IT-Sicherheit

Wenn ein kleines Berliner Unternehmen mich anruft, weil „etwas Komisches mit den E-Mails passiert ist", ist der Schaden meist schon entstanden. Verschlüsselte Dateien, abgegriffene Kundendaten, im schlimmsten Fall ein Versand betrügerischer Rechnungen an die eigenen Kunden. IT-Sicherheit für kleine Firmen ist keine Frage von teuren Lösungen, sondern von wenigen konsequenten Grundregeln. Dieser Ratgeber zeigt, welche das sind.

Ich bin Fynn Thöne, IHK-zertifizierter Fachinformatiker aus Berlin-Schöneberg. Ich betreue Solo-Selbständige und Teams bis 20 Personen – fast immer remote, mit dem Anspruch, dass jede Maßnahme im Alltag tragbar bleibt.

Die ehrliche Lage: kleine Firmen sind das Hauptziel

Großkonzerne haben Sicherheitsabteilungen. Kleine Berliner Betriebe haben oft nichts – und genau deshalb sind sie das bevorzugte Ziel automatisierter Angriffe. Ransomware-Banden interessieren sich nicht für „große Beute", sondern für viele kleine, schnelle Beute. Der typische Angriff ist nicht das Hollywood-Hacking, sondern eine Phishing-Mail, auf die ein einziger Mitarbeiter im Stress klickt.

1. Backups: das einzige, was im Ernstfall wirklich rettet

Wenn alles andere versagt, entscheidet das Backup. Halte dich an die 3-2-1-Regel:

• 3 Kopien der Daten,
• auf 2 verschiedenen Medien,
• davon 1 außerhalb des Betriebs (offline oder in einem getrennten Cloud-Account).

Wichtig: Ein Cloud-Sync (OneDrive, Google Drive, Dropbox) ist kein Backup. Wenn dort etwas verschlüsselt wird, ist die verschlüsselte Version sofort in der Cloud. Echtes Backup heißt: getrennter Account, Versionierung, regelmäßiger Wiederherstellungstest. Ein Backup, das man noch nie zurückgespielt hat, ist kein Backup, sondern eine Hoffnung.

2. Mehr-Faktor-Authentifizierung (MFA) – überall

MFA ist die einzige Maßnahme, die einen geknackten oder geleakten Passwort-Datensatz sofort wertlos macht. Schalte sie ein für:

• E-Mail (Microsoft 365, Google Workspace, klassische Provider),
• Banking, Steuersoftware, Online-Buchhaltung,
• Online-Shops, Hosting, Domain-Registrar,
• Soziale Profile (Facebook, LinkedIn, Google Business Profile).

Bevorzugt App-basiert (Microsoft Authenticator, Google Authenticator, Aegis) oder per Hardware-Schlüssel (YubiKey). SMS-Codes sind besser als nichts, aber angreifbar.

3. Passwort-Manager – nicht Excel, nicht Post-it

Wer für jeden Dienst ein anderes Passwort braucht (und das soll man), kommt um einen Passwort-Manager nicht herum. Bitwarden oder 1Password sind die etablierten Optionen. Beide funktionieren im Team, lassen sich gemeinsam pflegen und sind DSGVO-konform betreibbar.

Was nicht geht: Passwörter in Excel, in Notizbüchern auf dem Schreibtisch oder im Browser ohne Master-Passwort.

4. Phishing erkennen: das wichtigste Mitarbeiter-Training

Über 90 % aller Angriffe auf kleine Firmen beginnen mit einer Phishing-Mail. Die typischen Muster:

• Dringlichkeit: „Letzte Mahnung", „Konto wird gesperrt".
• Autorität: vermeintlich der Chef, der „schnell eine Überweisung" braucht.
• Bekannte Marken in leicht abweichender Schreibweise: paypa1.com, microsoft-support.de.
• Anhang oder Link, der zur Eingabe von Zugangsdaten auffordert.

Trainiert wird das nicht mit teuren Tools, sondern mit einer simplen Regel im Team: „Im Zweifel kurz Bescheid sagen, bevor geklickt wird." Wer eine Kultur hat, in der Nachfragen erwünscht ist, fängt 80 % der Angriffe ab.

5. Updates: langweilig, entscheidend

Die meisten erfolgreichen Angriffe nutzen Lücken, für die es seit Wochen oder Monaten Updates gibt. Konkret heißt das:

• Betriebssystem-Updates automatisch installieren lassen.
• Browser aktuell halten – der Browser ist die Eintrittstür für 99 % aller Web-Angriffe.
• Office, PDF-Reader, Buchhaltung regelmäßig aktualisieren.
• Router-Firmware mindestens halbjährlich prüfen – besonders bei Geräten, die der Provider gestellt hat.

6. Trennung von privat und beruflich

Solo-Selbständige in Berlin arbeiten oft mit einem einzigen Laptop für alles. Das ist nachvollziehbar, aber riskant. Mindestens:

• Eigene Benutzerkonten für berufliche und private Nutzung.
• Eigenes E-Mail-Postfach für die Firma, keine gmail.com-Adresse für Kundenkommunikation.
• Eigenes WLAN-Gast-Netz zu Hause, damit Privatgeräte nicht mit dem Arbeitsrechner im selben Netz hängen.

7. Was tun, wenn doch etwas passiert ist?

Im Verdachtsfall – Erpressungsmeldung, gesperrter Bildschirm, verschlüsselte Dateien:

1. Gerät vom Netz trennen (Kabel ziehen, WLAN aus).
2. Nicht herunterfahren, nicht löschen – forensische Spuren werden sonst zerstört.
3. Keine Lösegeldzahlung. Es gibt keine Garantie, dass die Daten zurückkommen, und jede Zahlung finanziert den nächsten Angriff.
4. Vorfall dokumentieren: Zeitpunkt, Symptome, Screenshots.
5. Hilfe holen: IT-Dienstleister, ggf. Polizei (LKA Berlin, Zentralstelle Cybercrime).
6. Bei personenbezogenen Daten: Meldung an die Berliner Beauftragte für Datenschutz innerhalb von 72 Stunden prüfen.

Ausblick: NIS2 und was sie für kleine Firmen bedeutet

Die EU-Richtlinie NIS2 betrifft viele Branchen schon ab einer geringen Größe, vor allem in IT, Logistik und Gesundheit. Selbst wenn dein Unternehmen formal nicht unter NIS2 fällt, werden Kunden und Auftraggeber zunehmend Sicherheitsnachweise verlangen. Wer 2026 ein solides Grundgerüst hat (Backups, MFA, dokumentierte Prozesse), ist auf der sicheren Seite – ohne Panik-Investitionen.

Was ich konkret anbiete

Als IHK-zertifizierter Fachinformatiker richte ich genau dieses Grundgerüst ein, dokumentiere es und betreue es laufend – im Rahmen des Managed Workspace oder als einzelne IT-Beratung. Persönlicher Ansprechpartner, remote betreut aus Berlin-Schöneberg, ohne Agentur-Overhead.

Fazit

IT-Sicherheit für kleine Firmen ist kein Hexenwerk und keine Geldfrage. Wer Backups, MFA, Updates und Mitarbeiter-Sensibilisierung im Griff hat, ist gegen 95 % aller realen Angriffe abgesichert.

Kostenfreies Erstgespräch anfragen und prüfen lassen, wo dein größter Hebel liegt.