Die Cyberangriffe auf Deutschlands KMU weiten sich aus - das müssen Sie als Unternehmer beachten.

Warum 2025 für KMU das IT-Sicherheitsjahr war (und 2026 noch härter wird)

Von / Veröffentlicht am
IT-Sicherheit

80 % der Cyberangriffe treffen KMU – unsere To-do-Liste für Backup, Zwei-Faktor-Authentifizierung & Updates.
Den Dezember haben wir bei HTH zum Anlass für einen Jahresrückblick genommen. Wir haben uns gefragt: Was hat sich in den letzten 12 Monaten (und den letzten 4 Jahren Podcast) verändert, und warum ist IT-Sicherheit für KMU wichtiger denn je?

In diesem Beitrag geht es um die aktuelle Bedrohungslage und typische Einfallstore wie Phishing, Passwortangriffe und veraltete Systeme. Abschließend geben wir Ihnen eine klare To-do-Liste für Ihre IT-Sicherheit an die Hand.

Die drei größten IT-Sicherheitsrisiken für KMU:

  • Phishing-Angriffe: Gefälschte E-Mails versuchen Mitarbeiter dazu zu bringen, Zugangsdaten preiszugeben.
  • Schwache Passwörter: Brute-Force-Angriffe können einfache Passwörter in kurzer Zeit knacken.
  • Fehlende Backups: Ohne funktionierende Datensicherung kann ein Ransomware-Angriff existenzbedrohend werden.

Was bei HTH 2025 passiert ist?

Wir als HTH haben 2025 ein bewegtes Jahr hinter uns. Unser Umzug nach Sankt Augustin hat das Jahr geprägt und war sicherlich die größte Veränderung. Was aber gleichgeblieben ist, ist, dass wir weiterhin fleißig ausbilden. Eigentlich haben wir jedes Jahr zwei Azubis. Unser Anspruch ist es, diese anschließend zu übernehmen. Zusätzlich suchen wir Verstärkung. Dafür haben wir zwei grundsätzliche Voraussetzungen:

  • Neue Kolleg:innen sollten sich gut mit Microsoft auskennen.
  • Spaß am Kundenkontakt und Kommunikationsstärke sind für uns sehr wichtig.

Doch zurück zum Thema IT-Sicherheit!

Der BSI-Bericht zur IT-Sicherheitslage

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt in seinem Bericht zur IT-Sicherheitslage einmal mehr auf, dass KMU besonders für Angriffe gefährdet sind.

Deutschland ist durch KMU geprägt. Beim Angriff stehen für die Kriminellen Kosten und Nutzen in Relation. Auch sie überlegen sich, in welches Ziel sie wieviel Zeit stecken. Wenn ein Ziel geringen Aufwand in Relation zu einer großen Summe verspricht, ist das ein lukratives Ziel.

Aktuell treffen 80 % der Angriffe kleine und mittlere Unternehmen. Das sind Unternehmen bis zu einer Größe von 250 Mitarbeitern. Dort sehen die Hacker die einfachsten Hürden, um in die Infrastruktur einzudringen. Ist das erst einmal geschafft, ist der zweite Schritt meistens die Erpressung. Es ist immer das gleiche Spiel: Die Hacker drohen, die gestohlenen Daten zu verschlüsseln, zu veröffentlichen oder zu vernichten.

Für ihre Angriffe nutzen Cyberkriminelle verschiedene Strategien:

  • Einerseits verbreiten sie Malware und hoffen, dass sie irgendwo einen Treffer landen.
  • Was inzwischen häufiger vorkommt ist, dass Unternehmen gezielt ausgespäht werden, Anschließend folgen Phishing- und Brute-Force-Angriffe. Dabei werden mit Zufallsgeneratoren Passwörter durchprobiert.
  • CEO-Fraud: Dabei wird die E-Mail-Adresse des CEOs oder Geschäftsführers genutzt, um an sensible Daten heranzukommen oder Aktionen auszulösen.
  • Eine weitere Strategie ist eine E-Mail, die vorgibt, dass es eine Anomalie bei einem Konto gibt (z.B. bei Microsoft 365) und eine Aktion auslösen soll. 

Phishing-E-Mails sehen inzwischen so echt aus, dass selbst wir als Experten sehr genau hinsehen müssen. Wir hatten neulich einen Fall, bei dem fast alles gepasst hat: Die Absenderadresse sah echt aus. Das Gleiche galt für den Anzeigenamen und die Kontaktinformation. Der Text der E-Mail war ebenfalls fehlerfrei und unauffällig.

Die einzige Auffälligkeit war die Domain: Statt „microsoft.com“ stand dort „rnicrosoft.com“. Das „m“ wurde durch ein „r“ und ein „n“ ersetzt. Mit bloßem Auge war das aufgrund der Schriftart und dem Abstand fast nicht zu erkennen.

IT-Sicherheit nicht auf die leichte Schulter nehmen

Es ist keine Kunst ein IT-System einmalig sicher zu gestalten. Die Kunst ist es, das System über einen langen Zeitraum sicher zu behalten. Wer das Thema IT-Security auf die leichte Schulter nimmt, keine Firewall, keine gesicherten Endpoints und veraltete Programme nutzt, wird zum leichten Ziel.

Täglich werden ca. 119 Schwachstellen entdeckt. Die meisten davon werden schnell gefixt. Darüber hinaus ist es wichtig, Tools einzusetzen, um die eigenen Schwachstellen zu erkennen.

Glauben Sie jetzt bitte nicht: „Mich als kleinen wird es schon nicht treffen“. Vielleicht schaffen Sie es nicht in die Fachmedien, aber einen Angriff (mit fatalen Folgen) kann kein Unternehmen ausschließen.

Die häufigen Bedrohungen im Bereich der IT-Sicherheit

  • Ransomware: Verschlüsselungsattacken mit der Drohung, Daten zu zerstören oder zu veröffentlichen
  • Phishing-Angriffe mit gefakten E-Mails
  • Datenlecks bei großen Cloudplattformen mit dem Diebstahl großer Datenmengen. Wenn Sie ein Passwort für mehrere Seiten nutzen, kann es schnell eng werden. Deswegen ist ein Passwortmanager wichtig.

Die Herausforderung für kleine Unternehmen

Gerade kleine Unternehmen finden sich im Spannungsfeld von Herausforderungen, Zeit, Budget und Expertise. Nehmen wir an, Ihr Unternehmen hat etwa 20 Mitarbeitern. In diesem Fall haben Sie meistens keinen Mitarbeiter, der sich wirklich um die IT-Sicherheit kümmert.

Es ist jedoch wichtig, die IT-Sicherheit als fortlaufenden Prozess zu denken und ständig zu evaluieren. Sie müssen sich ständig mit den Gefahren und deren Abwehr beschäftigen. Natürlich ist das Budget hier ein Thema, aber es hilft das Thema immer wieder mitzudenken.

Was Sie aktiv tun können: die Empfehlungen des BSI

Die BSI-Empfehlung, der wir uns gerne anschließen, lautet: Überprüfen Sie regelmäßig Ihre Prozesse – im Sinne einer Inventur und überprüfen Sie, welche dieser konkreten Maßnahmen Sie setzen können:

  • Awareness, Mitarbeiterschulung, permanent die Mitarbeitet mit Wissen befeuern und auffrischen, wie man bestimmte Dinge erkennen kann. Oft ist es für einen Laien wahnsinnig schwer, das zu erkennen.
  • Technische Lösungen einsetzen, damit kompromittierte E-Mails gar nicht erst zum Mitarbeiter durchkommen.
  • Einrichtung verschiedener Schutzstufen, z.B. die Multi-Faktor-Authentifizierung. Natürlich mag das für die Mitarbeiter umständlich sein. Wenn Sie allerdings gehackt werden, haben Sie ganz andere Probleme.
  • Backup, das bei einem großen Problem rettet. Achtung: Bei Microsoft365 gibt es keine automatische Backup-Funktion. Sie müssen sich selbst darum kümmern.

Und ein wichtiger Tipp am Ende: Zeit für Strategie sollte immer sein. Fragen Sie sich:

  • Wo will ich mit meinem Unternehmen hin?
  • Was ermöglicht mir meine IT?
  • Was muss ich tun, damit meine IT den Prozess unterstützt?

Anrufen: +49 (0) 2241 163370

E-Mail schreiben | Remote Support