74 % der KMU kümmern sich selbst um ihre Cybersicherheit. Genau das ist das Problem.
Drei von vier Kleinunternehmern managen ihre Cybersicherheit selbst. Oder übergeben es an ein ungeschultes Familienmitglied. Oder hoffen einfach das Beste.
Nur 14 % haben einen formalen Cybersicherheitsplan. Nur 29 % bewerten ihre Abwehr als ausgereift. Und 55 % sagen, ein Cyberangriff mit weniger als 50.000 Euro Schaden würde ihr Geschäft bedrohen.
Deutschland ist Europas Ziel Nummer eins für Cyberangriffe. NIS2 weitet die Cybersicherheitspflichten auf 29.000 Organisationen aus. Selbst wenn Sie nicht direkt betroffen sind, erwarten Ihre Kunden und Partner zunehmend, dass Sie Ihre Sicherheit im Griff haben.
Dieser Leitfaden gibt Ihnen einen praktischen Notfallplan. Kein 100-seitiges Dokument, das niemand liest. Ein Rahmenwerk, das Ihr tatsächliches Team umsetzen kann.
Warum KMU das Ziel sind
Angreifer nehmen KMU nicht ins Visier, weil sie wertvoll sind. Sondern weil sie leicht sind.
Großunternehmen haben SOC-Teams, Endpoint Detection, Netzwerküberwachung und dedizierte Incident-Response-Playbooks. KMU haben ein geteiltes Admin-Passwort und Antivirensoftware von 2022. Ransomware-Gangs haben ihren Fokus gezielt auf den Mittelstand verlagert.
Die durchschnittlichen Kosten einer Datenpanne für Organisationen unter 500 Beschäftigten lagen 2024 bei 3,31 Millionen USD. Für die meisten KMU ist das existenzbedrohend.
Das Incident-Response-Framework
Sechs Phasen. Einfach genug zum Merken. Detailliert genug, um tatsächlich zu funktionieren.
Phase 1: Vorbereitung (jetzt machen)
Kritische Systeme identifizieren. Was würde Ihr Geschäft lahmlegen, wenn es offline geht? Kundendatenbank, E-Mail, Buchhaltung, Produktionssysteme, Website. Priorisieren Sie.
Rollen definieren. Wer trifft Entscheidungen während eines Vorfalls? Wer kommuniziert mit Kunden? Wer übernimmt die technische Reaktion? Sie brauchen kein 10-Personen-Team. Sie brauchen drei Personen, die ihre Rolle kennen.
Offline-Kontakte einrichten. Wenn Ihr E-Mail-Server kompromittiert ist, wie erreichen Sie Ihr Team? Persönliche Telefonnummern, eine Signal-Gruppe, eine sekundäre E-Mail-Domain. Aufschreiben. Ausdrucken.
Grundlegendes Monitoring konfigurieren. Sie können nicht auf etwas reagieren, das Sie nicht sehen. Mindestens: zentralisierte Protokollierung für Authentifizierungsereignisse, Alarme für fehlgeschlagene Login-Muster, Überwachung ungewöhnlicher Datenzugriffe.
NIS2-Pflichten klären. Wenn Sie betroffen sind, müssen Sie bedeutende Vorfälle innerhalb von 24 Stunden an das BSI melden. Kennen Sie den Prozess. Klären Sie das nicht während einer Krise. Unser NIS2-Compliance-Leitfaden führt durch die vollständigen Anforderungen.
Phase 2: Erkennung
Etwas stimmt nicht. Ein Mitarbeitender meldet eine Phishing-E-Mail. Ihr Monitoring markiert ungewöhnliche Login-Aktivität.
Vorfall verifizieren. Nicht jeder Alarm ist ein Vorfall. Aber lieber einen Fehlalarm untersuchen als einen echten Verstoß abtun.
Schweregrad klassifizieren. Einzelnes kompromittiertes Konto? Ransomware-Infektion? Datenleck?
Ab Minute eins dokumentieren. Alles mit Zeitstempel versehen. Wer hat was bemerkt, wann. Welche Systeme sind betroffen. Diese Dokumentation wird Ihre Beweiskette und Ihr regulatorischer Bericht.
Phase 3: Eindämmung
Die Blutung stoppen. Den Schaden begrenzen. Noch nichts reparieren. Nur eindämmen.
Betroffene Systeme vom Netzwerk isolieren. Kompromittierte Konten deaktivieren. Bösartige IP-Adressen blockieren.
Wichtige Regel: Betroffene Systeme nicht abschalten. Ordnungsgemäß herunterfahren oder vom Netzwerk trennen.
Forensische Beweise leben im Arbeitsspeicher. Den Stecker ziehen zerstört sie.
Phase 4: Beseitigung
Ursache finden. Vollständig entfernen.
War der Einstiegspunkt eine Phishing-E-Mail? Identifizieren Sie jedes System, auf das der Angreifer zugegriffen hat. War es eine ungepatchte Schwachstelle? Patchen Sie alles. Waren es kompromittierte Anmeldedaten? Alle zurücksetzen.
Prüfen Sie auf Persistenzmechanismen: geplante Tasks, modifizierte Startskripte, Hintertür-Konten.
Phase 5: Wiederherstellung
Systeme zurückbringen. Vorsichtig.
Aus bekannt guten Backups wiederherstellen. Integrität überprüfen, bevor Sie wieder ans Netzwerk gehen. Wiederhergestellte Systeme in den ersten 48-72 Stunden intensiv überwachen.
Nach Ihrer Prioritätsliste aus Phase 1 vorgehen. Kundenorientierte Systeme zuerst.
Phase 6: Nachbereitung
Innerhalb einer Woche nach der Lösung ein schuldenfreies Post-Mortem durchführen. Was ist passiert? Wann haben Sie es erkannt? Wie lange dauerte die Eindämmung?
Erkenntnisse in konkrete Verbesserungen umsetzen. Dokumentieren. Mit dem Team teilen. So werden Sie besser.
Regulatorische Meldepflichten
Unter NIS2 (wenn betroffen):
- Innerhalb von 24 Stunden: Erstmeldung an das BSI.
- Innerhalb von 72 Stunden: Umfassender Bericht.
- Innerhalb eines Monats: Abschlussbericht mit Ursachenanalyse.
Unter DSGVO (wenn personenbezogene Daten betroffen):
- Innerhalb von 72 Stunden: Meldung an die zuständige Aufsichtsbehörde. In Deutschland typischerweise die Landesdatenschutzbehörde.
- Ohne unangemessene Verzögerung: Betroffene Personen benachrichtigen, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.
Der Mindest-Sicherheitsstack für KMU
Sie brauchen keine Enterprise-Tools. Sie brauchen die Grundlagen, richtig umgesetzt.
Multi-Faktor-Authentifizierung auf allem. E-Mail, Cloud-Dienste, Admin-Panels, VPN. Nicht verhandelbar.
Automatisiertes Patching für Betriebssysteme und kritische Software.
E-Mail-Sicherheit mit Anti-Phishing und Anti-Spoofing (DMARC, DKIM, SPF). Phishing ist der Angriffsvektor Nummer eins für KMU.
Verschlüsselte Backups, monatlich getestet. Die 3-2-1-Regel: drei Kopien, zwei verschiedene Medientypen, eine extern. Wiederherstellung mindestens vierteljährlich testen.
Endpoint Protection auf jedem Gerät. Moderne EDR ist besser als traditioneller Virenschutz.
Für den breiteren Compliance-Kontext siehe unseren Pillar-Guide zur EU-Compliance für Softwareteams. Und für Software, die Audits bestehen muss: unser Security-by-Design-Leitfaden.
Brauchen Sie Hilfe beim Aufbau einer Cybersicherheitsgrundlage für Ihr Unternehmen? Lassen Sie uns Ihren aktuellen Stand bewerten. Wir identifizieren die Lücken und erstellen einen praktischen Sicherheitsfahrplan, der zu Ihrem Team und Budget passt.
