Zum Inhalt springen
sw
en

Tippe um zu suchen

IT-Security (Business)

IT-Security Grundlagen für KMU

Die wichtigsten Schutzmassnahmen gegen Cyberangriffe im KMU-Alltag: Patch Management, MFA, Firewall, Backup und Awareness – praxisnah erklärt.

9 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Warum IT-Security im KMU kein Luxus ist

Viele kleinere Unternehmen denken: “Wer will uns schon angreifen?” Die Realität sieht anders aus. Laut BSI betreffen rund 80 % aller registrierten Ransomware-Angriffe kleine und mittlere Unternehmen – gerade weil dort die Schutzebenen oft dünner sind als in Grosskonzernen. Angreifer suchen nicht gezielt nach dir, sondern scannen das Internet nach bekannten Schwachstellen. Wer diese nicht schliesst, landet auf der Liste.

Die gute Nachricht: Die wirkungsvollsten Massnahmen sind nicht teuer. Wer die Grundlagen konsequent umsetzt, eliminiert den grössten Teil des Risikos.


1. Patch Management – Bekannte Lücken schliessen

Die meisten erfolgreichen Angriffe nutzen keine Zero-Days, sondern bekannte Schwachstellen, für die es längst Updates gibt. Patch Management ist deshalb die effektivste Einzelmassnahme.

Windows Updates automatisieren:

# Update-Status abfragen (PSWindowsUpdate Modul nötig)
Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate

# Alle Updates installieren und automatisch neu starten
Install-WindowsUpdate -AcceptAll -AutoReboot

Zentral mit WSUS oder Intune:

  • WSUS (Windows Server Update Services): On-Premise-Lösung, Updates werden zentral geprüft und ausgerollt
  • Microsoft Intune: Cloudbasiertes Update Management, ideal wenn kein lokaler Server vorhanden
  • Gruppenrichtlinie (GPO): Computer Configuration > Administrative Templates > Windows Components > Windows Update

Was muss aktuell gehalten werden:

KategorieBeispielePriorität
BetriebssystemWindows, Windows ServerKritisch
BrowserChrome, Edge, FirefoxKritisch
Office-ProdukteMicrosoft 365, LibreOfficeHoch
Remote-AccessVPN-Clients, RDP-GatewayKritisch
Server-SoftwareIIS, Apache, ExchangeKritisch
FirmwareRouter, Switches, NASMittel

2. Antivirus und EDR – Mehr als nur Virenscan

Klassische Antivirenprogramme erkennen bekannte Schadprogramme anhand von Signaturen. EDR (Endpoint Detection & Response) geht weiter: Es beobachtet das Verhalten von Prozessen und schlägt Alarm, wenn sich etwas verdächtig verhält – auch bei unbekannter Schadsoftware.

Optionen für KMU:

LösungTypKostenGeeignet für
Windows DefenderAV + eingeschränktes EDRKostenlosKleinst-KMU als Basis
ESET ProtectAV + EDRGünstigKMU 10–200 User
Sophos Intercept XEDRMittelKMU mit IT-Dienstleister
Microsoft Defender for EndpointVollwertiges EDRIm M365 BP enthaltenKMU mit M365 Business Premium
SentinelOneVollwertiges EDRHöherAnspruchsvolle KMU

Windows Defender Status prüfen:

# Defender-Status
Get-MpComputerStatus | Select AntivirusEnabled, RealTimeProtectionEnabled, AntispywareEnabled

# Letztes Update der Signaturen
Get-MpComputerStatus | Select AntivirusSignatureLastUpdated

# Schnellscan starten
Start-MpScan -ScanType QuickScan

3. Firewall – Netzwerkzugang kontrollieren

Eine Firewall ist dein Türsteher: Sie entscheidet, welcher Netzwerkverkehr rein- und rausdarf.

Zwei Ebenen:

Endpoint-Firewall (Windows Defender Firewall): Läuft auf jedem PC und Server. Blockiert eingehende Verbindungen, die nicht explizit erlaubt wurden.

# Firewall-Status anzeigen
Get-NetFirewallProfile | Select Name, Enabled

# Alle aktiven Regeln anzeigen
Get-NetFirewallRule | Where-Object { $_.Enabled -eq 'True' } | Select DisplayName, Direction, Action

# Beispiel: Eingehenden RDP-Zugriff nur aus dem lokalen Netz erlauben
New-NetFirewallRule -DisplayName "RDP nur intern" `
  -Direction Inbound -Protocol TCP -LocalPort 3389 `
  -RemoteAddress 192.168.1.0/24 -Action Allow

Netzwerk-Firewall (UTM/NGFW): Sitzt zwischen Internet und internem Netz. Für KMU empfehlenswert sind:

  • Sophos XG/XGS – weit verbreitet in der Schweiz, gute Verwaltungsoberfläche
  • Fortinet FortiGate – sehr leistungsstark, verbreitet bei Systemintegratoren
  • OPNsense – Open Source, kostenlos, gut für technisch versierte Teams
  • Palo Alto – Enterprise-Niveau, für grössere KMU

Grundregeln:

  1. Default Deny – alles blockieren, was nicht explizit erlaubt ist
  2. Unnötige eingehende Ports schliessen (kein direktes RDP/SSH aus dem Internet!)
  3. Ausgehende Verbindungen sinnvoll einschränken (z.B. nur bekannte Dienste)
  4. Logs regelmässig prüfen oder an ein SIEM schicken

4. MFA – Passwörter alleine reichen nicht mehr

Ein gestohlenes Passwort reicht für einen Angriff. Mit Multi-Faktor-Authentifizierung (MFA) braucht der Angreifer zusätzlich den zweiten Faktor – der meist auf dem Telefon des Opfers liegt.

MFA-Methoden im Vergleich:

MethodeSicherheitKomfortEmpfehlung
Authenticator App (TOTP)HochMittelEmpfohlen
Push-Notification (z.B. MS Authenticator)HochHochEmpfohlen
Hardware-Token (FIDO2/YubiKey)Sehr hochMittelFür Admins
SMS-CodeMittelHochAls Notfall-Option OK

MFA in Microsoft 365 erzwingen:

  1. Entra ID (Azure AD) Admin Center öffnen: entra.microsoft.com
  2. Eigenschaften > Sicherheitsstandards verwalten > aktivieren Oder: Conditional Access Policy “Require MFA for all users” erstellen (M365 Business Premium)
  3. Alle Admin-Accounts: MFA ist Pflicht, kein Kompromiss
# MFA-Status aller User prüfen (MsOnline Modul)
Connect-MsolService
Get-MsolUser -All | Select DisplayName, StrongAuthenticationMethods, StrongAuthenticationRequirements

5. Passwörter und Passwort-Manager

Kurze Passwörter, mehrfach verwendete Passwörter, Passwörter im Klartext in Excel: Das sind Klassiker, die in jedem KMU vorkommen.

Minimalanforderungen:

  • Mindestlänge: 12 Zeichen (besser: 16+)
  • Gross- und Kleinbuchstaben, Zahlen, Sonderzeichen
  • Kein Wiederverwenden zwischen Diensten
  • Regelmässiger Wechsel bei Verdacht auf Kompromittierung (nicht mehr zwingend alle 90 Tage – das NIST empfiehlt dies nicht mehr)

Passwort-Manager für Teams:

Bitwarden Gratis windows mac web

Open-Source Passwort-Manager mit Team-Features, Self-Hosting möglich

bitwarden.com

KeePass Gratis windows

Lokaler Open-Source Passwort-Manager, Datei kann auf Netzlaufwerk liegen

keepass.info

Passwort-Richtlinie per GPO setzen:

Computer Configuration > Windows Settings > Security Settings
> Account Policies > Password Policy

Minimum password length: 12
Password complexity: Enabled
Maximum password age: 365 (oder 0 für kein Ablauf)
Enforce password history: 10

Weitere Infos dazu in der Passwörter-Übersicht.


6. Backup – Die letzte Verteidigungslinie

Gegen Ransomware hilft letztlich nur ein sauberes Backup. Alle anderen Massnahmen reduzieren die Wahrscheinlichkeit eines Angriffs, aber das Backup sorgt dafür, dass du im Ernstfall wieder aufstehen kannst.

3-2-1-Regel:

  • 3 Kopien der Daten
  • auf 2 verschiedenen Medien (z.B. NAS + externe Festplatte)
  • 1 davon offsite oder offline (Cloud, Tresorkopie, Air-Gap)

Ransomware-sicheres Backup: Ransomware verschlüsselt alles, was sie erreichen kann – also auch verbundene Netzlaufwerke und Backup-Targets. Deshalb:

  • Immutable Backups nutzen (z.B. Veeam mit Hardened Repository auf Linux)
  • Offsite-Backup: Azure Backup, Wasabi, Backblaze B2
  • Backup-Medium nach dem Backup trennen (USB-Festplatte abziehen)
  • Regelmässig Wiederherstellung testen – mindestens einmal pro Quartal

Veeam Backup Basis-Check:

# Veeam PowerShell Snap-In laden
Add-PSSnapin VeeamPSSnapIn

# Letzte Backup-Jobs anzeigen
Get-VBRJob | Select Name, LastResult, LastRun | Format-Table

# Session-Details des letzten Jobs
Get-VBRBackupSession | Select JobName, Result, CreationTime | Sort CreationTime -Descending | Select -First 10

Mehr dazu auf der Backup-Übersichtsseite und bei Windows Server Backup.


7. Least Privilege – Nur so viele Rechte wie nötig

Das Prinzip des minimalen Privilegs besagt: Jeder User und jeder Prozess bekommt nur die Rechte, die er für seine Aufgabe wirklich braucht.

In der Praxis bedeutet das:

  • Normale Mitarbeitende sind keine lokalen Admins auf ihren PCs
  • Admin-Aufgaben werden mit einem separaten Admin-Account erledigt (kein Dual-Use)
  • Dienstkonten haben nur Rechte auf die Dienste, die sie brauchen
  • Freigegebene Ordner: Wer wirklich nur lesen muss, bekommt kein Schreibrecht

Lokale Admin-Rechte entziehen:

# Prüfen, wer lokaler Admin ist
Get-LocalGroupMember -Group "Administrators"

# User aus Admins entfernen
Remove-LocalGroupMember -Group "Administrators" -Member "DOMAIN\benutzer"

Warum das wichtig ist: Wenn Malware auf einem PC landet, läuft sie mit den Rechten des eingeloggten Users. Hat der User keine Admin-Rechte, kann Malware keine Software installieren, keine Registry-Einträge setzen und sich schwerer im Netzwerk ausbreiten.


8. Security Awareness – Der Mensch als Schutzfaktor

Technik alleine reicht nicht. Phishing ist der häufigste Angriffsvektor, und kein Filter erkennt jede bösartige Mail. Mitarbeitende müssen wissen, was sie tun sollen.

Kernbotschaften für dein Team:

  1. Links prüfen vor dem Klicken: Hovern über den Link zeigt das echte Ziel
  2. Absender-Domain prüfen: support@microsoft-hilfe.com ist nicht Microsoft
  3. Dringlichkeit = Warnsignal: “Konto wird in 24h gesperrt” ist eine klassische Phishing-Taktik
  4. Im Zweifel: nicht klicken, IT anrufen – lieber einmal zu viel fragen
  5. Passwörter niemals per Mail oder Teams schicken

Phishing-Simulation: Mit Tools wie Microsoft Attack Simulator (in M365 Defender) oder GoPhish (Open Source) kannst du eigene Phishing-Mails versenden und messen, wer draufklickt. Dann gezielt schulen.

Microsoft 365 Defender > E-Mail & Zusammenarbeit
> Angriffssimulationstraining > Simulation erstellen

Meldeweg etablieren: Mitarbeitende brauchen einen klaren, einfachen Weg, um verdächtige Mails zu melden. Ein sicherheit@firma.ch Alias reicht oft. In Outlook gibt es das Microsoft-Phishing-Meldungs-Add-In (“Phishing melden”-Button).


9. Notfallplan und Incident Response

Was tust du, wenn es passiert? Ein schriftlicher Plan, der nie gelesen wurde, hilft nicht. Aber ein kurzes Runbook, das du in einer Stresssituation abarbeiten kannst, schon.

Grundstruktur eines KMU-Notfallplans:

  1. Erkennen: Wer meldet Vorfälle? Wo landen die Alerts?
  2. Eindämmen: Betroffene Systeme vom Netz trennen (nicht ausschalten – Beweise erhalten)
  3. Bewerten: Was ist kompromittiert? Wie weit hat sich der Angriff ausgebreitet?
  4. Kommunizieren: Intern (Geschäftsleitung), extern (Behörden, Kunden wenn nötig)
  5. Wiederherstellen: Aus sauberem Backup restaurieren, Systeme härten
  6. Dokumentieren: Was ist passiert? Was haben wir gelernt?

Behörden in der Schweiz:

  • BACS (Bundesamt für Cybersicherheit): www.ncsc.admin.ch – Meldestelle für Cybervorfälle
  • Ab April 2025: Meldepflicht für Angriffe auf kritische Infrastrukturen

Windows Event Log auf Anzeichen prüfen:

# Fehlgeschlagene Logins der letzten 24h (Event ID 4625)
Get-WinEvent -FilterHashtable @{
  LogName   = 'Security'
  Id        = 4625
  StartTime = (Get-Date).AddHours(-24)
} | Select TimeCreated, Message | Select -First 20

# Neue lokale User-Accounts (Event ID 4720)
Get-WinEvent -FilterHashtable @{ LogName='Security'; Id=4720 } |
  Select TimeCreated, Message | Select -First 10

10. Quick-Win Checkliste für KMU

Mach diesen Check einmal pro Quartal:

MassnahmeStatus
Windows-Updates auf allen Systemen aktuell
MFA für alle Admin-Accounts aktiv
MFA für alle M365/Cloud-Accounts aktiv
Backup seit weniger als 24h gelaufen
Backup-Restore zuletzt getestet (Quartal)
Antivirus / EDR auf allen Endpoints aktiv
Keine EOL-Betriebssysteme im Netz
Normale User ohne lokale Admin-Rechte
Passwort-Manager im Einsatz
Awareness-Schulung in letzten 12 Monaten

Weiterlernen


Verwandte Themen: Passwörter & Passwort-Manager · Backup-Grundlagen · GPO Grundlagen · Intune Grundlagen · VPN Grundlagen

Videos

YouTube
Mindestanforderungen für IT-Sicherheit in KMU Teil 1
YouTube
Cyberkriminalität – IT-Security für KMU

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben