- Details
- KI
Cybersecurity-Checkliste für KMU
Cybersecurity ist für KMU kein IT-Nebenthema mehr, sondern eine Überlebensfrage. Die gute Nachricht: Viele Risiken lassen sich mit klaren Zuständigkeiten, einfachen Routinen und konsequenter Umsetzung deutlich senken.
Cyberangriffe treffen nicht nur Konzerne. Gerade kleine und mittlere Unternehmen sind attraktive Ziele: Sie verfügen über Kundendaten, Zahlungsinformationen, Produktionswissen und oft über gewachsene IT-Strukturen. Gleichzeitig fehlen häufig Zeit, Personal und Budget für ein eigenes Security-Team.
Die wichtigste Erkenntnis: Absolute Sicherheit gibt es nicht. Aber es gibt einen Unterschied zwischen einem Unternehmen, das vorbereitet ist, und einem, das erst im Ernstfall herausfindet, wo Backups, Passwörter und Zuständigkeiten liegen. Cybersecurity beginnt daher nicht mit einem Tool, sondern mit Disziplin.
Die Basis muss sitzen
Viele erfolgreiche Angriffe nutzen keine spektakulären Schwachstellen, sondern Alltagsschwächen: zu einfache Passwörter, fehlende Updates, unklare Admin-Rechte, schlecht gesicherte Cloud-Konten oder Backups, die zwar existieren, aber nie getestet wurden. Für KMU zählt deshalb zuerst die robuste Grundhygiene.
| Bereich | Was zu prüfen ist | Priorität | REPORT-Einschätzung |
|---|---|---|---|
| Passwörter & MFA | Einzigartige Passwörter, Passwortmanager und Multi-Faktor-Authentifizierung für Mail, Cloud, Banking, Admin-Zugänge und VPN. | Sehr hoch | MFA ist eine der wirksamsten Sofortmaßnahmen gegen Kontoübernahmen. |
| Updates & Patches | Betriebssysteme, Browser, Firewalls, Router, Server, CMS, Plugins und Fachsoftware regelmäßig aktualisieren. | Sehr hoch | Ungepatchte Systeme sind ein Einfallstor, das Angreifer automatisiert suchen. |
| Backups | 3-2-1-Prinzip: mehrere Kopien, unterschiedliche Medien, mindestens eine offline oder unveränderbar. Wiederherstellung testen. | Sehr hoch | Ein Backup, das nie getestet wurde, ist nur eine Hoffnung. |
| Zugriffsrechte | Admin-Rechte begrenzen, ehemalige Mitarbeitende entfernen, Rollen regelmäßig prüfen. | Hoch | Je weniger Rechte im Umlauf sind, desto kleiner ist der Schaden im Ernstfall. |
| E-Mail & Phishing | Schulungen, klare Meldewege, Spam- und Malwarefilter, SPF, DKIM und DMARC für eigene Domains. | Hoch | Der Mensch bleibt Zielscheibe – aber gute Prozesse machen ihn nicht zum Sündenbock. |
| Cloud & SaaS | Freigaben, Gastzugänge, geteilte Ordner, Admin-Konten und Protokollierung in Microsoft 365, Google Workspace & Co prüfen. | Hoch | Viele Datenpannen entstehen heute nicht im Serverraum, sondern in falsch konfigurierten Cloud-Diensten. |
| Endgeräte | Virenschutz/EDR, Gerätemanagement, Verschlüsselung, Bildschirmsperre, klare Regeln für private Geräte. | Mittel bis hoch | Notebook und Smartphone sind längst Außenstellen des Unternehmens. |
| Notfallplan | Kontaktliste, Entscheidungswege, externe IT-Partner, Versicherung, Kommunikation und Meldepflichten vorbereiten. | Sehr hoch | Im Angriff zählt nicht die perfekte Strategie, sondern ein Plan, den alle finden und verstehen. |
Der Notfall beginnt vor dem Notfall
Ransomware, kompromittierte Mailkonten oder Datenabfluss entwickeln sich schnell. Wer dann erst Telefonnummern, Verträge und Zuständigkeiten sucht, verliert Zeit. KMU sollten daher einen einfachen Incident-Response-Plan erstellen: Wer entscheidet? Wer trennt Systeme vom Netz? Wer informiert Kunden, Behörden, Versicherung und IT-Dienstleister? Wer darf nach außen kommunizieren?
Auch rechtliche Fragen gehören dazu. Je nach Vorfall können Datenschutzmeldungen, vertragliche Informationspflichten oder Anforderungen von Kunden und Lieferketten relevant werden. Unternehmen sollten diese Punkte nicht erst nach einem Angriff klären.
KI verändert die Angriffslage
Generative KI macht Phishing professioneller. Gefälschte Mails, Stimmen, Bilder und Dokumente werden besser. Gleichzeitig kann KI auch in der Verteidigung helfen – etwa bei der Erkennung ungewöhnlicher Aktivitäten oder bei der Priorisierung von Warnmeldungen. Für KMU bleibt aber entscheidend: KI ersetzt keine Sicherheitsgrundlagen.
Wer heute investiert, sollte zuerst Transparenz schaffen: Welche Systeme gibt es? Welche Daten sind kritisch? Welche Dienstleister haben Zugriff? Welche Anwendungen sind wirklich geschäftsrelevant? Erst danach lohnt sich die Auswahl zusätzlicher Security-Tools.
REPORT-Fazit
Cybersecurity für KMU ist keine Frage großer Budgets allein. Entscheidend sind klare Verantwortlichkeiten, konsequente Grundhygiene und ein getesteter Notfallplan. Wer Passwörter, Updates, Backups, Zugriffsrechte und Cloud-Freigaben im Griff hat, senkt sein Risiko spürbar. Der Rest ist Ausbau – wichtig, aber nicht der erste Schritt.
Orientierung: Empfehlungen von CERT.at, BSI, ENISA und NIS2-Praxisleitfäden. Stand: Juni 2026.
- Details
Leben & StilView all
- Details
- Leben & Stil
Lokale Expertise: Eröffnung bei next layer
- Redaktion
- 04.Jun.2026
- Details
- Köpfe
Das Jobkarussell dreht sich im Mai 2026
- Redaktion
- 04.Jun.2026
- Details
- Köpfe
Wem Ehre gebührt
- Redaktion
- 04.Jun.2026
- Details
- Köpfe
Neuer Präsident der Amerikanischen Handelskammer
- Redaktion
- 03.Jun.2026
Office & TalkView all
- Details
- Officetalk
Wie Lehrlingsausbildung zur Fachkräftestrategie wird
- Gerhard Popp
- 27.May.2026
- Details
- Officetalk
Video: Das war die Enquete KI
- Redaktion
- 19.Apr.2026
- Details
- Officetalk
Video: Kooperation statt Kostendruck
- Redaktion
- 15.Apr.2026
- Details
- Officetalk
„Wir machen es einfach einfacher!“
- Redaktion
- 18.Mar.2026
Produkte & ProjekteView all
- Details
- Projekte
Agri-PV in Altenmarkt
- Redaktion
- 01.Jun.2026
- Details
- Projekte
Mistral: Expansion von KI-Diensten in Europa
- Redaktion
- 28.May.2026
- Details
- Projekte
Großspeicher im Burgenland
- Redaktion
- 15.May.2026
- Details
- Projekte
Zuschlag bei Ausschreibung der ÖBB
- Redaktion
- 15.May.2026