„Wir sind zu klein, um Ziel eines Hackerangriffs zu sein…“
Diesen Satz höre ich oft, wenn ich mit GeschäftsfĂĽhrern kleinerer Unternehmen ĂĽber IT-Sicherheit spreche. Und genau dieses Denken ist gefährlich. Denn Cyberkriminelle suchen sich nicht nur groĂźe Konzerne als Opfer – im Gegenteil: Kleinere Unternehmen sind oft ein leichteres Ziel, weil die Sicherheitsvorkehrungen schwächer sind.
Ob durch Phishing, Ransomware oder unsichere Passwörter – ein einziger Vorfall kann hohe finanzielle Schäden verursachen. Und das Schlimmste: Fast immer ist der Mensch das schwächste Glied in der Sicherheitskette.
In diesem Blogartikel decken wir die größten Irrtümer auf und schauen, mit welchen einfachen Maßnahmen Sie Ihr Unternehmen absichern können.
1. Antiviren-Software reicht nicht – warum du mehr tun musst
Viele Unternehmen verlassen sich auf klassische Antivirenprogramme und denken, damit wären sie sicher. Aber die Wahrheit ist: Diese Systeme bieten nur einen äuĂźerst begrenzten Schutz. In IT-Kreisen werden sie oft als „Schlangenöl“ bezeichnet – sie schlagen im besten Fall Alarm, aber zum einen existiert der Virus immer etwas eher als der Anti-Virus und zum Anderen sind Antiviren-Systeme selbst auch nur Computerprogramme. Und Computerprogramme haben Schwachstellen. Immer.
Moderne Angriffe konzentrieren sich darĂĽber hinaus nicht mehr nur noch auf rein technisch ausnutzbare Schwachstellen, sondern funktionieren ĂĽber Social Engineering – also das gezielte Manipulieren von Menschen, denen du vertraust – und somit dann in der Praxis oft auch deine Systeme.
FĂĽhren Vertraute in deinem Unternehmen versehentlich Schadcode aus, ist es oftmals schon zu spät – selbst wenn ein Antiviren-System es schaffen sollte, noch Alarm zu schlagen
➡ Lösung: Setze in deinem Unternehmen nicht nur auf Software, sondern auf Aufklärung und gesunden Menschenverstand deiner Mitarbeiter, was uns gleich zu Punkt 2 führt:
2. Das größte IT-Risiko sitzt vor dem Bildschirm
Es sind nicht Hacker mit Kapuzenpulli, die im dunklen Keller sitzen und Systeme knacken. In 9 von 10 Fällen öffnet ein unbedachter Klick auf eine manipulierte E-Mail die Tür für Cyberkriminelle (s. Punkt 7).
Typische Fehler:
- Öffnen von Dateianhängen in verdächtigen E-Mails
- Klicken auf gefälschte Links (Phishing)
- Nutzung unsicherer Passwörter
- Verwendung privater USB-Sticks oder Geräte im Firmennetzwerk
➡ Lösung: Mitarbeiter regelmäßig schulen und sensibilisieren! Klare Richtlinien definieren, wie im Falle eines Vorfalls verfahren werden soll (z.B. sofortiges Ziehen des Netzsteckers).
3. Ohne Backup? Dann viel GlĂĽck!
Es ist nicht die Frage, ob ein Cyberangriff passiert, sondern wann. Ransomware, die ganze Firmen verschlüsselt, ist längst keine Seltenheit mehr.
Und wenn ein Unternehmen kein Backup hat, hilft nur noch beten – oder den Angreifern auf gut GlĂĽck eine Menge Geld ĂĽberweisen .
➡ Lösung: Regelmäßige Backups auf separaten Medien mit Lagerung an mehreren Standorten und ein regelmäßiges Prüfen der Backups auf Lauf- und Funktionsfähigkeit.
4. Updates sind Pflicht – sonst droht Gefahr!
„Updates haben wir deaktiviert! Nach jedem Update funktionierte die Hälfte wieder nicht mehr.“
„Uns nerven die ständigen Neustarts aus heiterem Himmel. Seit wir Updates deaktiviert haben, ist endlich Ruhe!“
„Funktioniert doch alles, wie es ist... Wir brauchen keine Updates.“
Der Frust ĂĽber Updates ist verständlich. Windows ĂĽberschreibt plötzlich Netzwerkeinstellungen, der Drucker verweigert den Dienst, und manchmal geht nach einem Update scheinbar gar nichts mehr.Â
Doch so lästig sie sein mögen: (Sicherheits-)Updates sind essenziell! Insbesondere fĂĽr alle Geräte, die mit dem Internet verbunden sind. SicherheitslĂĽcken werden von Kriminellen systematisch ausgenutzt – oftmals gibt es schon am Tag der Veröffentlichung eines Sicherheitsupdates die ersten Angriffe.
➡ Lösung: Automatische Updates dort aktivieren, wo es möglich und angebracht ist. Falls tatsächlich nicht praktikabel (z.B. auf einem Server), unbedingt regelmäßige manuelle Updates einplanen.
5. Passwort-Sicherheit: Die unterschätzte Gefahr
Man könnte meinen, das Thema Passwörter sei im Jahr 2025 langsam durch. Aber obwohl die Regeln fĂĽr sichere Passwörter auf der einen Seite und die Gefahren schwacher Passwörter auf der anderen Seite seit Jahren heruntergebetet werden, tauchen auch heute noch in gehackten Datenbanken erschreckend einfache Passwörter auf wie „123456“, „Abcdef1001!“ oder „Firmenname2024“.
Gefahren:
- Hacker nutzen sogenannte Wörterbuch-Attacken – dabei werden Millionen gängiger Passwörter durchprobiert.
- Ein geleaktes Passwort reicht oft, um sich in mehrere Systeme einzuloggen (weil Menschen Passwörter wiederverwenden).
➡ Lösung:
- Starke Passwortrichtlinien definieren
- Passwort-Manager nutzen mit einmaligen und langen Zufallskennwörtern
- 2-Faktor-Authentifizierung (2FA) fĂĽr alle wichtigen Konten aktivieren
6. USB-Sticks & Co.: Dein größtes internes Risiko
Nicht jeder Datendiebstahl kommt von auĂźen – oft sind es eigene Mitarbeiter. Manchmal absichtlich, manchmal aus Versehen.
➡ Lösung:
- USB-Ports auf Firmen-PCs sperren (z. B. per Gruppenrichtlinie)
- Zugriff auf sensible Daten gezielt einschränken (nicht jeder braucht Zugriff auf alles)
7. E-Mail-Sicherheit: Die häufigste Einfallstür für Hacker
Ăśber 90 % aller Angriffe beginnen mit einer E-Mail.
„Ihr Konto wurde gesperrt, klicken Sie hier zur Bestätigung. Andernfalls wird Ihr Konto wird in 48h gelöscht!“
„Ihre überfällige Rechnung finden Sie im Anhang, bitte zahlen Sie umgehend oder wir leiten rechtliche Schritte gegen Sie ein.“​
Während derartige E-Mails zu früheren Zeiten leicht zu erkennen waren, werden sie immer raffinierter. KI-gestützte Phishing-Angriffe sind kaum noch von echten Nachrichten zu unterscheiden.
➡ Lösung:
- Verdächtige E-Mail-Anhänge (exe, html, docx) automatisiert filtern
- Einrichtung einer Sandbox-Umgebung zum sicheren Öffnen verdächtiger Anhänge
- DNS-Filter einsetzen, um verdächtige Domains aus öffentlichen Sperrlisten zu blockieren
- Mitarbeiter regelmäßig auf Phishing-Mails schulen
8. Lässt du deine Türen offen? So sicherst du dein Netzwerk ab
Portweiterleitungen sind eine einfache und schnelle Möglichkeit, interne Dienste für Mitarbeiter im Internet verfügbar zu machen. Ein offenes RDP (Remote Desktop), ein ungesicherter (und schlimmstenfalls auch noch veralteter) Microsoft Exchange-Server für E-Mails oder schlecht gesicherte Webserver sind eine Einladung für Angreifer.
➡ Lösung:
- Keine direkten Verbindungen aus dem Internet - nach Möglichkeit mit einem VPN arbeiten
- Externe Dienste in einer abgesicherten DMZ (Demilitarized Zone) betreiben
9. Sicher surfen? Nur wenn du diese Gefahr kennst!“
Ad-Blocker sind nicht nur ein Werkzeug, um nervige Werbung auszublenden. Sie verhindern auch, dass schädliche Werbeanzeigen (sogenannte Malvertising) auf Websites geladen werden, die dann die Rechner deiner Mitarbeiter mit Schadsoftware infizieren können. Zudem blockieren sie viele Tracking-Mechanismen, die Tech-Konzerne dazu nutzen, das Nutzerverhalten auszuwerten.
Selbst seriöse Websites haben nicht immer die volle Kontrolle über die eingeblendeten Anzeigen. Cyberkriminelle nutzen Werbenetzwerke, um schadhafte Inhalte einzuschleusen, die sich dann auf Webseiten großer Medienhäuser oder sogar Unternehmensseiten wiederfinden können.
➡ Lösung:
- Ad-Blocker wie uBlock Origin in Browsern einsetzen
- Verwendung eines netzwerkweiten Ad-Blockers wie Pi-hole
10. Fazit: IT-Sicherheit ist existenziell fĂĽr dein Unternehmen
Viele besonders kleinere Unternehmen denken, sie seien zu unbedeutend fĂĽr Hacker – bis sie selbst betroffen sind. Dabei ĂĽbersehen sie, dass Hacker ihre Ziele oftmals nicht gezielt mit einer Harpune angreifen, sondern mit einem riesigen Fangnetz. Doch mit ein paar einfachen MaĂźnahmen wie u.a. regelmäßigen Updates oder der Nutzung von Ad-Blockern kannst du das Risiko fĂĽr dein Unternehmen schon drastisch reduzieren.
Viele dieser MaĂźnahmen sind mit wenig Aufwand umsetzbar.
