IT-Sicherheit für kleine Unternehmen: Die 10-Minuten-Checkliste

Sie haben keine IT-Abteilung? Dann sind Sie nicht allein. 96 % der Unternehmen in Deutschland haben weniger als 10 Mitarbeiter. Die meisten davon kümmern sich um IT-Sicherheit erst, wenn etwas passiert ist. Und dann ist es teuer.

Die gute Nachricht: Die häufigsten Sicherheitslücken lassen sich mit einfachen Mitteln schließen. Kein Fachwissen nötig, kein Budget erforderlich. Die folgende Checkliste enthält 10 konkrete Punkte, die Sie heute prüfen können. Jeder Punkt dauert 1–2 Minuten.

Für einen tieferen Blick auf die aktuelle Bedrohungslage (AI-Phishing, Deepfakes, Supply-Chain-Angriffe) lesen Sie unseren Artikel zu den neuen Angriffsvektoren 2026.

Die Checkliste: 10 Punkte in 10 Minuten

1. Passwörter | Passwort-Manager einsetzen

Was Sie tun sollten: Installieren Sie einen Passwort-Manager und speichern Sie dort alle Zugangsdaten. Bitwarden ist kostenlos, Open Source und lässt sich bei Bedarf auf dem eigenen Server betreiben. Damit generieren Sie für jeden Dienst ein eigenes, starkes Passwort, ohne sich etwas merken zu müssen.

Warum das wichtig ist: Wiederverwendete Passwörter sind der häufigste Einstiegspunkt für Angreifer. Wird ein Passwort bei einem Dienst gestohlen, probieren Angreifer es automatisiert bei hunderten anderen Diensten aus.

Zeitaufwand: 2 Minuten für die Installation, danach schrittweise alle Passwörter übertragen.

2. Zwei-Faktor-Authentifizierung | 2FA aktivieren

Was Sie tun sollten: Aktivieren Sie 2FA mindestens für E-Mail, Online-Banking und Social-Media-Accounts. Am besten mit einer Authenticator-App (z. B. Aegis für Android, Raivo für iOS), nicht per SMS.

Warum das wichtig ist: Selbst wenn ein Passwort gestohlen wird, kann sich ohne den zweiten Faktor niemand einloggen. SMS-Codes sind besser als nichts, aber Authenticator-Apps sind sicherer, weil SMS abgefangen werden kann.

Zeitaufwand: 1 Minute pro Account.

3. Updates | Automatische Updates aktivieren

Was Sie tun sollten: Prüfen Sie auf allen Geräten (Computer, Smartphones, Router), ob automatische Updates aktiviert sind. Das gilt für Betriebssysteme, Browser und installierte Programme.

Warum das wichtig ist: Die meisten erfolgreichen Angriffe nutzen bekannte Sicherheitslücken, für die es bereits Updates gibt. Wer nicht aktualisiert, lässt die Tür offen stehen.

Zeitaufwand: 1 Minute pro Gerät.

4. Backups | Die 3-2-1-Regel anwenden

Was Sie tun sollten: Erstellen Sie mindestens 3 Kopien Ihrer wichtigen Daten, auf 2 verschiedenen Medientypen (z. B. Festplatte und Cloud), davon 1 Kopie an einem anderen Standort. Testen Sie regelmäßig, ob die Wiederherstellung funktioniert.

Warum das wichtig ist: Ransomware verschlüsselt Ihre Daten und fordert Lösegeld. Ohne funktionierendes Backup stehen Sie vor der Wahl: zahlen oder alles verlieren. Ein Backup, das nie getestet wurde, ist kein Backup.

Zeitaufwand: 1 Minute, um den aktuellen Stand zu prüfen.

5. E-Mail-Sicherheit | Phishing erkennen lernen

Was Sie tun sollten: Prüfen Sie bei jeder unerwarteten E-Mail drei Dinge: (1) Stimmt die Absender-Adresse wirklich? (2) Fahren Sie mit der Maus über Links, bevor Sie klicken. Zeigt die Vorschau eine andere URL als erwartet? (3) Wird Druck aufgebaut ("sofort handeln", "Ihr Konto wird gesperrt")? Dann ist Vorsicht geboten.

Warum das wichtig ist: Phishing-Mails sind heute dank KI grammatisch perfekt und oft personalisiert. Tippfehler sind kein zuverlässiges Erkennungsmerkmal mehr. Nur der bewusste Blick auf Absender und Links hilft.

Zeitaufwand: 1 Minute, um diese drei Prüfschritte zu verinnerlichen.

6. WLAN | Router absichern

Was Sie tun sollten: Ändern Sie das Standard-Passwort Ihres Routers (steht oft auf der Unterseite des Geräts). Verwenden Sie WPA3-Verschlüsselung (oder mindestens WPA2). Richten Sie ein separates Gastnetzwerk für Kunden und Besucher ein.

Warum das wichtig ist: Ein Router mit Standardpasswort ist ein offenes Tor. Über das WLAN können Angreifer den gesamten Netzwerkverkehr mitlesen. Ein Gastnetzwerk verhindert, dass Besucher auf Ihre Geschäftsgeräte zugreifen können.

Zeitaufwand: 2 Minuten in der Router-Oberfläche.

7. Festplattenverschlüsselung | Daten auf Geräten schützen

Was Sie tun sollten: Aktivieren Sie die Festplattenverschlüsselung auf allen Geräten. Windows: BitLocker (ab Pro-Version). macOS: FileVault. Linux: LUKS. Auf Smartphones ist Verschlüsselung bei aktuellen Geräten standardmäßig aktiv.

Warum das wichtig ist: Wenn ein Laptop gestohlen wird oder verloren geht, sind ohne Verschlüsselung alle Daten frei zugänglich. Mit Verschlüsselung sind sie ohne das Passwort wertlos.

Zeitaufwand: 1 Minute, um zu prüfen, ob die Verschlüsselung aktiv ist.

8. Zugriffsrechte | Nicht jeder braucht Admin-Zugang

Was Sie tun sollten: Prüfen Sie, wer auf Ihren Systemen Administratorrechte hat. Mitarbeiter sollten für die tägliche Arbeit ein normales Benutzerkonto verwenden. Admin-Rechte nur dann, wenn sie tatsächlich gebraucht werden.

Warum das wichtig ist: Wenn ein Mitarbeiter-Account kompromittiert wird und dieser Account Adminrechte hat, hat der Angreifer vollen Zugriff. Mit einem eingeschränkten Konto bleibt der Schaden begrenzt.

Zeitaufwand: 1 Minute für eine Bestandsaufnahme.

9. Website-SSL | HTTPS sicherstellen

Was Sie tun sollten: Rufen Sie Ihre eigene Website auf. Zeigt der Browser ein Schloss-Symbol? Beginnt die Adresse mit https://? Falls nicht: Let's Encrypt bietet kostenlose SSL-Zertifikate. Ihr Hosting-Anbieter kann das in der Regel mit wenigen Klicks aktivieren.

Warum das wichtig ist: Ohne HTTPS werden Daten unverschlüsselt übertragen. Kontaktformulare, Login-Bereiche und jede andere Eingabe können mitgelesen werden. Außerdem stuft Google Websites ohne HTTPS in den Suchergebnissen herab.

Zeitaufwand: 30 Sekunden zum Prüfen.

10. Notfallplan | Vorbereitung für den Ernstfall

Was Sie tun sollten: Schreiben Sie auf: Wen rufen Sie an, wenn Ihre Systeme nicht mehr funktionieren? Wer hat Zugang zu den Backup-Daten? Wo sind die Zugangsdaten zum Hosting, zur Domain, zum E-Mail-Anbieter? Drucken Sie diese Informationen aus und bewahren Sie sie an einem sicheren Ort auf.

Warum das wichtig ist: Im Ernstfall zählt jede Minute. Wer erst dann anfängt, Telefonnummern zu suchen und Zuständigkeiten zu klären, verliert wertvolle Zeit und vergrößert den Schaden.

Zeitaufwand: 2 Minuten für eine erste Notiz. Ausarbeitung in Ruhe später.

Was tun, wenn es doch passiert?

Trotz aller Vorsicht kann es jeden treffen. Wenn Sie den Verdacht haben, dass ein System kompromittiert wurde, gehen Sie in dieser Reihenfolge vor:

1. Trennen Sie das betroffene Gerät vom Netzwerk. WLAN deaktivieren, Netzwerkkabel ziehen. Das verhindert, dass sich der Angriff ausbreitet.
2. Ändern Sie sofort Ihre Passwörter von einem anderen, sauberen Gerät aus. Beginnen Sie mit dem E-Mail-Account, denn darüber laufen die meisten Passwort-Resets.
3. Informieren Sie Ihren IT-Dienstleister oder eine Person, die sich auskennt. Je schneller professionelle Hilfe kommt, desto geringer der Schaden.
4. Dokumentieren Sie alles. Screenshots, Fehlermeldungen, Zeitpunkte. Das hilft bei der Analyse und ist bei einer Meldung an die Datenschutzbehörde relevant.
5. Bei personenbezogenen Daten: Prüfen Sie, ob eine Meldepflicht nach DSGVO besteht. Die Frist beträgt 72 Stunden ab Kenntnis des Vorfalls.

Das größte Risiko ist kein Hacker

Die Vorstellung, dass ein Hacker mit schwarzem Kapuzenpullover gezielt Ihr Unternehmen angreift, ist ein Mythos. In der Realität erfolgen die meisten erfolgreichen Angriffe auf kleine Unternehmen automatisiert und sie nutzen einfache Schwachstellen aus: ein Passwort, das auch bei fünf anderen Diensten verwendet wird. Ein Klick auf einen Link in einer überzeugenden Phishing-Mail. Ein Router, dessen Standardpasswort nie geändert wurde.

Genau deshalb hilft diese Checkliste. Keiner der 10 Punkte erfordert technisches Fachwissen oder ein Budget. Aber zusammen schließen sie die häufigsten Einfallstore, die automatisierte Angriffe ausnutzen.

IT-Sicherheit beginnt nicht mit teurer Software. Sie beginnt mit 10 Minuten Aufmerksamkeit.

Häufig gestellte Fragen zur IT-Sicherheit

Was sind die wichtigsten IT-Sicherheitsmaßnahmen für kleine Unternehmen?

Die drei wichtigsten Sofortmaßnahmen: Einen Passwort-Manager einsetzen (z.B. Bitwarden, kostenlos und Open Source), Zwei-Faktor-Authentifizierung für alle geschäftskritischen Accounts aktivieren und automatische Updates auf allen Geräten einschalten. Diese drei Schritte schließen die häufigsten Einfallstore für Angreifer.

Was tun, wenn mein Unternehmen gehackt wurde?

Sofortmaßnahmen in dieser Reihenfolge: 1. Betroffenes Gerät vom Netzwerk trennen. 2. Passwörter von einem sauberen Gerät aus ändern, beginnend mit dem E-Mail-Account. 3. IT-Dienstleister informieren. 4. Alles dokumentieren (Screenshots, Zeitpunkte). 5. Bei personenbezogenen Daten prüfen, ob eine DSGVO-Meldepflicht besteht (72-Stunden-Frist).

Wie sichere ich mein Firmen-WLAN richtig ab?

Drei Schritte: Standard-Passwort des Routers ändern, WPA3-Verschlüsselung aktivieren (mindestens WPA2) und ein separates Gastnetzwerk für Kunden und Besucher einrichten. Das Gastnetzwerk verhindert, dass Besucher auf Ihre Geschäftsgeräte zugreifen können.