Im Jahr 2025 waren 43% der Cyberangriffe in Frankreich auf Unternehmen mit weniger als 50 Mitarbeitern ausgerichtet (Quelle: ANSSI). Die durchschnittlichen Kosten eines Angriffs für ein kleines Unternehmen: 25.000 Euro — zwischen Betriebsausfallkosten, technischer Behebung und Datenverlust.
Und doch hätten 80% dieser Angriffe mit grundlegenden Maßnahmen vermieden werden können. Man braucht kein Cybersicherheitsbudget von 50.000 Euro. 10 einfache Maßnahmen reichen aus.
Maßnahme 1: Sichere Passwörter und ein Passwortmanager
Das Passwort "Unternehmen2024!" ist kein gutes Passwort. Es wird in 3 Sekunden von einem automatisierten Tool geknackt.
Die Maßnahme: Installieren Sie einen Passwortmanager für das gesamte Team (Bitwarden in der kostenlosen Version oder 1Password für 4 Euro/Monat/Benutzer). Jedes Passwort wird zufällig generiert, mindestens 16 Zeichen lang, einzigartig für jeden Dienst.
Das Master-Passwort des Managers sollte ein langer Satz sein, den Sie sich merken: "MeinKatzeIssstGarnellenAufDemTisch" ist unendlich sicherer als "P@ssw0rd!2024".
Maßnahme 2: Zwei-Faktor-Authentifizierung (2FA)
Selbst mit einem guten Passwort, wenn ein Mitarbeiter auf einen Phishing-Versuch hereinfällt, hat der Angreifer das Passwort. Die 2FA fügt eine weitere Ebene hinzu: Zusätzlich zum Passwort ist ein temporärer Code erforderlich, der vom Telefon generiert wird.
Die Maßnahme: Aktivieren Sie 2FA auf allen kritischen Konten — E-Mail, Bank, Hosting, soziale Netzwerke, geschäftliche Tools. Verwenden Sie eine App (Google Authenticator, Authy) statt SMS (abfangbar).
Maßnahme 3: Automatische Updates
Sicherheitslücken werden von Herstellern Tage nach ihrer Entdeckung behoben. Aber wenn Sie nicht aktualisieren, bleibt die Lücke offen. Ransomware nutzt massiv bekannte Windows- und Browser-Lücken aus, die seit Monaten bekannt sind.
Die Maßnahme: Aktivieren Sie automatische Updates auf allen Computern (Windows, macOS, Browser, geschäftliche Software). Ein Neustart pro Woche ist der Preis dafür.
Maßnahme 4: Die 3-2-1-Sicherung
Die Regel 3-2-1: 3 Kopien Ihrer Daten auf 2 verschiedenen Medien, davon 1 außerhalb des Ortes.
Die konkrete Maßnahme:
- Kopie 1: Ihre Festplatte (die Produktionsdaten)
- Kopie 2: eine externe Festplatte oder ein NAS (tägliche automatische Sicherung)
- Kopie 3: ein Cloud-Dienst (Backblaze B2 für 6$/Monat oder Synology C2)
Testen Sie die Wiederherstellung einmal pro Quartal. Eine Sicherung, die man nicht wiederherstellen kann, ist keine Sicherung.
Maßnahme 5: Anti-Phishing-Schulung
90% der Angriffe beginnen mit einer Phishing-E-Mail. Das schwache Glied ist der Mensch.
Die Maßnahme: Schulen Sie Ihr Team, verdächtige E-Mails zu erkennen. Die Anzeichen:
- Künstliche Dringlichkeit ("Ihr Konto wird in 2 Stunden deaktiviert")
- Unbekannter Absender oder verdächtiger Domänenname
- Links zu seltsamen URLs (fahren Sie mit der Maus drüber, ohne zu klicken)
- Unerwartete Anhänge (.exe, .zip, .js)
- Anfrage nach Anmeldedaten per E-Mail (kein legitimer Dienst tut das)
Führen Sie einmal pro Jahr eine simulierte Phishing-Übung durch. Mit Plattformen wie Gophish (kostenlos) können Sie gefälschte Phishing-E-Mails an Ihr Team versenden, um Schwachstellen zu identifizieren.
Maßnahme 6: Sicheres WLAN
Das WLAN in Ihrem Büro ist ein Eingangspunkt. Wenn das Passwort "bonjour123" ist oder Sie das WEP-Protokoll verwenden (seit 15 Jahren veraltet), kann jeder auf der Straße auf Ihr Netzwerk zugreifen.
Die Maßnahme: WPA3-Protokoll (oder WPA2-AES mindestens), komplexes Passwort mit 20+ Zeichen, separates Gastnetzwerk für Besucher.
Maßnahme 7: Verschlüsselung von Laptops
Ein gestohlener Laptop aus einem Auto, eine Tasche, die im Zug vergessen wird — das passiert. Wenn die Festplatte nicht verschlüsselt ist, hat der Dieb Zugriff auf alle Ihre Daten.
Die Maßnahme: Aktivieren Sie BitLocker (Windows Pro) oder FileVault (macOS). Es ist kostenlos, ins System integriert und transparent in der Verwendung.
Maßnahme 8: Eingeschränkte Zugriffsrechte
Nicht jeder braucht Zugriff auf alles. Der Buchhalter braucht keinen Zugriff auf technische Dateien, der Praktikant braucht keine Administratorrechte.
Die Maßnahme: Wenden Sie das Prinzip der minimalen Rechte an. Jeder Benutzer hat nur Zugriff auf die Ressourcen, die er für seine Arbeit benötigt. Und löschen Sie die Konten von Personen, die das Unternehmen verlassen, am selben Tag des Ausscheidens.
Maßnahme 9: Antivirus und Firewall
Windows Defender ist für die meisten kleinen Unternehmen ausreichend. Es ist nicht nötig, einen kostenpflichtigen Antivirus zu kaufen, wenn Ihre digitale Hygiene gut ist. Stellen Sie jedoch sicher, dass Defender auf allen Computern aktiviert und aktuell ist.
Die Windows-Firewall sollte aktiviert bleiben. Deaktivieren Sie sie nicht "weil eine Software nicht funktioniert" — finden Sie die richtige Ausnahme, anstatt alles zu öffnen.
Maßnahme 10: Incident-Response-Plan
Am Tag, wenn es passiert (und statistisch wird es passieren), müssen Sie wissen, was zu tun ist. Ein Response-Plan in 5 Zeilen:
- Den infizierten Computer isolieren (Netzwerk trennen, nicht ausschalten)
- Ihren IT-Dienstleister benachrichtigen oder 3218 anrufen (cybermalveillance.gouv.fr)
- Kein Lösegeld zahlen (das garantiert keine Datenwiederherstellung und finanziert Kriminelle)
- Aus der Sicherung wiederherstellen
- Anzeige erstatten und den Vorfall bei der CNIL melden, wenn personenbezogene Daten betroffen sind
Drucken Sie diesen Plan aus. Hängen Sie ihn auf. Am Tag X wird niemand nach einem digitalen Dokument auf einem durch Ransomware verschlüsselten Computer suchen.
Cybersicherheit ist kein technisches Thema, das Informatikern vorbehalten ist. Es ist ein Thema für die Unternehmensleitung. 10 einfache Maßnahmen, konsequent umgesetzt, blockieren die große Mehrheit der Angriffe.