Zum Inhalt springen
You Logic AG
Über uns IT-Services IT-Outsourcing Managed Services IT-Security Telefon / VoIP DATEV-Hosting IT-Infrastruktur IT-Serviceanfrage TeamViewer Download Karriere Blog Kontakt Online Termin vereinbaren
← IT-Blog

IT-Sicherheit im Mittelstand 2026: Die 10-Punkte-Checkliste für Geschäftsführer

22. Mai 2026

IT-Sicherheit im Mittelstand 2026: Die 10-Punkte-Checkliste für Geschäftsführer

Die größte Sicherheitslücke im Mittelstand ist selten die Technik allein. Es ist die Annahme, dass schon alles geregelt ist.

Backups existieren, wurden aber nie vollständig zurückgespielt. MFA ist für den VPN-Zugang aktiv, aber nicht für Microsoft 365. Alte Benutzerkonten ehemaliger Mitarbeiter sind noch offen. Die Firewall läuft, aber die Lizenz ist abgelaufen. Und der Notfallplan liegt, wenn überhaupt, als veraltetes PDF irgendwo im SharePoint.

Genau hier entstehen die Einfallstore, die Cyberkriminelle ausnutzen.

IT-Sicherheit im Mittelstand bedeutet, die eigene IT-Infrastruktur systematisch gegen Cyberangriffe zu schützen: mit technischen Schutzmaßnahmen, klaren Prozessen, kontrollierten Zugriffsrechten, getesteten Backups und geschulten Mitarbeitern. Für Geschäftsführer ist das 2026 kein reines IT-Thema mehr. Es ist Risikomanagement, Compliance und Betriebssicherung.

Diese Checkliste zeigt, welche zehn Maßnahmen mittelständische Unternehmen jetzt prüfen sollten, welche Anforderungen durch NIS2 stärker in den Fokus rücken und wo in der Praxis die größten Sicherheitslücken entstehen.

Kostenloser IT-Sicherheitscheck für Unternehmen im Rhein-Main-Gebiet
Die You Logic AG prüft Firewall, Backup, Patch-Stand, Microsoft 365, MFA, Endpoint Security und Notfallplanung. Das Ergebnis ist eine priorisierte Maßnahmenliste statt allgemeiner Empfehlungen.
Kostenlosen IT-Sicherheitscheck anfragen

Kurzfassung: Was Geschäftsführer 2026 wissen müssen

Cyberangriffe sind für KMU kein Randrisiko mehr. Laut CYBERsicher-Lagebild richteten sich 80 Prozent der 950 ausgewerteten Ransomware-Angriffe aus der Polizeilichen Kriminalstatistik 2024 gegen kleine und mittlere Unternehmen. Gleichzeitig beziffert Bitkom den Gesamtschaden durch Diebstahl, Sabotage und Industriespionage in Deutschland für 2025 auf 289,2 Milliarden Euro; 70 Prozent davon, also 202,4 Milliarden Euro, gehen direkt auf Cyberattacken zurück.

Für Geschäftsführer heißt das: IT-Sicherheit muss messbar, dokumentiert und regelmäßig überprüft werden. Entscheidend sind zehn Bereiche: Risikoanalyse, Firewall, Backup, Patch-Management, E-Mail-Sicherheit, Endpoint Security, Zugriffskontrolle, Incident Response, Lieferkettensicherheit und Security-Awareness.

Antwort kurz: Wer weniger als sieben dieser zehn Bereiche sauber geregelt hat, betreibt keine belastbare IT-Sicherheitsstrategie, sondern hofft darauf, dass nichts passiert.

Was kostet ein Cyberangriff ein mittelständisches Unternehmen?

Eine pauschale Durchschnittszahl ist unseriös, weil die Schäden stark vom Geschäftsmodell abhängen. Ein Steuerbüro, ein Produktionsbetrieb, ein Logistikunternehmen und ein IT-Dienstleister haben völlig unterschiedliche Ausfallkosten. Realistisch ist aber: Ein erfolgreicher Cyberangriff verursacht im Mittelstand schnell fünf- bis sechsstellige Schäden.

Die direkten Kosten entstehen durch:

  • Wiederherstellung von Systemen und Daten
  • externe Forensik und Incident Response
  • Produktions- oder Betriebsunterbrechungen
  • Rechtsberatung und Datenschutzmeldungen
  • mögliche Vertragsstrafen bei Lieferausfällen
  • Reputationsverlust und Kundenabwanderung
  • Ersatzbeschaffung kompromittierter Systeme

Bitkom meldet für 2025 einen Gesamtschaden von 289,2 Milliarden Euro durch Diebstahl, Sabotage und Industriespionage in der deutschen Wirtschaft. 202,4 Milliarden Euro davon entfallen direkt auf Cyberattacken. 87 Prozent der befragten Unternehmen waren innerhalb von zwölf Monaten betroffen oder vermuteten eine Betroffenheit.

Besonders kritisch ist Ransomware. Wenn Daten verschlüsselt und zusätzlich gestohlen werden, steht das Unternehmen nicht nur vor einem IT-Problem, sondern vor einem operativen und rechtlichen Notfall. Bitkom berichtet, dass jedes siebte von Ransomware betroffene Unternehmen Lösegeld gezahlt hat; in Einzelfällen lagen die Forderungen bei einer Million Euro und mehr.

Für KMU im Rhein-Main-Gebiet kommt ein weiterer Faktor hinzu: Viele Unternehmen sind Zulieferer, Dienstleister oder Datenverarbeiter für größere Auftraggeber. Ein Ausfall betrifft dann nicht nur die eigene Organisation, sondern auch Kunden, Mandanten und Lieferketten.

NIS2 ist in Kraft: Was Geschäftsführer jetzt wissen müssen

Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Laut BSI müssen Unternehmen selbst prüfen, ob sie unter die neuen Pflichten fallen. Das BSI geht von rund 29.500 betroffenen Unternehmen in Deutschland aus.

NIS2 betrifft nicht jedes KMU automatisch. Typischerweise relevant wird die Regulierung, wenn ein Unternehmen in einem der regulierten Sektoren tätig ist und bestimmte Größenkriterien erfüllt. Als Orientierung gelten insbesondere:

  • mindestens 50 Beschäftigte oder
  • mehr als 10 Millionen Euro Jahresumsatz und mehr als 10 Millionen Euro Jahresbilanzsumme

Zusätzlich gibt es größenunabhängige Sonderfälle, etwa bei bestimmten digitalen Diensten oder besonders kritischen Funktionen. Deshalb reicht eine grobe Selbsteinschätzung nicht. Unternehmen sollten ihre Betroffenheit strukturiert prüfen und dokumentieren.

Auch nicht direkt betroffene KMU spüren NIS2

Viele kleinere Unternehmen fallen formal nicht unter NIS2. Trotzdem werden sie indirekt betroffen. Der Grund ist die Lieferkette.

Größere Auftraggeber, regulierte Unternehmen und Konzerne verlangen zunehmend Sicherheitsnachweise von Dienstleistern, IT-Partnern, Steuerberatern, Softwareanbietern und technischen Zulieferern. Wer keine belastbaren Antworten zu Backup, Zugriffsschutz, Patch-Management, Incident Response und Dienstleistersteuerung geben kann, wird bei Ausschreibungen oder Vertragsverlängerungen schlechter dastehen.

Für mittelständische Unternehmen im Rhein-Main-Gebiet ist das besonders relevant, weil hier viele B2B-Dienstleister, Finanzdienstleister, Steuerberatungen, Kanzleien, Produktionsbetriebe und IT-Zulieferer eng miteinander vernetzt sind.

Geschäftsführung bleibt verantwortlich

NIS2 macht Cybersicherheit ausdrücklich zur Führungsaufgabe. Die Geschäftsleitung muss Risikomanagementmaßnahmen billigen, überwachen und sich mit den Anforderungen auseinandersetzen. Sicherheitsmaßnahmen einfach an „die IT" oder den externen Dienstleister zu delegieren, reicht nicht.

Praktisch bedeutet das: Geschäftsführer brauchen ein Mindestmaß an Steuerungsfähigkeit. Sie müssen nicht jedes Firewall-Regelwerk selbst verstehen. Aber sie müssen wissen, ob es ein Sicherheitskonzept gibt, ob Backups getestet wurden, ob MFA aktiv ist, wie Vorfälle gemeldet werden und wer im Ernstfall entscheidet.

Warum KMU im Rhein-Main-Gebiet besonders gefährdet sind

Das Rhein-Main-Gebiet ist wirtschaftlich stark, stark vernetzt und datenintensiv. Genau das macht die Region attraktiv für Cyberkriminelle.

Hier treffen Finanzdienstleister, Steuerberater, Kanzleien, Logistikunternehmen, Industrie, Handel, Agenturen und IT-Dienstleister aufeinander. Viele dieser Unternehmen arbeiten mit sensiblen Kunden-, Mandanten-, Vertrags- und Finanzdaten. Gleichzeitig sind sie oft in Lieferketten größerer Organisationen eingebunden.

Drei Risiken fallen in der Praxis besonders auf:

  1. Lieferkettenabhängigkeit: Große Auftraggeber erwarten Sicherheitsnachweise. Fehlende Dokumentation kann zum geschäftlichen Problem werden.
  2. Sensible Datenbestände: DATEV-Umgebungen, Microsoft 365, ERP-Systeme, CRM-Systeme und Fileserver enthalten hochkritische Informationen.
  3. Hybrides Arbeiten: Homeoffice, mobile Geräte und Cloud-Zugänge vergrößern die Angriffsfläche deutlich.

Das Problem ist nicht, dass Mittelständler grundsätzlich schlechtere IT haben. Das Problem ist, dass Sicherheitsmaßnahmen oft historisch gewachsen, unvollständig dokumentiert und nicht regelmäßig getestet sind.

Die 10-Punkte-Checkliste für IT-Sicherheit im Mittelstand

Die folgende Checkliste orientiert sich an typischen NIS2-Risikomanagementbereichen, BSI-Empfehlungen und wiederkehrenden Schwachstellen aus der Praxis mittelständischer IT-Umgebungen.

Nr. Bereich Mindestanforderung Priorität
1 Risikoanalyse dokumentiertes Sicherheitskonzept mit Verantwortlichkeiten Hoch
2 Firewall & Netzwerk aktive Unternehmens-Firewall, Segmentierung, keine Altgeräte Hoch
3 Backup & Restore 3-2-1-Strategie, Offline-Kopie, regelmäßige Restore-Tests Kritisch
4 Patch-Management definierter Update-Prozess, EOL-Monitoring, Schwachstellenübersicht Hoch
5 E-Mail-Sicherheit SPF, DKIM, DMARC, Spam-/Phishing-Schutz Hoch
6 Endpoint Security EDR, zentrale Verwaltung, Verschlüsselung Hoch
7 Zugriff & MFA MFA für kritische Systeme, Least Privilege, Offboarding Kritisch
8 Incident Response Notfallplan, Eskalationswege, Meldeprozesse Kritisch
9 Lieferkette Sicherheitsnachweise und Verträge mit Dienstleistern Mittel bis hoch
10 Awareness regelmäßige Schulungen und Phishing-Simulationen Mittel bis hoch

1. Risikoanalyse und Sicherheitskonzept

Jedes Unternehmen braucht ein dokumentiertes IT-Sicherheitskonzept. Das muss kein 200-Seiten-Dokument sein. Für viele KMU reicht ein strukturiertes Konzept mit 15 bis 20 Seiten, wenn es aktuell, verständlich und umsetzbar ist.

Es sollte mindestens enthalten:

  • zentrale Systeme und Datenbestände
  • wichtigste Risiken und Bedrohungsszenarien
  • technische und organisatorische Schutzmaßnahmen
  • Verantwortlichkeiten
  • Dienstleister und kritische Abhängigkeiten
  • Notfallkontakte
  • Aktualisierungsintervall

Praxis-Check: Gibt es ein schriftliches IT-Sicherheitskonzept? Wurde es in den letzten zwölf Monaten aktualisiert? Ist klar, wer für welche Sicherheitsmaßnahme verantwortlich ist?

2. Firewall und Netzwerksicherheit

Eine professionelle Unternehmens-Firewall ist die erste Verteidigungslinie. Privatanwender-Router, veraltete Appliances oder Firewalls ohne aktive Sicherheitslizenz sind kein ausreichender Schutz für ein Unternehmen.

Moderne Next-Generation-Firewalls kombinieren Paketfilter, Intrusion Prevention, Webfiltering, VPN, Reporting und zentrale Verwaltung. Wichtig ist aber nicht nur das Gerät, sondern die saubere Konfiguration.

Besonders häufige Schwachstellen sind:

  • veraltete Firewall-Firmware
  • abgelaufene Security-Lizenzen
  • zu breite VPN-Zugänge
  • ungeprüfte Portfreigaben
  • keine Netzwerksegmentierung
  • Gäste-WLAN im gleichen Netz wie interne Systeme

Netzwerksegmentierung ist im Mittelstand oft der unterschätzte Hebel. Wenn ein kompromittierter Arbeitsplatz automatisch Zugriff auf Fileserver, Buchhaltung, Warenwirtschaft und Produktionssysteme hat, kann sich ein Angriff ungehindert ausbreiten. Getrennte VLANs für Verwaltung, Server, Produktion, Gäste-WLAN und Management-Zugänge reduzieren dieses Risiko deutlich.

Praxis-Check: Ist eine Unternehmens-Firewall mit aktiver Lizenz im Einsatz? Werden Firewall-Regeln regelmäßig überprüft? Gibt es getrennte Netzbereiche für Verwaltung, Server, Gäste-WLAN und kritische Systeme?

3. Backup und Disaster Recovery

Backups sind die letzte Verteidigungslinie gegen Ransomware. Aber ein Backup, das nie getestet wurde, ist keine Absicherung. Es ist eine Vermutung.

Eine belastbare Backup-Strategie folgt mindestens der 3-2-1-Regel:

  • 3 Kopien der wichtigen Daten
  • 2 unterschiedliche Speichermedien oder Speicherorte
  • 1 externe oder offline gesicherte Kopie

Für Unternehmen reicht es nicht, Daten einfach in die Cloud zu synchronisieren. Synchronisation ist kein Backup. Wenn verschlüsselte oder gelöschte Daten automatisch synchronisiert werden, wird der Schaden nur repliziert.

Wichtig ist ein getestetes Restore-Konzept und ein dokumentiertes Datensicherungskonzept:

  • Können einzelne Dateien wiederhergestellt werden?
  • Können ganze Server wiederhergestellt werden?
  • Wie lange dauert der Restore wirklich?
  • Gibt es eine Priorisierung kritischer Systeme?
  • Ist mindestens eine Kopie gegen Ransomware geschützt?

Praxis-Check: Wird die 3-2-1-Regel eingehalten? Gibt es eine offline oder immutable Backup-Kopie? Wurde in den letzten drei Monaten ein Restore-Test durchgeführt?

4. Patch-Management und Schwachstellen

Das BSI meldete im Lagebericht 2025 durchschnittlich 119 neue Schwachstellen pro Tag, ein Anstieg von rund 24 Prozent gegenüber dem vorherigen Berichtszeitraum. Für KMU bedeutet das: Ohne strukturiertes Patch-Management wächst die Angriffsfläche jeden Monat.

Patch-Management darf nicht davon abhängen, ob jemand „bei Gelegenheit" Updates installiert. Es braucht einen festen Prozess:

  • Inventar aller Systeme und Anwendungen
  • Einstufung nach Kritikalität
  • definierte Patch-Fristen
  • Test und Freigabe bei kritischen Systemen
  • Monitoring für fehlgeschlagene Updates
  • Umgang mit End-of-Life-Software

Als Orientierung: Kritische Sicherheitsupdates sollten kurzfristig eingespielt werden, häufig innerhalb von 72 Stunden. Für weniger kritische Updates ist ein monatlicher Patch-Zyklus praktikabel.

Praxis-Check: Gibt es einen dokumentierten Patch-Prozess? Werden kritische Updates zeitnah eingespielt? Ist bekannt, welche Systeme oder Anwendungen End-of-Life sind?

5. E-Mail-Sicherheit und Phishing-Schutz

E-Mail-Sicherheit ist einer der wichtigsten Angriffswege. Phishing-Mails sind durch KI-generierte Texte professioneller geworden und oft kaum noch an schlechter Sprache erkennbar.

Technische Mindestmaßnahmen sind:

  • SPF
  • DKIM
  • DMARC
  • Anti-Spam- und Anti-Phishing-Gateway
  • sichere Anhänge- und Linkprüfung
  • Blockieren riskanter Dateitypen
  • Schutz vor Domain-Spoofing

DMARC sollte nicht nur vorhanden sein, sondern konsequent ausgewertet werden. Eine reine p=none-Konfiguration liefert zwar Transparenz, verhindert aber noch keinen Missbrauch. Ziel sollte eine kontrollierte Verschärfung Richtung quarantine oder reject sein.

Praxis-Check: Sind SPF, DKIM und DMARC korrekt konfiguriert? Wird DMARC ausgewertet? Gibt es Schutz vor gefälschten Absendern, schädlichen Links und riskanten Anhängen?

6. Endpoint Security

Jeder Arbeitsplatz ist ein potenzielles Einfallstor: Büro-PC, Notebook, Smartphone, Tablet, Homeoffice-Gerät oder privates Gerät mit Zugriff auf Unternehmensdaten.

Klassischer Virenschutz reicht allein nicht mehr aus. Für Unternehmen ist Endpoint Detection and Response, kurz EDR, der neue Mindeststandard. EDR überwacht nicht nur bekannte Schadsoftware, sondern erkennt verdächtiges Verhalten: etwa PowerShell-Missbrauch, ungewöhnliche Prozessketten, verdächtige Verschlüsselungsaktivitäten oder laterale Bewegung im Netzwerk.

Zusätzlich sollten Geräte zentral verwaltet werden. Bei Windows- und Microsoft-365-Umgebungen ist Microsoft Intune häufig ein sinnvoller Baustein. Damit lassen sich Richtlinien für Verschlüsselung, Passwörter, Updates, App-Nutzung und Gerätekonformität zentral ausrollen.

Praxis-Check: Läuft EDR auf allen geschäftlich genutzten Endgeräten? Sind mobile Geräte zentral verwaltet? Ist BitLocker oder eine vergleichbare Festplattenverschlüsselung aktiv?

7. Zugriffsmanagement und Multifaktor-Authentifizierung

MFA ist eine der wirksamsten Einzelmaßnahmen gegen Account-Übernahmen. Trotzdem ist sie in vielen KMU nur teilweise aktiviert: für VPN ja, für Microsoft 365 nein; für Admin-Konten vielleicht, für Geschäftsführung nicht konsequent.

Das ist ein Fehler. MFA gehört auf alle kritischen Systeme:

  • E-Mail und Microsoft 365
  • VPN und Remote Desktop
  • Cloud-Anwendungen
  • ERP- und CRM-Systeme
  • Admin-Konsolen
  • Backup-Systeme
  • Passwortmanager

Genauso wichtig ist das Prinzip der geringsten Berechtigung. Mitarbeiter sollten nur Zugriff auf die Systeme und Daten haben, die sie für ihre Arbeit brauchen. Besonders kritisch sind lokale Administratorrechte und dauerhaft aktive Domain-Admin-Konten.

Typische Schwachstellen in KMU:

  • ehemalige Mitarbeiter mit aktiven Accounts
  • Geschäftsführer mit Domain-Admin-Rechten
  • gemeinsam genutzte Admin-Konten
  • keine regelmäßige Rechteprüfung
  • MFA nur für einzelne Systeme
  • fehlender Offboarding-Prozess

Praxis-Check: Ist MFA für alle kritischen Systeme aktiv? Werden Berechtigungen mindestens halbjährlich geprüft? Werden Zugänge ausgeschiedener Mitarbeiter innerhalb von 24 Stunden deaktiviert?

8. Notfallplan und Incident Response

Wenn ein Cyberangriff läuft, ist keine Zeit für Grundsatzdiskussionen. Dann muss klar sein, wer entscheidet, wer Systeme isoliert, wer Kunden informiert, wer Datenschutzfragen prüft und wer externe Spezialisten einschaltet.

Ein guter IT-Notfallplan enthält mindestens:

  • Rollen und Verantwortlichkeiten
  • Mobilnummern und Erreichbarkeit außerhalb der Geschäftszeiten
  • Eskalationsstufen
  • Sofortmaßnahmen für Ransomware, Datenleck, kompromittierte Konten und Systemausfall
  • Kontakt zum IT-Dienstleister
  • Kontakt zu Datenschutzbeauftragtem, Rechtsberatung und Cyberversicherung
  • Kommunikationsvorlagen für Kunden und Mitarbeiter
  • Meldeprozesse nach NIS2 und DSGVO

Unter NIS2 gelten bei erheblichen Sicherheitsvorfällen enge Meldefristen. Auch unabhängig von NIS2 kann bei personenbezogenen Daten eine DSGVO-Meldung innerhalb von 72 Stunden erforderlich sein. Die Grundlage dafür ist ein funktionierendes Disaster-Recovery-Konzept.

Unternehmen mit einem externen IT-Dienstleister haben hier einen Vorteil, wenn Reaktionswege klar geregelt sind. Die You Logic AG unterstützt mittelständische Unternehmen im Rhein-Main-Gebiet mit einer Erstreaktionszeit von in der Regel unter 30 Minuten.

Praxis-Check: Gibt es einen schriftlichen IT-Notfallplan? Sind Ansprechpartner außerhalb der Geschäftszeiten erreichbar? Wurde der Plan in den letzten zwölf Monaten als Tabletop-Übung getestet?

9. Lieferkettensicherheit

NIS2 verschiebt den Blick weg von der eigenen IT hin zur gesamten Lieferkette. Für Geschäftsführer ist das unbequem, aber notwendig: Ein schwacher Dienstleister kann zum Einfallstor für das eigene Unternehmen werden.

Relevante Fragen sind:

  • Welche IT-Dienstleister haben Zugriff auf Systeme oder Daten?
  • Wo werden Daten gespeichert?
  • Gibt es AV-Verträge, SLAs und Sicherheitsklauseln?
  • Welche Zertifizierungen oder Sicherheitsnachweise liegen vor?
  • Wie sichert der Dienstleister seine eigenen Systeme ab?
  • Wie schnell reagiert der Dienstleister im Notfall?
  • Gibt es kritische Abhängigkeiten von einzelnen Anbietern?

Ein konkretes Beispiel: Wenn ein Unternehmen DATEV nutzt und die betreuende Umgebung kompromittiert wird, können Mandanten-, Finanz- und Personaldaten betroffen sein. Dasselbe gilt für Microsoft-365-Tenants, gehostete ERP-Systeme, Remote-Wartungszugänge und Cloud-Backups.

Praxis-Check: Sind die wichtigsten IT-Dienstleister dokumentiert? Gibt es Sicherheitsanforderungen in Verträgen? Ist bekannt, welche Anbieter Zugriff auf kritische Systeme oder Daten haben?

10. Schulung und Security-Awareness

Technik schützt nicht gegen jeden Fehler. Mitarbeitende bleiben ein zentrales Angriffsziel, besonders bei Phishing, Social Engineering, gefälschten Rechnungen und CEO-Fraud.

Awareness darf keine jährliche Pflichtveranstaltung sein, die niemand ernst nimmt. Wirksam sind kurze, wiederkehrende Formate:

  • quartalsweise Schulungen
  • monatliche Security-Tipps
  • simulierte Phishing-Kampagnen
  • klare Meldewege für verdächtige E-Mails
  • kurze Lernmodule nach Fehlklicks
  • Schulungen für Geschäftsführung und Führungskräfte

Das CYBERsicher-Lagebild zeigt, dass Geschäftsführende durchschnittlich 57 gezielte Phishing-Angriffe pro Jahr abwehren müssen. Gerade Führungskräfte sind also nicht nur Entscheider, sondern selbst bevorzugte Angriffsziele.

Praxis-Check: Werden alle Mitarbeiter mindestens jährlich geschult? Gibt es Phishing-Simulationen? Können verdächtige E-Mails mit einem Klick gemeldet werden?

Wie viele Punkte erfüllt Ihr Unternehmen?

Die folgende Einordnung ist bewusst hart, weil sie in der Praxis zutrifft:

Erfüllte Punkte Einschätzung
0–3 Akutes Risiko. Grundschutz fehlt oder ist nicht nachweisbar.
4–6 Teilweise abgesichert, aber mit relevanten Lücken.
7–8 Solide Basis, aber noch nicht durchgehend belastbar.
9–10 Gutes Sicherheitsniveau, sofern Maßnahmen dokumentiert und getestet sind.

Wichtig: Nicht die Anzahl der Tools entscheidet, sondern die Nachweisbarkeit. Eine Firewall ohne gepflegte Regeln, ein Backup ohne Restore-Test oder MFA ohne Abdeckung für Microsoft 365 sind keine erledigten Punkte. Vergleichen Sie Ihre Lage mit den IT-Sicherheitsanforderungen für mittelständische Unternehmen.

Typische Sicherheitslücken, die wir bei KMU sehen

Aus der Praxis mittelständischer IT-Umgebungen wiederholen sich bestimmte Muster:

  1. MFA ist nur teilweise aktiv. VPN ist geschützt, Microsoft 365 oder Admin-Portale aber nicht.
  2. Backups wurden nie realistisch getestet. Im Ernstfall ist unklar, ob ein Restore Stunden oder Tage dauert.
  3. Firewall-Regeln sind historisch gewachsen. Alte Freigaben bleiben bestehen, weil niemand sie prüfen will.
  4. Patch-Management ist nicht messbar. Es gibt Updates, aber keine Übersicht über fehlende Patches und End-of-Life-Systeme.
  5. Ex-Mitarbeiter haben noch Zugriff. Offboarding ist organisatorisch nicht sauber geregelt.
  6. Admin-Rechte sind zu breit vergeben. Bequemlichkeit ersetzt Berechtigungskonzept.
  7. Dienstleisterzugänge sind nicht sauber kontrolliert. Remote-Zugänge bestehen dauerhaft und ohne starke Authentifizierung.

Diese Lücken lassen sich meist ohne komplette IT-Neuaufstellung schließen. Was fehlt, ist selten ein weiteres Tool. Was fehlt, ist ein strukturierter Plan.

90-Tage-Plan: So starten Geschäftsführer sinnvoll

Tage 1–30: Transparenz schaffen

  • Systeme, Benutzer, Admin-Konten und Dienstleister erfassen
  • Backup-Status und letzten Restore-Test prüfen
  • MFA-Abdeckung prüfen
  • Firewall-Lizenzen, Regeln und VPN-Zugänge kontrollieren
  • kritische End-of-Life-Systeme identifizieren

Tage 31–60: Kritische Risiken schließen

  • MFA für Microsoft 365, VPN und Admin-Zugänge erzwingen
  • ehemalige Benutzerkonten deaktivieren
  • EDR auf allen Endgeräten ausrollen
  • kritische Patches priorisiert einspielen
  • erste Restore-Tests durchführen
  • Firewall-Regeln bereinigen

Tage 61–90: Prozesse stabilisieren

  • IT-Sicherheitskonzept dokumentieren
  • Notfallplan erstellen oder aktualisieren
  • Dienstleister und Lieferkettenrisiken bewerten
  • Awareness-Schulung durchführen
  • Reporting für Geschäftsführung einführen
  • nächsten Review-Termin festlegen

Pragmatischer Einstieg:
Wer nicht weiß, wo er anfangen soll, sollte mit Backup, MFA, Patch-Stand und Admin-Rechten beginnen. Dort entstehen im Mittelstand die meisten sofort wirksamen Verbesserungen.

Wie die You Logic AG unterstützt

Die You Logic AG unterstützt als Managed Services Provider mittelständische Unternehmen im Rhein-Main-Gebiet bei Aufbau, Betrieb und Weiterentwicklung ihrer IT-Sicherheit.

Typische Leistungen sind:

  • IT-Sicherheitscheck für KMU
  • Risikoanalyse und Maßnahmenplan
  • Firewall-Konzeption und Betrieb
  • Sophos-Firewall-Implementierung
  • Endpoint Security und EDR
  • Microsoft 365 Security und Conditional Access
  • Backup- und Disaster-Recovery-Konzepte
  • Patch-Management
  • IT-Notfallplanung
  • laufender IT-Betrieb mit schneller Reaktion im Ernstfall

Wenn Sie wissen möchten, wo Ihr Unternehmen steht, starten Sie mit einem strukturierten Sicherheitscheck. Ziel ist keine theoretische Zertifikatsmappe, sondern eine klare Priorisierung: Welche Risiken sind kritisch, welche Maßnahmen bringen sofort Wirkung und was muss langfristig aufgebaut werden?

Mehr zu unseren IT-Security-Leistungen
Kostenlosen IT-Sicherheitscheck anfragen

Häufige Fragen zur IT-Sicherheit im Mittelstand

Wie viel sollte ein KMU für IT-Sicherheit ausgeben?

Als Orientierung sollten mittelständische Unternehmen etwa 10 bis 20 Prozent ihres IT-Budgets für IT-Sicherheit einplanen. Bitkom nennt für 2025 einen durchschnittlichen Anteil von 18 Prozent am gesamten IT-Budget. Die genaue Höhe hängt vom Risiko ab: Ein Steuerbüro, ein Produktionsbetrieb oder ein IT-Dienstleister mit Kundenzugängen braucht ein anderes Sicherheitsniveau als ein kleines Handelsunternehmen ohne kritische Systeme.

Gilt NIS2 auch für Unternehmen mit weniger als 50 Mitarbeitern?

Formal häufig nicht. NIS2 betrifft typischerweise Unternehmen in regulierten Sektoren ab bestimmten Größenkriterien, insbesondere ab 50 Beschäftigten oder bei mehr als 10 Millionen Euro Jahresumsatz und mehr als 10 Millionen Euro Jahresbilanzsumme. Es gibt aber Sonderfälle. Außerdem können kleinere Unternehmen indirekt betroffen sein, wenn größere Auftraggeber Sicherheitsnachweise aus der Lieferkette verlangen.

Was ist der Unterschied zwischen Virenscanner und EDR?

Ein klassischer Virenscanner erkennt bekannte Schadsoftware vor allem anhand von Signaturen. EDR geht weiter: Es überwacht Prozesse und Verhalten auf Endgeräten, erkennt verdächtige Aktivitäten und kann kompromittierte Geräte automatisch isolieren. Für Unternehmen ist EDR heute deutlich näher am Mindeststandard als reiner Virenschutz.

Wie oft sollten Backups getestet werden?

Mindestens vierteljährlich, besser monatlich für kritische Systeme. Entscheidend ist nicht nur, ob Daten vorhanden sind, sondern ob ein vollständiger Restore in akzeptabler Zeit möglich ist. Viele Unternehmen merken erst im Ernstfall, dass ihr Backup zwar existiert, aber die Wiederherstellung zu lange dauert oder unvollständig ist.

Was kostet ein IT-Sicherheitscheck für KMU?

Ein Erstcheck wird je nach Umfang kostenlos oder zu überschaubaren Kosten angeboten. Entscheidend ist, dass der Check konkrete Ergebnisse liefert: Firewall-Konfiguration, Patch-Stand, Backup-Konzept, MFA-Abdeckung, Microsoft-365-Sicherheit, Admin-Rechte und Notfallplanung. Die You Logic AG bietet Unternehmen im Rhein-Main-Gebiet einen kostenlosen IT-Sicherheitscheck als Einstieg an.

Muss mein Unternehmen Cyberangriffe melden?

Wenn Ihr Unternehmen unter NIS2 fällt, gelten Meldepflichten für erhebliche Sicherheitsvorfälle. Auch ohne NIS2 kann eine Meldepflicht entstehen, wenn personenbezogene Daten betroffen sind. Nach DSGVO Art. 33 muss eine Datenschutzverletzung in der Regel innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sofern ein Risiko für Rechte und Freiheiten betroffener Personen besteht.

Reicht Microsoft 365 Security für den Schutz meines Unternehmens?

Nein, nicht allein. Microsoft 365 bietet starke Sicherheitsfunktionen, wenn sie richtig konfiguriert sind: MFA, Conditional Access, Defender, sichere Freigaben, Audit-Logs und Data Loss Prevention. Aber Microsoft 365 ersetzt keine Firewall, kein Backup-Konzept, keine Endpoint Security, keine Rechteprüfung und keinen Notfallplan.

Fazit: IT-Sicherheit ist Geschäftsführungspflicht

Mittelständische Unternehmen brauchen 2026 keine Angstkampagne. Sie brauchen Klarheit.

Die meisten Sicherheitslücken sind bekannt, wiederkehrend und lösbar: fehlende MFA, ungeprüfte Backups, veraltete Systeme, zu breite Admin-Rechte, unklare Dienstleisterzugänge und fehlende Notfallprozesse. Wer diese Punkte strukturiert angeht, reduziert sein Risiko deutlich.

Der Fehler liegt nicht darin, noch nicht perfekt abgesichert zu sein. Der Fehler liegt darin, keinen belastbaren Plan zu haben.

Kostenlosen IT-Sicherheitscheck anfragen →

Weiterführende Quellen

Neueste Artikel

07. Mai 2026

NIS2 für den Mittelstand: Was Unternehmen jetzt wirklich tun müssen

28. April 2026

Cloud-Sicherheit: Wie sicher ist die Cloud wirklich – und was Unternehmen tun müssen

21. April 2026

IT-Services für Unternehmen: Warum der richtige IT-Dienstleister über Ihren Geschäftserfolg entscheidet

Jetzt IT-Dienstleister im Rhein-Main-Gebiet anfragen

Bringen wir Ihr Unternehmen auf die nächste Stufe!

0611 . 94 58 99 00
ProvenExpert
4.87
Sehr Gut
ProvenExpert
TeamViewer Support