Volker Bentz
Ein gestohlenes Passwort, ein ungepatchter Server, eine Mitarbeiterin, die auf den falschen Link klickt. Cyberangriffe brauchen heute keine ausgeklügelte Hacker-Truppe mehr, oft reicht eine einzige übersehene Schwachstelle. Die gute Nachricht: Die wirksamsten Schutzmaßnahmen sind selten kompliziert, sie werden nur häufig nicht konsequent umgesetzt.
In diesem Artikel zeigen wir Ihnen 10 konkrete IT-Sicherheitsmaßnahmen, mit denen Sie die größten Lücken in Ihrem Unternehmen schließen können.
Tipp 1: Stärkung der Passwortsicherheit
Fangen wir mit dem Naheliegendsten an, das in der Praxis trotzdem am häufigsten ignoriert wird: das Passwort. Wer denkt, ein achtstelliges Passwort mit ein paar Zahlen reicht aus, sollte sich folgende Zahlen genau ansehen.
Laut dem Passwort Hacking Research von Kaspersky wird ein zwölfstelliges Passwort in fast 80 Prozent der Fälle innerhalb eines Jahres entschlüsselt. Erst ab 16 bis 18 Zeichen sinkt das Risiko spürbar. Allerdings auch nur dann, wenn diese wirklich unterschiedliche Zeichenarten beinhalten. Ein Passwort kann zwar über 25 Zeichen lang sein, wenn es allerdings nur Zahlen sind bringt das für die Sicherheit leider herzlich wenig.
Die Grafik zeigt den Anteil der Passwörter einer bestimmten Länge, die innerhalb der jeweiligen Zeitspanne in Darknet-Datenbanken auftauchten und entschlüsselt wurden.
.png?width=636&height=358&name=Passwortl%C3%A4nge%20(1).png)
Was bei dieser Grafik aus dem Hive Systems Report auffällt und bereits erwähnt wurde: Bei reinen Zahlenkombinationen ist selbst ein achtstelliges Passwort mit moderner Hardware in Minuten geknackt. Sobald Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen gemischt werden, steigt die "Knackzeit" auf mehrere Jahrhunderte. Der Unterschied liegt also nicht primär in der Länge, sondern in der Zeichenvielfalt.
Zur Einordnung: Die letzten beiden Zeilen der Tabelle (ChatGPT 3 und ChatGPT 4) bedeuten nicht, dass diese Sprachmodelle selbst Passwörter knacken. Sie veranschaulichen, welche Rechenleistung mittlerweile zugänglich ist, wenn vergleichbare GPU-Cluster für Brute-Force-Angriffe genutzt werden.
Was heißt das konkret für Ihr Unternehmen? Ein Passwort mit mindestens 12 Zeichen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen ist das Minimum, kein Idealzustand. Wer es sich einfacher machen will, nutzt einen Passwort-Manager mit integriertem Generator, statt sich komplexe Zeichenketten selbst auszudenken und am Ende doch wieder Variationen des gleichen Musters zu verwenden.
Genauso wichtig wie das Passwort selbst ist der Umgang damit im Team. Vermeiden Sie gängige Wörter, Geburtsdaten oder firmenbezogene Begriffe, die sich leicht erraten lassen. Schulen Sie Mitarbeitende regelmäßig dazu, warum Passwortsicherheit kein lästiges IT-Thema, sondern eine reale Schutzmaßnahme ist, und prüfen Sie Ihre Passwortrichtlinien mindestens einmal im Jahr auf Aktualität.
Tipp 2: Einsatz einer zuverlässigen Firewall und 24/7-Anti-Virensoftware
Eine gute Firewall und ein aktuelles Antivirenprogramm gehören zur Grundausstattung, das ist nichts Neues. Der Punkt, der in der Praxis oft übersehen wird: Diese Werkzeuge erkennen einen Angriff, sie reagieren aber nicht selbstständig darauf. Jemand muss die Meldungen auch tatsächlich auswerten, und das am besten rund um die Uhr, nicht erst am nächsten Werktag.
Genau hier liegt der Unterschied zwischen einer Firma, die "geschützt ist" und einer, die einen Angriff in der Nacht von Freitag auf Samstag erst am Montagmorgen entdeckt, wenn der Schaden längst angerichtet ist. Unser Security Operations Center (SOC) übernimmt diese Auswertung durchgehend: Es überwacht die Protokolle von Firewall und Endpoints, erkennt Anomalien und greift im Ernstfall sofort ein, statt nur eine Warnmeldung in einem ungelesenen Postfach zu hinterlassen.
Manche Anbieter koppeln ihre SOC-Services zusätzlich mit einer Cyberversicherung. Das ersetzt keine eigene Sorgfalt, aber es reduziert das finanzielle Risiko, falls trotz aller Maßnahmen doch einmal etwas durchschlüpft – und das kann passieren, denn 100% Schutz garantieren kann niemand.
Tipp 3: Sensibilisierung der Mitarbeiter für IT-Sicherheit
Die teuersten Sicherheitslücken in Unternehmen sind selten technischer Natur. Meistens ist es ein Klick auf den falschen Link oder ein Passwort, das auf einem Post-it am Monitor klebt. Mitarbeitende sind also entweder Ihre größte Schwachstelle oder Ihre erste Verteidigungslinie, je nachdem, wie gut sie vorbereitet sind. Fünf Bausteine, die dabei wirklich etwas bringen:
Regelmäßige Schulungen
Workshops zu sicheren Passwörtern, Phishing-Erkennung und dem Umgang mit sensiblen Daten, nicht als einmaliges Pflichtprogramm, sondern als wiederkehrender Termin.
Sicherheitsrichtlinien kommunizieren
Erklären Sie nicht nur, welche Regeln gelten, sondern auch, warum. Regeln ohne Begründung werden erfahrungsgemäß zuerst umgangen.
Praxisbeispiele nutzen
Ein echter Vorfall, anonymisiert, wirkt überzeugender als zehn theoretische Warnungen.
Tests und Übungen
Simulierte Phishing-Mails zeigen schnell, wie hoch die tatsächliche Klickrate im Unternehmen ist, oft überraschend anders als die gefühlte.
Feedback und Anreize
Wer eine verdächtige Mail meldet, sollte dafür Anerkennung bekommen, nicht das Gefühl, etwas falsch gemacht zu haben.
Keine dieser Maßnahmen wirkt isoliert. Erst die Wiederholung über Monate macht aus IT-Sicherheit eine Gewohnheit statt eines einmaligen Vortrags, an den sich niemand mehr erinnert. In diesem Zusammenhang können wir Ihnen unsere Mitarbeiterschulungen ans Herz legen. Wir schulen Ihre Mitarbeiter im Umgang mit gefährlichen Phishing-Mails.
Tipp 4: Regelmäßige Updates und Patches für Betriebssysteme und Anwendungen
Die meisten erfolgreichen Cyberangriffe nutzen keine brandneuen, unbekannten Schwachstellen aus. Sie nutzen Lücken, für die längst ein Patch existiert, der nur niemand installiert hat. Genau deshalb ist konsequentes Patch-Management eine der wirkungsvollsten und gleichzeitig unauffälligsten Schutzmaßnahmen überhaupt.
Automatisieren Sie Update-Prozesse, wo es geht. Menschliche Routine ("kümmere ich mich nächste Woche drum") ist der größte Feind eines aktuellen Systems. Wer auf Nummer sicher gehen will, testet größere Updates vorab in einer isolierten Umgebung, bevor sie unternehmensweit ausgerollt werden, damit ein fehlerhaftes Update nicht selbst zum Ausfallgrund wird.
Ein Punkt, der oft vergessen wird: Private Geräte, die auch für die Arbeit genutzt werden, etwa das Smartphone für E-Mails, brauchen dieselbe Update-Disziplin wie die Firmenhardware. Ein veraltetes privates Telefon mit Zugriff auf das Firmenpostfach ist ein genauso reales Einfallstor wie ein ungepatchter Server.
Tipp 5: Implementierung einer sicheren Datenverschlüsselung
Verschlüsselung ist die Maßnahme, die im Ernstfall den größten Unterschied macht. Wird ein Laptop gestohlen oder gelingt einem Angreifer doch der Zugriff auf einen Server, entscheidet die Verschlüsselung darüber, ob er nur auf wertlosen Datensalat blickt oder auf Klartext.
Bevor Sie verschlüsseln, müssen Sie wissen, was überhaupt schützenswert ist: personenbezogene Daten, Geschäftsgeheimnisse, Vertragsunterlagen. Für die technische Umsetzung haben sich zwei Verfahren etabliert, die unterschiedliche Aufgaben übernehmen:
AES (symmetrisch)
Ein Schlüssel verschlüsselt und entschlüsselt. Schnell und ressourcenschonend, daher der Standard für die Verschlüsselung großer Datenmengen, etwa ganzer Festplatten.
RSA (asymmetrisch)
Ein öffentlicher Schlüssel verschlüsselt, ein privater entschlüsselt. Langsamer, dafür ideal für den sicheren Schlüsselaustausch und digitale Signaturen.
In der Praxis kombinieren die meisten Systeme beide Verfahren: RSA für den sicheren Austausch des Schlüssels, AES für die eigentliche Datenverschlüsselung. Verschlüsseln Sie dabei sowohl gespeicherte Daten als auch Daten während der Übertragung, ein verschlüsselter Server bringt wenig, wenn die Daten unverschlüsselt per E-Mail verschickt werden.
Wichtig ist auch eine saubere Schlüsselverwaltung: Verwenden Sie keinen Schlüssel mehrfach, und lagern Sie Schlüssel getrennt von den verschlüsselten Daten selbst. Wer beides zusammen aufbewahrt, hat im Grunde nur eine zusätzliche Tür eingebaut, aber den Schlüssel direkt daneben gehängt.
Tipp 6: Durchführung regelmäßiger Backups und Datenwiederherstellungstests
Ein Backup, das im Ernstfall nicht funktioniert, ist kein Backup, sondern eine teure Illusion. Genau das passiert häufiger, als man denkt: Die Sicherung läuft seit Monaten automatisiert, niemand hat sie aber je tatsächlich zurückgespielt, und ausgerechnet beim ersten echten Ausfall stellt sich heraus, dass die Datei beschädigt oder unvollständig ist.
Eine bewährte Faustregel für die Backup-Strategie ist die 3-2-1-Regel:
Ein fester Backup-Zeitplan ist dabei nur die halbe Aufgabe. Die andere Hälfte ist der regelmäßige Wiederherstellungstest, bei dem ein IT-Team aktiv prüft, ob sich die Daten aus dem Backup tatsächlich vollständig zurückspielen lassen.
Achtung: Ransomware verschlüsselt heute gezielt auch Backups, die im selben Netzwerk erreichbar sind. Eine durchdachte Backup-Strategie trennt deshalb zumindest eine Kopie physisch oder logisch vom Rest der Infrastruktur.
Wer das einmal eingerichtet hat, gewinnt im Ernstfall genau die Zeit, die zwischen einem ärgerlichen Zwischenfall und einem existenzbedrohenden Datenverlust entscheidet. Und wer noch mehr zum Thema Backups und der Erweiterung der 3-2-1-Regel wissen möchte, wird auf unserem Artikel zur 3-2-1-1-0 Backup Strategie fündig.
Tipp 7: Einschränkung der Zugriffsrechte auf sensible Daten
Je mehr Mitarbeitende uneingeschränkten Zugriff auf sensible Daten haben, desto größer die Angriffsfläche, ganz unabhängig davon, ob ein Angreifer von außen kommt oder ein Konto intern missbraucht wird. Die Lösung ist selten ein einzelnes Tool, sondern ein klares Regelwerk, das auf dem Least-Privilege-Prinzip basiert:
Least-Privilege-Prinzip
Jeder bekommt nur die Rechte, die er für seine konkrete Aufgabe braucht, nicht mehr "auf Vorrat", weil es bequemer ist.
Zugriffsrechte regelmäßig überprüfen
Bei jedem Rollenwechsel oder Austritt eines Mitarbeitenden müssen Zugänge sofort angepasst werden, nicht "irgendwann nächste Woche".
Datenklassifizierung
Nicht alle Daten sind gleich kritisch. Wer öffentliche, interne und vertrauliche Informationen unterscheidet, kann Zugriffsrechte gezielt vergeben statt pauschal.
Zugriffsprotokollierung
Technische Protokolle zeigen im Nachhinein, wer wann auf welche Daten zugegriffen hat, das ist im Verdachtsfall oft der entscheidende Hinweis.
Klingt nach Verwaltungsaufwand, ist es auch. Aber der Aufwand für die Einrichtung ist deutlich kleiner als der Schaden, der entsteht, wenn nach einem Datenleck niemand sagen kann, wer überhaupt Zugriff hatte.
Tipp 8: Zwei-Faktor-Authentifizierung
Selbst das stärkste Passwort hilft nichts, wenn es einmal geleakt wurde, das zeigen die Zahlen aus Tipp 1 ja deutlich. Die Zwei-Faktor-Authentifizierung fängt genau diesen Fall ab: Zum Passwort kommt ein zweiter, unabhängiger Faktor, etwa ein Code aus einer App oder ein Fingerabdruck. Ein gestohlenes Passwort allein reicht damit nicht mehr aus, um sich einzuloggen.
Ein Punkt, den viele beim Einrichten vergessen: Was passiert, wenn das Smartphone mit der Authentifizierungs-App kaputt geht oder verloren wird? Ohne eine eingerichtete Notfalloption steht der betroffene Mitarbeitende dann komplett ausgesperrt da. Legen Sie diesen Fall also direkt mit ein, nicht erst, wenn er eintritt.
Tipp 9: Mobile Device Management
Smartphones und Tablets gehören längst zum Arbeitsalltag, in der Produktion genauso wie im Büro. Jedes dieser Geräte ist gleichzeitig ein potenzielles Einfallstor, sei es durch eine unsichere App oder ein veraltetes Betriebssystem. Wer dazu noch eine BYOD-Politik fährt, bei der Mitarbeitende private Geräte beruflich nutzen, sollte dafür klare Regeln statt eines stillschweigenden "wird schon gut gehen" haben.
Eine zentrale Geräteverwaltung wie Microsoft Intune erlaubt es, Sicherheitsrichtlinien durchzusetzen und im Verlustfall ein Gerät aus der Ferne zurückzusetzen.
Achtung: Ein verlorenes Smartphone mit Zugriff auf Firmendaten ohne Fernlöschoption ist im Zweifel ein meldepflichtiger Vorfall. Eine zentrale Geräteverwaltung verhindert genau das.
Tipp 10: Vorsicht bei E-Mails und Anhängen
Phishing bleibt einer der erfolgreichsten Angriffswege, gerade weil er nicht auf technische Schwachstellen zielt, sondern auf Menschen. Trainieren Sie Ihr Team gezielt darin, E-Mails und Anhänge kritisch zu prüfen: unerwartete Anhänge, kleine Rechtschreibfehler im Absendernamen, ein Ton, der plötzlich Dringlichkeit erzeugt, das sind typische Warnsignale.
Ein guter Spam-Filter nimmt einen Teil der Last ab, ersetzt aber nicht die Aufmerksamkeit im Einzelfall. Im Zweifel gilt: lieber einmal zu viel beim Absender nachfragen, als einen Anhang zu öffnen, der sich danach nicht mehr rückgängig machen lässt. Eine Unternehmenskultur, in der diese Rückfrage selbstverständlich ist, statt als Zeitverschwendung zu gelten, ist am Ende der wirksamste Schutz.
Wo steht Ihr Unternehmen wirklich?
Zehn Tipps zu lesen ist der einfache Teil. Der schwierigere: ehrlich einschätzen, welche dieser Maßnahmen bei Ihnen schon greifen, und welche nur auf dem Papier stehen. Genau dafür gibt es unseren IT-Sicherheitscheck mit über 130 Prüfpunkten, der Ihnen in kurzer Zeit ein realistisches Bild liefert, wo Ihr Unternehmen aktuell steht und wo der größte Handlungsbedarf besteht.
Kostenloser IT-Sicherheitscheck
In kurzer Zeit Klarheit über Schwachstellen und konkrete nächste Schritte, statt nur zu vermuten, wo Sie stehen.
Jetzt IT-Sicherheitscheck anfragen