Trends

Cybersecurity für Selbstständige – die Grundlagen

Thomas Thier 09. Oktober 2024 6 min Lesezeit

"Wir sind zu klein, um Cyberangreifern interessant zu sein." Dieser Satz ist einer der teuersten Irrtümer im KMU-Bereich. Gerade kleine Betriebe werden systematisch angegriffen – weil sie meist weniger geschützt sind als Konzerne. Hier die Basics, die jeder Selbstständige beherrschen sollte.

Das Bedrohungsbild 2026

Die häufigsten Angriffe gegen KMU:

  • Phishing: gefälschte E-Mails, die Zugangsdaten abgreifen
  • Ransomware: Verschlüsselung der Daten, Lösegeld-Forderung
  • Kontoübernahmen: schwache Passwörter werden geknackt
  • CEO-Fraud: gefälschte Chef-Mails mit Überweisungs-Anweisungen
  • Datenlecks: versehentliche Preisgabe durch unsichere Systeme

Die meisten dieser Angriffe sind mit Basis-Maßnahmen abwehrbar. Die werden aber oft nicht umgesetzt.

Basis 1: starke Passwörter + Passwort-Manager

Die Grundlage aller IT-Sicherheit:

  • Jeder Dienst eigenes Passwort (nie wiederverwenden)
  • Mindestens 12 Zeichen, besser 16+
  • Passwort-Manager nutzen (1Password, Bitwarden, Dashlane)
  • Master-Passwort lang und sicher – dieses einzige musst du merken

Ohne Passwort-Manager ist sichere Passwort-Hygiene im Unternehmens-Alltag unmöglich. Das ist keine Empfehlung, sondern Basis.

Faustregel: Wenn du dein Passwort aus dem Kopf tippst, ist es wahrscheinlich zu schwach oder zu oft wiederverwendet.

Basis 2: Zwei-Faktor-Authentifizierung (2FA)

Das Wichtigste überhaupt: 2FA für alle kritischen Dienste:

  • Bank / Banking
  • E-Mail-Account
  • Business-Software
  • Cloud-Speicher
  • Behörden-Portale

2FA bedeutet: Passwort allein reicht nicht. Zusätzlich Code vom Handy (App oder SMS). Auch wenn das Passwort gestohlen wird, kommt der Angreifer nicht rein.

App-basiert (Authenticator-Apps) ist sicherer als SMS, aber beides besser als nichts.

Basis 3: Phishing erkennen

Typische Phishing-Merkmale:

  • Unerwartete E-Mail von scheinbar bekanntem Absender
  • Dringender Tonfall ("Sperre in 24h", "letzte Warnung")
  • Link zu verdächtiger URL (vor Klick auf Link fahren zum Prüfen)
  • Ungewöhnliche Aufforderung (Passwort neu setzen, Daten bestätigen)
  • Rechtschreibfehler, ungewöhnliche Anrede

Regel: Niemals direkt auf Links in E-Mails klicken, wenn's um Passwörter / Zahlungen geht. Stattdessen: Browser öffnen, Seite direkt ansteuern.

Basis 4: regelmäßige Backups

Gegen Ransomware hilft nur eins: getestete Backups:

  • Automatisch: nicht auf manuelle Disziplin verlassen
  • Offline / Cloud: nicht nur auf eigenem Rechner
  • 3-2-1-Regel: 3 Kopien, 2 Medien, 1 extern
  • Testen: regelmäßig prüfen, ob Restore funktioniert

Ein Backup, das nicht getestet ist, ist kein Backup.

Basis 5: Updates

Klingt trivial, wird ignoriert:

  • Betriebssystem aktuell halten
  • Browser automatisch updaten
  • Apps regelmäßig aktualisieren
  • Router-Firmware checken

Die meisten Exploits nutzen bekannte Lücken, für die seit Monaten Updates verfügbar sind. Nicht-Updaten ist selbstverschuldet.

Fortgeschritten: Cyber-Versicherung

Ab gewisser Größe sinnvoll:

  • Abdeckt Kosten bei erfolgreichem Angriff
  • Kostet € 500–5.000 jährlich, abhängig von Risiko
  • Erfordert oft Sicherheits-Standards (z.B. 2FA, Backups)

Nicht zum Ausruhen, aber als letzte Absicherung sinnvoll für Betriebe mit hohem Geschäftsrisiko.

In infinia: eingebaute Sicherheit

  • Hosting in Europa (DSGVO-konforme Server)
  • Verschlüsselte Datenübertragung (HTTPS standardmäßig)
  • Automatische Backups mehrfach täglich
  • 2FA für Benutzer-Anmeldungen
  • Regelmäßige Sicherheits-Updates ohne Zutun des Nutzers

Ein Vorteil von Cloud-Software: die Sicherheits-Infrastruktur ist Teil des Produkts. Lokal betriebene Systeme sind in der Regel weniger sicher als professionell gehostete Cloud-Lösungen.

Fazit

Cybersecurity ist kein Hexenwerk – die fünf Basics (starke Passwörter, 2FA, Phishing-Bewusstsein, Backups, Updates) schützen gegen 95 % der typischen Angriffe. Wer diese umsetzt, ist im KMU-Bereich solide aufgestellt. Wer sie ignoriert, ist früher oder später Ziel.

Häufige Fragen

Wie viel Zeit muss ich pro Monat für Security investieren?

Nach Ersteinrichtung: 1–2 Stunden pro Monat reichen. Updates prüfen, Passwörter auditieren, eventuelle Warnungen nachverfolgen.

Brauche ich professionelle Hilfe?

Die Basics: nein, selbst machbar. Bei sensiblen Daten / gesetzlichen Anforderungen / Team > 20: ein IT-Sicherheits-Check lohnt sich.

Was tun bei einem erfolgreichen Angriff?

Sofort betroffene Systeme isolieren. Passwörter ändern. Bank informieren. Bei Ransomware: nicht sofort zahlen, IT-Experten beiziehen. Polizei / Meldestelle informieren.

Thomas Thier
Über den Autor

Thomas Thier

Gründer von infinia und täglich in der Praxis von IT-Beratung und Business-Software zu Hause. Schreibt hier aus der Realität von Selbstständigen und KMU – ohne BWL-Geschwafel, mit konkreten Beispielen aus der täglichen Arbeit.

Mehr über die Philosophie hinter infinia →

Weniger Aufwand, mehr Zeit für dein Geschäft.

infinia bündelt Angebote, Rechnungen, Lager und Kundenverwaltung in einer Anwendung. Made in Austria.

Vielleicht auch interessant

Vergleich

Cloud vs. lokale Software – die ehrliche Entscheidungshilfe

Die Diskussion "Cloud oder lokal" wird oft ideologisch geführt. Dabei gibt es klare sachliche Kriterien, wann welches Modell passt. Ohne Vorurteile betrachtet.

Weiterlesen →Trends

KI in der Buchhaltung – Hype oder echter Nutzen?

Jeder redet über KI – auch im Finanzbereich. Aber was bringt KI konkret für kleine und mittlere Betriebe? Und wo sind die Grenzen, die man kennen sollte?

Weiterlesen →Strategie

Tool-Stack entschlacken – warum weniger Tools oft mehr bringen

Ein Tool für Rechnungen, eines für Aufgaben, eines für Zeiten, eines für Kunden. Klingt spezialisiert, ist meist chaotisch.

Weiterlesen →
Alle Beiträge