Resilient.
Wie der Hibiskus.

Ein Passwortmanager generiert und speichert starke, einzigartige Passwörter für jeden Dienst. Multi-Faktor-Authentifizierung (MFA) fügt eine zweite Sicherheitsebene hinzu und verhindert Kontoübernahmen selbst bei gestohlenen Passwörtern.

• › Empfohlen: Bitwarden (Open Source, kostenlos), 1Password (Business)
• › MFA-Apps: Microsoft Authenticator, Google Authenticator, Aegis (Android)
• › Mindestlänge für Passwörter: 16 Zeichen, keine Wiederverwendung

Ungepatchte Systeme sind die häufigste Einstiegsroute für Angreifer. Automatische Updates sollten für alle Systeme aktiviert sein. Kritische Patches innerhalb von 24 Stunden einspielen.

• › Windows: Automatische Updates aktivieren, WSUS für zentrale Verwaltung
• › Browser und Browser-Plugins sofort aktualisieren (hohe Angriffsfläche)
• › End-of-Life-Software (z.B. Windows 7) sofort ersetzen

Eine korrekt konfigurierte Firewall ist die erste Verteidigungslinie. WLAN-Segmentierung trennt Gäste vom Unternehmensnetz. VPN schützt remote arbeitende Mitarbeiter.

• › Separates WLAN für Gäste und IoT-Geräte (eigenes Netz, kein Zugang zum Firmennetz)
• › VPN für alle Homeoffice-Verbindungen auf Unternehmensressourcen
• › Standard-Passwörter auf Routern und Switches sofort ändern

Die 3-2-1-Regel ist der Mindeststandard: 3 Kopien, auf 2 verschiedenen Medien, davon 1 extern. Nur geprüfte Backups schützen im Ernstfall.

• › Backup-Tests: Monatlich prüfen, ob die Wiederherstellung funktioniert
• › Offline-Backup (Air-Gap) ist der einzige zuverlässige Schutz vor Ransomware
• › Recovery Time Objective (RTO) und Recovery Point Objective (RPO) definieren

E-Mail-Spoofing – das Versenden von E-Mails im Namen Ihrer Domain – ist die Grundlage vieler Phishing- und CEO-Fraud-Angriffe. SPF, DKIM und DMARC verhindern dies.

• › SPF: Legt fest, welche Server E-Mails für Ihre Domain versenden dürfen
• › DKIM: Digitale Signatur beweist die Authentizität jeder E-Mail
• › DMARC: Definiert, was mit nicht authentifizierten E-Mails passiert (ablehnen/quarantäne)

Moderne Endpoint-Detection-and-Response-Lösungen (EDR) erkennen Angriffe auch ohne bekannte Signaturen durch Verhaltensanalyse.

• › Windows Defender ist für KMUs ein guter kostenloser Basisschutz
• › EDR-Lösungen (z.B. SentinelOne, CrowdStrike) für höhere Anforderungen
• › USB-Ports deaktivieren oder kontrollieren (häufiger Infektionsweg)

Cloud-Anbieter sichern ihre Infrastruktur – aber nicht Ihre Daten vor Ihren eigenen Fehlern. Zugriffsschutz, Backup und Shadow-IT-Kontrolle liegen in Ihrer Verantwortung.

• › MFA für alle Cloud-Konten erzwingen (Microsoft 365, Google Workspace, etc.)
• › Inventar aller genutzten SaaS-Dienste pflegen – Shadow IT erkennen und kontrollieren
• › Eigenes Backup für Cloud-Daten (M365, Google Workspace) – Anbieter-Backup reicht nicht

Smartphones und Tablets sind vollwertige Computer mit Zugang zu Unternehmensressourcen. MDM ermöglicht zentrale Verwaltung, Richtliniendurchsetzung und Fernlöschung bei Verlust.

• › Remote Wipe einrichten – bevor ein Gerät verloren geht, nicht danach
• › Microsoft Intune (in M365 Business Premium enthalten) für Windows, iOS und Android
• › BYOD: Container-Lösung trennt private und Geschäftsdaten auf demselben Gerät