Ratgeber · IT-Support & Managed Services
IT-Sicherheit im Mittelstand: Die wichtigsten Schutzmaßnahmen
Warum kleine Betriebe ein lohnendes Ziel sind
Der Gedanke „Wir sind zu klein, um interessant zu sein" hält sich hartnäckig und ist falsch. Die meisten Angriffe, die wir in der Praxis sehen, sind nicht gezielt gegen einen bestimmten Betrieb gerichtet, sondern automatisiert: Phishing-Mails, die massenhaft verschickt werden, Scans nach offenen Fernwartungsports, Schadsoftware, die sich über kompromittierte Zulieferer-Mails verbreitet. Für diese automatisierten Angriffe ist die Betriebsgröße irrelevant, entscheidend ist nur, ob eine Lücke offen steht. Kleine Betriebe haben zudem oft weniger Ressourcen für Absicherung als ein Konzern, aber genauso viel zu verlieren, wenn der Warenwirtschaft-Server drei Tage stillsteht oder Kundendaten abfließen.
Hinzu kommt ein Muster, das wir bei Betreuungswechseln regelmäßig antreffen: gewachsene Infrastruktur ohne aktuelle Dokumentation, Admin-Zugänge, die niemand mehr genau kennt, und Backup-Jobs, die seit Monaten unbemerkt fehlschlagen. Das ist kein Vorwurf an die Betriebe, sondern die Folge von IT, die über Jahre nebenbei gewachsen ist, ohne dass jemand die Gesamtübersicht behalten hat.
Welche Schutzmaßnahmen wirklich etwas bringen?
Nicht jede Maßnahme, die auf einer Checkliste steht, hat denselben Effekt. Aus der Praxis heraus lässt sich eine klare Rangfolge nach Wirkung im Verhältnis zum Aufwand bilden:
| Schutzmaßnahme | Verhindert vor allem | Typischer Aufwand |
|---|---|---|
| Mehrfaktor-Authentifizierung (MFA) | Kontoübernahme trotz gestohlenem oder erratenem Passwort | Gering, meist in bestehenden Diensten wie Microsoft 365 aktivierbar |
| Zentrales Patch-Management | Ausnutzung bekannter, längst geschlossener Sicherheitslücken | Gering bis mittel, gut automatisierbar |
| Endpoint-Schutz mit Verhaltenserkennung | Schadsoftware, die klassische Virensignaturen umgeht | Mittel, laufende Lizenzkosten je Gerät |
| Getestetes Backup mit Offline-Kopie | Totalverlust bei Verschlüsselungstrojanern (Ransomware) | Mittel, entscheidend ist die regelmäßige Wiederherstellungsprobe |
| Mitarbeiter-Sensibilisierung | Erfolgreiche Phishing-Klicks und Datenpreisgabe am Telefon | Gering, wirkt aber nur mit Wiederholung, keine einmalige Schulung |
| Netzwerksegmentierung | Ausbreitung eines Vorfalls auf die gesamte Infrastruktur | Höher, meist erst ab mittlerer Netzwerkkomplexität sinnvoll |
Die ersten vier Maßnahmen sind für praktisch jeden Betrieb mit digitaler Infrastruktur sinnvoll, unabhängig von der Größe. Netzwerksegmentierung dagegen lohnt sich erst, wenn mehrere Server, Standorte oder produktionsnahe Systeme im Spiel sind, für ein Büro mit zehn Arbeitsplätzen und einem Server ist der Aufwand meist nicht gerechtfertigt.
Woran erkennt man einen Phishing- oder Betrugsversuch?
Phishing bleibt der häufigste Einstiegspunkt, weil er nicht die Technik angreift, sondern den Menschen. Ein paar Muster wiederholen sich zuverlässig: künstlicher Zeitdruck („Ihr Konto wird in 24 Stunden gesperrt"), eine Absenderadresse, die auf den zweiten Blick nicht stimmt, Links, deren Zieladresse beim Überfahren mit der Maus etwas anderes zeigt als der sichtbare Text, und die Aufforderung, Zugangsdaten auf einer verlinkten Seite einzugeben statt sich wie gewohnt einzuloggen. Eine besonders wirksame Variante beim Mittelstand ist der sogenannte CEO-Fraud: eine E-Mail, angeblich von der Geschäftsführung, die kurzfristig eine Überweisung oder die Herausgabe von Daten fordert, oft außerhalb der üblichen Kommunikationswege.
Die wirksamste Gegenmaßnahme ist keine Software, sondern eine feste Regel: Zahlungsanweisungen und Zugangsdaten-Änderungen werden grundsätzlich über einen zweiten Kanal verifiziert, etwa ein kurzer Anruf bei der bekannten Nummer der Geschäftsführung, nicht bei einer Nummer aus der verdächtigen Mail. Das kostet nichts und verhindert die teuersten Betrugsfälle, die wir in der Praxis sehen.
Warum Backup die letzte Verteidigungslinie ist
Alle Maßnahmen davor sollen einen Vorfall verhindern. Das Backup ist die Absicherung für den Fall, dass sie trotzdem versagen, etwa bei einem Verschlüsselungstrojaner, der Dateien unbrauchbar macht. Entscheidend ist dabei nicht die Existenz eines Backups, sondern zwei Eigenschaften: mindestens eine Kopie, die vom Netzwerk getrennt oder unveränderbar gespeichert ist, damit ein Trojaner sie nicht mitverschlüsseln kann, und eine regelmäßige Wiederherstellungsprobe. Ein Backup, das nie zurückgespielt wurde, hat eine unbekannte Erfolgsquote. Wie ein solches Konzept konkret aufgebaut wird, beschreibt unser Ratgeber zur Datensicherung für KMU im Detail, inklusive der 3-2-1-Regel.
Was kostet IT-Sicherheit für einen Betrieb mit 10 bis 30 Arbeitsplätzen?
Pauschale Zahlen ohne Kenntnis der Systemlandschaft sind Scheingenauigkeit, trotzdem lassen sich Rahmenwerte nennen. Die vier Basismaßnahmen, MFA, Patch-Management, Endpoint-Schutz und Backup mit Testing, sind bei den meisten Betrieben bereits im Umfang eines Managed-Services-Vertrags mit laufendem Sicherheits-Monitoring enthalten, wie er dort beschrieben ist. Zusätzlicher Aufwand entsteht vor allem bei der einmaligen Einrichtung: eine strukturierte Bestandsaufnahme der vorhandenen Systeme, Zugänge und Schwachstellen bewegt sich je nach Komplexität in einem niedrigen bis mittleren dreistelligen bis niedrigen vierstelligen Bereich. Was danach an laufender Absicherung nötig ist, hängt stark davon ab, was bereits vorhanden ist, ein Betrieb, der bereits einen Managed-Services-Vertrag hat, zahlt oft nur wenig drauf.
Wann sich eine externe Sicherheitsprüfung lohnt – und wann nicht
Eine externe Prüfung der IT-Sicherheit, vom einfachen Schwachstellen-Scan bis zum strukturierten Penetrationstest, lohnt sich vor allem dann, wenn ein Betrieb wächst, sensible Kundendaten verarbeitet, eine gewachsene Infrastruktur ohne aktuelle Dokumentation übernimmt oder sich auf eine Kunden- oder Versicherungsanforderung vorbereitet, die einen Nachweis verlangt. Sie lohnt sich dagegen selten als jährliches Ritual ohne konkreten Anlass, wenn die vier Basismaßnahmen ohnehin laufend überwacht werden. In diesem Fall ist das Geld in zusätzlichem Monitoring oder einer gründlicheren Mitarbeiter-Sensibilisierung meist besser aufgehoben als in einer wiederholten Prüfung desselben Systemstands.
Ehrlich gesagt gehört dazu auch: Wer als kleiner Betrieb mit drei Arbeitsplätzen und ausschließlich Standardsoftware arbeitet, für den ist ein umfassender Penetrationstest meist unverhältnismäßig. Hier reicht in der Regel eine solide Basisabsicherung mit den vier Kernmaßnahmen, ergänzt um eine einmalige Schwachstellenprüfung bei größeren Veränderungen wie einem neuen Server oder einer neuen Fachanwendung.
IT-Sicherheit als Teil der laufenden Betreuung in Ravensburg
Als IT-Systemhaus betreuen wir seit 1964 Betriebe in Ravensburg, Weingarten, dem Bodenseekreis, Biberach und dem Allgäu, und Sicherheitsmaßnahmen sind für uns kein separates Produkt, sondern fester Bestandteil der laufenden Betreuung. Fernwartung läuft bei uns über PC Visit mit sitzungsgebundenem Zugang, den der Kunde selbst startet und jederzeit beenden kann, statt über einen dauerhaft offenen Fernzugriff. Im Managed Service überwachen wir Backup-Läufe und Sicherheitsauffälligkeiten laufend im Hintergrund, damit ein fehlgeschlagenes Backup auffällt, bevor es gebraucht wird, nicht danach.
Was wir ebenso offen sagen: Nicht jeder Betrieb braucht das volle Programm. Wer sich zunächst grundsätzlich zwischen einem eigenen IT-Mitarbeiter und einem externen Partner entscheiden muss, findet dazu Entscheidungskriterien in unserem Ratgeber zu Managed Services für KMU. Wer bereits einen Betreuer hat und die Sicherheitslage dort als unzureichend einschätzt, findet die Auswahlkriterien für einen verlässlichen Partner im Ratgeber zu IT-Dienstleistern in Ravensburg.

