IT-Security Grundlagen für KMU
Die wichtigsten Schutzmassnahmen gegen Cyberangriffe im KMU-Alltag: Patch Management, MFA, Firewall, Backup und Awareness – praxisnah erklärt.
Warum IT-Security im KMU kein Luxus ist
Viele kleinere Unternehmen denken: “Wer will uns schon angreifen?” Die Realität sieht anders aus. Laut BSI betreffen rund 80 % aller registrierten Ransomware-Angriffe kleine und mittlere Unternehmen – gerade weil dort die Schutzebenen oft dünner sind als in Grosskonzernen. Angreifer suchen nicht gezielt nach dir, sondern scannen das Internet nach bekannten Schwachstellen. Wer diese nicht schliesst, landet auf der Liste.
Die gute Nachricht: Die wirkungsvollsten Massnahmen sind nicht teuer. Wer die Grundlagen konsequent umsetzt, eliminiert den grössten Teil des Risikos.
1. Patch Management – Bekannte Lücken schliessen
Die meisten erfolgreichen Angriffe nutzen keine Zero-Days, sondern bekannte Schwachstellen, für die es längst Updates gibt. Patch Management ist deshalb die effektivste Einzelmassnahme.
Windows Updates automatisieren:
# Update-Status abfragen (PSWindowsUpdate Modul nötig)
Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate
# Alle Updates installieren und automatisch neu starten
Install-WindowsUpdate -AcceptAll -AutoReboot
Zentral mit WSUS oder Intune:
- WSUS (Windows Server Update Services): On-Premise-Lösung, Updates werden zentral geprüft und ausgerollt
- Microsoft Intune: Cloudbasiertes Update Management, ideal wenn kein lokaler Server vorhanden
- Gruppenrichtlinie (GPO):
Computer Configuration > Administrative Templates > Windows Components > Windows Update
Was muss aktuell gehalten werden:
| Kategorie | Beispiele | Priorität |
|---|---|---|
| Betriebssystem | Windows, Windows Server | Kritisch |
| Browser | Chrome, Edge, Firefox | Kritisch |
| Office-Produkte | Microsoft 365, LibreOffice | Hoch |
| Remote-Access | VPN-Clients, RDP-Gateway | Kritisch |
| Server-Software | IIS, Apache, Exchange | Kritisch |
| Firmware | Router, Switches, NAS | Mittel |
2. Antivirus und EDR – Mehr als nur Virenscan
Klassische Antivirenprogramme erkennen bekannte Schadprogramme anhand von Signaturen. EDR (Endpoint Detection & Response) geht weiter: Es beobachtet das Verhalten von Prozessen und schlägt Alarm, wenn sich etwas verdächtig verhält – auch bei unbekannter Schadsoftware.
Optionen für KMU:
| Lösung | Typ | Kosten | Geeignet für |
|---|---|---|---|
| Windows Defender | AV + eingeschränktes EDR | Kostenlos | Kleinst-KMU als Basis |
| ESET Protect | AV + EDR | Günstig | KMU 10–200 User |
| Sophos Intercept X | EDR | Mittel | KMU mit IT-Dienstleister |
| Microsoft Defender for Endpoint | Vollwertiges EDR | Im M365 BP enthalten | KMU mit M365 Business Premium |
| SentinelOne | Vollwertiges EDR | Höher | Anspruchsvolle KMU |
Windows Defender Status prüfen:
# Defender-Status
Get-MpComputerStatus | Select AntivirusEnabled, RealTimeProtectionEnabled, AntispywareEnabled
# Letztes Update der Signaturen
Get-MpComputerStatus | Select AntivirusSignatureLastUpdated
# Schnellscan starten
Start-MpScan -ScanType QuickScan
3. Firewall – Netzwerkzugang kontrollieren
Eine Firewall ist dein Türsteher: Sie entscheidet, welcher Netzwerkverkehr rein- und rausdarf.
Zwei Ebenen:
Endpoint-Firewall (Windows Defender Firewall): Läuft auf jedem PC und Server. Blockiert eingehende Verbindungen, die nicht explizit erlaubt wurden.
# Firewall-Status anzeigen
Get-NetFirewallProfile | Select Name, Enabled
# Alle aktiven Regeln anzeigen
Get-NetFirewallRule | Where-Object { $_.Enabled -eq 'True' } | Select DisplayName, Direction, Action
# Beispiel: Eingehenden RDP-Zugriff nur aus dem lokalen Netz erlauben
New-NetFirewallRule -DisplayName "RDP nur intern" `
-Direction Inbound -Protocol TCP -LocalPort 3389 `
-RemoteAddress 192.168.1.0/24 -Action Allow
Netzwerk-Firewall (UTM/NGFW): Sitzt zwischen Internet und internem Netz. Für KMU empfehlenswert sind:
- Sophos XG/XGS – weit verbreitet in der Schweiz, gute Verwaltungsoberfläche
- Fortinet FortiGate – sehr leistungsstark, verbreitet bei Systemintegratoren
- OPNsense – Open Source, kostenlos, gut für technisch versierte Teams
- Palo Alto – Enterprise-Niveau, für grössere KMU
Grundregeln:
- Default Deny – alles blockieren, was nicht explizit erlaubt ist
- Unnötige eingehende Ports schliessen (kein direktes RDP/SSH aus dem Internet!)
- Ausgehende Verbindungen sinnvoll einschränken (z.B. nur bekannte Dienste)
- Logs regelmässig prüfen oder an ein SIEM schicken
4. MFA – Passwörter alleine reichen nicht mehr
Ein gestohlenes Passwort reicht für einen Angriff. Mit Multi-Faktor-Authentifizierung (MFA) braucht der Angreifer zusätzlich den zweiten Faktor – der meist auf dem Telefon des Opfers liegt.
MFA-Methoden im Vergleich:
| Methode | Sicherheit | Komfort | Empfehlung |
|---|---|---|---|
| Authenticator App (TOTP) | Hoch | Mittel | Empfohlen |
| Push-Notification (z.B. MS Authenticator) | Hoch | Hoch | Empfohlen |
| Hardware-Token (FIDO2/YubiKey) | Sehr hoch | Mittel | Für Admins |
| SMS-Code | Mittel | Hoch | Als Notfall-Option OK |
MFA in Microsoft 365 erzwingen:
- Entra ID (Azure AD) Admin Center öffnen:
entra.microsoft.com - Eigenschaften > Sicherheitsstandards verwalten > aktivieren Oder: Conditional Access Policy “Require MFA for all users” erstellen (M365 Business Premium)
- Alle Admin-Accounts: MFA ist Pflicht, kein Kompromiss
# MFA-Status aller User prüfen (MsOnline Modul)
Connect-MsolService
Get-MsolUser -All | Select DisplayName, StrongAuthenticationMethods, StrongAuthenticationRequirements
5. Passwörter und Passwort-Manager
Kurze Passwörter, mehrfach verwendete Passwörter, Passwörter im Klartext in Excel: Das sind Klassiker, die in jedem KMU vorkommen.
Minimalanforderungen:
- Mindestlänge: 12 Zeichen (besser: 16+)
- Gross- und Kleinbuchstaben, Zahlen, Sonderzeichen
- Kein Wiederverwenden zwischen Diensten
- Regelmässiger Wechsel bei Verdacht auf Kompromittierung (nicht mehr zwingend alle 90 Tage – das NIST empfiehlt dies nicht mehr)
Passwort-Manager für Teams:
Open-Source Passwort-Manager mit Team-Features, Self-Hosting möglich
bitwarden.com
Lokaler Open-Source Passwort-Manager, Datei kann auf Netzlaufwerk liegen
keepass.info
Passwort-Richtlinie per GPO setzen:
Computer Configuration > Windows Settings > Security Settings
> Account Policies > Password Policy
Minimum password length: 12
Password complexity: Enabled
Maximum password age: 365 (oder 0 für kein Ablauf)
Enforce password history: 10
Weitere Infos dazu in der Passwörter-Übersicht.
6. Backup – Die letzte Verteidigungslinie
Gegen Ransomware hilft letztlich nur ein sauberes Backup. Alle anderen Massnahmen reduzieren die Wahrscheinlichkeit eines Angriffs, aber das Backup sorgt dafür, dass du im Ernstfall wieder aufstehen kannst.
3-2-1-Regel:
- 3 Kopien der Daten
- auf 2 verschiedenen Medien (z.B. NAS + externe Festplatte)
- 1 davon offsite oder offline (Cloud, Tresorkopie, Air-Gap)
Ransomware-sicheres Backup: Ransomware verschlüsselt alles, was sie erreichen kann – also auch verbundene Netzlaufwerke und Backup-Targets. Deshalb:
- Immutable Backups nutzen (z.B. Veeam mit Hardened Repository auf Linux)
- Offsite-Backup: Azure Backup, Wasabi, Backblaze B2
- Backup-Medium nach dem Backup trennen (USB-Festplatte abziehen)
- Regelmässig Wiederherstellung testen – mindestens einmal pro Quartal
Veeam Backup Basis-Check:
# Veeam PowerShell Snap-In laden
Add-PSSnapin VeeamPSSnapIn
# Letzte Backup-Jobs anzeigen
Get-VBRJob | Select Name, LastResult, LastRun | Format-Table
# Session-Details des letzten Jobs
Get-VBRBackupSession | Select JobName, Result, CreationTime | Sort CreationTime -Descending | Select -First 10
Mehr dazu auf der Backup-Übersichtsseite und bei Windows Server Backup.
7. Least Privilege – Nur so viele Rechte wie nötig
Das Prinzip des minimalen Privilegs besagt: Jeder User und jeder Prozess bekommt nur die Rechte, die er für seine Aufgabe wirklich braucht.
In der Praxis bedeutet das:
- Normale Mitarbeitende sind keine lokalen Admins auf ihren PCs
- Admin-Aufgaben werden mit einem separaten Admin-Account erledigt (kein Dual-Use)
- Dienstkonten haben nur Rechte auf die Dienste, die sie brauchen
- Freigegebene Ordner: Wer wirklich nur lesen muss, bekommt kein Schreibrecht
Lokale Admin-Rechte entziehen:
# Prüfen, wer lokaler Admin ist
Get-LocalGroupMember -Group "Administrators"
# User aus Admins entfernen
Remove-LocalGroupMember -Group "Administrators" -Member "DOMAIN\benutzer"
Warum das wichtig ist: Wenn Malware auf einem PC landet, läuft sie mit den Rechten des eingeloggten Users. Hat der User keine Admin-Rechte, kann Malware keine Software installieren, keine Registry-Einträge setzen und sich schwerer im Netzwerk ausbreiten.
8. Security Awareness – Der Mensch als Schutzfaktor
Technik alleine reicht nicht. Phishing ist der häufigste Angriffsvektor, und kein Filter erkennt jede bösartige Mail. Mitarbeitende müssen wissen, was sie tun sollen.
Kernbotschaften für dein Team:
- Links prüfen vor dem Klicken: Hovern über den Link zeigt das echte Ziel
- Absender-Domain prüfen:
support@microsoft-hilfe.comist nicht Microsoft - Dringlichkeit = Warnsignal: “Konto wird in 24h gesperrt” ist eine klassische Phishing-Taktik
- Im Zweifel: nicht klicken, IT anrufen – lieber einmal zu viel fragen
- Passwörter niemals per Mail oder Teams schicken
Phishing-Simulation: Mit Tools wie Microsoft Attack Simulator (in M365 Defender) oder GoPhish (Open Source) kannst du eigene Phishing-Mails versenden und messen, wer draufklickt. Dann gezielt schulen.
Microsoft 365 Defender > E-Mail & Zusammenarbeit
> Angriffssimulationstraining > Simulation erstellen
Meldeweg etablieren:
Mitarbeitende brauchen einen klaren, einfachen Weg, um verdächtige Mails zu melden. Ein sicherheit@firma.ch Alias reicht oft. In Outlook gibt es das Microsoft-Phishing-Meldungs-Add-In (“Phishing melden”-Button).
9. Notfallplan und Incident Response
Was tust du, wenn es passiert? Ein schriftlicher Plan, der nie gelesen wurde, hilft nicht. Aber ein kurzes Runbook, das du in einer Stresssituation abarbeiten kannst, schon.
Grundstruktur eines KMU-Notfallplans:
- Erkennen: Wer meldet Vorfälle? Wo landen die Alerts?
- Eindämmen: Betroffene Systeme vom Netz trennen (nicht ausschalten – Beweise erhalten)
- Bewerten: Was ist kompromittiert? Wie weit hat sich der Angriff ausgebreitet?
- Kommunizieren: Intern (Geschäftsleitung), extern (Behörden, Kunden wenn nötig)
- Wiederherstellen: Aus sauberem Backup restaurieren, Systeme härten
- Dokumentieren: Was ist passiert? Was haben wir gelernt?
Behörden in der Schweiz:
- BACS (Bundesamt für Cybersicherheit):
www.ncsc.admin.ch– Meldestelle für Cybervorfälle - Ab April 2025: Meldepflicht für Angriffe auf kritische Infrastrukturen
Windows Event Log auf Anzeichen prüfen:
# Fehlgeschlagene Logins der letzten 24h (Event ID 4625)
Get-WinEvent -FilterHashtable @{
LogName = 'Security'
Id = 4625
StartTime = (Get-Date).AddHours(-24)
} | Select TimeCreated, Message | Select -First 20
# Neue lokale User-Accounts (Event ID 4720)
Get-WinEvent -FilterHashtable @{ LogName='Security'; Id=4720 } |
Select TimeCreated, Message | Select -First 10
10. Quick-Win Checkliste für KMU
Mach diesen Check einmal pro Quartal:
| Massnahme | Status |
|---|---|
| Windows-Updates auf allen Systemen aktuell | ☐ |
| MFA für alle Admin-Accounts aktiv | ☐ |
| MFA für alle M365/Cloud-Accounts aktiv | ☐ |
| Backup seit weniger als 24h gelaufen | ☐ |
| Backup-Restore zuletzt getestet (Quartal) | ☐ |
| Antivirus / EDR auf allen Endpoints aktiv | ☐ |
| Keine EOL-Betriebssysteme im Netz | ☐ |
| Normale User ohne lokale Admin-Rechte | ☐ |
| Passwort-Manager im Einsatz | ☐ |
| Awareness-Schulung in letzten 12 Monaten | ☐ |
Weiterlernen
- BACS – Schutzmassnahmen für Unternehmen (Bundesamt für Cybersicherheit)
- BSI IT-Grundschutz-Kompendium (deutsches Bundesamt für Sicherheit in der IT)
- Microsoft Secure Score – Sicherheitsniveau in M365 messen
- Swisscom B2B Mag: 11 Massnahmen für IT-Security in KMU
- Microsoft: Schützen vor Ransomware (learn.microsoft.com)
- NIST Cybersecurity Framework (englisch)
Verwandte Themen: Passwörter & Passwort-Manager · Backup-Grundlagen · GPO Grundlagen · Intune Grundlagen · VPN Grundlagen
Videos
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …