Sicherheits-Check · Zum Mitnehmen

IT-Sicherheits-Checkliste für den Mittelstand

Zehn Prüfpunkte, mit denen Sie die häufigsten Sicherheitslücken in rund 20 Minuten aufspüren. Haken Sie ab, was erfüllt ist — jede offene Stelle ist ein konkreter nächster Schritt.

• 01Backup nach 3-2-1 vorhanden — drei Kopien, zwei Medientypen, eine außer Haus?Zählen Sie nach: Original plus zwei Sicherungen auf zwei Medientypen, davon eine außer Haus (Cloud oder Wechselmedium). Fehlt eine Ebene, ergänzen Sie zuerst die Außer-Haus-Kopie.
• 02Unveränderbare Kopie (immutable) oder offline, sodass Ransomware sie nicht verschlüsseln kann?Aktivieren Sie auf NAS oder Cloud-Speicher die Unveränderbarkeit (Object Lock, immutable Snapshots) — oder rotieren Sie ein Medium offline, das physisch getrennt aufbewahrt wird.
• 03Wiederherstellung getestet — wurde zuletzt ein echter Restore durchgeführt?Planen Sie einen festen Termin pro Quartal: einzelne Dateien, ein komplettes System und ein Postfach testweise wiederherstellen — und die Dauer protokollieren.
• 04Multi-Faktor-Authentifizierung für E-Mail, VPN und alle Cloud-Zugänge aktiv, nicht nur für Admins?Aktivieren Sie MFA zuerst für E-Mail, VPN und Microsoft 365 — per Authenticator-App statt SMS. Beginnen Sie mit den Admin-Konten, dann alle Mitarbeitenden.
• 05Updates und Patches zeitnah und nachvollziehbar eingespielt?Richten Sie einen festen Patch-Rhythmus ein (z. B. monatlich plus Notfall-Patches) und dokumentieren Sie, was wann eingespielt wurde — am besten automatisiert über ein Patch-Management.
• 06Moderner Endpoint-Schutz (EDR) auf allen Geräten statt nur klassischem Virenschutz?Ersetzen Sie klassischen Virenschutz durch eine EDR-Lösung, die verdächtiges Verhalten erkennt und Geräte automatisch isoliert — auf allen Rechnern und Servern, nicht nur einzelnen.
• 07Rechte nach Bedarf — nur die Zugriffe, die wirklich gebraucht werden (Least Privilege)?Entziehen Sie pauschale Admin-Rechte: Jede Person erhält nur die Zugriffe, die ihre Aufgabe braucht. Prüfen Sie die Rechte halbjährlich — besonders nach Abteilungswechseln.
• 08Phishing-Awareness — erkennt das Team verdächtige Mails und meldet sie?Schulen Sie das Team mit kurzen, regelmäßigen Trainings und simulierten Phishing-Mails. Wichtig: eine einfache Meldestelle, bei der verdächtige Mails ohne Schuldgefühl landen.
• 09Notfallplan schriftlich, inklusive Zuständigkeiten und Rufnummern offline?Halten Sie schriftlich fest, wer im Ernstfall was tut: Zuständigkeiten, Rufnummern, Dienstleister, Reihenfolge des Wiederanlaufs — gedruckt und auch offline erreichbar.
• 10Klare Verantwortung — eine Person ist für IT-Sicherheit zuständig und prüft das regelmäßig?Benennen Sie eine Person, die IT-Sicherheit verantwortet und die Punkte dieser Liste regelmäßig prüft — intern oder über einen externen Partner mit festen Terminen.