Für ZuhauseFür Unternehmen
IT-Basisschutz

Sechs wichtige Sicherheitsmaßnahmen

Ein Mann sitzt im Büro vor einem Laptop und grübelt über einen erfolgreichen Cyberangriff auf seinen Arbeitgeber nach.

Letzte Aktualisierung:

29.04.2026

7 Minuten

IT-Basisschutz für Unternehmen: Mehr als nur Technik

9 von 10 Unternehmen wurden laut dem Branchenverband Bitkom im letzten Jahr angegriffen. Dabei geraten laut dem Bundeslagebericht Cybercrime auch immer mehr kleine und mittelständische Unternehmen ins Visier von Cyberkriminellen, da sie vermeintlich schlechter geschützt sind. Erfolgreiche Cyberangriffe können zu massiven Schäden bis hin zur Insolvenz führen. Vor diesem Hintergrund ist es unerlässlich, dass alle Unternehmen über einen IT-Basisschutz verfügen.

Dabei geht es um mehr als nur eine Firewall als „digitalen Türsteher“. IT-Sicherheit muss als strategischer Prozess fest in Ihrem Unternehmen verankert sein. Sie sollten zudem gängige Managementansätze und Branchenstandards für IT-Sicherheit kennen. In unserem Artikel zeigen wir Ihnen, welche davon für Sie relevant sind und wie Sie mit sechs konkreten Maßnahmen Sie ein belastbares Fundament für Ihren IT-Basisschutz schaffen können.

Inhalt

Warum ein strategischer Rahmen? ISMS-Aufbau und Risikoanalyse als Fundament

Maßnahmen zur Erhöhung der IT-Sicherheit und zum Aufbau eines IT-Basisschutzes benötigen eine zugrundeliegende Strategie, um wirksam zu sein. Nur mit einem soliden strategischen Fundament können Sie entscheiden, welche Maßnahmen Sie wirklich benötigen, und deren Effizienz und Effektivität messen. Ein Informationssicherheitsmanagementsystem (ISMS) ist ein gängiger Managementansatz, um Informationen, IT-Systeme und Prozesse in Ihrem Unternehmen systematisch, kontinuierlich und gezielt zu schützen. Das oberste Ziel eines ISMS besteht darin, die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten dauerhaft zu gewährleisten. Ein ISMS schafft den organisatorischen Rahmen für Ihre Informationssicherheit, indem es Zuständigkeiten, Regeln, Prozesse, Kontrollen und Verbesserungsmechanismen etabliert. Im Mittelpunkt steht dabei eine ausführliche Risikoanalyse, die klärt, was in Ihrem Unternehmen geschützt werden muss, welche Bedrohungen oder Schwachstellen es gibt und welche Risiken sich daraus ergeben. Nur so können Sie Schritt für Schritt entscheiden, welche Sicherheitsmaßnahmen sinnvoll, notwendig und wirtschaftlich sind.

Schritt 1: Was habe ich? Das Asset-Inventar

Identifizieren und katalogisieren Sie zunächst alle Ihre schützenswerten Assets. Dazu zählt alles, dessen Verlust, Manipulation oder Ausfall Ihrem Unternehmen finanziell, rechtlich oder Ihrer Reputation schadet.

Typischerweise umfassen Ihre Assets:

  • Informationen und Daten
  • IT-Systeme und -Anwendungen
  • Hardware und IT-Infrastruktur
  • Prozesse und Services
  • Menschen und Rollen
  • Externe Abhängigkeiten

Schritt 2: Wie schützenswert ist es? Die Schutzbedarfsfeststellung

Als Nächstes bewerten Sie, wie schützenswert jedes einzelne Asset ist. Während Sie ohne Ihr Warenwirtschaftssystem möglicherweise gar nicht mehr handlungsfähig wären, könnten Sie eine nicht mehr automatisch abschaltende Heizungsanlage eine Weile verkraften. Bei jedem Asset wird bewertet, welche Auswirkungen ein Schaden hätte. Dabei ist die Höhe des Schadens entscheidend, nicht die Wahrscheinlichkeit des Eintretens.

In der Regel orientieren Sie sich dabei an drei Schutzzielen:

Vertraulichkeit: Was passiert, wenn Unbefugte Zugriff auf das Asset erhalten?

Integrität: Was passiert, wenn Informationen oder Systeme manipuliert werden?

Verfügbarkeit: Was passiert, wenn das Asset nicht mehr nutzbar ist?

Anhand dieser Ziele und Ihrer Bewertung werden alle Assets in eine von drei Schutzbedarfskategorien eingeordnet:

Niedrig: geringe Auswirkungen, gut verkraftbar

Mittel: spürbare, aber beherrschbare Schäden

Hoch: existenzielle, rechtliche oder massive wirtschaftliche Schäden

Außerdem sollten Sie in diesem Zusammenhang auch Abhängigkeiten betrachten. Wo fallen durch den Ausfall eines Systems direkt andere Assets aus? Die Unterbrechung der Internetanbindung hat beispielsweise zur Folge, dass Telefon und E-Mail nicht funktionieren, kein VPN-Zugriff möglich ist, Kund:innen nicht elektronisch bezahlen können und Sie kein Backup erstellen können. Insgesamt wird so schnell klar, bei welchen Assets ein IT-Basisschutz ausreicht, wo höhere Maßnahmen erforderlich sind und wo Sie Risiken bewusst akzeptieren können.

Schritt 3: Kontinuierliche Verbesserung mit dem ISMS (Plan-Do-Check-Act)

Ein Informationssicherheitsmanagementsystem (ISMS) ist nicht statisch, sondern ein durchgehender Prozess, der dem PDCA-Zyklus (Plan-Do-Check-Act) folgt. So wird sichergestellt, dass der IT-Basisschutz nicht nur einmal eingeführt und abgehakt wird, sondern dauerhaft wirksam bleibt.

Die Phasen des PDCA-Zyklus:

Plan: Hier planen Sie, was geschützt werden muss (Asset-Inventar und Schutzbedarfsfeststellung).

Do: Hier setzen Sie alle technischen und organisatorischen Maßnahmen um, die sinnvoll sind.

Check: Überprüfen Sie mithilfe von Reviews oder Stichproben, ob Ihre Maßnahmen funktionieren (Haben sich Risiken oder Assets verändert? Gab es Sicherheitsvorfälle?).

Act: Verbessern Sie Ihren IT-Basisschutz anhand der Erkenntnisse aus „Check“. Bewerten Sie Risiken neu, passen Sie Ihre Prioritäten an und starten Sie den Zyklus erneut.

Alternativ oder zusätzlich kann hier auch eine Grafik des PDCA-Zyklus eingebaut werden.

Wie gut ist Ihr Unternehmen beim Thema IT-Sicherheit aufgestellt? 

Jetzt beraten lassen

Compliance-Anforderungen meistern: BSI, ISO 27001, NIS2 und DSGVO im Fokus

Der PDCA-Zyklus und der ISMS-Ansatz sind für die Informationssicherheit von entscheidender Bedeutung und daher fest in Normen und gesetzlichen Vorgaben wie der ISO/IEC 27001 und dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) verankert. Eine Compliance mit diesen Standards ist für viele Unternehmen daher Pflicht. Zudem kann sie bei Audits oder öffentlichen Ausschreibungen ein Wettbewerbsvorteil sein und schafft Vertrauen bei Kund:innen, Partner:innen und Lieferant:innen. Ein IT-Basisschutz ist die Voraussetzung für die Erfüllung dieser Compliance-Anforderungen und oft auch ausreichend.

BSI IT-Grundschutz: Der deutsche Standard für solide Sicherheit

Der IT-Grundschutz des BSI ist ein Rahmenwerk, das Unternehmen dabei unterstützt, systematisch und praxisnah ein angemessenes Mindestniveau an Informationssicherheit aufzubauen – einen IT-Basisschutz.

Der IT-Grundschutz ist seit über 25 Jahren die bewährte Methodik im Arbeitsalltag von Verantwortlichen in Behörden und Unternehmen: Welche Anforderungen an Informationssicherheit sind wichtig, welche Regelungen müssen definiert werden?

(Zitat aus der Broschüre „Informationssicherheit mit System Der IT-Grundschutz des BSI“ vom BSI)

Im Vordergrund stehen dabei keine individuellen Sicherheitsmaßnahmen, sondern vordefinierte, bewährte Sicherheitsanforderungen, die die typischen Risiken der meisten Unternehmen abdecken. Der IT-Grundschutz übersetzt das Ziel „IT-Sicherheit“ mit Struktur statt Aktionismus in konkrete, nachvollziehbare Maßnahmen, sodass Unternehmen wissen, wo sie anfangen müssen, um einen wirksamen IT-Basisschutz aufzubauen. Der Grundschutz ist risikoorientiert, aber pragmatisch und vollständig kompatibel mit einem ISMS nach ISO/IEC 27001.

ISO 27001: Internationale Anerkennung und Vertrauen

Die Norm ISO 27001 (bzw. IEC 27001) ist ein international anerkannter Standard für den Aufbau, den Betrieb und die kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS). Sie definiert keine konkreten technischen Lösungen, sondern bildet einen Managementrahmen, mit dem Unternehmen ihre IT-Sicherheit steigern können. Im Kontext des IT-Basisschutzes ist es weniger ein „Zertifizierungsziel“, sondern vielmehr ein Ordnungsrahmen, der eine Planung, Priorisierung, Dokumentation und überprüfbare Umsetzung von Sicherheitsmaßnahmen ermöglicht.

Die ISO 27001 legt konkret fest:

  • Wie Informationssicherheit organisiert werden muss
  • Wie Risiken identifiziert und bewerten werden
  • Wie Maßnahmen abgeleitet, umgesetzt und überprüft werden
  • Wie Verantwortung und Kontrolle sichergestellt werden

Die ISO 27001 und der IT-Grundschutz des BSI können zusammenwirken, um einen wirksamen IT-Basisschutz zu erreichen. Dabei wird im Basisschutz das Ziel verfolgt, ein angemessenes Mindestniveau an IT-Sicherheit aufzubauen. Die ISO 27001 liefert den Managementrahmen, um dieses Ziel systematisch zu erreichen, während der IT-Grundschutz des BSI als operative Umsetzungshilfe dient.

Die Summe des IT-Basisschutzes

Struktur (ISO 27001) + Inhalte (IT-Grundschutz) = wirksamer IT-Basisschutz


NIS2 und DSGVO: Gesetzliche Pflichten und Audit-Vorteile

Die NIS2-Richtlinie der EU legt fest, welche Unternehmen zur kritischen Infrastruktur eines Landes zählen und somit besonders vor Ausfällen und unbefugtem Zugriff geschützt werden müssen. Die DSGVO regelt den Umgang mit und die Sicherung von personenbezogenen Daten, die in einem Unternehmen verarbeitet und gespeichert werden. Beide Vorgaben fordern Informations- und IT-Sicherheit, nennen jedoch keine konkreten Technologien.

Im Rahmen der DSGVO müssen personenbezogene Daten mit „geeigneten technischen und organisatorischen Maßnahmen“ geschützt werden. Der IT-Basisschutz liefert genau die Struktur, die die DSGVO verlangt. Eine Compliance ohne IT-Basisschutz ist nahezu nicht erreichbar und vor allem auch nicht nachweisbar.

Strukturell erfüllt der IT-Basisschutz auch die Vorgaben der NIS2-Richtlinie. Es werden dieselben Grundprinzipien gefordert, darunter ein ISMS anstelle von Einzelmaßnahmen sowie klare Verantwortlichkeiten und Prozesse. Die NIS2 geht jedoch noch deutlich weiter, sodass ein IT-Basisschutz bei den betroffenen Unternehmen oft nicht mehr ausreicht.

Die Top 6 Maßnahmen für Ihren IT-Basisschutz

Wenn Ihr strategisches und organisatorisches Grundgerüst steht, müssen Sie es mit den passenden IT-Sicherheitsmaßnahmen füllen, um einen IT-Basisschutz zu erreichen. Im Folgenden stellen wir Ihnen daher die sechs wichtigsten Maßnahmen vor, die in Ihrem Unternehmen den Kern Ihres operativen IT-Basisschutzes darstellen sollten, um Ihre Daten und Ihr Netzwerk effektiv zu schützen.

1. Der digitale Türsteher vor jedem Firmengebäude: die Internet-Firewall

Eine Firewall – zu Deutsch „Brandmauer“ – ist das Kernstück Ihres IT-Basisschutzes. Sie überwacht und analysiert den Datenverkehr, der in Ihr Unternehmen hineinfließt. Wie ein Türsteher vor einer Diskothek. Sie entscheidet, welche Daten weitergeleitet werden und verhindert so, dass schädliche Datenpakete in Ihr Netzwerk gelangen. Dabei ist die richtige, individuelle Konfiguration Ihrer Firewall entscheidend, die regelmäßig überprüft und angepasst werden sollte. Darüber hinaus muss auch die Software der Firewall immer auf dem neuesten Stand sein.

Dos im Firewall-Management

  • Regelmäßige Aktualisierung der Firewall-Regeln und -Konfiguration
  • Integration von Intrusion-Prevention-Systemen für eine tiefere Inspektion der Datenpakete
  • Segmentierung des Netzwerks, damit sich Angriffe nicht ausbreiten können

Don’ts im Firewall-Management

  • Offene oder zu großzügige Regeln
  • Fehlende Dokumentation der erlaubten und nicht erlaubten Zugriffe

Da ein professionelles Firewall-Management viele Ressourcen in Anspruch nimmt und viel Know-how erfordert, setzen viele Unternehmen auf eine Managed Firewall.

Mehr erfahren

2. Endgeräte optimal schützen

Die mobilen Endgeräte Ihrer Mitarbeitenden, wie Smartphones, Laptops oder Tablets, sind bei Cyberkriminellen ein beliebtes Einfallstor in Ihr System. Sie sollten daher unbedingt Teil Ihres IT-Basisschutzkonzeptes sein. Eine professionelle Endpoint-Protection-Lösung mit Virenscannern, Anti-Spam- und Anti-Ransomware-Funktionen sorgt dafür, dass Ihre Mitarbeitenden bedenkenlos unterwegs und im Home-Office arbeiten können.

Dos beim Endgeräteschutz

  • Einsatz einer modernen Endpoint-Protection-Lösung (inklusive EDR und XDR)
  • Automatisierte Patches und Updates für alle Endgeräte
  • Strikte Konfigurationsstandards inkl. Verschlüsselung

Don’ts beim Endgeräteschutz

  • Wildwuchs ohne zentrale Geräte- oder Richtlinienverwaltung
  • Nur Nutzung einer einfachen, klassischen bzw. der vorinstallierten Antiviren-Software

Durch die Beliebtheit von Remote-Arbeit und Home-Office steigt auch die Zahl der genutzten Endgeräte enorm. „BYOD“ (Bring Your Own Device) – die berufliche Nutzung von privaten Geräten – ist gerade bei kleinen Unternehmen beliebt, aber sehr gefährlich.

Mehr erfahren

3. Schaden durch infizierte Mails vorbeugen

Im Berufsalltag vieler Unternehmen sind E-Mails unverzichtbar. Sorgen Sie mit Ihrem IT-Basisschutz dafür, dass keine einzige E-Mail zum Stillstand führen kann. Infizierte E-Mails sollten möglichst frühzeitig erkannt werden, damit sie gar nicht erst in Ihr System gelangen. Das erreichen Sie zum Beispiel mit einem professionellen Antivirenschutz für E-Mails wie Mailscan+.

Dos in der E-Mail-Sicherheit

  • Mehrstufige Filterlösungen, die u. a. auf Spam, Malware und URL-Reputation achten
  • KI-gestützte Analyse der E-Mails
  • Quarantäne-Management mit klaren Prozessen für False Positives

Don’ts in der E-Mail-Sicherheit

  • Vertrauen nur in einfache signaturbasierte Scanner und achtsame Mitarbeitende setzen
  • Veraltete Blacklists

Fast 90 % aller Cyberangriffe starten mit E-Mails. Schätzungsweise 67 % aller Spam-Mails enthalten bösartige Inhalte. (Quelle: BSI)

Mehr erfahren

4. Mitarbeitende sensibilisieren

IT-Basisschutz und IT-Sicherheit allgemein sind nicht nur eine Aufgabe der IT-Abteilung, sondern Verantwortung aller Mitarbeitenden. Nachweislich gehen viele erfolgreiche Cyberangriffe auf menschliche Fehler zurück, etwa das Öffnen einer Phishing-Mail oder CEO-Betrug. Schulen Sie Ihre Mitarbeitenden daher regelmäßig mit professionellen Security-Awareness-Trainings, um sie für die Gefahren aus dem Netz zu sensibilisieren und Ihr Sicherheitsrisiko zu minimieren.

Dos bei Mitarbeiterschulungen

  • Regelmäßige, praxisnahe Trainings
  • Simulationen wie Phishing-Tests
  • Messbare Erfolgskriterien (z. B. Rückgang von Sicherheitsvorfällen)

Don’ts bei Mitarbeiterschulungen

  • Einmalige oder „Checkbox“-Schulungen
  • Unklare Kommunikationswege bei Sicherheitsvorfällen

400.000 Phishing-Mails wurden dem Verbraucherschutz 2024 gemeldet. (Quelle: BKA)
Bei drei Viertel aller Fälle von kompromittierten Geschäftsmails war ein erfolgreicher Phishing-Versuch die Ursache. (Quelle: Artic Wolf)

Mehr erfahren

5. Sicher arbeiten im Home-Office

Das Arbeiten im Home-Office wird immer beliebter, ist aber meist risikoreicher. Mit ein paar einfachen Maßnahmen können Sie jedoch dafür sorgen, dass der Schutzschirm Ihres IT-Basisschutzes bis ins Home-Office reicht: Achten Sie darauf, dass alle Kommunikation zwischen den Endgeräten und Ihrem Unternehmensnetzwerk über verschlüsselte Verbindungen (VPN) erfolgt und sorgen Sie für einen ausreichenden Endgeräteschutz (siehe 2.) Wichtig ist außerdem, dass alle Betriebssysteme, Software, Webanwendungen und Apps stets auf dem aktuellen Stand sind. Zusätzliche Sicherheit entsteht durch regelmäßige Security-Awareness-Schulungen (siehe 4.) und die Einführung einer Multi-Faktor-Authentifizierung.

Dos im Home-Office

  • Verschlüsselte VPN-Verbindungen
  • Strikte Regelungen für die Nutzung von privaten Geräten und Netzwerken
  • Regelmäßiges Überprüfen auf Schwachstellen und der Konfigurationen

Don’ts im Home-Office

  • VPN-Zugang ohne 2-Faktor- oder Multifaktor-Authentifizierung
  • Home-Office-Endpunkte ohne lokale Endpoint-Security

Ungesicherte Remote-Desktop-Protokolle und kompromittierte VPN-Zugangsdaten sind eine der Hauptursachen für Ransomware und Eindringungen. (Quelle: Artic Wolf)

Mehr erfahren

6. Backups: Vorsorge für den Notfall

Backups können zwar keine erfolgreichen Cyberangriffe verhindern, aber sie können den Fortbestand Ihrer Geschäftstätigkeit sichern. Deshalb sollte eine Backup-Strategie unbedingt Teil Ihres IT-Basisschutzes sein. So können Sie Ihre Daten auch dann nutzen, wenn Cyberkriminelle beispielsweise Ihren Hauptserver verschlüsselt haben und Lösegeld fordern, oder wenn durch einen Brand Daten verloren gegangen sind. Entscheidend ist, dass Sie nicht nur regelmäßig Backups erstellen, sondern diese zum Beispiel in einem externen Rechenzentrum lagern und regelmäßig die Wiederherstellung überprüfen.

Dos bei Backups

  • 3-2-1-Regel: Sie sollten über mindestens drei Kopien Ihrer Daten auf zwei verschiedenen Speichermedien verfügen, von denen eine an einem anderen Ort gelagert wird.
  • Automatisierte Backups
  • Regelmäßige Recovery-Tests zur Überprüfung der Wiederherstellung

Don’ts bei Backups

  • Backups ohne Verschlüsselung und unzureichendem Zugriffsschutz
  • Nur lokale Backups ohne technische oder geografische Redundanz

Ransomware bleibt eine der Hauptbedrohungen für Unternehmen. Wurden die Originaldaten verschlüsselt, können die Daten aus dem Backup zur Überbrückung genutzt werden.

Mehr erfahren

Erweiterte Schutzkonzepte: Ein Blick auf SIEM, EDR und Zero Trust

Mit einem IT-Basisschutz sind die meisten Unternehmen ausreichend gut vor Cyberangriffen geschützt. Für einzelne Geschäftsprozesse können jedoch höhere Schutzanforderungen notwendig sein oder Ihr Geschäftsfeld unterliegt zusätzlichen, spezifischen Risiken. In diesen Fällen können erweiterte Konzepte und Technologien wie SIEM, SOC, EDR, Vulnerability Management oder das Zero-Trust-Prinzip zum Einsatz kommen. Im Folgenden stellen wir Ihnen diese kurz vor:

SIEM (Security Information and Event Management)

Hier werden alle sicherheitsrelevanten Ereignisse aus Firewalls, Servern, Anwendungen und Endgeräten zentral gesammelt und ausgewertet.

Ihr Nutzen: Auffälligkeiten können korreliert und komplexe Angriffsmuster erkannt werden.

SOC (Security Operations Center)

Ein dediziertes Team, das rund um die Uhr (24/7/365) alle Alarme überwacht, Vorfälle analysiert und im Ernstfall auch reagiert.

Ihr Nutzen: Sie erhalten Zugriff auf erfahrene Expert:innen, die durchgehend – auch an Wochenenden und Feiertagen – Ihr System überwachen und Sicherheitsvorfälle erkennen. Um die eigenen Ressourcen zu schonen und von tiefgreifendem Security-Know-how zu profitieren, setzen viele Unternehmen auf ein externes Expertenteam in Form eines sogenannten SOC-as-a-Service.

EDR (Endpoint Detection and Response)

Ein klassischer Endgeräteschutz stoppt vor allem bekannte Malware, während EDR das Verhalten auf den Endgeräten kontinuierlich auf verdächtige Aktivitäten überwacht.

Ihr Nutzen: Schutz vor modernen Angriffsmethoden, die klassische Antivirus-Lösungen oft umgehen.

Vulnerability Management/Schwachstellenmanagement

Im Durchschnitt werden jeden Tag 119 Schwachstellen in Softwareprodukten bekannt (Quelle: BSI). Schwachstellenmanagement bedeutet, dass Sie Ihre IT-Systeme regelmäßig auf solche Sicherheitslücken prüfen und diese systematisch schließen.

Ihr Nutzen: Sie reduzieren Ihre Angriffsfläche und verhindern, dass bekannte Sicherheitslücken zu echten Vorfällen werden.

Zero-Trust-Ansatz

Beim Zero-Trust-Prinzip gibt es keine automatischen Zugriffsberechtigungen, nur weil jemand „schon im Netzwerk“ ist. Bei jedem Zugriff werden Identität, Gerät, Kontext und Berechtigungen überprüft.

Ihr Nutzen: Kompromittierte Konten oder Geräte erhalten nicht automatisch Zugriff auf alles.

IT-Basisschutz in der Praxis: Daten, Fakten und Expertentipps

„Uns trifft es schon nicht.“ oder „Unsere Daten interessieren doch niemanden.“ Solche Annahmen können für Unternehmen schnell gefährlich und existenzbedrohend werden. Cyberangriffe auf Unternehmen jeder Größe sind mittlerweile Alltag geworden. IT-Sicherheit ist deshalb kein Nice-to-have oder Schutz vor vagen Bedrohungen. Ein fehlender IT-Basisschutz ist geschäftsschädigend, denn laut dem BSI ist die „Bedrohungslage weiterhin auf angespanntem Niveau“.

Aktuelle Bedrohungslage: Zahlen von BSI und Bitkom

202,4 Milliarden Euro: So viel Schaden ist Unternehmen in Deutschland durch Cyberattacken 2025 laut Branchenverband Bitkom entstanden. Die höchste je gemessene Schadenssumme.

9 von 10 Unternehmen wurden im Jahr 2025 laut Bitkom angegriffen.

Rund 60 % aller Unternehmen sehen Cyberangriffe als existenzbedrohend an (Bitkom).

119 Schwachstellen in Softwareprodukten werden im Durchschnitt jeden Tag laut BSI bekannt.

Mini-Case-Study: Erfolgsbeispiel aus einem KMU

Ein Klick. Ein Klick auf eine E-Mail hat die Grün GmbH vor einem halben Jahr fast alles gekostet. Mit einer geschickt formulierten Phishing-Nachricht konnten Cyberkriminelle die VPN-Zugangsdaten einer Kollegin aus dem Home-Office abgreifen und so ins System gelangen. Dort angekommen, verschlüsselten die Hacker die Kundendatenbank und forderten ein Lösegeld. Doch wenigstens auf diesen Extremfall war die Grün GmbH vorbereitet. Die letzte Version der Datenbank war in einem externen Rechenzentrum gespeichert, sodass das Lösegeld nicht gezahlt werden musste.

Heute ist die Grün GmbH dank eines soliden IT-Basisschutzes besser vorbereitet und der Angriff wäre in dieser Form nicht mehr erfolgreich. Wahrscheinlich hätte der E-Mail- und Endgeräteschutz die Phishing-Mail abgefangen oder die wachsame Kollegin hätte sie sofort erkannt. Denn alle Mitarbeitenden werden jetzt nicht nur am ersten Tag, sondern regelmäßig im Erkennen von Phishing-Versuchen geschult.

Ihr Weg zum robusten Schutz: Self-Assessment und nächste Schritte

Wie genau starten Sie am besten auf dem Weg zu Ihrem IT-Basisschutz? Am besten gehen Sie nach dem PDCA-Zyklus vor. Erfassen Sie zunächst die Werte und Assets in Ihrem Unternehmen und ordnen Sie diese verschiedenen Schutzkategorien zu. Im nächsten Schritt prüfen Sie, welche IT-Sicherheitsmaßnahmen Sie bereits einsetzen und ob diese zu Ihren Assets und Ihrer Schutzbedarfsanalyse passen. Setzen Sie bei Bedarf zusätzliche Maßnahmen wie Firewall, Endgeräteschutz, E-Mail-Sicherheit, Security-Awareness-Schulungen sowie VPN- und Backup-Lösungen ein, um einen vollständigen IT-Basisschutz zu erreichen. Vergessen Sie nicht, die Wirkung Ihrer Maßnahmen zu überprüfen und diese regelmäßig zu verbessern oder an neue Gegebenheiten anzupassen. Wir unterstützen Sie gern bei jedem Schritt auf dem Weg zu einem sicheren, funktionierenden IT-Basisschutz!

Interaktive Checkliste: Testen Sie Ihren aktuellen IT-Basisschutz


Mit unserer Checkliste helfen wir Ihnen, Ihren bestehenden IT-Basisschutz pragmatisch einzuordnen. Wo sind Sie bereits solide aufgestellt und wo bestehen kritische Lücken?
Je mehr Fragen Sie mit „Ja“ beantworten können, desto tragfähiger ist Ihr IT-Basisschutz.

  • Gibt es klar benannte Personen oder Rollen, die für die IT-Sicherheit verantwortlich sind?

  • Sind die Zuständigkeiten zwischen IT, Geschäftsführung und Dienstleistern eindeutig geregelt?

  • Existieren grundlegende Sicherheitsrichtlinien, zum Beispiel zu Passwörtern, Zugriffsrechten und Home-Office?

  • Wissen Sie, welche Systeme, Anwendungen und Daten im Unternehmen besonders kritisch sind?

  • Gibt es ein aktuelles Asset-Inventar?

  • Wurde der Schutzbedarf für zentrale Daten und Prozesse bewertet?

  • Ist eine zentrale Firewall im Einsatz und professionell konfiguriert?

  • Werden die Firewall-Regeln regelmäßig überprüft und Updates zeitnah eingespielt?

  • Ist das Netzwerk segmentiert (z. B. Büro, Produktion, Gäste etc.)?

  • Sind alle Endgeräte wie Laptops, PCs und Handys zentral verwaltet und abgesichert?

  • Werden Sicherheitsupdates und Patches automatisiert und zeitnah ausgerollt?

  • Gibt es klare Regeln für lokale Admin-Rechte?

  • Gibt es Spam- und Malware-Filter für E-Mails?

  • Gibt es klare Prozesse für verdächtige E-Mails und Nachrichten in Quarantäne?

  • Finden regelmäßig Schulungen zu den Themen Phishing, Passwortsicherheit und Social Engineering statt?

  • Gibt es einfache Meldewege für Sicherheitsvorfälle oder verdächtige Aktivitäten?

  • Wird IT-Sicherheit als Teil der Unternehmenskultur verstanden?

  • Erfolgt der Zugriff auf Unternehmenssysteme remote oder aus dem Home-Office über VPN oder sichere Zero-Trust-Lösungen?

  • Ist eine Multi-Faktor-Authentifizierung für externe Zugänge aktiv?

  • Gibt es Regeln für private Geräte und WLAN-Nutzung?

  • Gibt es regelmäßige, automatisierte Backups aller kritischen Systeme?

  • Werden Backups offline oder getrennt vom restlichen Netz gespeichert?

  • Wurde die Wiederherstellung in den letzten 12 Monaten getestet?

  • Gibt es einen Notfallplan für Cyberangriffe oder Systemausfälle?

  • Ist klar, wer im Ernstfall intern und extern informiert werden muss?

  • Wurden geschäftskritische Prozesse identifiziert, bei denen ein Basisschutz nicht ausreicht?

  • Gibt es Überlegungen zu EDR, Schwachstellenmanagement, SIEM oder einem SOC?

  • Werden Dienstleister und Lieferketten in die Sicherheitsbetrachtung einbezogen?

Unsere Angebote: Von der kostenlosen Beratung bis zum umfassenden Whitepaper

Wir bieten Ihnen viele verschiedene Möglichkeiten, um gemeinsam mit uns Ihren IT-Basisschutz zu bewerten und aufzubauen oder mehr über einzelne Bereiche der IT-Sicherheit zu erfahren:

Kostenlose Beratung: Lassen Sie sich von uns kostenlos, praxisnah, individuell und unverbindlich zu Ihrer IT-Sicherheit beraten.

Webinare: Wir veranstalten regelmäßig kostenlose Webinare mit unseren Expert:innen zu aktuellen Themen aus den Bereichen IT-Sicherheit und Telekommunikation.

Artikel zum Thema: In unserem Magazin finden Sie regelmäßig neue Artikel zu all unseren Geschäftsbereichen mit Neuigkeiten, Erklärungen sowie aktuellen Trends und Entwicklungen

Kostenloses Whitepaper: Zu komplexen IT- und Telekommunikationsthemen veröffentlichen wir kostenlose Whitepaper, um ein Thema in all seinen Facetten zu beleuchten. Laden Sie sich hier unser aktuelles Whitepaper „Sichere Konnektivität“ herunter und erfahren Sie, warum stabile Netze heute der entscheidende Baustein Ihrer IT-Sicherheit sind.

IT-Basisschutz – eine Investition, die sich lohnt

Was würde Sie im schlimmsten Fall ein erfolgreicher Cyberangriff kosten? Welche Summe Sie auch immer im Kopf haben, sie ist mit Sicherheit deutlich höher als die Kosten für einen wirksamen IT-Basisschutz. Gerade kleine und mittelständische Unternehmen sind zunehmend das Ziel von Cyberkriminellen. Bauen Sie daher einen Schutzschirm aus Maßnahmen wie einer Firewall, einem E-Mail- und Endgeräteschutz sowie einer VPN- und Backup-Lösungen auf und schulen Sie Ihre Mitarbeitenden regelmäßig im Umgang mit Cyberbedrohungen. Entscheidend ist dabei ein strategisches Vorgehen. Zunächst müssen Sie Ihre Assets, Ihren Schutzbedarf und Ihre Risiken genau kennen. So können Sie einen pragmatischen und wirksamen IT-Basisschutz aufbauen, der mit geltenden Gesetzen und Industriestandards wie der DSGVO und der ISO 27001 im Einklang steht. Beachten Sie, dass ein wirksamer IT-Basisschutz keine einmalige, sondern eine kontinuierliche Aufgabe ist. Softwarelösungen müssen aktualisiert und alle Maßnahmen regelmäßig überprüft und bei Bedarf an neue Gegebenheiten angepasst werden. Wir begleiten Sie kompetent auf diesem Weg!

FAQ: Häufig gestellte Fragen zum IT-Basisschutz

Die Kosten hängen stark von Ihrer Größe, Ihrer IT-Komplexität und Ihrer Ausgangslage ab. Viele Maßnahmen, wie etwa klare Prozesse, eine Firewall, Backups und Schulungen sind bereits mit einem überschaubaren Budget umsetzbar. Wichtig ist, dass Sie die Kosten der Absicherung immer den möglichen Kosten eines erfolgreichen Cyberangriffs gegenüberstellen, denn diese können schnell existenzbedrohend werden.
Ein grundlegender Basisschutz lässt sich oft innerhalb weniger Wochen aufbauen. Entscheidend ist, ob bereits Strukturen vorhanden sind oder erst Prozesse, Zuständigkeiten und Technik geschaffen werden müssen.
Die operative Umsetzung liegt in der Regel bei der IT-Abteilung oder einem externen Dienstleister. Die Gesamtverantwortung trägt jedoch immer die Geschäftsführung, da IT-Sicherheit ein unternehmerisches Risiko- und Managementthema ist.
Mindestens einmal jährlich sowie bei wesentlichen Änderungen, beispielsweise bei neuen Systemen oder nach Sicherheitsvorfällen.
Eine zentrale, denn viele Sicherheitsvorfälle beginnen mit Phishing oder menschlichen Fehlern. Regelmäßige Awareness-Schulungen sind daher eine der wirksamsten und kosteneffizientesten Basisschutzmaßnahmen.
Für viele KMUs ist der Basisschutz der richtige Einstieg. Bei besonders kritischen Prozessen, hoher Regulierung oder einem erhöhten Risiko für Angriffe sind zusätzliche Maßnahmen wie EDR, SIEM, SOC, DDoS-Schutz oder Zero Trust sinnvoll.
Ein IT-Basisschutz unterstützt Sie direkt bei den „technischen und organisatorischen Maßnahmen“, die in der DSGVO gefordert werden, um die Sicherheit Ihrer Daten zu gewährleisten.
Ja. Viele Unternehmen setzen Basisschutz pragmatisch um, ohne eine formale ISO-27001-Zertifizierung anzustreben. Wichtig ist die Wirksamkeit Ihrer Maßnahmen, nicht das Zertifikat.
In der Regel sind das eine Firewall, Endgeräteschutz, E-Mail-Sicherheit sowie regelmäßige Backups und Mitarbeiterschulungen. Diese decken die häufigsten Angriffswege ab.
Sicherheit als einmaliges Projekt zu betrachten. Ihr IT-Basisschutz funktioniert nur, wenn er regelmäßig überprüft, gepflegt und weiterentwickelt wird.
Nicht zwingend, aber viele KMUs profitieren von externer Unterstützung, da spezialisierte Expertise und kontinuierliches Monitoring intern oft nicht verfügbar sind.
Wenn Sie beispielsweise viele personenbezogene Daten verarbeiten, stark digital abhängig sind, Remote-Arbeit nutzen oder Teil kritischer Lieferketten sind, sollten Sie über Basisschutz hinausdenken.

Sie haben Fragen oder wünschen eine Beratung?

Geben Sie einfach Ihre Postleitzahl ein und finden auf Anhieb Ihren EWE-Kontakt in der Nähe.

Das könnte Sie auch interessieren

Ein Mann im blauen Hemd steht lächelnd vor Serverschränken, im Hintergrund Bildschirme mit einem symbolischen Sicherheitsschloss und einer Person auf einem Bürostuhl.

IT-Sicherheit für Ihr Unternehmen

Unsere Managed-IT-Security-Lösungen sind modular aufgebaut und sofort einsetzbar. Erfahren Sie, wie wir Sie 24/7/365 vor Cyberbedrohungen schützen können.

    Mehr erfahren
    Ein Mann schlägt vor dem Rechner die Hände über dem Kopf zusammen

    Checkliste IT-Sicherheit

    Cyberangriffen gehen oft Phishing-Versuche voraus. In unserem Artikel zeigen wir Ihnen daher die 13 größten Sicherheitsfallen für Mitarbeitende und wie Sie diese vermeiden können.

      Mehr erfahren
      Ein Mann, der am Schreibtisch mit Bildschirmen sitzt, lächelt und die Arme hinter dem Kopf verschränkt

      Checkliste Cyberresilienz

      Mit unserer Checkliste zur Cyberresilienz zeigen wir Ihnen, wie Sie den Schaden eines Angriffs möglichst gering halten und schnell wieder auf die Beine kommen.

        Mehr erfahren