74 % der KMU kümmern sich selbst um ihre Cybersicherheit. Genau das ist das Problem.
Drei von vier Kleinunternehmern managen ihre Cybersicherheit selbst. Oder übergeben es an ein ungeschultes Familienmitglied. Oder hoffen einfach das Beste.
Nur 14 % haben einen formalen Cybersicherheitsplan. Nur 29 % bewerten ihre Abwehr als ausgereift. Und 55 % sagen, ein Cyberangriff mit weniger als 50.000 Euro Schaden würde ihr Geschäft bedrohen.
Deutschland ist Europas Ziel Nummer eins für Cyberangriffe. NIS2 weitet die Cybersicherheitspflichten auf 29.000 Organisationen aus. Selbst wenn Sie nicht direkt betroffen sind, erwarten Ihre Kunden und Partner zunehmend, dass Sie Ihre Sicherheit im Griff haben.
Dieser Leitfaden gibt Ihnen einen praktischen Notfallplan. Kein 100-seitiges Dokument, das niemand liest. Ein Rahmenwerk, das Ihr tatsächliches Team umsetzen kann.
Warum KMU das Ziel sind
Angreifer nehmen KMU nicht ins Visier, weil sie wertvoll sind. Sondern weil sie leicht sind.
Großunternehmen haben SOC-Teams, Endpoint Detection, Netzwerküberwachung und dedizierte Incident-Response-Playbooks. KMU haben ein geteiltes Admin-Passwort und Antivirensoftware von 2022. Ransomware-Gangs haben ihren Fokus gezielt auf den Mittelstand verlagert.
Die durchschnittlichen Kosten einer Datenpanne für Organisationen unter 500 Beschäftigten lagen 2024 bei 3,31 Millionen USD. Für die meisten KMU ist das existenzbedrohend.
Was ein IT-Notfallplan ist
Ein IT-Notfallplan ist eine dokumentierte, Schritt-für-Schritt-Anleitung, der Ihr Team folgt, wenn ein Sicherheitsvorfall eintritt: wer was tut, in welcher Reihenfolge, und wie Sie eindämmen, untersuchen und wiederherstellen. Er macht aus Panik eine Checkliste.
Die guten sind kurz. Sie nennen die Verantwortlichen, listen die kritischen Systeme, beschreiben die erste Stunde und legen die Meldefristen fest. Die schlechten sind 100-seitige Ordner, die niemand öffnet, wenn der Alarm losgeht.
Ein Plan erfüllt drei Aufgaben. Er begrenzt den Schaden, weil Sie schneller zur Eindämmung kommen, und er hält Sie rechtskonform, weil Sie die Meldefristen einhalten. Vor allem aber macht er den nächsten Vorfall günstiger, weil Sie aus dem letzten gelernt haben.
Das Incident-Response-Framework
Sechs Phasen. Einfach genug zum Merken. Detailliert genug, um tatsächlich zu funktionieren.
Phase 1: Vorbereitung (jetzt machen)
Kritische Systeme identifizieren. Was würde Ihr Geschäft lahmlegen, wenn es offline geht? Kundendatenbank, E-Mail, Buchhaltung, Produktionssysteme, Website. Priorisieren Sie.
Rollen definieren. Wer trifft Entscheidungen während eines Vorfalls? Wer kommuniziert mit Kunden? Wer übernimmt die technische Reaktion? Sie brauchen kein 10-Personen-Team. Sie brauchen drei Personen, die ihre Rolle kennen.
Offline-Kontakte einrichten. Wenn Ihr E-Mail-Server kompromittiert ist, wie erreichen Sie Ihr Team? Persönliche Telefonnummern, eine Signal-Gruppe, eine sekundäre E-Mail-Domain. Aufschreiben. Ausdrucken.
Grundlegendes Monitoring konfigurieren. Sie können nicht auf etwas reagieren, das Sie nicht sehen. Mindestens: zentralisierte Protokollierung für Authentifizierungsereignisse, Alarme für fehlgeschlagene Login-Muster, Überwachung ungewöhnlicher Datenzugriffe.
NIS2-Pflichten klären. Wenn Sie betroffen sind, müssen Sie bedeutende Vorfälle innerhalb von 24 Stunden an das BSI melden. Kennen Sie den Prozess. Klären Sie das nicht während einer Krise. Unser NIS2-Compliance-Leitfaden führt durch die vollständigen Anforderungen.
Phase 2: Erkennung
Etwas stimmt nicht. Ein Mitarbeitender meldet eine Phishing-E-Mail. Ihr Monitoring markiert ungewöhnliche Login-Aktivität.
Vorfall verifizieren. Nicht jeder Alarm ist ein Vorfall. Aber lieber einen Fehlalarm untersuchen als einen echten Verstoß abtun.
Schweregrad klassifizieren. Einzelnes kompromittiertes Konto? Ransomware-Infektion? Datenleck?
Ab Minute eins dokumentieren. Alles mit Zeitstempel versehen. Wer hat was bemerkt, wann. Welche Systeme sind betroffen. Diese Dokumentation wird Ihre Beweiskette und Ihr regulatorischer Bericht.
Phase 3: Eindämmung
Die Blutung stoppen. Den Schaden begrenzen. Noch nichts reparieren. Nur eindämmen.
Betroffene Systeme vom Netzwerk isolieren. Kompromittierte Konten deaktivieren. Bösartige IP-Adressen blockieren.
Wichtige Regel: Betroffene Systeme nicht abschalten. Ordnungsgemäß herunterfahren oder vom Netzwerk trennen.
Forensische Beweise leben im Arbeitsspeicher. Den Stecker ziehen zerstört sie.
Phase 4: Beseitigung
Ursache finden. Vollständig entfernen.
War der Einstiegspunkt eine Phishing-E-Mail? Identifizieren Sie jedes System, auf das der Angreifer zugegriffen hat. War es eine ungepatchte Schwachstelle? Patchen Sie alles. Waren es kompromittierte Anmeldedaten? Alle zurücksetzen.
Prüfen Sie auf Persistenzmechanismen: geplante Tasks, modifizierte Startskripte, Hintertür-Konten.
Phase 5: Wiederherstellung
Systeme zurückbringen. Vorsichtig.
Aus bekannt guten Backups wiederherstellen. Integrität überprüfen, bevor Sie wieder ans Netzwerk gehen. Wiederhergestellte Systeme in den ersten 48-72 Stunden intensiv überwachen.
Nach Ihrer Prioritätsliste aus Phase 1 vorgehen. Kundenorientierte Systeme zuerst.
Phase 6: Nachbereitung
Innerhalb einer Woche nach der Lösung ein schuldfreies Post-Mortem durchführen. Was ist passiert? Wann haben Sie es erkannt? Wie lange dauerte die Eindämmung?
Erkenntnisse in konkrete Verbesserungen umsetzen. Dokumentieren. Mit dem Team teilen. So werden Sie besser.
Vorlage: Ein einseitiger IT-Notfallplan
Sie brauchen keine Software, um anzufangen. Sie brauchen eine einzige Seite, die Ihr Team um drei Uhr nachts tatsächlich findet. Kopieren Sie diese Vorlage, füllen Sie die Lücken aus, drucken Sie sie aus und hängen Sie sie an einen Ort, der nicht Ihr primäres IT-System ist.
IT-NOTFALLPLAN :: [Firmenname] Zuletzt geprüft: [Datum]
1. KONTAKTE (auch ohne Firmennetz erreichbar)
Vorfallleitung ......... [Name / Mobil / Signal]
Technische Reaktion .... [Name / Mobil]
Kommunikation .......... [Name / Mobil]
Externe IT / MSP ....... [Firma / 24h-Nummer]
Cyber-Versicherung ..... [Police-Nr. / Nummer]
Recht / DSB ............ [Name / Nummer]
2. KRITISCHE SYSTEME (Wiederherstellungsreihenfolge)
1) ____________________ 3) ____________________
2) ____________________ 4) ____________________
3. ERSTE STUNDE
[ ] Vorfall verifizieren (kein Fehlalarm)
[ ] Protokoll mit Zeitstempel starten: wer, was, wann
[ ] Klassifizieren: Konto / Ransomware / Datenleck
[ ] Eindämmen: vom Netzwerk isolieren, Konten sperren
[ ] Systeme NICHT abschalten (Beweise im Speicher)
[ ] Vorfallleitung informieren
4. MELDEUHR (ab Erkennung zählen)
[ ] BSI innerhalb 24h (falls NIS2-betroffen)
[ ] Aufsichtsbehörde innerhalb 72h (bei personenbez. Daten)
[ ] Betroffene Personen (bei hohem Risiko)
5. WIEDERHERSTELLUNG
[ ] Aus bekannt gutem, getestetem Backup zurückspielen
[ ] Integrität prüfen vor dem Wiederverbinden
[ ] Systeme 48-72h auf schlafende Schadsoftware überwachen
6. DANACH (innerhalb einer Woche)
[ ] Schuldfreies Post-Mortem
[ ] Eine konkrete Verbesserung, mit Verantwortlichem
Das ist alles. Sechs Kästchen. Füllen Sie sie aus, bevor Sie sie brauchen, und der schlimmste Tag des Jahres wird zu einer Liste, die Sie abarbeiten, statt zu einer Frage, die Sie in Panik versetzt.
Wollen Sie die Vorlage auf Herz und Nieren prüfen? Spielen Sie eine Tabletop-Übung durch: ein Szenario wählen, jedes Kästchen laut durchgehen und notieren, wo Sie ins Stocken geraten. Die Lücken aus dem Trockenlauf sind genau die Lücken, die Sie sonst im Ernstfall finden.
Regulatorische Meldepflichten
Unter NIS2 (wenn betroffen):
- Innerhalb von 24 Stunden: Erstmeldung an das BSI.
- Innerhalb von 72 Stunden: Umfassender Bericht.
- Innerhalb eines Monats: Abschlussbericht mit Ursachenanalyse.
Unter DSGVO (wenn personenbezogene Daten betroffen):
- Innerhalb von 72 Stunden: Meldung an die zuständige Aufsichtsbehörde. In Deutschland typischerweise die Landesdatenschutzbehörde.
- Ohne unangemessene Verzögerung: Betroffene Personen benachrichtigen, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.
Der Mindest-Sicherheitsstack für KMU
Sie brauchen keine Enterprise-Tools. Sie brauchen die Grundlagen, richtig umgesetzt.
Multi-Faktor-Authentifizierung auf allem. E-Mail, Cloud-Dienste, Admin-Panels, VPN. Nicht verhandelbar.
Automatisiertes Patching für Betriebssysteme und kritische Software.
E-Mail-Sicherheit mit Anti-Phishing und Anti-Spoofing (DMARC, DKIM, SPF). Phishing ist der Angriffsvektor Nummer eins für KMU.
Verschlüsselte Backups, monatlich getestet. Die 3-2-1-Regel: drei Kopien, zwei verschiedene Medientypen, eine extern. Wiederherstellung mindestens vierteljährlich testen.
Endpoint Protection auf jedem Gerät. Moderne EDR ist besser als traditioneller Virenschutz.
Für den breiteren Compliance-Kontext siehe unseren Pillar-Guide zur EU-Compliance für Softwareteams. Und für Software, die Audits bestehen muss: unser Security-by-Design-Leitfaden.
Brauchen Sie Hilfe beim Aufbau einer Cybersicherheitsgrundlage für Ihr Unternehmen? Lassen Sie uns Ihren aktuellen Stand bewerten. Wir identifizieren die Lücken und erstellen einen praktischen Sicherheitsfahrplan, der zu Ihrem Team und Budget passt.