Viele kleine Unternehmen funktionieren digital, ohne sich selbst als „IT Betrieb“ zu verstehen. Sie verschicken Angebote per Mail, erstellen Rechnungen in der Buchhaltung, führen Termine im Kalender und erledigen Zahlungen per Onlinebanking. Fällt ein Gerät aus oder wird ein Konto übernommen, steht nicht nur ein Computer, sondern in der Regel auch die Bestellung, Kommunikation und Abrechnung gleichzeitig still. Ein solider Grundschutz setzt deshalb bei einfachen Routinen an, die sich im Alltag durchhalten lassen.
Zugänge absichern: Passwörter, zweiter Faktor, Rollen
Der häufigste Einstieg für Angreifer sind kompromittierte Zugangsdaten. Ein einziges Passwort, das in mehreren Diensten verwendet wird, reicht aus, um Kettenreaktionen auszulösen. Die pragmatische Lösung heißt Passwortmanager. Hiermit lassen sich pro Dienst lange und einmalige Passwörter nutzen, ohne dass sie jemand auswendig können muss. Noch stärker ist ein zweiter Anmeldeschritt. Viele Dienste bieten dies an, indem sie einen zusätzlichen Code per App senden oder ein anderes Verfahren zur Bestätigung. Ein gestohlenes Passwort allein ist damit meist wertlos. Nicht jeder braucht Adminrechte, Zugriff auf alle Postfächer oder die Möglichkeit, Zahlungsdaten zu ändern. Wer hier welche Berechtigungen hat, sollte ebenfalls dokumentiert werden (kurz). Bei Personalwechseln ist so eine Liste goldwert, weil gezielt Konten entzogen und neu vergeben werden können.
Updates zur Routine machen: Geräte aktuell halten, ohne daran denken zu müssen
Die meisten Sicherheitslücken sind lange bekannt, bevor sie genutzt werden. Der Unterschied macht hier das Update. Sobald Betriebssystem, Browser und die gängigen Programme automatisch aktualisiert werden, sinkt das Risiko spürbar. Wichtig ist, das Thema aus dem Kopf zu bekommen und in einen festen Prozess zu überführen. Praktisch heißt das: Automatische Updates aktivieren, dann einmal im Monat zehn Minuten für die wichtigsten Geräte reservieren, um zu sehen, ob alles durchgelaufen ist. Das gilt auch für die Programme, die man gerne vergisst, z.B. PDF Software, Remote Tools oder kleine Dienstprogramme.
Wenn sowieso ein Wechsel ansteht, lohnt es sich, nach dem Lebenszyklus zu fragen. Ein aktuelles System lässt sich nämlich leichter warten und länger updatefähig halten. In diesem Zusammenhang ist es vielleicht nicht verkehrt, rechtzeitig eine saubere Lizenzierung einzuplanen, z.B. Windows 11 kaufen, damit Geräte und Updates nicht für die Organisation zum Dauerprovisorium werden.
Datensicherung, die auch im Ernstfall hilft
Eine einfache Regel für kleine Betriebe: wichtige Daten mehrfach sichern, mindestens eine Kopie getrennt vom eigenen Arbeitsgerät aufbewahren. Die Struktur sieht so aus:
- alle Daten am Schreibtisch
- eine Sicherung auf einem externen Datenträger, der nur für das Backup angeschlossen wird
- eine weitere Kopie, die räumlich oder logisch getrennt liegt, etwa auf einem zweiten Datenträger oder in einem Unternehmensspeicher mit Versionierung.
Der wichtigste Schritt ist der Test: mindestens einmal pro Quartal eine Datei zurückspielen. Nicht aus Misstrauen, sondern weil Fehler in Backups sonst monatelang unentdeckt bleiben. Wer diesen Test dokumentiert, spart sich später Diskussionen und Zeitdruck.
Phishing Regeln für das Team
Technik allein reicht nicht. Angriffe setzen sehr oft auf Stress und Routine. Eine kurze Regel fürs Team mindert das Risiko erheblich: Bei Zahlungsaufforderungen, Kontoänderungen oder neuen Bankverbindungen wird nie nur nach Mail verfahren, es gibt immer eine zweite Bestätigung über einen bekannten Kontaktweg.
Zusätzlich nutzen kleine Standards im Alltag. Links aus unerwarteten Nachrichten werden nicht angeklickt. Anhänge nur dann, wenn man sie tatsächlich erwartet. Wenn etwas „dringend“ wirkt, erst recht erst einmal kurz prüfen. Das sind keine großen Schulungsmaßnahmen, sondern Verhaltensmuster, die sich in zwei Minuten erklären lassen.
