projekten vertreten und Schnittstelle zwischen Dev-Teams und Security Owner sein.
FachbereicheFinance, HR, Sales und OperationsAuffälligkeiten melden, bei Risikoanalyse mitwirken und Policies im Alltag einhalten.

Häufige Fragen

FAQ zu IT-Security-Grundlagen

Reicht ein Virenscanner als Grundschutz aus?
Nein. Ein Virenscanner ist ein Baustein, aber kein Sicherheitskonzept. Ohne Backups, MFA, Patch-Management, Rechtekontrolle und klare Reaktionswege bleibt das Risiko hoch.
Lohnt sich formale Security für ein sehr kleines Team?
Ja, aber in angemessener Form. Kleine Teams brauchen kein 80-seitiges Handbuch, sondern klare Zuständigkeiten, wenige gut erklärte Richtlinien und eine einfache Checkliste für Alltag und Notfall.
Ab wann braucht ein Unternehmen ein ISMS oder eine Zertifizierung?
Typische Auslöser sind Kundenanforderungen, Regulierung oder eine erhöhte eigene Risikolage. Viele Unternehmen starten mit stabilem Grundschutz und bauen darauf später ein formales ISMS nach ISO 27001, BSI oder NIST auf.
Was sollte ein KMU zuerst umsetzen?
Priorität haben kritische Systeme und Identitäten: MFA für zentrale Konten, getestete Backups, Patch-Management für exponierte Systeme, sauberes On- und Offboarding sowie ein klarer Meldeweg für Sicherheitsvorfälle.

Aus Grundlagen werden Projekte

Ein stabiler Grundschutz ist kein Selbstzweck. Er schafft die Basis, um spätere Themen wie Cloud-Security, Supply-Chain-Security, DevSecOps oder ein formales ISMS geordnet anzugehen.

Wenn aus der Bestandsaufnahme konkrete Maßnahmen entstehen sollen, ist eine kurze, priorisierte Roadmap oft der beste nächste Schritt: Welche Risiken sind akut, welche Maßnahmen bringen schnell Wirkung, und welche Aufgaben gehören in ein sauberes Backlog?

Passend dazu:

Shai-Hulud 2.0: Ein Wurm frisst sich durch die Software-Supply-Chain

.

Themen

IT-SecurityKMUCyberhygieneAwarenessBest Practices

Quellen

  1. BSI: IT-Grundschutz-KompendiumBundesamt für Sicherheit in der Informationstechnik, Edition 2023
  2. BSI: Checklisten zum IT-Grundschutz-KompendiumChecklisten für den IT-Grundschutz-Check, 2025
  3. NIST: Small Business Quick Start GuideNIST Cybersecurity Framework 2.0, Special Publication 1300, 2024
  4. ENISA: Cybersecurity guide for SMEs12 steps to securing your business, ENISA, 2021
  5. OWASP: Top 10Standard Awareness Document for Web Application Security, laufend aktualisiert