Six Eight Consulting Logo
Security-Grundlagen

IT-Security-Grundlagen: Ein praxisnaher Leitfaden für kleine Unternehmen

Veröffentlicht: | Aktualisiert:
18 Minuten Lesezeit
Tags: IT-Security KMU Cyberhygiene Awareness Best Practices
IT-Security-Grundlagen: Ein praxisnaher Leitfaden für kleine Unternehmen – Artikel von Mika Schmidt, IT-Security Consultant / Analyst

IT-Security ist längst kein „Enterprise-Thema" mehr. Ransomware, Phishing und Accountübernahmen treffen heute vor allem kleine und mittlere Unternehmen, weil Angreifer dort mit wenig Aufwand viel Schaden anrichten können. Gleichzeitig fehlen oft Zeit, Budget und interne Security-Expert:innen.

Dieser Beitrag richtet sich bewusst an Startups und KMU im IT-nahen Umfeld, die ihre Grundlagen in Ordnung bringen möchten – ohne direkt ein komplettes ISMS nach ISO 27001 aufzubauen. Wir orientieren uns dabei u. a. am BSI IT-Grundschutz, dem NIST Cybersecurity Framework und praxisnahen Leitfäden der ENISA für kleine Unternehmen. [Standard]

Ziel ist ein pragmatischer Mindeststandard: Welche Basismaßnahmen sollten Sie wirklich umgesetzt haben, damit ein einzelner Phishing-Link oder ein verlorenes Notebook nicht direkt zur Unternehmenskrise wird?

Wen dieser Beitrag unterstützt

Sie verantworten IT, Entwicklung oder Operations in einem Startup oder KMU und fragen sich: „Was ist das Security-Mindestlevel, das wir seriös abdecken müssen?" – dann ist dieser Leitfaden für Sie. Er verzichtet auf unnötigen Jargon und konzentriert sich auf umsetzbare Schritte für die nächsten 3–6 Monate.

1. Warum IT-Security-Grundlagen jetzt Chefsache sind

Viele Sicherheitsvorfälle beginnen banal: Ein Login auf einer gefälschten Login-Seite, ein unachtsam bestätigter MFA-Request oder ein nicht eingespieltes Update auf einem VPN-Gateway. Die eigentliche Frage lautet deshalb nicht „Sind wir ein Ziel?", sondern: „Wie robust sind wir, wenn etwas schiefgeht?"

Institutionen wie das BSI, ENISA und NIST empfehlen kleinen Unternehmen, einen klaren Mindeststandard zu definieren: Welche Systeme sind kritisch, welche Daten besonders schützenswert, und welche Basismaßnahmen gelten für alle? [Leitfaden]

> 60 %

der KMU berichten laut Studien, mindestens einen relevanten Sicherheitsvorfall erlebt zu haben.

Tage

bis zur Wiederherstellung kritischer Systeme – nicht Stunden – sind bei Ransomware eher die Regel.

3–5

zentrale Maßnahmen (Backups, MFA, Patching, Rechte, Awareness) vermeiden bereits viele Schäden.

1 Person

mit klarer Verantwortung reicht oft aus, um Struktur in Ihre IT-Security zu bringen.

2. Was „Informationssicherheit“ konkret bedeutet

Informationssicherheit beschreibt den Schutz von Informationen – unabhängig davon, ob diese in einer Datenbank, auf einem USB-Stick oder in einem Cloud-Dienst liegen. International haben sich drei Kernziele etabliert, die auch im BSI IT-Grundschutz und im NIST Cybersecurity Framework verwendet werden: [Framework]

Vertraulichkeit

Nur berechtigte Personen dürfen Daten sehen. Beispiele: Kundendaten, Zugangsdaten, Sicherheitskonzepte.

Integrität

Daten sind korrekt und unverändert. Manipulierte Konfigurationen oder Buchhaltungsdaten können zu realen Schäden führen.

Verfügbarkeit

Systeme und Daten stehen zur Verfügung, wenn sie benötigt werden – z. B. ERP, E-Mail, Cloud.

Diese drei Ziele sind Ihr roter Faden: Jede Maßnahme, jedes Tool lässt sich daran messen, welches dieser Ziele es adressiert. So vermeiden Sie Flickenteppiche aus Einzellösungen.

3. Typische Angriffe auf Startups & KMU

Für viele Angriffe reicht ein einziger schwacher Punkt – eine schlecht gesicherte Mailbox, ein nicht gehärteter Admin-Account oder fehlende Backups. Die folgenden Szenarien sehen wir bei kleinen Unternehmen besonders häufig:

  • Phishing & Kontoübernahmen: Angreifer übernehmen E-Mail-Konten oder Cloud-Accounts und nutzen diese für Rechnungsbetrug, Social Engineering oder weitere Angriffe.
  • Ransomware: Daten auf Servern und Clients werden verschlüsselt, Backups häufig gleich mit – Betrieb steht still.
  • Business-E-Mail-Compromise (BEC): Manipulierte Rechnungs- oder Bankdaten, die scheinbar von Geschäftsführung oder Finance kommen.
  • Angriffe auf Webanwendungen & APIs: Schwachstellen in Webshops, Portalen oder APIs, wie sie im OWASP Top 10 beschrieben sind. [Awareness]
  • Missbrauch gestohlener Zugangsdaten: Wiederverwendung privater Passwörter, unsichere Passwort-Manager oder fehlende MFA führen zu stillen Kontoübernahmen.

Gefährlich ist nicht der einzelne Vorfall – sondern die Kette

Ein kompromittiertes E-Mail-Postfach führt zu Passwort-Resets in anderen Systemen, diese öffnen den Weg in Cloud-Umgebungen, dort werden Backups gelöscht – am Ende steht ein umfassender Ransomware-Vorfall. Gute Grundlagen unterbrechen diese Ketten.

4. Fünf technische Basismaßnahmen

Die meisten Standards (BSI, ENISA, NIST) empfehlen einen risikobasierten Ansatz. Für kleine Unternehmen gilt jedoch oft: Erst das Fundament, dann die Feinheiten. [Praxis]

4.1 Patch- & Update-Management

  • Automatische Updates für Betriebssysteme und Standardsoftware aktivieren.
  • Sicherheitsupdates für Firewalls, VPN, Router und Server priorisieren.
  • Klar definieren: Wer prüft monatlich kritische Systeme und dokumentiert das (kurzes Protokoll reicht)?

4.2 Starke Authentifizierung & Identitätsmanagement

  • MFA verpflichtend für E-Mail, Cloud-Admin-Accounts, VPN, Remote-Access, kritische SaaS-Systeme.
  • Passwort-Manager unternehmensweit statt Excel, Browser-Speicher oder „Zettel unter der Tastatur".
  • Admin-Accounts trennen: keine produktive Arbeit im Admin-Konto.

4.3 Backup-Strategie mit Rückweg

  • Backups mindestens täglich für zentrale Systeme, plus regelmäßige Snapshots wichtiger Daten.
  • Mindestens ein Backup sollte logisch von Produktivsystemen getrennt sein (Offsite, anderer Cloud-Account, WORM-Speicher).
  • Regelmäßig testen, ob Wiederherstellungen funktionieren – nicht nur „Backups laufen".

4.4 Endpoint- & E-Mail-Sicherheit

  • Zentrale Verwaltung von Laptops/Workstations (MDM, Endpoint-Management).
  • Aktiver EDR/Virenschutz mit zentralem Dashboard.
  • Basis-E-Mail-Filter, SPF/DKIM/DMARC und klare Meldewege für verdächtige Mails.

4.5 Netzwerk- & Cloud-Basis-Härtung

  • Trennung von Gast-WLAN und Unternehmens-WLAN.
  • Remote-Zugriffe nur über VPN oder Zero-Trust-Lösungen, nicht per offenem RDP.
  • In Cloud-Umgebungen: Least Privilege, saubere Trennung von Prod/Non-Prod, Audit-Logs eingeschaltet und geschützt.

5. Organisation, Prozesse & Mitarbeitende

Technik alleine reicht nicht. Fast alle Frameworks betonen, dass Prozesse und Menschen mindestens so wichtig sind wie Tools. [Framework]

5.1 Verantwortlichkeiten klären

  • Benennen Sie eine verantwortliche Person für IT-Security („Security Owner“ oder „CISO light").
  • Definieren Sie eine Stellvertretung – Urlaub und Ausfälle passieren.
  • Verankern Sie Security im Management: Regelmäßiges Reporting in der Geschäftsleitung, auch wenn „nichts passiert ist".

5.2 Einfache, gelebte Richtlinien

  • Kurz-Richtlinie für Passwörter & MFA (1–2 Seiten).
  • Regeln für private Geräte, Homeoffice und Cloud-Dienste.
  • Prozess für das On- und Offboarding von Mitarbeitenden (Accounts, Zugriffe, Geräte).

5.3 Awareness ohne Angstkultur

  • Regelmäßige kurze Trainings oder Lunch&Learn-Sessions.
  • „No blame“-Kultur: Mitarbeitende sollen verdächtige Mails melden, ohne Angst vor Schuldzuweisungen.
  • Positivbeispiele teilen: Wer einen Phishing-Versuch meldet, hat etwas richtig gemacht.

6. Ihre Mindest-Checkliste IT-Security

Die folgende Liste lässt sich in vielen Organisationen mit überschaubarem Aufwand umsetzen. Sie orientiert sich an Empfehlungen von BSI, ENISA und NIST für kleine Unternehmen. [Leitfaden]

  1. Kronjuwelen identifizieren:
    • Welche Systeme und Daten sind wirklich kritisch (z. B. ERP, CRM, Quellcode, Secrets)?
    • Welche davon würden Sie bei einem Ausfall zuerst wiederherstellen wollen?
  2. MFA für zentrale Systeme aktivieren:
    • E-Mail, Cloud-Admin, kritische SaaS (z. B. HR, Finance, Tickets).
    • Wenn möglich FIDO2-Security-Keys statt SMS-TANs.
  3. Backup-Strategie etablieren:
    • Tägliche Backups, mindestens ein logisch getrenntes Backup.
    • Jährlich mindestens ein vollständiger Wiederherstellungstest mit Dokumentation.
  4. Patch-Management definieren:
    • Monatlicher „Patch-Day“ mit klarer Verantwortlichkeit.
    • Priorisierte Liste: VPN, Firewalls, Server, dann Clients.
  5. On-/Offboarding standardisieren:
    • Checkliste für neue Mitarbeitende (Accounts, Rechte, Geräte, Schulung).
    • Checkliste für Abgänge (Rechte entziehen, Geräte zurück, Passwörter ändern).
  6. Security-Meldeweg etablieren:
    • Eindeutige Adresse wie security@ihrunternehmen.de oder Slack-Channel.
    • Definieren, wer wann wie reagiert (auch außerhalb der Kernarbeitszeiten).

7. Roadmap in drei Ausbaustufen

Für viele Unternehmen ist es hilfreich, Security nicht als „Alles oder Nichts“, sondern als Etappenreise zu sehen. Eine praxisnahe Struktur ist die aus dem NIST Framework abgeleitete Einteilung in Basis-, Aufbau- und Zielniveau. [Framework]

Stufe 1

Grundschutz

MFA für kritische Systeme, Backups mit Test, Patch-Day, zentrale Endpoint-Security, Basis-Richtlinien.

Stufe 2

Aufbau

Formale Risikobewertung, Rollen & Prozesse, Logging & Monitoring, regelmäßige Awareness-Maßnahmen.

Stufe 3

Zielbild

ISMS nach BSI/NIST/ISO, automatisierte Security-Tests, Incident-Response-Übungen, Lieferketten-Checks.

8. Rollen & Verantwortlichkeiten

Selbst kleine Teams profitieren davon, Security-Rollen zu benennen – auch wenn diese nur Teile der Arbeitszeit betreffen. Wichtig ist die Klarheit.

Rolle Typische Person Verantwortungen
Security Owner CTO, Head of Engineering, IT-Leitung Gesamtüberblick, Reporting an Management, Priorisierung von Maßnahmen, Freigabe von Policies.
IT-Betrieb / Plattform Systemadministration, DevOps, SRE Patch-Management, Backups, Logging, Basis-Härtung von Systemen und Netzen.
Security Champion Entwickler:in je Team oder Produkt Security-Aspekte in Projekten vertreten, Schnittstelle zwischen Dev-Teams und Security Owner.
Fachbereiche Finance, HR, Sales, Operations Melden von Auffälligkeiten, Mitwirkung bei Risikoanalyse, Einhaltung der Policies im Alltag.

9. Häufige Fragen

Reicht ein Virenscanner als „Grundschutz“ aus?

Nein. Ein Virenscanner ist ein Baustein, aber kein Sicherheitskonzept. Ohne Backups, MFA und Patch-Management bleibt Ihr Risiko hoch. Orientierung an etablierten Standards (z. B. BSI IT-Grundschutz oder NIST CSF) hilft, nichts Wichtiges zu übersehen. [Standard]

Wir sind ein sehr kleines Team. Lohnt sich formale Security überhaupt?

Ja – aber in angemessener Form. Sie müssen kein 80-seitiges Handbuch schreiben. Oft reichen klare Zuständigkeiten, einige wenige gut erklärte Richtlinien und eine einfache Checkliste. Wichtig ist, dass alle wissen, was im Alltag erwartet wird und wie im Notfall zu reagieren ist.

Ab wann brauche ich ein „richtiges“ ISMS oder eine Zertifizierung?

Typische Auslöser sind Kundenanforderungen, Regulierung oder die eigene Risikoeinschätzung (z. B. bei kritischen Infrastrukturen). Viele Unternehmen gehen den Weg über einen stabilen Grundschutz, bevor sie ein formales ISMS nach ISO 27001 oder BSI-Standard aufbauen.

Wie kann Six Eight Consulting unterstützen?

Wir helfen beim Aufbau eines pragmatischen Security-Fundaments: von einer strukturierten Bestandsaufnahme über eine minimal sinnvolle Sicherheits-Roadmap bis hin zu gezielten Maßnahmen in Bereichen wie Cloud-, Supply-Chain- oder DevSecOps-Security. Sprechen Sie uns an, wenn Sie aus den Grundlagen konkrete Projekte machen möchten.

10. Quellen & weiterführende Links

Die folgenden Quellen bieten vertiefende Informationen und Checklisten, falls Sie die hier vorgestellten Grundlagen weiter ausbauen möchten.

Standard

BSI IT-Grundschutz-Kompendium (Edition 2023)

Bundesamt für Sicherheit in der Informationstechnik (BSI), 2023

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html

Praxis

Checklisten zum IT-Grundschutz-Kompendium (Edition 2023)

BSI, Checklisten für den IT-Grundschutz-Check, 2025

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium/checklisten_2023.html

Framework

NIST Cybersecurity Framework 2.0: Small Business Quick Start Guide (SP 1300)

NIST, 2024

https://csrc.nist.gov/pubs/sp/1300/final

Leitfaden

Cybersecurity guide for SMEs – 12 steps to securing your business

ENISA, 2021

https://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes

Awareness

OWASP Top 10 – Standard Awareness Document for Web Application Security

OWASP Foundation, laufend aktualisiert

https://owasp.org/www-project-top-ten/

Wenn Sie auf dieser Grundlage Ihre Software-Supply-Chain besser absichern möchten, empfehlen wir Ihnen den Beitrag „Shai-Hulud 2.0: Ein Wurm frisst sich durch die Software-Supply-Chain" . Weitere Fachartikel finden Sie im Bereich Security- & Cloud-Blog .

Sie möchten diese Schritte auf Ihr Unternehmen übertragen?

In einem kurzen Gespräch klären wir, welche Maßnahmen für Sie konkret sinnvoll sind – ohne Over-Engineering.

Erstgespräch buchen Zurück zur Übersicht

Cookies & Analyse

Ich nutze Cookies für anonyme Statistik mit Google Analytics. Sie können zustimmen oder ablehnen. Ihre Auswahl können Sie später jederzeit in den Browser-Cookies ändern.