Technische Maßnahme
Endpoint-Security
Antivirus vs. EDR
Antivirus (AV)
Erkennt bekannte Schadsoftware anhand von Signaturen. Windows Defender ist für KMUs kostenlos, gut und ausreichend als Basisschutz. Immer aktiviert lassen.
EDR (Endpoint Detection & Response)
Verhaltensbasierte Erkennung – findet auch unbekannte Angriffe. Analysiert Prozesse, Netzwerkverbindungen und Dateioperationen. Empfohlen ab 20+ Mitarbeitern.
Weitere Maßnahmen
Festplattenverschlüsselung (BitLocker / FileVault)
Wenn ein Laptop gestohlen oder verloren geht, schützt Verschlüsselung die Daten. BitLocker (Windows Pro/Enterprise) und FileVault (macOS) sind kostenlos und in das Betriebssystem integriert. Unbedingt aktivieren – besonders für Laptops.
USB- und Wechselmedien-Kontrolle
USB-Sticks sind ein klassischer Infektionsweg (Stuxnet) und Datendiebstahl-Kanal. Optionen: USB-Ports in Windows-Gruppenrichtlinien sperren, nur genehmigte Geräte erlauben, oder zumindest AutoPlay deaktivieren.
Application Whitelisting
Nur explizit genehmigte Software darf ausgeführt werden. Verhindert, dass Mitarbeiter unwissentlich Schadsoftware starten. Windows AppLocker oder Software Restriction Policies. Hoher initialer Aufwand, aber sehr wirksam.
Bildschirmsperre und Sitzungs-Timeout
Bildschirm nach 5–10 Minuten Inaktivität automatisch sperren. Mitarbeiter müssen beim Verlassen des Arbeitsplatzes manuell sperren (Win+L / Ctrl+Cmd+Q). Gilt auch für Server und Remote-Desktop-Sitzungen.