10 Regeln, die Ihr Unternehmen
vor Cyberangriffen schützen

Laut der Studie „Wirtschaftsschutz 2024“ des Branchenverbands Bitkom e. V. entsteht der deutschen Wirtschaft jährlich ein Schaden von über 266 Milliarden Euro durch Datendiebstahl, Spionage und Sabotage – ein erheblicher Teil davon durch Cyberangriffe. Das Bundeskriminalamt (BKA) bestätigt im Bundeslagebild Cybercrime 2023, dass insbesondere KMU zunehmend ins Visier geraten.

Für kleine und mittlere Unternehmen liegt der durchschnittliche Schaden pro Vorfall laut GDV (Gesamtverband der Deutschen Versicherungswirtschaft) zwischen 25.000 und 100.000 Euro – inklusive Betriebsunterbrechung, Datenwiederherstellung, Rechtskosten und Reputationsschaden. Der Allianz Risk Barometer 2024 stuft Cybervorfälle weltweit als Geschäftsrisiko Nr. 1 ein – noch vor Betriebsunterbrechungen und Naturkatastrophen.

Quellen: Bitkom e.V. – Wirtschaftsschutz 2024 • BKA – Bundeslagebild Cybercrime • Allianz Risk Barometer 2024 • GDV – Cyberrisiken im Mittelstand

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentrale nennen folgende Warnsignale:

1. Falsche Absenderadresse – z. B. amazon-sicherheit@gmail.com statt einer @amazon.de-Adresse. Prüfen Sie den technischen Header der Mail.
2. Künstlicher Zeitdruck – „Ihr Konto wird in 24 Stunden gesperrt“ soll Sie zu unüberlegtem Handeln drängen
3. Unpersönliche Anrede – „Sehr geehrter Kunde“ statt Ihres Namens
4. Verdächtige Links – fahren Sie mit der Maus darüber (ohne zu klicken!), um die echte Ziel-URL zu sehen
5. Ungewöhnliche Anhänge – besonders .exe, .zip, .docm oder .iso-Dateien
6. Grammatik- und Rechtschreibfehler – wobei KI-generierte Phishing-Mails laut BSI-Lagebericht 2024 zunehmend fehlerfrei sind

Im Zweifel: Rufen Sie das Unternehmen direkt über die offizielle Website-Telefonnummer an. Klicken Sie niemals auf Links in verdächtigen Mails.

Quellen: BSI – Wie erkenne ich Phishing? • Verbraucherzentrale – Phishing-Radar • BSI – Die Lage der IT-Sicherheit 2024

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinen aktuellen Richtlinien mindestens 8 Zeichen bei hoher Komplexität oder mindestens 20–25 Zeichen als Passphrase. Die US-amerikanische NIST (SP 800-63B) rät sogar von erzwungener Komplexität ab und setzt stattdessen auf Passwortlänge als wichtigsten Sicherheitsfaktor.

Zur Einordnung: Laut Hive Systems (Password Table 2024) wird ein 8-stelliges Passwort aus Kleinbuchstaben in wenigen Sekunden geknackt, während eine Passphrase wie Kaffee-Tasse-Morgen-Regen bei gleicher Merkbarkeit praktisch unknackbar ist.

Die beste Lösung: Verwenden Sie einen Passwort-Manager (z. B. Bitwarden, KeePass oder 1Password), der für jeden Dienst ein einzigartiges, zufälliges Passwort generiert. So müssen Sie sich nur ein einziges Master-Passwort merken.

Quellen: BSI – Sichere Passwörter erstellen • NIST SP 800-63B – Digital Identity Guidelines • Hive Systems – Password Table 2024

Ransomware ist Schadsoftware, die Ihre Dateien verschlüsselt und ein Lösegeld (englisch „ransom“) für die Entschlüsselung fordert. Das BSI stuft Ransomware in seinem Lagebericht 2024 als „die größte Bedrohung für Unternehmen“ ein. Bekannte Varianten sind LockBit, BlackCat/ALPHV und Cl0p. Laut Europol (IOCTA 2024) haben allein Ransomware-Gruppen in Europa 2023 Lösegeldforderungen im Milliarden-Euro-Bereich gestellt.

So schützen Sie sich laut BSI-Grundschutz:

• Regelmäßige Offline-Backups nach der 3-2-1-Regel – mindestens ein Backup muss offline sein, damit Ransomware es nicht mitverschlüsseln kann
• Betriebssystem und Software immer aktuell halten (Patch-Management)
• Nicht mit Administrator-Rechten arbeiten (Principle of Least Privilege)
• E-Mail-Anhänge nur öffnen, wenn der Absender verifiziert ist
• Makros in Office-Dokumenten standardmäßig deaktivieren

Sowohl das BSI als auch das BKA raten dringend: Zahlen Sie niemals das Lösegeld. Es gibt keine Garantie für die Entschlüsselung – und Sie finanzieren damit weitere Angriffe und organisierte Kriminalität.

Quellen: BSI – Lagebericht 2024 • Europol – IOCTA 2024 • BKA – Bundeslagebild Cybercrime • BSI IT-Grundschutz-Kompendium

Nein. Ein Virenscanner ist ein wichtiger Baustein, aber alleine nicht ausreichend. Das BSI IT-Grundschutz-Kompendium beschreibt IT-Sicherheit als mehrstufiges Konzept. Laut AV-TEST Institut (Magdeburg) werden täglich über 450.000 neue Schadprogramme registriert – signaturbasierte Scanner können mit dieser Geschwindigkeit nicht mithalten.

Moderne Angriffe nutzen häufig Zero-Day-Exploits, Social Engineering oder dateilose Malware (Fileless Malware). IT-Sicherheit basiert daher auf dem Prinzip „Defense in Depth“ – mehrere Schutzschichten gemäß BSI-Grundschutz:

• Firewall und Netzwerksegmentierung
• Aktuelle Software-Updates (Patch-Management)
• Sichere Passwörter mit Zwei-Faktor-Authentifizierung
• Regelmäßige Backups (3-2-1-Regel)
• Geschulte Mitarbeiter (Security Awareness)
• Endpoint-Protection (Virenscanner mit Verhaltensanalyse)

Die größte Schwachstelle ist und bleibt der Mensch – laut Verizon Data Breach Investigations Report (DBIR) 2024 sind 68 % aller Sicherheitsvorfälle auf menschliche Fehler zurückzuführen.

Quellen: BSI IT-Grundschutz-Kompendium • AV-TEST Institut – Malware-Statistiken • Verizon – Data Breach Investigations Report 2024

Ja, ausnahmslos. Die DSGVO (Datenschutz-Grundverordnung, EU-Verordnung 2016/679) gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet – und das tut praktisch jedes Unternehmen (Kundendaten, Mitarbeiterdaten, E-Mail-Adressen).

Artikel 32 DSGVO („Sicherheit der Verarbeitung“) verpflichtet Sie zu geeigneten technischen und organisatorischen Maßnahmen. Der Bundesbeauftragte für den Datenschutz (BfDI) konkretisiert dies u. a.:

• Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a)
• Zugangskontrollen und Berechtigungskonzepte
• Regelmäßige Datensicherungen
• Meldung von Datenschutzverletzungen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde (Art. 33 DSGVO)

Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 DSGVO). Laut der DSGVO-Bußgelddatenbank von enforcementtracker.com wurden allein in Deutschland bereits dreistellige Millionenbeträge verhängt.

Quellen: EU-Verordnung 2016/679 (DSGVO) • BfDI – Technische und organisatorische Maßnahmen • GDPR Enforcement Tracker (CMS Law)

Das BSI und die Polizeiliche Kriminalprävention (polizei-beratung.de) empfehlen folgende Sofortmaßnahmen:

1. Netzwerk trennen – WLAN deaktivieren, LAN-Kabel ziehen, um eine Ausbreitung von Schadsoftware zu verhindern
2. Passwörter ändern – alle auf der gefälschten Seite eingegebenen Zugangsdaten sofort über ein anderes, sicheres Gerät ändern
3. 2FA aktivieren – falls noch nicht geschehen, jetzt einrichten
4. IT-Abteilung informieren – oder Ihren IT-Dienstleister anrufen
5. Bankkonten prüfen – auf verdächtige Buchungen kontrollieren, ggf. Bank informieren und Karten sperren lassen
6. Anzeige erstatten – über die Online-Wache Ihres Bundeslandes oder bei der lokalen Polizeidienststelle
7. Gerät scannen – vollständigen Malware-Scan durchführen lassen

Je schneller Sie reagieren, desto geringer ist der potenzielle Schaden. Wichtig bei Unternehmen: Bei einem möglichen Datenschutzvorfall muss laut DSGVO Art. 33 innerhalb von 72 Stunden die zuständige Datenschutzbehörde informiert werden.

Quellen: BSI – Erste Hilfe bei IT-Sicherheitsvorfällen • Polizeiliche Kriminalprävention – Phishing • DSGVO Art. 33 (Meldepflicht)

Die Backup-Häufigkeit hängt davon ab, wie viele Daten Ihr Unternehmen sich leisten kann zu verlieren – im Fachjargon: Recovery Point Objective (RPO). Das BSI IT-Grundschutz-Kompendium (Baustein CON.3 „Datensicherungskonzept“) definiert klare Anforderungen an Backup-Strategien.

Als Faustregel für KMU:

• Täglich: Inkrementelle Backups aller geschäftskritischen Daten (Minimum)
• Wöchentlich: Vollständiges Backup aller Systeme
• Online-Shops / hohes Volumen: Stündlich oder kontinuierliche Replikation

Halten Sie sich unbedingt an die 3-2-1-Regel (empfohlen u. a. von BSI und US-CERT): 3 Kopien, 2 verschiedene Medien, 1 davon extern gelagert. Das BSI betont ausdrücklich: Testen Sie die Wiederherstellung regelmäßig – ein Backup, das sich nicht wiederherstellen lässt, ist wertlos. Automatisieren Sie den gesamten Prozess, damit kein Backup vergessen wird.

Quellen: BSI IT-Grundschutz, Baustein CON.3 • BSI – Datensicherung • CISA (US-CERT) – Data Backup Options

Social Engineering bezeichnet die psychologische Manipulation von Menschen, um an vertrauliche Informationen oder Zugänge zu gelangen. Statt technische Schwachstellen auszunutzen, zielen Angreifer auf menschliche Eigenschaften: Hilfsbereitschaft, Vertrauen, Angst oder Zeitdruck. Das BSI widmet dem Thema einen eigenen Bereich und warnt: Social Engineering ist der häufigste Einstiegspunkt für Cyberangriffe.

Typische Angriffsmethoden laut BKA und Europol:

• CEO-Fraud / BEC – gefälschte Mails, die vorgeben, von der Geschäftsführung zu stammen. Laut FBI (IC3 Report 2023) verursacht Business E-Mail Compromise weltweit die höchsten Schäden aller Cybercrime-Kategorien.
• Tech-Support-Scam – Anrufe von angeblichen Microsoft-Mitarbeitern
• Spear-Phishing – maßgeschneiderte E-Mails mit persönlichen Informationen aus sozialen Netzwerken (LinkedIn, XING)
• Tailgating – unbefugtes Mitlaufen durch gesicherte Türen im Büro

Social Engineering ist deshalb so gefährlich, weil selbst die beste Firewall nutzlos ist, wenn ein Mitarbeiter dem Angreifer freiwillig Zugangsdaten gibt. Regelmäßige Awareness-Schulungen sind der wichtigste Schutz.

Quellen: BSI – Social Engineering • BKA – Bundeslagebild Cybercrime • FBI – IC3 Internet Crime Report • Europol – IOCTA 2024

Laut dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) haben nur rund 20 % der kleinen und mittleren Unternehmen eine Cyber-Versicherung – obwohl eine solche zunehmend sinnvoll ist. Sie ersetzt aber keine IT-Sicherheitsmaßnahmen. Der GDV betont: „Versicherung schützt vor den finanziellen Folgen – nicht vor dem Angriff selbst.“

Eine Cyber-Police übernimmt typischerweise:

• Kosten für IT-Forensik und Datenwiederherstellung
• Betriebsunterbrechungsschäden (Umsatzausfälle während der Wiederherstellung)
• Haftpflichtansprüche bei Datenschutzverletzungen gegenüber Dritten
• Kosten für Krisenkommunikation, Rechtsberatung und Benachrichtigung Betroffener

Wichtig: Versicherer prüfen vor Vertragsabschluss Ihr IT-Sicherheitsniveau. Die GDV-Musterbedingungen für Cyber-Versicherungen setzen Mindeststandards voraus: regelmäßige Backups, Firewall, aktuelle Software, individuelle Zugangsdaten und Mitarbeiterschulungen. Ohne diese Grundlagen erhalten Sie entweder keinen Versicherungsschutz – oder die Versicherung verweigert im Schadensfall die Leistung (Obliegenheitsverletzung).

Quellen: GDV – Cyberrisiken im Mittelstand • GDV – Musterbedingungen Cyber-Versicherung • IHK – IT-Sicherheit für Unternehmen