IT-Sicherheit für Handwerksbetriebe und kleine Unternehmen unter 50 Mitarbeitern

Warum IT-Sicherheit auch ohne gesetzliche Pflicht existenziell ist

Der Dachdeckerbetrieb mit zwölf Mitarbeitern, die Schreinerei mit acht Angestellten, das Ingenieurbüro mit 25 Beschäftigten: Sie alle denken bei Cybersicherheit oft zuerst an Großunternehmen und Konzerne. NIS2 betrifft sie nicht, ISO 27001 klingt nach etwas für Unternehmen mit eigener IT-Abteilung, und das Tagesgeschäft lässt ohnehin wenig Raum für Themen, die nicht direkt mit der Auftragslage zusammenhängen.

Und dann passiert es doch. Ein Klick auf den falschen E-Mail-Anhang, und drei Stunden später sind alle Dateien auf dem Server verschlüsselt. Ransomware trifft kleine Betriebe besonders hart. Die Auftragshistorie, die Kundendaten, die Kalkulationen, die CAD-Zeichnungen, die Buchhaltung. Der Erpresserbrief fordert 25.000 Euro in Bitcoin. Das Backup? Lag auf dem gleichen Server. Die letzte externe Sicherung? Sechs Monate alt.

Das ist kein hypothetisches Szenario. Laut dem BSI-Lagebericht 2025 sind kleine und mittlere Unternehmen überproportional häufig Opfer von Ransomware-Angriffen, nicht weil sie besonders attraktive Ziele wären, sondern weil sie besonders leicht zu treffen sind. Fehlende Firewalls, veraltete Software, keine Netzwerksegmentierung, schwache Passwörter und Mitarbeiter, die noch nie eine Phishing-Mail gesehen haben: Das sind die Einfallstore, die Angreifer automatisiert finden und ausnutzen.

Die Kosten eines erfolgreichen Angriffs sind für ein kleines Unternehmen im Verhältnis zum Umsatz oft verheerend. Wenn ein Betrieb mit 1,5 Millionen Euro Jahresumsatz zwei Wochen stillsteht, weil die IT nicht funktioniert, und dann noch 15.000 Euro für die Wiederherstellung zahlt, kann das die Existenz bedrohen. Hinzu kommen mögliche DSGVO-Bußgelder, wenn Kundendaten abgeflossen sind, und der Reputationsschaden bei Kunden und Geschäftspartnern.

IT-Sicherheit ist also kein Luxus für Großunternehmen, sondern eine betriebswirtschaftliche Notwendigkeit für jedes Unternehmen, das einen Computer benutzt. Die gute Nachricht: Der Einstieg muss weder teuer noch kompliziert sein.

DIN SPEC 27076: Der IT-Sicherheitscheck für kleine Unternehmen

Genau für diese Ausgangslage wurde die DIN SPEC 27076 entwickelt. Sie heißt offiziell "IT-Sicherheitsberatung für kleine und Kleinstunternehmen" und wurde 2023 unter Beteiligung des BSI, verschiedener Handwerkskammern und IT-Sicherheitsdienstleister veröffentlicht. Die Zielgruppe sind Unternehmen mit bis zu 50 Mitarbeitern, die bisher wenig oder keine strukturierte IT-Sicherheit betreiben.

Was die DIN SPEC 27076 bietet

Die DIN SPEC 27076 ist kein Managementsystem wie ISO 27001 und kein Zertifizierungsstandard wie TISAX. Sie ist ein strukturierter Beratungsprozess, der in wenigen Stunden den aktuellen IT-Sicherheitsstand eines kleinen Unternehmens erfasst und konkrete Handlungsempfehlungen ableitet.

Der Ablauf ist bewusst schlank gehalten:

1. Erstgespräch (ca. 1 Stunde): Ein IT-Sicherheitsberater führt ein strukturiertes Interview mit dem Unternehmer oder IT-Verantwortlichen durch.
2. Analyse (ca. 2-3 Stunden): Der Berater wertet die Antworten aus und erstellt einen Ergebnisbericht mit Risikobewertung und priorisierten Handlungsempfehlungen.
3. Ergebnispräsentation (ca. 1 Stunde): Der Berater stellt die Ergebnisse vor und erläutert die empfohlenen Maßnahmen.

Das Ganze dauert typischerweise einen halben bis einen ganzen Arbeitstag und kostet je nach Anbieter zwischen 1.500 und 3.500 Euro. Über Förderprogramme kannst du einen Großteil dieser Kosten erstattet bekommen, dazu später mehr.

Abgrenzung zu ISO 27001 und IT-Grundschutz

Der entscheidende Unterschied zu ISO 27001 oder dem BSI-Grundschutz: Die DIN SPEC 27076 ist kein Managementsystem, das du aufbauen und pflegen musst. Sie ist eine Standortbestimmung mit konkreten Empfehlungen. Du bekommst einen Bericht, der dir sagt, wo du stehst und was du tun solltest, aber die Umsetzung liegt bei dir.

Für viele kleine Unternehmen ist das genau der richtige Einstieg: nicht die Verpflichtung, ein komplettes ISMS zu betreiben, sondern eine klare Orientierung darüber, welche Maßnahmen den größten Nutzen bringen und wo die dringendsten Risiken liegen.

Wenn dein Unternehmen wächst und irgendwann über 50 Mitarbeiter oder 10 Millionen Euro Umsatz kommt, hast du mit den umgesetzten Maßnahmen aus der DIN SPEC 27076 bereits eine solide Grundlage, auf der du ein formales ISMS aufbauen kannst.

Die sechs Themenbereiche der DIN SPEC 27076

Der Fragenkatalog der DIN SPEC 27076 deckt sechs Themenbereiche ab, die zusammen ein vollständiges Bild der IT-Sicherheitslage eines kleinen Unternehmens ergeben. Jeder Bereich enthält konkrete Prüffragen, die der Berater im Interview durchgeht.

1. Organisation und Sensibilisierung

Dieser Bereich prüft, ob IT-Sicherheit im Unternehmen organisatorisch verankert ist. Wer ist verantwortlich? Gibt es grundlegende Regeln für den Umgang mit IT? Werden Mitarbeiter regelmäßig sensibilisiert?

Typische Prüffragen:

• Gibt es eine Person, die für IT-Sicherheit verantwortlich ist?
• Werden neue Mitarbeiter in IT-Sicherheitsregeln eingewiesen?
• Gibt es Regeln für den Umgang mit E-Mails und das Erkennen von Phishing?
• Werden Mitarbeiter regelmäßig über aktuelle Bedrohungen informiert?

Für viele Handwerksbetriebe ist das der Bereich mit dem größten Nachholbedarf. IT-Sicherheit ist oft "Chefsache" im Sinne von: Der Chef kümmert sich um alles, aber es gibt keine dokumentierten Regeln und keine systematische Sensibilisierung der Mitarbeiter.

2. Identitäts- und Berechtigungsmanagement

Hier geht es um den Zugang zu IT-Systemen. Wer hat Zugang wozu? Wie werden Passwörter verwaltet? Gibt es individuelle Benutzerkonten?

Typische Prüffragen:

• Hat jeder Mitarbeiter ein eigenes Benutzerkonto?
• Werden Passwörter regelmäßig geändert oder wird ein Passwort-Manager verwendet?
• Gibt es Administratorkonten, die nur für administrative Aufgaben genutzt werden?
• Werden Zugänge deaktiviert, wenn ein Mitarbeiter das Unternehmen verlässt?
• Wird Multi-Faktor-Authentifizierung für wichtige Systeme genutzt?

In der Praxis findet man bei kleinen Unternehmen häufig gemeinsam genutzte Passwörter, Administratorrechte für alle Mitarbeiter und keine Prozesse für das Deaktivieren von Zugängen beim Ausscheiden von Mitarbeitern. Das sind gravierende Sicherheitslücken, die sich mit wenig Aufwand schließen lassen.

3. Datensicherung

Backups sind die Lebensversicherung gegen Ransomware. Dieser Bereich prüft, ob Datensicherungen vorhanden sind, regelmäßig durchgeführt werden und im Ernstfall auch funktionieren.

Typische Prüffragen:

• Werden regelmäßige Backups aller wichtigen Daten erstellt?
• Werden Backups an einem vom Hauptsystem getrennten Ort aufbewahrt?
• Wird regelmäßig getestet, ob die Wiederherstellung aus dem Backup funktioniert?
• Gibt es ein dokumentiertes Backup-Konzept mit definierten Intervallen?

Der häufigste Fehler bei kleinen Unternehmen: Es gibt zwar ein Backup, aber es liegt auf der gleichen Hardware wie die Produktivdaten. Bei einem Ransomware-Angriff wird das Backup gleich mit verschlüsselt. Oder das Backup läuft zwar automatisch, aber niemand prüft, ob die gesicherten Daten tatsächlich wiederherstellbar sind.

4. Patch- und Änderungsmanagement

Software-Updates sind einer der wirksamsten Schutzmechanismen gegen Cyberangriffe, weil viele Angriffe bekannte Sicherheitslücken ausnutzen, für die bereits Patches existieren. Dieser Bereich prüft, ob Updates zeitnah eingespielt werden.

Typische Prüffragen:

• Werden Betriebssysteme und Anwendungen regelmäßig aktualisiert?
• Gibt es einen Prozess für sicherheitskritische Updates?
• Wird noch Software eingesetzt, die vom Hersteller nicht mehr unterstützt wird (End-of-Life)?
• Werden Updates vor dem Einspielen auf Kompatibilität geprüft?

In Handwerksbetrieben findet man häufig Rechner mit Windows-Versionen, die seit Jahren keine Sicherheitsupdates mehr erhalten, oder Branchensoftware, die nur auf veralteten Betriebssystemen läuft. Das sind Zeitbomben, die über kurz oder lang ausgenutzt werden.

5. Schutz vor Schadprogrammen und IT-Angriffe

Dieser Bereich prüft die technischen Schutzmaßnahmen: Firewall, Virenscanner, Netzwerksicherheit und der Schutz vor den häufigsten Angriffsarten.

Typische Prüffragen:

• Ist eine aktuelle Antivirensoftware auf allen Arbeitsplätzen und Servern installiert?
• Ist eine Firewall im Einsatz und wird sie regelmäßig gewartet?
• Werden E-Mails auf Schadsoftware und Phishing geprüft?
• Ist das WLAN mit WPA3 oder mindestens WPA2 verschlüsselt und mit einem sicheren Passwort geschützt?
• Gibt es ein separates Gäste-WLAN?

Die gute Nachricht: Die meisten dieser Maßnahmen sind technisch einfach umzusetzen und kosten wenig. Eine ordentlich konfigurierte Firewall, aktueller Virenschutz und ein sicher konfiguriertes WLAN sind keine Raketenwissenschaft und für jeden IT-Dienstleister Routine.

6. IT-Systeme und Netzwerke

Der sechste Bereich betrachtet die IT-Infrastruktur als Ganzes: Netzwerkstruktur, Verschlüsselung, mobile Geräte und den physischen Schutz der Hardware.

Typische Prüffragen:

• Gibt es eine Übersicht aller IT-Systeme und Geräte im Unternehmen?
• Werden mobile Geräte (Laptops, Smartphones) mit einem Passwort oder einer PIN geschützt?
• Werden Daten auf mobilen Geräten verschlüsselt?
• Ist der physische Zugang zum Serverraum oder Serverschrank gesichert?
• Werden alte Datenträger sicher entsorgt?

Gerade die Inventarisierung der IT-Systeme fehlt in kleinen Unternehmen fast immer. Man weiß nicht genau, wie viele Rechner im Netz sind, welche Software darauf läuft und ob alle Geräte dem aktuellen Sicherheitsstand entsprechen. Ohne dieses Wissen ist strukturierte IT-Sicherheit nicht möglich.

Grundschutz-Maßnahmen, die jeder sofort umsetzen kann

Unabhängig davon, ob du den DIN-SPEC-27076-Check machst oder nicht, gibt es eine Reihe von Maßnahmen, die jedes Unternehmen sofort umsetzen kann und sollte. Sie kosten wenig, erfordern keine tiefe technische Expertise und reduzieren das Risiko eines erfolgreichen Angriffs drastisch.

Passwörter und Zugänge

Passwort-Manager einführen. Ein Passwort-Manager wie KeePass, Bitwarden oder 1Password kostet zwischen null und fünf Euro pro Mitarbeiter und Monat und löst das Problem der schwachen und wiederverwendeten Passwörter auf einen Schlag. Jeder Mitarbeiter bekommt ein einziges starkes Master-Passwort, das er sich merken muss, und der Manager generiert und speichert für jedes System ein einzigartiges, komplexes Passwort.

Multi-Faktor-Authentifizierung aktivieren. Für alle Systeme, die es anbieten: E-Mail, Cloud-Dienste, Buchhaltungssoftware, Online-Banking. Die Einrichtung dauert zehn Minuten pro Dienst und pro Mitarbeiter. Der Schutzgewinn ist enorm, weil ein gestohlenes Passwort allein nicht mehr ausreicht, um Zugang zu erlangen.

Individuelle Benutzerkonten einrichten. Kein gemeinsames "Büro-Login" mehr, sondern ein persönliches Konto pro Mitarbeiter mit nur den Rechten, die für die jeweilige Aufgabe nötig sind. Administrator-Rechte nur für den IT-Verantwortlichen.

Backups

Die 3-2-1-Regel umsetzen. Drei Kopien deiner Daten, auf zwei verschiedenen Medientypen, eine davon an einem anderen Standort. Konkret kann das so aussehen: Produktivdaten auf dem Server, tägliches Backup auf eine externe Festplatte und wöchentliches Backup in die Cloud oder auf ein Band, das du in einem Bankschließfach aufbewahrst.

Backup-Wiederherstellung testen. Mindestens einmal pro Quartal: Nimm das Backup, stelle eine Datei oder einen ganzen Ordner wieder her und prüfe, ob die Daten vollständig und lesbar sind. Ein Backup, das du nie getestet hast, ist kein Backup, sondern eine Hoffnung.

Backups offline aufbewahren. Mindestens eine Backup-Kopie darf nicht permanent mit dem Netzwerk verbunden sein. Bei einem Ransomware-Angriff werden alle erreichbaren Laufwerke verschlüsselt. Wenn dein Backup auf einer Netzwerkfreigabe liegt, ist es genauso betroffen wie die Originaldaten.

Updates und Patches

Automatische Updates aktivieren. Für Betriebssysteme, Browser und Office-Anwendungen: Automatische Updates einschalten und nicht immer wieder wegklicken. Bei Branchensoftware musst du gegebenenfalls mit dem Hersteller klären, ob automatische Betriebssystem-Updates unterstützt werden, aber für Standard-Software gibt es keinen Grund, Updates zu verzögern.

End-of-Life-Software ersetzen. Windows 10, dessen Support im Oktober 2025 ausgelaufen ist, sollte spätestens jetzt auf Windows 11 aktualisiert oder durch ein unterstütztes System ersetzt werden. Gleiches gilt für alte Office-Versionen, veraltete Browser und jede andere Software, die keine Sicherheitsupdates mehr erhält.

Netzwerk und Zugang

Firewall konfigurieren. Jedes Unternehmen braucht eine Firewall zwischen dem internen Netzwerk und dem Internet. Moderne Firewalls für kleine Unternehmen kosten zwischen 300 und 1.500 Euro und bieten Features wie Intrusion Prevention, Content Filtering und VPN. Die Einrichtung sollte ein IT-Dienstleister übernehmen, der die Firewall auch regelmäßig wartet.

WLAN absichern. Ein starkes Passwort mit WPA3-Verschlüsselung (oder mindestens WPA2) für das Firmen-WLAN. Dazu ein separates Gäste-WLAN, das keinen Zugang zum internen Netzwerk hat. Und bitte das Standardpasswort des Routers ändern, denn die werkseitig eingestellten Passwörter sind oft öffentlich bekannt.

VPN für Fernzugriff. Wenn Mitarbeiter von zu Hause oder unterwegs auf Firmendaten zugreifen, dann über eine verschlüsselte VPN-Verbindung und nicht über ungesicherte Remote-Desktop-Verbindungen, die direkt aus dem Internet erreichbar sind.

Mitarbeiter sensibilisieren

Phishing-Awareness schaffen. Zeige deinen Mitarbeitern Beispiele für Phishing-Mails und erkläre, woran man sie erkennt: ungewöhnliche Absenderadressen, dringende Handlungsaufforderungen, Links zu unbekannten Websites, Anhänge von unbekannten Absendern. Das muss keine professionelle Schulung sein, eine halbe Stunde im Teammeeting mit echten Beispielen kann bereits viel bewirken.

Klare Regeln aufstellen. Definiere einfache, verständliche Regeln: Keine unbekannten USB-Sticks an Firmenrechner anschließen. Keine Software eigenständig installieren. Bei verdächtigen E-Mails den IT-Verantwortlichen fragen, nicht den Anhang öffnen. Bildschirm sperren, wenn du den Arbeitsplatz verlässt. Diese Regeln müssen nicht in einem 20-seitigen Dokument stehen, eine Seite mit den fünf wichtigsten Punkten reicht für den Anfang.

Regelmäßig wiederholen. Einmal im Jahr eine kurze Auffrischung, idealerweise mit aktuellen Beispielen aus der Praxis. IT-Sicherheit ist kein Thema, das man einmal behandelt und dann vergisst. Die Bedrohungen ändern sich ständig, und das Bewusstsein der Mitarbeiter muss mithalten.

Förderprogramme: So senkt der Staat die Kosten

Einer der häufigsten Gründe, warum kleine Unternehmen IT-Sicherheitsmaßnahmen aufschieben, sind die Kosten. Auch eine Cyber-Versicherung kann das Restrisiko absichern, setzt aber Basismaßnahmen voraus. Die Wahrnehmung ist oft, dass professionelle IT-Sicherheit teuer ist und nur von größeren Unternehmen gestemmt werden kann. Tatsächlich gibt es aber eine Reihe von Förderprogrammen, die genau hier ansetzen und einen erheblichen Teil der Kosten übernehmen.

"go-digital" des BMWK

Das Förderprogramm "go-digital" des Bundesministeriums für Wirtschaft und Klimaschutz richtet sich an kleine und mittlere Unternehmen mit weniger als 100 Mitarbeitern. Es fördert Beratungsleistungen in den Bereichen Digitalisierung, IT-Sicherheit und digitale Markterschließung.

Die wichtigsten Eckdaten:

• Förderhöhe: bis zu 50 % der Beratungskosten
• Maximaler Förderbetrag: 16.500 Euro
• Maximale Beratungstage: 30 Tage in einem halben Jahr
• Beantragung läuft über autorisierte Beratungsunternehmen, die im Programm gelistet sind

Für einen IT-Sicherheitscheck nach DIN SPEC 27076 inklusive Umsetzungsberatung ist "go-digital" ideal geeignet. Der autorisierte Berater stellt den Förderantrag, führt die Beratung durch und rechnet direkt ab. Du zahlst nur deinen Eigenanteil.

Regionale Digitalisierungszuschüsse

Viele Bundesländer und Regionen haben eigene Förderprogramme für die Digitalisierung kleiner Unternehmen, die oft auch IT-Sicherheit einschließen. Die Programme heißen je nach Bundesland unterschiedlich und haben unterschiedliche Konditionen, aber das Prinzip ist ähnlich: Zuschüsse zu Investitionen und Beratungsleistungen im Bereich Digitalisierung und IT-Sicherheit.

Einige Beispiele:

• Bayern: "Digitalbonus" mit bis zu 10.000 Euro Zuschuss (50 % Förderquote)
• NRW: "MID-Digitalisierung" mit bis zu 15.000 Euro
• Baden-Württemberg: "Digitalisierungsprämie Plus" als Tilgungszuschuss zu einem zinsgünstigen Kredit
• Niedersachsen: "Digitalbonus.Niedersachsen" mit bis zu 10.000 Euro

Die Programme ändern sich regelmäßig, daher lohnt sich eine aktuelle Recherche bei der zuständigen IHK oder Handwerkskammer. Diese beraten auch kostenlos zu den verfügbaren Fördermöglichkeiten.

Transferstelle IT-Sicherheit im Mittelstand (TISiM)

Die vom Bund geförderte Transferstelle IT-Sicherheit im Mittelstand bietet kostenlose Erstberatung, Webinare und Handlungsleitfäden speziell für kleine Unternehmen. Der "Sec-O-Mat" auf der TISiM-Website erstellt einen individuellen Aktionsplan auf Basis weniger Fragen. Das ersetzt keine professionelle Beratung, ist aber ein guter erster Schritt, um das eigene Risikoprofil einzuschätzen.

Cyber-Versicherung als Ergänzung

Neben Förderprogrammen für Prävention gibt es die Möglichkeit, das Restrisiko über eine Cyber-Versicherung abzusichern. Für kleine Unternehmen kosten diese Versicherungen typischerweise zwischen 500 und 3.000 Euro pro Jahr, abhängig von Umsatz, Branche und gewähltem Deckungsumfang.

Wichtig zu wissen: Die meisten Cyber-Versicherungen setzen ein Mindestmaß an IT-Sicherheit voraus. Wenn du grundlegende Maßnahmen wie Backups, Firewalls und aktuelle Software nicht vorweisen kannst, bekommst du entweder keinen Vertrag oder die Versicherung verweigert im Schadensfall die Leistung. Die Grundschutz-Maßnahmen aus dem vorherigen Abschnitt sind also auch für den Versicherungsschutz relevant.

Kosten und Aufwand realistisch eingeschätzt

Eine der wichtigsten Fragen für Handwerksbetriebe und Kleinunternehmer: Was kostet das alles, und wie viel Zeit muss ich investieren? Hier eine realistische Kalkulation für ein Unternehmen mit 15 bis 30 Mitarbeitern.

Initialkosten

Die Spanne ist bewusst breit, weil der Zustand der bestehenden IT stark variiert. Ein Betrieb, der bereits eine ordentliche Firewall hat und aktuelle Software einsetzt, liegt am unteren Ende. Ein Betrieb mit veralteten Systemen, fehlendem Backup und offenem WLAN am oberen Ende.

Laufende Kosten

Das entspricht bei einem Unternehmen mit 1,5 Millionen Euro Jahresumsatz einer Quote von 0,2 bis 0,6 Prozent des Umsatzes für IT-Sicherheit. Zum Vergleich: Der durchschnittliche Schaden eines Ransomware-Angriffs auf ein kleines Unternehmen liegt laut Bitkom-Studie bei 50.000 bis 120.000 Euro, wenn man Betriebsausfall, Wiederherstellung und Reputationsschaden zusammenrechnet. Die Investition in Prävention ist also wirtschaftlich betrachtet ein Bruchteil des potenziellen Schadens.

Zeitaufwand

IT-Sicherheit erfordert nicht nur Geld, sondern auch Zeit. Realistisch solltest du mit folgendem Aufwand rechnen:

• Initial: 2 bis 4 Tage für den IT-Sicherheitscheck, die Planung und die Umsetzung der wichtigsten Maßnahmen (in Zusammenarbeit mit einem IT-Dienstleister)
• Laufend: 2 bis 4 Stunden pro Monat für die Pflege der IT-Sicherheit (Backup-Prüfung, Update-Kontrolle, Meldungen des IT-Dienstleisters bearbeiten)
• Jährlich: 1 Tag für eine Auffrischungsschulung und eine Überprüfung des Sicherheitsstands

Für den Geschäftsführer eines Handwerksbetriebs, der bereits mit Auftragsplanung, Personalführung und Kundenbetreuung ausgelastet ist, klingt das nach viel. Aber vergleiche es mit dem Aufwand, den du nach einem erfolgreichen Cyberangriff hast: Wochen des Chaos, unterbrochene Geschäftsprozesse, Ärger mit Kunden und Behörden und im schlimmsten Fall die Frage, ob der Betrieb überhaupt weitergeführt werden kann.

Der pragmatische Einstieg: Was du morgen tun kannst

Wenn du bis hierhin gelesen hast und dich fragst, womit du anfangen sollst, findest du hier einen Fahrplan, der auf der Priorisierung nach Wirkung und Aufwand basiert:

Woche 1: Die absoluten Basics

• Prüfe, ob dein Backup funktioniert. Stelle testweise eine Datei wieder her.
• Aktiviere Multi-Faktor-Authentifizierung für dein E-Mail-Konto und dein Online-Banking.
• Ändere das Standardpasswort deines Routers, falls du das noch nie getan hast.
• Prüfe, ob automatische Updates für Windows und Office aktiviert sind.

Woche 2 bis 4: Solide Grundlage schaffen

• Richte einen Passwort-Manager für dich ein und lerne, ihn zu benutzen. Dann rolle ihn für dein Team aus.
• Kontaktiere deine IHK oder Handwerkskammer und frage nach Förderprogrammen für IT-Sicherheit.
• Beauftrage einen IT-Sicherheitscheck nach DIN SPEC 27076 bei einem autorisierten Berater.
• Stelle sicher, dass dein Backup nach der 3-2-1-Regel funktioniert.

Monat 2 bis 3: Empfehlungen umsetzen

• Setze die priorisierten Empfehlungen aus dem IT-Sicherheitscheck um.
• Führe eine kurze Mitarbeitersensibilisierung durch (Phishing erkennen, sichere Passwörter, Bildschirm sperren).
• Lass deinen IT-Dienstleister die Netzwerksicherheit prüfen und verbessern (Firewall, WLAN, Segmentierung).
• Erstelle eine einfache, einseitige IT-Sicherheitsrichtlinie mit den fünf wichtigsten Regeln für deine Mitarbeiter.

Fortlaufend: Dranbleiben

• Quartalsweise: Backup-Wiederherstellung testen, Updates prüfen, IT-Dienstleister checkt die Systeme.
• Halbjährlich: Kurzupdate für Mitarbeiter zu aktuellen Bedrohungen.
• Jährlich: Überprüfung des Sicherheitsstands, gegebenenfalls erneuter DIN-SPEC-Check.

Wann ein formales ISMS sinnvoll wird

Die DIN SPEC 27076 und die Grundschutz-Maßnahmen aus diesem Artikel sind der richtige Einstieg für kleine Unternehmen. Aber es gibt Situationen, in denen du über ein formales ISMS nachdenken solltest:

Dein Unternehmen wächst über 50 Mitarbeiter. Ab dieser Schwelle greift NIS2, wenn du in einem regulierten Sektor tätig bist. Dann brauchst du ein systematisches ISMS, nicht nur Einzelmaßnahmen.

Deine Kunden fordern es. Wenn große Auftraggeber in ihren Ausschreibungen ISO 27001, TISAX oder vergleichbare Nachweise fordern, kommst du um ein ISMS nicht herum.

Du verarbeitest besonders sensible Daten. Arztpraxen, Steuerberater, Rechtsanwälte: Wer mit hochsensiblen Daten arbeitet, sollte auch bei weniger als 50 Mitarbeitern ein strukturiertes Sicherheitsmanagement haben.

Du wurdest bereits angegriffen. Nach einem Sicherheitsvorfall ist die Motivation hoch, und die Investition in ein ISMS ist auch eine Investition in die Zukunftssicherung des Betriebs.

Der Übergang von den Grundschutz-Maßnahmen zu einem formalen ISMS muss nicht abrupt sein. Du kannst schrittweise formalisieren: Erst die Richtlinien verschriftlichen, dann die Risikobewertung systematisieren, dann die Prozesse dokumentieren. Tools wie ISMS Lite kosten 500 Euro pro Jahr und sind damit auch für kleine Unternehmen erschwinglich, die den Schritt vom Excel-basierten Grundschutz zu einem strukturierten ISMS machen wollen. Wenn du die Grundschutz-Maßnahmen aus diesem Artikel bereits umgesetzt hast, hast du eine solide Basis, auf der ein ISMS aufbauen kann.

Besondere Herausforderungen im Handwerk

Handwerksbetriebe haben im Vergleich zu Büro-basierten Unternehmen einige spezifische Herausforderungen, die bei der IT-Sicherheit berücksichtigt werden müssen:

Mobile Endgeräte auf Baustellen. Tablets und Smartphones, die auf Baustellen für Aufmaß, Fotodokumentation und Zeiterfassung genutzt werden, sind schwerer zu kontrollieren als stationäre Bürorechner. Sie können verloren gehen, gestohlen oder beschädigt werden. Verschlüsselung, Bildschirmsperre und die Möglichkeit zur Fernlöschung sind hier Pflicht.

Branchensoftware mit Sonderstatus. Viele Handwerksbetriebe nutzen spezialisierte Branchensoftware für Auftragsmanagement, Kalkulation oder Zeiterfassung, die manchmal nicht mit den neuesten Betriebssystem-Versionen kompatibel ist. In solchen Fällen hilft ein Gespräch mit dem Softwarehersteller. Oft gibt es Updates oder Workarounds, und falls nicht, muss die veraltete Software durch eine aktuelle Alternative ersetzt werden.

Kundendaten im Handwerk. Auch ein Handwerksbetrieb verarbeitet personenbezogene Daten: Kundenanschriften, Fotos von Baustellen (auf denen Privaträume zu sehen sind), Bankinformationen für die Rechnungsstellung. Ein Datenverlust ist nicht nur ärgerlich, sondern kann DSGVO-relevant sein.

Fehlende IT-Kompetenz. In den meisten Handwerksbetrieben gibt es keinen IT-Mitarbeiter. Der Geschäftsführer oder ein technikaffiner Geselle kümmert sich nebenbei um die IT. Das funktioniert für den Alltagsbetrieb, aber für IT-Sicherheit brauchst du entweder einen kompetenten externen IT-Dienstleister oder du investierst in Weiterbildung. Die Handwerkskammern bieten zunehmend Kurse zu IT-Sicherheit im Handwerk an, die auf die Bedürfnisse kleiner Betriebe zugeschnitten sind.

Der Blick nach vorn: Regulierung wird kommen

Auch wenn kleine Unternehmen aktuell nicht unter NIS2 fallen: Der Trend geht eindeutig in Richtung mehr Regulierung im Bereich Cybersicherheit. Die EU-Kommission hat bereits angekündigt, die Schwellenwerte in den kommenden Jahren zu überprüfen und gegebenenfalls anzupassen. Die Anforderungen an die Lieferkettensicherheit unter NIS2 bedeuten außerdem, dass auch kleine Unternehmen von ihren größeren Kunden zunehmend Nachweise über IT-Sicherheitsmaßnahmen gefordert bekommen werden.

Wer jetzt die Grundlagen schafft, ist vorbereitet. Die Maßnahmen, die in diesem Artikel beschrieben sind, kosten einen Bruchteil dessen, was ein erfolgreicher Cyberangriff kosten würde, und sie sind gleichzeitig die Basis für weitergehende Anforderungen, die in Zukunft auf dein Unternehmen zukommen könnten.

IT-Sicherheit ist keine Frage der Unternehmensgröße. Sie ist eine Frage der Verantwortung gegenüber deinen Mitarbeitern, deinen Kunden und deinem eigenen Geschäft.

Weiterführende Artikel

• Top 10 Sicherheitsrisiken im Mittelstand und wie du sie adressierst
• Ransomware-Angriff: Sofortmaßnahmen und Wiederherstellung
• Phishing erkennen und richtig melden: Praxisleitfaden
• Backup-Strategie und Restore-Tests: So sicherst du deine Daten richtig
• MFA einführen: Multi-Faktor-Authentifizierung für Unternehmen