Montagmorgen, die Auftragsverwaltung ist nicht erreichbar, E-Mails gehen nicht mehr raus und auf den Bildschirmen erscheint eine Lösegeldforderung. Wer einen Cyberangriff auf die Firma verhindern will, muss nicht jedes technische Detail selbst beherrschen. Entscheidend ist, die wenigen wirklich wirksamen Schutzmaßnahmen verbindlich zu organisieren – bevor der Betrieb stillsteht.
Das ist keine theoretische Gefahr. Laut Bitkom entstand der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage zuletzt ein jährlicher Schaden von 266,6 Milliarden Euro. Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, registriert zudem täglich durchschnittlich mehrere Hunderttausend neue Schadprogramm-Varianten. Besonders betroffen sind oft mittelständische Unternehmen: nicht, weil sie besonders interessant wirken, sondern weil Zugänge, Updates, Sicherungen und Verantwortlichkeiten im hektischen Tagesgeschäft zu oft nebenherlaufen.
Warum ein Cyberangriff den Betrieb so schnell trifft
Ein Angriff beginnt selten mit einem spektakulären Einbruch. Häufig reicht eine täuschend echte E-Mail, ein wiederverwendetes Passwort oder ein nicht eingespieltes Sicherheitsupdate. Angreifer verschaffen sich zunächst Zugang, lesen E-Mails mit, suchen nach Rechnungen, Kundendaten und Sicherungen. Erst später verschlüsseln sie Systeme oder geben sich gegenüber Kunden als Geschäftsführung aus.
Für einen Handwerksbetrieb können dadurch Baustellenunterlagen und Angebote fehlen. Eine Kanzlei verliert den Zugriff auf Fristen und Mandantenakten. In einer Praxis stehen Terminplanung, Abrechnung und Kommunikation unter Druck. Der wirtschaftliche Schaden entsteht nicht nur durch IT-Kosten, sondern durch verlorene Arbeitszeit, verpasste Termine, Vertrauensverlust und mögliche Datenschutzmeldungen.
Die DSGVO verlangt geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Was angemessen ist, hängt von Unternehmensgröße, Datenarten und Risiko ab. „Wir sind zu klein, um interessant zu sein“ ist deshalb weder eine Sicherheitsstrategie noch eine belastbare Antwort im Ernstfall.
Cyberangriff auf die Firma verhindern: Wo Sie anfangen sollten
Der wirksamste Schutz entsteht nicht durch den Einkauf eines einzelnen Sicherheitsprodukts. Er entsteht durch klare Abläufe, laufende Kontrolle und einen Partner, der Verantwortung übernimmt. Diese acht Schritte schaffen eine belastbare Grundlage.
1. Alle Zugänge sichtbar machen
Viele Unternehmen wissen nicht genau, wer Zugriff auf welche Systeme hat. Neben Office-Anwendungen und E-Mail gehören dazu Cloud-Speicher, Buchhaltung, Telefonanlage, Fernzugänge, branchenspezifische Software und Administrator-Konten.
Erstellen Sie eine aktuelle Übersicht: Welche Konten existieren? Wer benötigt sie? Welche ehemaligen Mitarbeitenden, Dienstleister oder privaten Geräte haben noch Zugriff? Besonders privilegierte Administrator-Zugänge verdienen eine separate Kontrolle. Was nicht mehr gebraucht wird, wird deaktiviert. Das reduziert die Angriffsfläche sofort.
2. Mehrfaktor-Authentifizierung konsequent einführen
Ein Passwort allein schützt heute nicht zuverlässig, selbst wenn es lang ist. Über Phishing, Datenlecks oder erratbare Varianten gelangen Zugangsdaten regelmäßig in falsche Hände. Mehrfaktor-Authentifizierung verlangt neben dem Passwort einen zweiten Nachweis, etwa über eine Authenticator-App oder einen Sicherheitsschlüssel.
Priorität haben E-Mail-Postfächer, Cloud-Dienste, Fernzugänge, Buchhaltung und Administrationskonten. Gerade das E-Mail-Konto ist oft der zentrale Schlüssel: Wer es kontrolliert, kann Passwörter zurücksetzen, Rechnungen umleiten und glaubwürdig im Namen der Geschäftsführung schreiben. Ausnahmen sollten selten bleiben und dokumentiert sein.
3. Updates als festen Prozess behandeln
Nicht eingespielte Updates sind kein Schönheitsfehler. Sie können bekannte Sicherheitslücken offenlassen, für die es längst Angriffswerkzeuge gibt. Betroffen sind Server, PCs, Firewalls, WLAN-Komponenten, Telefonie, Drucker und Anwendungen.
Ein guter Prozess prüft Updates regelmäßig, testet kritische Änderungen bei Bedarf und dokumentiert Ausnahmen. Dabei gilt: Nicht jedes Update muss in derselben Minute installiert werden. Kritische Sicherheitsupdates brauchen jedoch einen klaren, kurzen Weg in die Umsetzung. Wer dafür nur auf Erinnerung und freie Zeit setzt, schafft unnötige Risiken.
4. Backups erstellen, prüfen und getrennt aufbewahren
Bei Ransomware entscheidet die Qualität der Datensicherung darüber, ob das Unternehmen erpressbar ist. Eine Sicherung auf einem dauerhaft verbundenen Netzlaufwerk reicht nicht aus. Wird das Netzwerk verschlüsselt, trifft es häufig auch diese Kopie.
Das BSI empfiehlt unter anderem das 3-2-1-Prinzip: drei Kopien der Daten, auf zwei unterschiedlichen Medien, davon eine getrennt vom produktiven System. Praktisch kann das eine Kombination aus lokaler Sicherung und geschützter, separater Cloud- oder Offline-Kopie sein. Mindestens ebenso wichtig ist der Rücksicherungstest. Ein Backup, das sich nicht zuverlässig wiederherstellen lässt, schafft nur ein falsches Gefühl von Sicherheit.
5. Mitarbeitende auf reale Täuschungen vorbereiten
Technik filtert viel ab, aber nicht jede betrügerische Nachricht. Angreifer nutzen aktuelle Projekte, Paketdienste, Bewerbungen oder angebliche Zahlungsfreigaben. Gute Sensibilisierung ist kein jährliches Pflichtseminar mit erhobenem Zeigefinger. Sie zeigt konkrete Situationen aus dem Arbeitsalltag und gibt klare Handlungsregeln.
Mitarbeitende sollten wissen: Bei ungewohnten Zahlungsdaten, Passwortabfragen oder dringenden Anweisungen wird nicht einfach geklickt. Stattdessen wird über einen bekannten zweiten Kanal nachgefragt. Wichtig ist auch eine Fehlerkultur: Wer einen verdächtigen Klick sofort meldet, hilft dem Unternehmen. Angst vor Schuldzuweisung verzögert Meldungen – und genau diese Zeit nutzen Angreifer.
6. Netzwerk und Geräte sinnvoll trennen
Nicht jedes Gerät braucht Zugriff auf alle Daten. Ein Gäste-WLAN sollte beispielsweise nie denselben Bereich nutzen wie Server, Kassen, Praxissoftware oder Telefonie. Auch Arbeitsplätze, mobile Geräte und Systeme mit besonders schützenswerten Daten lassen sich voneinander abgrenzen.
Diese Segmentierung begrenzt Schäden. Gelangt Schadsoftware auf einen Rechner, kann sie sich nicht automatisch überall ausbreiten. Der genaue Aufbau hängt von der vorhandenen Infrastruktur ab. Für ein kleines Büro wäre ein überkomplexes Konzept unnötig. Für mehrere Standorte, mobile Teams oder sensible Gesundheits- und Mandantendaten ist eine sauber geplante Trennung dagegen besonders wertvoll.
7. Überwachung und Reaktion fest vereinbaren
Ein Angriff lässt sich nicht immer vollständig verhindern. Deshalb braucht es die Fähigkeit, Auffälligkeiten früh zu erkennen und geordnet zu reagieren. Dazu gehören Monitoring von Systemen und Sicherheitsmeldungen, Schutz für Endgeräte sowie festgelegte Ansprechpartner.
Der entscheidende Punkt lautet: Wer entscheidet im Ernstfall? Wer trennt betroffene Geräte vom Netz? Wer informiert Geschäftsführung, Versicherung, Datenschutzbeauftragte und gegebenenfalls Kunden? Die ENISA weist in ihren Bedrohungslageberichten regelmäßig auf Ransomware und den Missbrauch gültiger Zugangsdaten als zentrale Risiken hin. Ein schriftlicher Notfallplan verkürzt die Phase der Unsicherheit deutlich.
8. Sicherheitsverantwortung nicht nebenher organisieren
In vielen Unternehmen liegt IT-Sicherheit bei der Person, die sich „am besten auskennt“. Das ist engagiert, aber auf Dauer selten tragfähig. Urlaub, Krankheit, Kundenprojekte und Tagesgeschäft lassen wenig Raum für Patch-Management, Protokollprüfung, Backup-Tests und Sicherheitsbewertungen.
Hier hilft eine laufende, klar geregelte Betreuung. InnovaCOM übernimmt beispielsweise nicht nur einzelne Projekte, sondern kann Systeme kontinuierlich überwachen, Updates koordinieren, Sicherungen prüfen und bei Auffälligkeiten persönlich ansprechbar bleiben. Das schafft keine absolute Garantie. Es sorgt aber dafür, dass Sicherheit nicht von Zufall, Gedächtnis oder freier Zeit abhängt.
Fall aus der Praxis: Vom unklaren Zugriff zur kontrollierten Umgebung
Bei einem anonymisierten mittelständischen Dienstleister aus der Region zeigte ein IT-Check ein typisches Bild: ehemalige Mitarbeitende hatten noch aktive Konten, mehrere Cloud-Zugänge nutzten keine Mehrfaktor-Authentifizierung und die Datensicherung wurde zwar täglich ausgeführt, aber nie zurückgespielt. Zusätzlich war die Telefonie eng mit dem Büro-Netzwerk verbunden, ohne klare Trennung.
Die Lösung war kein kompletter Neubau. Zunächst wurden Konten bereinigt und Zugriffsrechte nach Rollen geordnet. Danach kamen Mehrfaktor-Authentifizierung, getrennte Netzbereiche und ein dokumentierter Backup-Test hinzu. Für die Geschäftsführung war der größte Gewinn nicht eine neue technische Funktion. Sie wusste wieder, wer verantwortlich ist, welche Risiken noch bestehen und was im Störfall passiert.
Was nach einem Verdacht sofort zu tun ist
Wenn ein Mitarbeitender auf einen verdächtigen Link geklickt hat oder ungewöhnliche Dateien auftauchen, zählt Besonnenheit. Das betroffene Gerät sollte möglichst vom Netzwerk getrennt werden – nicht hektisch weiter genutzt werden. Anschließend müssen IT-Verantwortliche oder der betreuende Dienstleister informiert werden, damit Spuren gesichert, Zugänge geprüft und die Ausbreitung gestoppt werden kann.
Löschen Sie nicht vorschnell Dateien und zahlen Sie kein Lösegeld ohne fachliche, rechtliche und versicherungstechnische Prüfung. Bei personenbezogenen Daten kann eine Meldung an die zuständige Datenschutzaufsicht erforderlich sein. Die DSGVO nennt hierfür unter bestimmten Voraussetzungen eine Frist von 72 Stunden ab Kenntnis der Verletzung. Ein vorbereiteter Notfallplan verhindert, dass solche Entscheidungen unter Zeitdruck improvisiert werden.
Sicherheit muss Ihren Betrieb nicht komplizierter machen. Sie braucht klare Prioritäten, feste Zuständigkeiten und regelmäßige Pflege. Dann bleibt die IT das, was sie sein soll: eine verlässliche Grundlage für Ihre Arbeit – damit Sie den Kopf frei haben für Kunden, Mitarbeitende und Ihr Geschäft.