Projekt Hibiskus

StartSofortmaßnahmen

Schnell umsetzbar · Hohe Wirkung

6 Sofortmaßnahmen

Low-Hanging Fruits Heute starten · kein IT-Studium nötig · teils kostenlos
Warum genau diese 6?
Diese Maßnahmen vereinen zwei Kriterien: maximale Schutzwirkung und minimaler Umsetzungsaufwand. Jede dieser Maßnahmen kann ein KMU innerhalb eines Arbeitstages einführen – ohne externe Berater, ohne großes Budget, ohne IT-Abteilung. Wer alle 6 umsetzt, schließt die häufigsten Einfallstore für Cyberangriffe.

1. MFA aktivieren

Multi-Faktor-Authentifizierung ist die einzelne wirkungsvollste Maßnahme gegen Kontoübernahmen. Selbst wenn ein Passwort gestohlen wurde, kann ein Angreifer ohne den zweiten Faktor nicht auf das Konto zugreifen. Microsoft zufolge blockiert MFA über 99,9 % aller automatisierten Angriffe.

Aufwand

Ca. 1 Stunde

Für ein Team von 10 Personen. Einmalige Einrichtung pro Dienst, danach automatisch aktiv.

Kosten

Kostenlos

Microsoft 365, Google Workspace und alle gängigen SaaS-Dienste bieten MFA ohne Aufpreis an.

Wirkung

99,9 % Schutz

Blockiert fast alle automatisierten Anmeldeversuche – auch bei gestohlenen Zugangsdaten.

Schritt-für-Schritt

  1. Priorität setzen – Beginnen Sie mit den wichtigsten Konten: E-Mail, Cloud-Speicher, Buchhaltung, VPN-Zugang.
  2. Authenticator-App wählen – Microsoft Authenticator oder Google Authenticator (kostenlos, auf Smartphone installieren).
  3. MFA aktivieren – In den Sicherheitseinstellungen des jeweiligen Dienstes (Einstellungen → Sicherheit → Zwei-Faktor-Authentifizierung).
  4. QR-Code scannen – Beim ersten Einrichten zeigt der Dienst einen QR-Code. Mit der Authenticator-App scannen.
  5. Backup-Codes sichern – Wiederherstellungscodes ausdrucken und sicher aufbewahren (nicht digital!).
  6. Für alle Mitarbeiter wiederholen – Jeden Mitarbeiter durch die Einrichtung führen; ggf. MFA per Richtlinie erzwingen.
Achtung: SMS ist schwächer
MFA per SMS ist besser als kein MFA, aber angreifbar durch SIM-Swapping. Verwenden Sie bevorzugt eine Authenticator-App oder einen Hardware-Token (z.B. YubiKey).

2. Passwortmanager einführen

Die meisten Sicherheitsvorfälle durch gestohlene Zugangsdaten haben eine Ursache: Passwörter werden wiederverwendet. Ein Passwortmanager generiert und speichert für jeden Dienst ein einzigartiges, starkes Passwort. Mitarbeiter müssen sich nur noch ein einziges Master-Passwort merken.

Empfehlung kostenlos

Bitwarden

Open Source, kostenlos für Teams, self-hosted möglich. Synchronisation zwischen allen Geräten. Browserintegration für automatisches Ausfüllen.

Empfehlung kostenpflichtig

1Password

Benutzerfreundlichste Lösung, sehr gute Team-Verwaltung, ca. 4 € pro Nutzer/Monat. Ideal für KMU ohne eigene IT.

Alternative

KeePassXC

Komplett offline, keine Cloud. Ideal für sehr sicherheitsbewusste Unternehmen. Erfordert manuelle Synchronisation der Datenbank.

Schritt-für-Schritt

  1. Tool auswählen – Bitwarden (kostenlos) für den Einstieg empfohlen.
  2. Unternehmenskonto erstellen – Teamplan einrichten, damit Passwörter geteilt werden können.
  3. Browser-Extension installieren – Automatisches Ausfüllen aktivieren (Chrome, Firefox, Edge).
  4. Bestandspasswörter migrieren – Schrittweise bestehende Zugangsdaten übertragen und dabei schwache Passwörter erneuern.
  5. Passwortregeln festlegen – Mindestens 16 Zeichen, zufällig generiert. Passwortmanager übernimmt das automatisch.
  6. Mitarbeiter schulen – Kurze Einweisung: wie man Passwörter speichert, abruft und teilt.

3. Phishing-Kurzschulung

Über 90 % aller Cyberangriffe beginnen mit einer menschlichen Interaktion – meistens einem Klick auf einen Phishing-Link. Eine einzige Schulungsstunde kann die Klickrate auf Phishing-E-Mails von 30 % auf unter 5 % senken. Das BSI stellt kostenlose Materialien bereit.

Erkennungsmerkmal 1

Absenderadresse prüfen

Der Anzeigename kann gefälscht sein. Die echte Adresse dahinter verrät den Betrug: "Chef <hacker@evil.com>" ist kein Chef.

Erkennungsmerkmal 2

Dringlichkeit als Warnsignal

"Sofort handeln!", "Ihr Konto wird gesperrt!" – Künstlicher Zeitdruck ist die häufigste Phishing-Taktik. Innehalten statt klicken.

Erkennungsmerkmal 3

Links vor dem Klick prüfen

Maus über den Link halten (ohne zu klicken) und die URL in der Statuszeile prüfen. paypa1.com ist nicht paypal.com.

Schulungsplan – Mindestprogramm

  1. Termin ansetzen – 60-Minuten-Pflichttermin für alle Mitarbeiter (auch Geschäftsführung).
  2. BSI-Materialien nutzen – Das BSI bietet kostenlose Schulungsfolien und Videos unter bsi.bund.de an.
  3. Top-5-Erkennungsmerkmale vermitteln – Absender, Dringlichkeit, Links, Anhänge, ungewöhnliche Anfragen.
  4. Meldeprozess definieren – Wer bekommt verdächtige E-Mails gemeldet? Klarer Ansprechpartner und einfacher Meldepfad.
  5. Phishing-Test durchführen – Nach 4 Wochen eine harmlose Phishing-Simulation senden und Klickrate messen.
  6. Jährlich wiederholen – Einmal im Jahr Auffrischung; bei aktuellen Bedrohungslagen sofortige Kurzinformation.
Goldene Regel
Im Zweifel: nicht klicken. Den Absender auf einem anderen Weg kontaktieren (Telefon, persönlich) und nachfragen. Lieber einmal zu viel fragen als einmal zu wenig.

4. Admin-Konten trennen

Viele KMU nutzen dieselben Konten für alltägliche Arbeit und administrative Aufgaben. Das ist gefährlich: Ein Phishing-Angriff auf ein Admin-Konto gibt dem Angreifer sofort Vollzugriff auf alle Systeme. Die Trennung kostet eine Stunde – und verhindert im Worst Case den Totalschaden.

Prinzip

Zwei Konten pro Admin

Max.Mustermann@firma.de für Alltag (E-Mail, Teams, Office). admin.mustermann@firma.de ausschließlich für IT-Verwaltung. Beide Konten mit MFA.

Warum wichtig

Schadensbegrenzung

Wird das Alltagskonto kompromittiert, hat der Angreifer keine Admin-Rechte. Der Schaden bleibt begrenzt. Systemzugriff und Datenverschlüsselung sind nicht möglich.

Erweiterung

Least Privilege

Jeder Mitarbeiter bekommt nur die Rechte, die er für seine Arbeit wirklich braucht. Nicht "Admin für alle, weil einfacher".

Schritt-für-Schritt

  1. Admin-Konten identifizieren – Wer hat in welchen Systemen Admin-Rechte? Liste erstellen.
  2. Separate Admin-Accounts anlegen – In Active Directory, Microsoft 365 oder Google Workspace neue Konten mit Namensschema admin.* erstellen.
  3. MFA für Admin-Konten erzwingen – Besonders hier: Authenticator-App oder Hardware-Token, keine SMS.
  4. Berechtigungen umziehen – Admin-Rechte von persönlichen Konten entfernen, auf Admin-Konten übertragen.
  5. Richtlinie kommunizieren – Schriftlich festhalten: Admin-Konto wird ausschließlich für IT-Aufgaben genutzt. Nicht für E-Mail, Browser, Teams.
  6. Logging aktivieren – Admin-Aktivitäten protokollieren. Verdächtige Logins sofort erkennbar.

5. Offboarding-Prozess definieren

Ausgeschiedene Mitarbeiter mit aktiven Zugängen sind eine der häufigsten und unterschätztesten Ursachen für Datenpannen. Es reicht ein vergessener Account – und ein ehemaliger Mitarbeiter hat monatelang Zugriff auf Firmendaten. Ein schriftlicher Offboarding-Prozess verhindert das zuverlässig.

Häufig unterschätzt
Im Schnitt verstreichen laut Studien 200 Tage, bis ein unbefugter Zugang entdeckt wird. In dieser Zeit kann ein Ex-Mitarbeiter Kundendaten exportieren, Konkurrenten beliefern oder einfach aus Versehen Schaden anrichten.

Die Offboarding-Checkliste

Diese Liste wird am letzten Arbeitstag – nicht danach – abgearbeitet:

  • E-Mail-Konto sperren – Abwesenheitsnotiz einrichten, Weiterleitung an Vorgesetzten, danach deaktivieren.
  • Active Directory / M365 / Google Workspace – Konto deaktivieren, nicht löschen (Daten bleiben erhalten).
  • Alle SaaS-Zugänge sperren – CRM, Buchhaltung, Projektmanagement, Cloud-Speicher, Slack, etc.
  • VPN-Zugang entziehen – VPN-Zertifikat widerrufen oder Konto aus VPN-Gruppe entfernen.
  • SSH-Keys und API-Tokens widerrufen – Besonders bei technischen Mitarbeitern oft vergessen.
  • Geteilte Passwörter ändern – Alle Passwörter, die der Mitarbeiter kannte (z.B. WLAN-Passwort, geteilte Konten).
  • Gerät einsammeln und zurücksetzen – Firmenlaptop, Smartphone, Token, Zugangskarten.
  • Durchführung dokumentieren – Checkliste unterschrieben archivieren.

Umsetzung als Prozess

  1. Checkliste als Dokument erstellen und an einem bekannten Ort ablegen (nicht nur digital).
  2. Verantwortlichkeit festlegen: Wer führt das Offboarding durch? IT und HR gemeinsam.
  3. HR informiert IT spätestens eine Woche vor dem letzten Arbeitstag.
  4. Checkliste wird am letzten Tag vollständig abgearbeitet – nicht "morgen".

6. Bildschirmsperre erzwingen

Ein ungesperrter Bildschirm für wenige Minuten reicht: E-Mails lesen, Dateien kopieren, Passwörter sehen. Die automatische Bildschirmsperre ist eine der einfachsten Maßnahmen – sie kostet nichts, lässt sich zentral erzwingen und schützt sowohl im Büro als auch im Homeoffice und unterwegs.

Windows

Gruppenrichtlinie

Über Active Directory oder Microsoft Intune: Bildschirmsperre nach 5 Minuten erzwingen. Gilt für alle Geräte im Netzwerk automatisch.

macOS

Systemeinstellungen

Einstellungen → Datenschutz & Sicherheit → Bildschirmsperre. Mit MDM (z.B. Jamf) zentral für alle Macs steuerbar.

Smartphones

MDM-Richtlinie

Über MDM-Lösung PIN-Pflicht und automatische Sperre nach 2 Minuten für alle Firmengeräte erzwingen. Auch für BYOD-Geräte möglich.

Schritt-für-Schritt

  1. Standard festlegen – Bildschirmsperre nach maximal 5 Minuten Inaktivität. Entsperren nur mit Passwort/PIN/Biometrie.
  2. Windows zentral – Gruppenrichtlinie: Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options → "Interactive logon: Machine inactivity limit" auf 300 Sekunden.
  3. macOS zentral – Mit Apple School Manager oder Jamf: Konfigurationsprofil mit Inaktivitäts-Timeout deployen.
  4. Smartphones – MDM-Richtlinie: PIN-Pflicht (min. 6-stellig), Bildschirmsperre nach 2 Minuten, kein Entsperren per Wischen.
  5. Mitarbeiter informieren – Kurzhinweis: Win+L sperrt Windows sofort, Ctrl+Cmd+Q sperrt Mac sofort. Beim Verlassen des Platzes immer sperren.
  6. Richtlinie aufschreiben – In der IT-Sicherheitsrichtlinie verankern: "Bildschirm wird beim Verlassen des Arbeitsplatzes stets gesperrt."

Checkliste: Alle 6 Sofortmaßnahmen