Inhalt in Kürze
- Sechs Grundlagen schützen laut BSI-Lagebericht 2025 rund 95 % der Mittelständler vor Standard-Angriffen
- Realistische Kosten: 25–35 Euro pro Arbeitsplatz und Monat — gegenüber durchschnittlich 75.000–250.000 Euro Schaden bei einem Ransomware-Vorfall
- Multi-Faktor-Authentifizierung blockiert über 99 % der automatisierten Konten-Übernahmen — die Maßnahme mit dem besten Kosten-Nutzen-Verhältnis
- 950 Ransomware-Angriffe und 119 neue Schwachstellen täglich (BSI 2025) — Patch-Management ist nicht verhandelbar
- Geschäftsführer haften unter NIS-2 persönlich — IT-Sicherheit ist Chefsache, nicht Aufgabe der IT
Cyberangriffe sind 2026 Massengeschäft. 1.345 Angriffe pro Woche auf deutsche Unternehmen, 950 dokumentierte Ransomware-Vorfälle in nur einem Bundesland, 289 Milliarden Euro Gesamtschaden in Deutschland. Wer als Geschäftsführer eines Hamburger KMU denkt „uns trifft es schon nicht”, liegt 2026 statistisch falsch — und persönlich haftbar.
Wir betreuen als IT-Dienstleister in Hamburg seit über 20 Jahren mittelständische Unternehmen. Was wir sehen: Es scheitert selten an Geld, fast immer an Klarheit über die Reihenfolge. Dieser Artikel ist die ehrliche Reihenfolge — sechs Maßnahmen, die zusammen 95 % der Standard-Angriffe abwehren.
Die sechs IT-Sicherheits-Grundlagen für KMU 2026
Definition: IT-Sicherheits-Grundschutz für KMU besteht 2026 aus sechs technisch-organisatorischen Bausteinen, die zusammen den BSI-Mindeststandard und die NIS-2-Anforderungen abdecken — ohne Über-Bürokratisierung.
Grundlage 1: Multi-Faktor-Authentifizierung — der größte Hebel
Was: Multi-Faktor-Authentifizierung (MFA) verlangt zusätzlich zum Passwort einen zweiten Faktor — typischerweise einen Code aus der Authenticator-App auf dem Smartphone oder einen Hardware-Token.
Warum so wichtig: Über 80 % aller erfolgreichen Cyber-Angriffe starten mit einem gestohlenen Passwort. MFA blockiert das. Microsoft veröffentlicht die Zahl seit Jahren konsistent: über 99 % der automatisierten Konten-Übernahmen werden mit MFA verhindert. Im Bitkom-Studienbericht Cyberkriminalität 2025 erscheint MFA als #1-Empfehlung für KMU.
Was tun: MFA für alle Microsoft-365-Konten, alle VPN-Zugänge, alle Admin-Konten, alle externen SaaS-Tools (Salesforce, HubSpot, ERP). Ausnahmen sind keine. Vertiefung: Multi-Faktor-Authentifizierung Strategien für Unternehmen.
Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Grundlage 2: Cloud-Backup mit Versionierung und Restore-Test
Was: Backup ist nicht „Daten kopieren”. Backup ist „Daten so kopieren, dass sie im Ernstfall wieder verfügbar sind”. Der Unterschied entscheidet im Ransomware-Fall über Existenz oder Konkurs.
Warum so wichtig: Moderne Ransomware verschlüsselt zuerst die Backups, dann die Produktivdaten. Wer Backups auf demselben Netz hat wie das Live-System, hat keine Backups — er hat verschlüsseltes Mitleid. Die 3-2-1-1-Regel ist der Standard 2026: 3 Kopien, 2 Medien, 1 außer Haus, 1 unveränderlich (immutable).
Was tun: Cloud-Backup mit Veeam, Acronis oder Backupify einsetzen, mit Versions-Schutz und Air-Gap. Mindestens quartalsweise einen echten Restore-Test durchführen — eine Datei wiederherstellen, die wirklich verschlüsselt war. Vertiefung: Backup für Unternehmen — der Guide und Best Practices für sichere Datensicherung.
Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft — bis der Ernstfall kommt und nichts wiederherstellbar ist. Bei einem Hamburger Maschinenbau-Kunden hatte ein Geschäftsführer wöchentlich eine externe Festplatte mit nach Hause genommen. Über Weihnachten wurde alles verschlüsselt. Nur diese Privat-Festplatte war noch sauber. Pures Glück. Mit einem korrekten Cloud-Backup wäre das nicht Glück, sondern Routine gewesen.
Über Weihnachten wurde bei uns alles verschlüsselt. Nur weil ich jede Woche eine externe Festplatte mit nach Hause genommen habe, hatten wir noch eine brauchbare Sicherung. Das war pures Glück.
Grundlage 3: Automatisches Patch-Management
Was: Patch-Management heißt, dass Sicherheits-Updates für Betriebssysteme, Microsoft 365, Browser, Branchen-Software und Firmware zentral und automatisch ausgerollt werden — nicht „wenn Zeit ist”.
Warum so wichtig: Laut BSI gibt es 119 neue Schwachstellen pro Tag. Wer manuell patcht, hängt Wochen oder Monate hinterher. Genau in diesem Zeitfenster greift Ransomware. Der erfolgreiche Angriff auf einen Hamburger Sanitärbetrieb 2024 lief über eine Schwachstelle, die seit 4 Monaten gepatcht war — nur eben nicht beim Kunden.
Was tun: Microsoft Intune oder eine vergleichbare RMM-Plattform für zentrale Patch-Verteilung. Patches innerhalb von 7 Tagen nach Veröffentlichung, kritische Patches innerhalb von 24 Stunden. Vertiefung: Browser aktualisieren.
Grundlage 4: Endpoint Detection and Response (EDR)
Was: EDR ist die moderne Version von Antivirus. Statt nur bekannte Schadsoftware-Signaturen zu blockieren, beobachtet EDR Verhalten auf den Endgeräten und schlägt bei verdächtigen Mustern Alarm — z. B. wenn Word plötzlich Powershell aufruft und Dateien verschlüsselt.
Warum so wichtig: Klassischer Antivirus reicht 2026 nicht mehr. Moderne Ransomware nutzt legitime Tools („Living off the Land”) und umgeht Signatur-Erkennung. EDR sieht das Verhalten und greift ein. Mehr unter Effektive Bedrohungsabwehr mit Bitdefender GravityZone.
Was tun: Microsoft Defender for Endpoint (in Microsoft 365 E5 enthalten), SentinelOne oder Bitdefender GravityZone Business Security. Wichtig: Die EDR muss ein 24/7-SOC im Hintergrund haben — sonst alarmiert das System um 3 Uhr nachts und niemand reagiert.
Grundlage 5: Security-Awareness-Schulungen — der Mensch bleibt das Hauptrisiko
Was: Regelmäßige Schulungen aller Mitarbeitenden zu Phishing, Social Engineering, sicherer Passwort-Nutzung und dem richtigen Verhalten bei Sicherheitsvorfällen — kombiniert mit Phishing-Simulationen als Lernkontrolle.
Warum so wichtig: Laut Bitkom 2025 ist der Mensch in 9 von 10 Fällen das Einfallstor — durch unbedachten Klick auf Phishing-Mail, schwaches Passwort oder Weitergabe von Zugangsdaten am Telefon (Social Engineering). Technik allein reicht nie. Vertiefung: Social Engineering Arten und Cyberkriminelle und ihre Vorgehensweisen.
Was tun: Plattformen wie KnowBe4, SoSafe oder Hornetsecurity Security Awareness Service einsetzen. Pflicht: Onboarding-Schulung für neue Mitarbeitende, jährliche Auffrischung, Phishing-Simulationen mind. 4× pro Jahr. NIS-2 verlangt explizit Schulungen — auch für die Geschäftsleitung.
Die NIS-2-Richtlinie verlangt regelmäßige Cybersicherheits-Schulungen — und zwar explizit auch für die Geschäftsleitung. Diese Schulungspflicht ist nicht delegierbar. Mehr dazu: NIS-2 Beratung Hamburg.
Grundlage 6: Dokumentierter Incident-Response-Plan
Was: Ein Notfallplan, der vorab klärt: Wer ruft wen an, wenn morgen früh alle Bildschirme schwarz bleiben? Wie kommunizieren wir ohne E-Mail? Wer entscheidet über Lösegeldzahlung? Wer informiert das BSI innerhalb von 24 Stunden?
Warum so wichtig: Im Ernstfall sind die ersten 4 Stunden entscheidend. Wer dann erst überlegen muss, wer was tut, verliert wertvolle Zeit. NIS-2 verlangt Erstmeldung innerhalb 24 Stunden, vollständige Meldung innerhalb 72 Stunden, Abschlussbericht nach 30 Tagen. Ohne Plan ist das nicht zu schaffen. Vertiefung: Beyond the Breach — was nach einem Cyberangriff wirklich passiert.
Was tun: 5-Seiten-Notfallplan (nicht 50-Seiten-Konzept) mit Telefonliste, Eskalations-Pfaden, Kommunikations-Kanal außerhalb E-Mail (z. B. Signal-Gruppe der Geschäftsleitung), Vorlage für BSI-Meldung. Einmal pro Jahr eine Tabletop-Übung.
Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Was die 6 Grundlagen kosten — und was sie sparen
| Baustein | Monatlich pro Arbeitsplatz | Bemerkung |
|---|---|---|
| MFA | 0–2 € | Meist in Microsoft 365 enthalten |
| Cloud-Backup mit Versionierung | 3–6 € | Plus Server-Backup ca. 50–100 €/Server |
| Patch-Management (Intune o.ä.) | 4–8 € | Oft in M365 Business Premium |
| EDR (Defender, SentinelOne, Bitdefender) | 4–8 € | Inkl. 24/7-SOC: +5–10 € |
| Awareness-Schulungen (KnowBe4 o.ä.) | 2–4 € | Plus jährlicher Workshop |
| Incident-Response-Plan | einmalig 2.000–5.000 € | Plus jährliche Übung |
| Summe (Grundschutz) | 15–30 € pro AP/Monat | + Helpdesk + Monitoring |
Inklusive Helpdesk, Monitoring und Co. sind Sie als Hamburger Mittelständler bei Managed IT Services ab ca. 50 Euro pro Arbeitsplatz im Monat. Der durchschnittliche Schaden eines Ransomware-Vorfalls für KMU liegt laut Bitkom 2025 bei 75.000–250.000 Euro — plus Reputationsverlust und Vertrauensbruch bei Kunden.
Wer bereits ein ISMS nach ISO 27001 betreibt oder die 6 Grundlagen umsetzt, erfüllt rund 70 % der NIS-2-Anforderungen automatisch. Mehr unter NIS-2 Beratung Hamburg.
Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage.
Pragmatischer Fahrplan: Die 6 Grundlagen in 4 Wochen
So setzen wir die Grundlagen mit Hamburger Kunden um — bewährt aus mehr als 100 Projekten:
- Woche 1: Bestandsaufnahme. Welcher der 6 Bausteine fehlt komplett, welcher ist halb da? Risikobewertung mit Geschäftsführung. Priorisierte Maßnahmenliste.
- Woche 2: MFA und Patch-Management. MFA für alle Microsoft-365-Konten erzwingen. Intune für zentrale Patches einrichten. Quick Wins.
- Woche 3: EDR und Backup. EDR auf alle Endgeräte ausrollen. Cloud-Backup einrichten, ersten vollständigen Backup-Lauf, Restore-Test.
- Woche 4: Awareness und Notfallplan. Awareness-Plattform aktivieren, alle Mitarbeitenden onboarden. 5-Seiten-Notfallplan schreiben, Telefonliste hinterlegen.
- Ab Woche 5: Laufender Betrieb. Monatliches Patch-Reporting, quartalsweise Restore-Test, halbjährliche Awareness-Auffrischung, jährliche Tabletop-Übung.
IT-Sicherheits-Grundschutz prüfen? Sprechen Sie mit uns.
15 Minuten. Kostenlos. Wo Sie bei den 6 Grundlagen stehen — ehrlich bewertet.
Erstgespräch buchen →Ihr nächster Schritt
Sie sind unsicher, welcher der 6 Bausteine bei Ihnen heute fehlt oder unzureichend umgesetzt ist? Sie wollen einen ehrlichen Status-Check ohne Vertriebsdruck?
Sprechen Sie mit uns. 15 Minuten, kostenlos, ohne Vertriebsdruck. Wir schauen mit Ihnen auf die 6 Grundlagen und sagen ehrlich, wo Sie stehen — und was als Nächstes wichtig wird.
