(und für ruhigere Nächte)
Cybersecurity bedeutet nicht mehr nur „ein Antivirusprogramm zu haben und ein paar Backups zu machen“. Es bedeutet, Daten, Prozesse und Menschen in einer zunehmend exponierten digitalen Welt zu schützen. Wenn dein Unternehmen das Thema noch nicht ernsthaft angegangen ist, bietet diese Checkliste einen praktischen Ausgangspunkt. Keine Theorie: nur das, was 2025 wirklich getan werden muss.
1. Multi-Faktor-Authentifizierung (MFA) aktivieren
Ein Passwort ist keine ausreichende Verteidigung mehr. Zu oft wird es wiederverwendet, ist schwach oder bei Datenlecks kompromittiert. Mit der MFA-Authentifizierung ist der Zugang auch dann blockiert, wenn die Anmeldedaten gestohlen werden, ohne den zweiten Faktor (z.B. Authentifizierungs-App oder SMS).
Implementiere MFA mindestens für:
- E-Mail,
- VPN,
- Verwaltungssysteme,
- Cloud-Plattformen,
- Kunden-/Lieferantenportale.
👉 MFA ist eine der ersten Dinge, die Versicherer, Unternehmenskunden und Behörden bei einer Inspektion verlangen.
2. Regelmäßiges Aktualisieren von Systemen und Software
Viele Cyberangriffe basieren auf bereits bekannten Schwachstellen (mit Patches, die seit Monaten oder Jahren verfügbar sind). Das eigentliche Problem ist, dass Unternehmen die Updates nicht rechtzeitig einspielen.
Was ist benötigt:
- eine klare Patch-Management-Politik,
- eine Planung für Altsysteme (sog. Legacy-Systeme),
- automatische Versionsüberwachung.
👉 Ein nicht aktualisiertes System ist wie eine offene Tür. Immer.
3. EDR- oder XDR-Lösungen verwenden, nicht nur ein Antivirusprogramm
Traditionelle Antivirenprogramme basieren auf statischen Signaturen: Sie erkennen nichts Neues oder Maßgeschneidertes. EDR- (Endpoint Detection & Response) und XDR-Lösungen (Extended Detection & Response) analysieren anomales Verhalten, korrelieren Ereignisse und blockieren fortschrittliche Bedrohungen, auch wenn die Malware unbekannt ist.
Solche Systeme können:
- ein infiziertes Gerät automatisch vom restlichen Netzwerk isolieren,
- verdächtige Prozesse in Echtzeit blockieren,
- vollständige Sichtbarkeit darüber bieten, was wann passiert ist.
👉 Ohne EDR/XDR sind Sie heute blind gegenüber modernen Angriffen.
4. Netzwerk-Segmentierung und Zero Trust (ZTNA) Prinzipien anwenden
In vielen Unternehmensnetzwerken kann ein infiziertes Gerät alles andere erreichen. Die Netzwerksegmentierung bedeutet, Umgebungen (z.B. Verwaltung, Produktion, Gäste) zu trennen und die Ausbreitung von Bedrohungen zu begrenzen. Mit ZTNA wird jeder Zugriff basierend auf Identität, Kontext und Gerät bewertet. Kein Zugriff ist automatisch.
👉 Zero Trust ist kein Slogan, sondern ein Mentalitätswandel: keine implizite Vertrauenswürdigkeit, niemals und für niemanden.
5. Sichere Backups durchführen, regelmäßig testen
Ein Backup zu haben reicht nicht aus. Es muss:
- automatisch,
- isoliert (air gap oder in einer sicheren Cloud),
- verschlüsselt,
- regelmäßig überprüft werden, um sicherzustellen, dass es wirklich funktioniert.
Viele Unternehmen entdecken zu spät, dass die Backups beschädigt, nicht aktuell oder… nie abgeschlossen wurden.
👉 Das Backup ist die letzte Verteidigung. Es muss funktionieren, wenn alles andere versagt.
6. Mitarbeiter schulen: Phishing und digitale Betrügereien sind alltäglich
Die Technologie kann viel, aber menschliches Versagen bleibt der erste Angriffsvektor. Gut konstruierte E-Mails, gefälschte Software-Updates, Nachrichten von „Kolleg:innen“ oder „Lieferanten“: Phishing-Versuche werden immer raffinierter.
Schulung ist kein einmaliger Kurs, sondern ein kontinuierlicher Prozess:
- regelmäßige Phishing-Simulationen,
- Schulungen in kleinen, laufenden Häppchen,
- Awareness-Kampagnen, die auf die am stärksten gefährdeten Rollen abzielen.
👉 Wenn die Menschen einen Angriff erkennen, ist das gesamte Unternehmen sicherer.
7. Kritische Assets identifizieren und die tatsächlichen Risiken bewerten
Nicht alles hat den gleichen Wert. Um effektiv zu schützen, muss man wissen:
- welche Systeme wirklich lebenswichtig sind (ERP, CRM, Datenbanken, E-Mail, usw.),
- wo die sensibelsten Daten gespeichert sind,
- welche Prozesse nicht gestoppt werden können.
Daraus können die Schutzprioritäten abgeleitet werden.
👉 Eine gute Strategie beginnt mit einer vollständigen Inventarisierung der Assets.
8. Einen Incident Response Plan (IRP) erstellen
Wenn etwas schiefgeht — und das wird es früher oder später — kann man nicht improvisieren.
Ein guter Incident Response Plan definiert:
- wer was macht (Rollen und Verantwortlichkeiten),
- welche Systeme isoliert werden und wie,
- wen man kontaktieren muss (intern und extern),
- wie man mit Kunden, Behörden, Lieferanten kommuniziert.
👉 Zu wissen, was in den ersten 30 Minuten zu tun ist, kann Tage oder Wochen des Stillstands und Millionen an Schäden ersparen.
9. Die Sicherheit der Lieferanten und Partner bewerten
Viele Angriffe beginnen bei Dritten. Wenn ein Lieferant Zugang zu Unternehmens-Systemen hat, müssen Mindeststandards der Sicherheit einhalten werden.
Folgende Fragen müssen an Lieferanten gestellt werden:
- Wird MFA angewendet?
- Werden Backups erstellt?
- Gab es kürzlich Angriffe auf den Lieferanten?
- Gibt es einen Sicherheitsbeauftragten?
Auch diese Anforderungen gehören in die Verträge mit euren Lieferanten.
👉 Die Unternehmens-Sicherheit hängt auch von der Sicherheit der Lieferanten ab. Und das macht euer Unternehmen teilweise auch rechtlich verantwortlich.
10. Das Netzwerk in Echtzeit überwachen (NDR, XDR, SIEM)
Es reicht nicht aus, Sicherheitsregeln zu haben: Man braucht Sichtbarkeit. Die Netzwerküberwachung bedeutet:
- zu wissen, wer von wo aus zugreift,
- anomales Verhalten (z.B. verdächtige Verschlüsselungen) zu erkennen,
- zu handeln, bevor der Schaden entsteht.
Technologien wie NDR (Network Detection & Response) oder XDR bieten eine zentrale Sicht auf die gesamte Umgebung.
👉 In Echtzeit zu sehen, was passiert, ist die Grundlage für eine schnelle Reaktion.
10 Maßnahmen. 1 Priorität.
Wenn euer Unternehmen nach einem Ausgangspunkt sucht, beginnt hier. Diese Checkliste löst nicht alles, aber sie reduziert das Risiko erheblich, Opfer von Cyberattacken zu werden oder, schlimmer noch, nicht zu wissen, wie man reagiert, wenn es passiert.
Im Jahr 2025 gibt es kein „wir haben nichts Interessantes“ mehr: Jedes Unternehmen ist ein potenzielles Ziel. Der Unterschied liegt darin, wer vorbereitet ist und wer nicht.
