IT-Sicherheit

IT-Sicherheit für KMUs: Die 7 häufigsten Fehler (und wie ihr sie vermeidet)

7. März 2026 · 8 Min. Lesezeit

Cyberangriffe treffen längst nicht mehr nur Konzerne. Im Gegenteil: Kleine Unternehmen sind für Angreifer besonders attraktiv, weil sie oft schlechter geschützt sind. Kein eigenes IT-Team, keine Sicherheitsrichtlinien, keine professionellen Backups.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt regelmäßig: KMUs unterschätzen die Bedrohungslage massiv. Ein erfolgreicher Ransomware-Angriff kann ein kleines Unternehmen tagelang lahmlegen — oder im schlimmsten Fall die Existenz gefährden.

Die gute Nachricht: Die meisten Sicherheitslücken lassen sich mit einfachen Maßnahmen schließen. Hier sind die sieben häufigsten Fehler, die wir bei KMUs sehen — und wie ihr sie vermeidet.

1 Keine Multi-Faktor-Authentifizierung (MFA)

Wenn eure Mitarbeiter sich nur mit einem Passwort anmelden, seid ihr angreifbar. Punkt. Passwörter werden gestohlen, erraten oder bei Datenlecks veröffentlicht. Ein einzelnes kompromittiertes Passwort kann ausreichen, um euer gesamtes Unternehmen lahmzulegen.

Die Lösung: Multi-Faktor-Authentifizierung (MFA) in Microsoft 365 aktivieren. Bei der Anmeldung wird zusätzlich zum Passwort eine Bestätigung über das Smartphone verlangt. Das dauert 5 Sekunden und blockiert über 99% aller automatisierten Angriffe. MFA ist in jeder Microsoft 365 Business-Lizenz enthalten — es kostet nichts extra.

2 Geteilte Passwörter und Accounts

„Das Passwort für den E-Mail-Account? Steht auf dem Post-it am Monitor.“ Oder noch schlimmer: Alle Mitarbeiter nutzen denselben Zugang. Wenn dann etwas passiert — gelöschte Dateien, versendete E-Mails, Datenlecks — lässt sich nicht nachvollziehen, wer es war.

Die Lösung: Jeder Mitarbeiter bekommt einen eigenen Microsoft 365 Account mit persönlichem Passwort. Gemeinsame Postfächer (z. B. info@) werden als Shared Mailbox eingerichtet — mit individuellen Zugängen statt einem geteilten Passwort. Alle Aktionen werden protokolliert.

3 Kein professionelles Backup

Viele KMUs verlassen sich darauf, dass ihre Daten „irgendwo auf dem Server“ gesichert sind. Oder sie machen manuelle Backups auf externe Festplatten — einmal im Monat, wenn jemand daran denkt. Das reicht nicht.

Die Lösung: Microsoft 365 sichert Daten in OneDrive und SharePoint automatisch in der Cloud, mit Versionierung und Wiederherstellung. Für zusätzliche Sicherheit empfehlen wir ein Drittanbieter-Backup der M365-Daten — falls mal ganze Accounts kompromittiert werden. So habt ihr immer eine unabhängige Kopie.

4 Kein Mobile Device Management (MDM)

Eure Mitarbeiter lesen Firmen-E-Mails auf ihren privaten Smartphones. Wenn ein Handy verloren geht oder gestohlen wird, hat der Finder Zugriff auf eure Unternehmensdaten. Kein Passwortschutz, keine Möglichkeit, die Daten aus der Ferne zu löschen.

Die Lösung: Microsoft Intune (in Business Premium enthalten) ermöglicht es, Geschäftsdaten auf mobilen Geräten zu schützen — auch auf privaten Smartphones. Geht ein Gerät verloren, könnt ihr die Firmendaten aus der Ferne löschen, ohne private Fotos oder Apps zu berühren.

5 Keine Datenklassifizierung

Nicht alle Daten sind gleich schützenswert. Aber wenn alles in einem großen Topf liegt — Marketingmaterial neben Lohnabrechungen, öffentliche Präsentationen neben Kundendaten — dann hat effektiv jeder Zugriff auf alles.

Die Lösung: Klare Ordnerstruktur in SharePoint mit abgestuften Berechtigungen. Nicht jeder muss auf alles zugreifen können. HR-Daten bleiben bei HR, Finanzdaten bei der Geschäftsführung. Microsoft 365 bietet Sensitivity Labels, mit denen ihr Dokumente automatisch klassifizieren und schützen könnt.

6 Veraltete Software

Windows 10 ohne Updates, Office 2016 ohne Sicherheitspatches, ein Router mit der Firmware von 2019. Jede ungepatchte Software ist ein offenes Einfallstor. Und Angreifer wissen genau, welche Sicherheitslücken in welchen Versionen stecken.

Die Lösung: Mit Microsoft 365 bekommt ihr immer die aktuellste Office-Version — automatische Updates inklusive. Für die restliche IT (Windows, Router, Drucker) braucht ihr einen regelmäßigen Update-Prozess. Genau das ist Teil unseres Wartungsvertrags: Wir prüfen monatlich, ob alles auf dem neuesten Stand ist.

7 Keine Sicherheitsschulung für Mitarbeiter

Die teuerste Firewall nützt nichts, wenn ein Mitarbeiter auf den Link in einer Phishing-Mail klickt. Und diese Mails werden immer besser — mittlerweile sind sie kaum noch von echten E-Mails zu unterscheiden.

Die Lösung: Regelmäßige Kurzschulungen zu den Grundlagen: Wie erkenne ich Phishing-Mails? Warum soll ich keine unbekannten Anhänge öffnen? Was mache ich, wenn ich unsicher bin? Das muss kein Tagesseminar sein — 30 Minuten pro Quartal reichen, um das Bewusstsein hochzuhalten.

IT-Sicherheit ist kein Zustand, sondern ein Prozess. Es reicht nicht, einmal alles einzurichten und dann nie wieder hinzuschauen. Bedrohungen ändern sich, Mitarbeiter wechseln, neue Geräte kommen hinzu.

Die Lösung: Microsoft 365 Sicherheit richtig nutzen

Das Gute: Wenn ihr Microsoft 365 Business nutzt, habt ihr bereits viele Sicherheits-Tools an Bord. Ihr müsst sie nur aktivieren und richtig konfigurieren:

• MFA: Kostenlos in jeder Business-Lizenz. Schaltet sie ein — heute noch.
• Conditional Access: Definiert, von wo und mit welchen Geräten sich Mitarbeiter anmelden dürfen.
• Intune: Schützt mobile Geräte und ermöglicht Remote-Löschung (Business Premium).
• SharePoint-Berechtigungen: Steuert, wer welche Dateien sehen und bearbeiten darf.
• Defender for Office 365: Erkennt und blockiert Phishing-Mails und schädliche Anhänge.
• Audit-Logs: Protokolliert, wer wann was gemacht hat — wichtig für Compliance und Nachvollziehbarkeit.

Das Problem: Die meisten dieser Features sind standardmäßig nicht aktiviert oder nur auf Grundeinstellungen konfiguriert. Und genau das ist der Punkt, an dem wir ins Spiel kommen.

Bei unserer M365-Einrichtung konfigurieren wir alle Sicherheitsfeatures so, dass sie zu eurem Unternehmen passen — sicher, aber nicht so restriktiv, dass eure Mitarbeiter nicht mehr arbeiten können.