Viele Unternehmen wiegen sich noch immer in falscher (IT-)Sicherheit. „Wir sind zu klein, bei uns gibt’s nichts zu holen“ oder „wir haben doch eine Firewall“ sind typische Sätze, die teuer werden können. Ungeachtet der Unternehmensgröße: Ein ungepatchtes System, ein schlecht geschütztes Cloud-Konto oder ein kompromittiertes Gerät mit Netzwerkverbindung reicht Hackern bereits, um Zugriff auf interne Systeme zu erhalten.

Hinzu kommt: Daten sind für Angreifer oft wertvoller als der direkte Zugriff auf Finanzen. Kundendaten, Produktionsinformationen, Vertragsunterlagen, Steuerdaten, Zahlungsinformationen oder interne E-Mails lassen sich für Erpressung, Betrug oder weitere Angriffe nutzen. Gerade mittelständische Unternehmen agieren innerhalb komplexer Wertschöpfungsketten aus Lieferanten, Plattformen, Cloud-Diensten und Softwareanbietern. Wird in diesem Geflecht eine Schwachstelle ausgenutzt, kann der Schaden weit über das betroffene Unternehmen hinausreichen.

Tipp 1: Man kann nur schützen, was man kennt

Der erste Schritt ist ein Security-Audit. Welche Systeme laufen im Unternehmen? Welche Geräte greifen auf das Netzwerk zu? Welche Software wird genutzt? Welche Cloud-Dienste sind angebunden? Wo liegen Daten? Welche Backups gibt es? Wer hat Zugriff auf welche Systeme? Welche Verträge bestehen mit IT-Dienstleistern, Herstellern oder Plattformanbietern? Und wann wurden die wichtigsten Schutzmaßnahmen zuletzt überprüft?

Auf Basis dieser Informationen entsteht eine Prioritätenliste: Was muss sofort geschehen? Was lässt sich mittelfristig planen? Welche Risiken kann das Unternehmen bewusst tragen, welche gefährden den Betrieb?
Wichtig ist dabei die richtige Haltung. Zögern erhöht das Risiko. Blinder Aktionismus mehrt die Komplexität. Sinnvoll ist ein geordneter Einstieg: Status quo erfassen, Risiken bewerten, Maßnahmen priorisieren, Umsetzung kontrollieren.

Tipp 2: Schwachstellen sichtbar machen

Cyberkriminelle arbeiten oft erstaunlich vorhersehbar. Sie suchen bekannte Sicherheitslücken, ungepatchte Systeme, falsch konfigurierte Dienste oder öffentlich erreichbare Zugänge. Deshalb sollten Unternehmen ihre Systeme regelmäßig auf Schwachstellen prüfen. Dazu gehören Penetrationstests, kurz Pen-Tests, bei denen Sicherheitslücken kontrolliert aus Angreifer-Perspektive aufgespürt werden. Ergänzend helfen Netzwerkscans, um Geräte, Dienste und potenzielle Schwachstellen innerhalb und außerhalb des Netzwerks sichtbar zu machen.
Eine Prüfung muss keine Herkulesarbeit sein. Schon ein strukturierter erster Scan kann zeigen, welche Systeme veraltet sind, welche Dienste unnötig offenstehen und welche Geräte niemand mehr aktiv verwaltet.

Tipp 3: Netzwerkfähige Geräte lückenlos erfassen

Viele Unternehmen denken beim eigenen Netzwerk zuerst an PCs, Notebooks, Server und Switches. In der Praxis hängt heute mehr am Netz. Türschließsysteme, Alarmsysteme, Beleuchtung, Telefonanlagen, Drucker, Kameras, Kühlschränke oder sogar Kaffeemaschinen können digital kommunizieren.

Für die IT-Sicherheit sind solche smarten Geräte oft tückisch: Sie werden einmal eingerichtet und anschließend vergessen. Wenn Firmware veraltet ist, Standardpasswörter nie aktualisiert worden sind oder Geräte unnötig mit dem Internet kommunizieren, öffnet sich eine digitale Flanke, die niemand mehr im Blick hat.

KMU sollten daher ein vollständiges Geräteinventar führen. Dazu gehören Gerätetyp, Hersteller, Standort, Verantwortliche, Softwarestand, Update-Status und Netzwerkzugriff. Diese Übersicht muss nicht kompliziert sein. Entscheidend ist, dass sie bei jeder neuen Anschaffung aktualisiert wird. Zudem sollte klar festgelegt sein, wer für die laufende Pflege und Kontrolle verantwortlich ist, damit das Inventar nicht nur erstellt, sondern auch tatsächlich genutzt wird.

Tipp 4: Security schlank halten

Wer auf jede neue Bedrohung mit einem neuen Tool reagiert, bläht seine Security-Landschaft auf. Dann laufen mehrere Lösungen parallel, Funktionen überschneiden sich, Verantwortlichkeiten verschwimmen und niemand erkennt mehr, welche Maßnahme welchen Zweck erfüllt.
Generell gilt: Security so viel wie nötig, so klar wie möglich. Eine schlanke Sicherheitsarchitektur hilft besonders dann, wenn interne IT-Teams klein sind oder ein externer Partner den Betrieb unterstützt.

In der Praxis bedeutet das, die Tools und Prozesse auf ihren tatsächlichen Nutzen zu prüfen. Welche Lösung schützt Endgeräte, überwacht das Netzwerk oder verwaltet Identitäten? Welche Funktionen sind doppelt vorhanden?

Tipp 5: Updates konsequent durchführen

Viele Angriffe richten sich auf bekannte Sicherheitslücken, für die längst Updates verfügbar sind. Deshalb gehören regelmäßige Updates zu den wichtigsten Grundregeln der IT-Sicherheit. Betriebssysteme, Anwendungen, Treiber, Firmware, Netzwerkkomponenten und Cloud-Dienste müssen aktuell bleiben.

Der kritische Faktor ist die Zeit zwischen Bekanntwerden einer Sicherheitslücke und Installation des Updates. Je länger diese Lücke offenbleibt, desto größer ist das Risiko. Wo möglich, sollten Updates automatisiert erfolgen. Gleichzeitig braucht es Regeln für Systeme, bei denen automatische Updates den Betrieb stören könnten, etwa in der Produktion oder bei Spezialsoftware. Dort sollten Unternehmen feste Patch-Days, Tests und klare Verantwortlichkeiten definieren. Solche Routinen schaffen eine verlässliche Grundlage für ein wirksames Update-Management.
Mitarbeitende sollten zudem nur geprüfte Anwendungen aus freigegebenen Quellen installieren können. So sinkt das Risiko, dass Schadsoftware über manipulierte Downloads oder unsichere Tools ins Unternehmen gelangt.