Ratgeber · IT-Support & Managed Services

IT-Sicherheit im Mittelstand: Die wichtigsten Schutzmaßnahmen

Von Luis Waidmann · Stand: Juli 2026 · Lesezeit: ca. 7 Minuten

Kurz gesagt: Wirksame IT-Sicherheit für KMU entsteht nicht durch ein einzelnes Produkt, sondern durch das Zusammenspiel weniger Maßnahmen: Mehrfaktor-Authentifizierung, konsequentes Patch-Management, aktueller Endpoint-Schutz und ein getestetes Backup. Diese vier verhindern die weit überwiegende Zahl der Vorfälle, die uns in der Praxis begegnen. Teure Rundum-Sicherheitspakete ohne diese Basis sind Geldverschwendung, ein Betrieb ohne diese Basis ist ungeschützt, egal wie viel er sonst investiert.

Warum kleine Betriebe ein lohnendes Ziel sind

Der Gedanke „Wir sind zu klein, um interessant zu sein" hält sich hartnäckig und ist falsch. Die meisten Angriffe, die wir in der Praxis sehen, sind nicht gezielt gegen einen bestimmten Betrieb gerichtet, sondern automatisiert: Phishing-Mails, die massenhaft verschickt werden, Scans nach offenen Fernwartungsports, Schadsoftware, die sich über kompromittierte Zulieferer-Mails verbreitet. Für diese automatisierten Angriffe ist die Betriebsgröße irrelevant, entscheidend ist nur, ob eine Lücke offen steht. Kleine Betriebe haben zudem oft weniger Ressourcen für Absicherung als ein Konzern, aber genauso viel zu verlieren, wenn der Warenwirtschaft-Server drei Tage stillsteht oder Kundendaten abfließen.

Hinzu kommt ein Muster, das wir bei Betreuungswechseln regelmäßig antreffen: gewachsene Infrastruktur ohne aktuelle Dokumentation, Admin-Zugänge, die niemand mehr genau kennt, und Backup-Jobs, die seit Monaten unbemerkt fehlschlagen. Das ist kein Vorwurf an die Betriebe, sondern die Folge von IT, die über Jahre nebenbei gewachsen ist, ohne dass jemand die Gesamtübersicht behalten hat.

Welche Schutzmaßnahmen wirklich etwas bringen?

Nicht jede Maßnahme, die auf einer Checkliste steht, hat denselben Effekt. Aus der Praxis heraus lässt sich eine klare Rangfolge nach Wirkung im Verhältnis zum Aufwand bilden:

SchutzmaßnahmeVerhindert vor allemTypischer Aufwand
Mehrfaktor-Authentifizierung (MFA)Kontoübernahme trotz gestohlenem oder erratenem PasswortGering, meist in bestehenden Diensten wie Microsoft 365 aktivierbar
Zentrales Patch-ManagementAusnutzung bekannter, längst geschlossener SicherheitslückenGering bis mittel, gut automatisierbar
Endpoint-Schutz mit VerhaltenserkennungSchadsoftware, die klassische Virensignaturen umgehtMittel, laufende Lizenzkosten je Gerät
Getestetes Backup mit Offline-KopieTotalverlust bei Verschlüsselungstrojanern (Ransomware)Mittel, entscheidend ist die regelmäßige Wiederherstellungsprobe
Mitarbeiter-SensibilisierungErfolgreiche Phishing-Klicks und Datenpreisgabe am TelefonGering, wirkt aber nur mit Wiederholung, keine einmalige Schulung
NetzwerksegmentierungAusbreitung eines Vorfalls auf die gesamte InfrastrukturHöher, meist erst ab mittlerer Netzwerkkomplexität sinnvoll

Die ersten vier Maßnahmen sind für praktisch jeden Betrieb mit digitaler Infrastruktur sinnvoll, unabhängig von der Größe. Netzwerksegmentierung dagegen lohnt sich erst, wenn mehrere Server, Standorte oder produktionsnahe Systeme im Spiel sind, für ein Büro mit zehn Arbeitsplätzen und einem Server ist der Aufwand meist nicht gerechtfertigt.

Woran erkennt man einen Phishing- oder Betrugsversuch?

Phishing bleibt der häufigste Einstiegspunkt, weil er nicht die Technik angreift, sondern den Menschen. Ein paar Muster wiederholen sich zuverlässig: künstlicher Zeitdruck („Ihr Konto wird in 24 Stunden gesperrt"), eine Absenderadresse, die auf den zweiten Blick nicht stimmt, Links, deren Zieladresse beim Überfahren mit der Maus etwas anderes zeigt als der sichtbare Text, und die Aufforderung, Zugangsdaten auf einer verlinkten Seite einzugeben statt sich wie gewohnt einzuloggen. Eine besonders wirksame Variante beim Mittelstand ist der sogenannte CEO-Fraud: eine E-Mail, angeblich von der Geschäftsführung, die kurzfristig eine Überweisung oder die Herausgabe von Daten fordert, oft außerhalb der üblichen Kommunikationswege.

Die wirksamste Gegenmaßnahme ist keine Software, sondern eine feste Regel: Zahlungsanweisungen und Zugangsdaten-Änderungen werden grundsätzlich über einen zweiten Kanal verifiziert, etwa ein kurzer Anruf bei der bekannten Nummer der Geschäftsführung, nicht bei einer Nummer aus der verdächtigen Mail. Das kostet nichts und verhindert die teuersten Betrugsfälle, die wir in der Praxis sehen.

Warum Backup die letzte Verteidigungslinie ist

Alle Maßnahmen davor sollen einen Vorfall verhindern. Das Backup ist die Absicherung für den Fall, dass sie trotzdem versagen, etwa bei einem Verschlüsselungstrojaner, der Dateien unbrauchbar macht. Entscheidend ist dabei nicht die Existenz eines Backups, sondern zwei Eigenschaften: mindestens eine Kopie, die vom Netzwerk getrennt oder unveränderbar gespeichert ist, damit ein Trojaner sie nicht mitverschlüsseln kann, und eine regelmäßige Wiederherstellungsprobe. Ein Backup, das nie zurückgespielt wurde, hat eine unbekannte Erfolgsquote. Wie ein solches Konzept konkret aufgebaut wird, beschreibt unser Ratgeber zur Datensicherung für KMU im Detail, inklusive der 3-2-1-Regel.

Was kostet IT-Sicherheit für einen Betrieb mit 10 bis 30 Arbeitsplätzen?

Pauschale Zahlen ohne Kenntnis der Systemlandschaft sind Scheingenauigkeit, trotzdem lassen sich Rahmenwerte nennen. Die vier Basismaßnahmen, MFA, Patch-Management, Endpoint-Schutz und Backup mit Testing, sind bei den meisten Betrieben bereits im Umfang eines Managed-Services-Vertrags mit laufendem Sicherheits-Monitoring enthalten, wie er dort beschrieben ist. Zusätzlicher Aufwand entsteht vor allem bei der einmaligen Einrichtung: eine strukturierte Bestandsaufnahme der vorhandenen Systeme, Zugänge und Schwachstellen bewegt sich je nach Komplexität in einem niedrigen bis mittleren dreistelligen bis niedrigen vierstelligen Bereich. Was danach an laufender Absicherung nötig ist, hängt stark davon ab, was bereits vorhanden ist, ein Betrieb, der bereits einen Managed-Services-Vertrag hat, zahlt oft nur wenig drauf.

Wann sich eine externe Sicherheitsprüfung lohnt – und wann nicht

Eine externe Prüfung der IT-Sicherheit, vom einfachen Schwachstellen-Scan bis zum strukturierten Penetrationstest, lohnt sich vor allem dann, wenn ein Betrieb wächst, sensible Kundendaten verarbeitet, eine gewachsene Infrastruktur ohne aktuelle Dokumentation übernimmt oder sich auf eine Kunden- oder Versicherungsanforderung vorbereitet, die einen Nachweis verlangt. Sie lohnt sich dagegen selten als jährliches Ritual ohne konkreten Anlass, wenn die vier Basismaßnahmen ohnehin laufend überwacht werden. In diesem Fall ist das Geld in zusätzlichem Monitoring oder einer gründlicheren Mitarbeiter-Sensibilisierung meist besser aufgehoben als in einer wiederholten Prüfung desselben Systemstands.

Ehrlich gesagt gehört dazu auch: Wer als kleiner Betrieb mit drei Arbeitsplätzen und ausschließlich Standardsoftware arbeitet, für den ist ein umfassender Penetrationstest meist unverhältnismäßig. Hier reicht in der Regel eine solide Basisabsicherung mit den vier Kernmaßnahmen, ergänzt um eine einmalige Schwachstellenprüfung bei größeren Veränderungen wie einem neuen Server oder einer neuen Fachanwendung.

IT-Sicherheit als Teil der laufenden Betreuung in Ravensburg

Als IT-Systemhaus betreuen wir seit 1964 Betriebe in Ravensburg, Weingarten, dem Bodenseekreis, Biberach und dem Allgäu, und Sicherheitsmaßnahmen sind für uns kein separates Produkt, sondern fester Bestandteil der laufenden Betreuung. Fernwartung läuft bei uns über PC Visit mit sitzungsgebundenem Zugang, den der Kunde selbst startet und jederzeit beenden kann, statt über einen dauerhaft offenen Fernzugriff. Im Managed Service überwachen wir Backup-Läufe und Sicherheitsauffälligkeiten laufend im Hintergrund, damit ein fehlgeschlagenes Backup auffällt, bevor es gebraucht wird, nicht danach.

Was wir ebenso offen sagen: Nicht jeder Betrieb braucht das volle Programm. Wer sich zunächst grundsätzlich zwischen einem eigenen IT-Mitarbeiter und einem externen Partner entscheiden muss, findet dazu Entscheidungskriterien in unserem Ratgeber zu Managed Services für KMU. Wer bereits einen Betreuer hat und die Sicherheitslage dort als unzureichend einschätzt, findet die Auswahlkriterien für einen verlässlichen Partner im Ratgeber zu IT-Dienstleistern in Ravensburg.

Luis Waidmann

B.Sc. Wirtschaftsinformatik · Digitale Transformation · COS Waidmann Systemhaus, Ravensburg

Gut zu wissen

Häufige Fragen zur IT-Sicherheit im Mittelstand

Was ist der erste Schritt, wenn wir einen Sicherheitsvorfall vermuten?

Zuerst das betroffene Gerät vom Netzwerk trennen, also LAN-Kabel ziehen oder WLAN deaktivieren, aber nicht ausschalten, denn im Arbeitsspeicher stecken oft wichtige Spuren. Danach umgehend den IT-Betreuer informieren, auch außerhalb der Geschäftszeiten, und keine eigenen Aufräumversuche starten, etwa Dateien löschen oder das System neu aufsetzen. Das verschärft im schlimmsten Fall den Schaden und vernichtet Beweise, die für die Ursachenklärung gebraucht werden. Parallel die Passwörter kritischer Konten von einem sauberen Gerät aus ändern, insbesondere E-Mail und Online-Banking. Ob und wie ein Vorfall gemeldet werden muss, hängt vom Einzelfall ab und ersetzt keine Rechtsberatung, in vielen Fällen ist aber Eile geboten.

Reicht ein Virenscanner als Schutz aus?

Nein, ein Virenscanner ist eine von mehreren notwendigen Schutzebenen, keine vollständige Lösung. Er erkennt bekannte Schadsoftware zuverlässig, hilft aber wenig gegen Phishing, das auf menschliches Fehlverhalten zielt, gegen ungepatchte Sicherheitslücken oder gegen einen kompromittierten Zugang mit gültigem Passwort. Wirksamer Schutz entsteht erst im Zusammenspiel: aktueller Virenschutz, konsequentes Patch-Management, Mehrfaktor-Authentifizierung für kritische Konten, getestete Backups und ein Mindestmaß an Sensibilisierung im Team. Wer nur den Virenscanner betrachtet, hat einen Baustein, aber keine Absicherung. Genau diese Kombination fragen wir im Erstgespräch ab, um die tatsächliche Lücke zu finden, nicht nur die offensichtliche.

Müssen wir einen Sicherheitsvorfall bei der Datenschutzbehörde melden?

Wenn personenbezogene Daten betroffen sein könnten, sieht die DSGVO eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden vor, sofern ein Risiko für die Betroffenen besteht. Ob dieser Fall vorliegt, hängt von Art und Umfang der Daten sowie der Wahrscheinlichkeit eines Schadens ab, das ist im Einzelfall zu bewerten. Dieser Ratgeber ersetzt keine Rechtsberatung: Bei einem konkreten Vorfall sollte kurzfristig ein Datenschutzbeauftragter oder Fachanwalt hinzugezogen werden, um Fristen und Meldepflichten korrekt einzuschätzen. Was wir als IT-Dienstleister leisten können, ist die technische Aufklärung des Vorfalls und eine saubere Dokumentation, die als Grundlage für die rechtliche Bewertung dient.

Was kostet ein IT-Sicherheitskonzept für einen kleinen Betrieb?

Für einen Betrieb mit 10 bis 20 Arbeitsplätzen bewegen sich die laufenden Mehrkosten für ein solides Sicherheitsniveau, MFA, zentrales Patch-Management, Endpoint-Schutz und getestetes Backup, meist im Bereich einiger Hundert Euro monatlich, oft bereits im Umfang eines Managed-Services-Vertrags enthalten. Eine einmalige Sicherheitsprüfung mit Bestandsaufnahme kostet je nach Systemlandschaft einen niedrigen bis mittleren dreistelligen bis niedrigen vierstelligen Betrag. Konkrete Zahlen nennen wir erst nach einer Bestandsaufnahme Ihrer Systeme, Pauschalen ohne diesen Blick sind meistens entweder zu knapp oder unnötig teuer kalkuliert.

Wie steht es um Ihre IT-Sicherheit?

Wir prüfen die vier Basismaßnahmen in Ihrem Betrieb und sagen ehrlich, wo eine Lücke besteht und was das Schließen kostet.

Lieber direkt sprechen? 0751 363627-0 (Mo–Fr 08–17 Uhr)

Kostenlos und unverbindlich · Antwort in einem Werktag · ehrliche Einschätzung statt Verkaufsdruck