Alexander Huber46 % der österreichischen KMU wurden in den letzten zwei Jahren Opfer eines Cyberangriffs — und die meisten hatten keinen strukturierten IT-Sicherheitsplan [Cyber Security Austria, 2024]. Für kleine und mittlere Unternehmen (KMU) steht dabei besonders viel auf dem Spiel: Ein einziger Ransomware-Angriff kostet im Schnitt 50.000 € an Ausfallzeit und Wiederherstellung [BSI Lagebericht, 2024]. Diese sieben Maßnahmen schützen Ihr Unternehmen wirksam — ohne Großkonzern-Budget.
1. Mitarbeiter regelmäßig schulen — der wichtigste Schutzfaktor
IT-Sicherheit in KMU beginnt nicht beim Server, sondern beim Menschen. Laut dem Verizon Data Breach Investigations Report (DBIR) 2024 gehen 95 % aller erfolgreichen Cyberangriffe auf menschliches Versagen zurück — etwa das Öffnen einer Phishing-Mail oder die Weitergabe von Zugangsdaten.
Ein strukturiertes Awareness-Training muss keine teure Investition sein. Kurze monatliche Schulungen von 15 bis 20 Minuten reichen bereits aus, um die häufigsten Angriffsvektoren abzudecken: Phishing-Erkennung, sichere Passwörter und der Umgang mit unbekannten USB-Geräten. Entscheidend ist die Regelmäßigkeit. Einmalige Schulungen verpuffen nach wenigen Wochen.
Wichtig: Planen Sie mindestens vier Schulungstermine pro Jahr ein. Simulierte Phishing-Tests zeigen, wo Ihre Belegschaft noch Lücken hat — und welche Abteilungen gezielt nachgeschult werden müssen.
2. Starke Passwortrichtlinien und Zwei-Faktor-Authentifizierung einführen
Schwache Passwörter bleiben das häufigste Einfallstor für Angreifer. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Passwörter mit mindestens 14 Zeichen, Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen. Für KMU ist ein unternehmensweiter Passwort-Manager die praktischste Lösung — Produkte wie Bitwarden oder 1Password kosten ab 3 € pro Mitarbeiter und Monat.
Noch wichtiger: Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für alle geschäftskritischen Systeme. Selbst ein kompromittiertes Passwort reicht dann nicht mehr für unbefugten Zugriff. Microsoft Authenticator oder hardware-basierte Lösungen wie YubiKey bieten für KMU ein gutes Verhältnis zwischen Sicherheit und Bedienbarkeit.
Beginnen Sie mit den sensibelsten Zugängen: E-Mail, Buchhaltung, Cloud-Speicher und Fernzugriff (VPN). Laut einer Studie von Google blockiert 2FA 99 % aller automatisierten Angriffe [Google Security Blog, 2023]. Für ein KMU mit zehn Mitarbeitern liegt der Aufwand bei unter einer Stunde Einrichtungszeit.
3. Regelmäßige Backups nach der 3-2-1-Regel erstellen
Ein solides Backup-Konzept entscheidet darüber, ob ein Ransomware-Angriff eine Unannehmlichkeit oder eine Existenzbedrohung wird. Die 3-2-1-Regel ist der Branchenstandard: drei Kopien Ihrer Daten, auf zwei verschiedenen Medientypen, davon eine Kopie außerhalb des Standorts.
Für österreichische KMU bieten Cloud-basierte Backup-Dienste eine kosteneffiziente Lösung. Dienste wie Veeam oder Acronis sichern Daten automatisch und verschlüsselt. Testen Sie die Wiederherstellung vierteljährlich — ein Backup, das sich nicht zurückspielen lässt, ist wertlos.
Markus, Geschäftsführer eines Salzburger Handwerksbetriebs mit 12 Mitarbeitern, verlor 2023 durch einen Verschlüsselungstrojaner drei Wochen Buchhaltungsdaten. Weil sein letztes Backup sechs Monate alt war, mussten Rechnungen händisch rekonstruiert werden. Mit täglichen automatischen Backups wäre der Schaden auf einen Arbeitstag begrenzt geblieben.
Achten Sie darauf, dass Ihre Backups verschlüsselt und getrennt vom Produktivnetzwerk gespeichert werden. Angreifer suchen gezielt nach Backup-Verzeichnissen im selben Netzwerk, um auch diese zu verschlüsseln.
4. Firewall und Netzwerksegmentierung richtig konfigurieren
Eine Firewall ist die Grundvoraussetzung — doch in vielen KMU läuft sie mit Standardeinstellungen, die kaum Schutz bieten. Konfigurieren Sie Ihre Firewall so, dass nur benötigte Ports offen sind. Ein regelmäßiger Review der Firewall-Regeln alle drei Monate verhindert, dass vergessene Ausnahmen zum Sicherheitsrisiko werden.
Netzwerksegmentierung trennt kritische Systeme voneinander ab. Wenn Ihre Buchhaltungssoftware, das WLAN für Gäste und die Produktionssteuerung im selben Netzwerk hängen, kann ein kompromittiertes Gerät alle Bereiche gefährden. Moderne Router für KMU unterstützen VLAN-Konfigurationen ab Werk. Mindestens drei Segmente sind sinnvoll: Verwaltung, Produktion und Gäste-WLAN.
Besonders relevant für österreichische Unternehmen: Das österreichische Cybersicherheitsgesetz verpflichtet Betreiber wesentlicher Dienste zu angemessenen technischen Schutzmaßnahmen. Eine saubere Netzwerksegmentierung gilt dabei als Mindeststandard.
5. Software-Updates und Patch-Management automatisieren
Ungepatchte Software gehört zu den drei häufigsten Angriffsvektoren bei KMU [ENISA Threat Landscape, 2024]. Cyberkriminelle nutzen bekannte Schwachstellen oft innerhalb weniger Stunden nach Veröffentlichung aus — wer Updates aufschiebt, lässt die Tür offen.
Richten Sie automatische Updates für Betriebssysteme, Browser und geschäftskritische Anwendungen ein. Für komplexere Umgebungen empfiehlt sich ein zentrales Patch-Management-Tool wie WSUS (Windows Server Update Services) oder Automox. Diese Werkzeuge verteilen Patches gestaffelt und protokollieren den Update-Status jedes Geräts.
Wenn Sie professionellen IT-Support in Wien hinzuziehen, kann ein Dienstleister das Patch-Management vollständig übernehmen — besonders sinnvoll für KMU ohne eigene IT-Abteilung.
Vergessen Sie dabei nicht die Firmware von Routern, Druckern und IoT-Geräten. Diese werden bei Updates häufig übersehen und sind ein beliebtes Ziel für Angreifer. Erstellen Sie eine vollständige Inventarliste aller Geräte mit Software-Versionen und prüfen Sie diese monatlich.
6. Zugriffsrechte nach dem Least-Privilege-Prinzip vergeben
Das Least-Privilege-Prinzip (Prinzip der minimalen Rechte) besagt: Jeder Mitarbeiter erhält nur die Zugriffsrechte, die für seine Aufgaben notwendig sind. Ein Vertriebsmitarbeiter benötigt keinen Administratorzugriff auf den Datenbankserver.
In der Praxis scheitert dieses Prinzip oft an historisch gewachsenen Berechtigungen. Mitarbeiter wechseln Abteilungen, behalten aber ihre alten Zugänge. Führen Sie halbjährliche Berechtigungsreviews durch und deaktivieren Sie Konten ausgeschiedener Mitarbeiter am letzten Arbeitstag — nicht Wochen später.
Für KMU mit Microsoft-365-Umgebung bietet Azure Active Directory (jetzt Microsoft Entra ID) rollenbasierte Zugriffssteuerung auch in kleinen Teams. Dokumentieren Sie, wer worauf Zugriff hat, in einer einfachen Berechtigungsmatrix.
Ein besonderes Risiko stellen gemeinsam genutzte Dienstkonten dar — etwa für den Drucker, den Social-Media-Zugang oder den Online-Shop. Weisen Sie jedem Dienstkonto genau eine verantwortliche Person zu und ändern Sie das Passwort bei jedem Personalwechsel.
7. Notfallplan erstellen und testen
Ein IT-Sicherheitsvorfall trifft die meisten KMU unvorbereitet. Laut der Wirtschaftskammer Österreich (WKO) haben nur 23 % der österreichischen KMU einen dokumentierten Incident-Response-Plan [WKO Cybersecurity Report, 2024]. Ohne Plan dauert die Reaktion im Ernstfall durchschnittlich dreimal so lang.
Ihr Notfallplan sollte mindestens diese vier Punkte abdecken:
- Kontaktliste: Wer wird bei einem Vorfall informiert — intern und extern (IT-Dienstleister, Datenschutzbeauftragter, ggf. Cyber-Versicherung)?
- Sofortmaßnahmen: Betroffene Systeme vom Netzwerk trennen, keine Lösegeldzahlung ohne Rücksprache.
- Meldepflichten: Gemäß der NIS-2-Richtlinie der EU müssen betroffene Unternehmen Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständige Behörde melden.
- Wiederherstellung: Welche Systeme haben Priorität? In welcher Reihenfolge wird wiederhergestellt?
Testen Sie den Plan in einer jährlichen Übung. Ein Planspiel mit dem Team deckt Schwachstellen auf, bevor der Ernstfall sie offenbart.
Wichtig: Die NIS-2-Richtlinie der EU gilt ab Oktober 2024 auch für viele KMU ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz. Prüfen Sie, ob Ihr Unternehmen betroffen ist — Verstöße können mit Bußgeldern von bis zu 10 Mio. € oder 2 % des Jahresumsatzes geahndet werden.
IT-Sicherheit für KMU: Jetzt handeln statt reagieren
Die sieben Maßnahmen in diesem Artikel erfordern kein Spezialistenteam und kein sechsstelliges Budget. Mitarbeiterschulungen, starke Passwörter, automatische Backups, saubere Netzwerke, aktualisierte Software, kontrollierte Zugriffsrechte und ein getesteter Notfallplan — damit decken österreichische KMU die häufigsten Angriffsszenarien ab.
Starten Sie mit den Maßnahmen, die den größten Effekt bei geringstem Aufwand bringen: 2FA aktivieren (Punkt 2), Backup-Status prüfen (Punkt 3) und einen Notfallkontakt festlegen (Punkt 7). Allein diese drei Schritte reduzieren Ihr Risiko erheblich.
IT-Sicherheit ist kein Projekt mit Enddatum, sondern ein laufender Prozess. Planen Sie eine vierteljährliche Überprüfung ein, um Ihre Maßnahmen aktuell zu halten — denn die Bedrohungslage entwickelt sich ständig weiter.
Hinweis: Dieser Artikel dient der allgemeinen Information. Für eine individuelle Sicherheitsberatung empfehlen wir, einen IT-Sicherheitsexperten hinzuzuziehen.
