Ihr Vorsatz für 2026: IT-Sicherheit verbessern – kostenlos und mit minimalem Aufwand.
Zwischen den Jahren kommen wir alle ein wenig zur Ruhe und überlegen uns vielleicht Ziele für das kommende Jahr.
Mein Ziel: Hier wieder mehr schreiben und Sie zum Thema IT-Sicherheit informieren.
Mein Vorschlag für Ihr Ziel 2026:
Wie soll das gehen?
Nehmen Sie sich ein paar Minuten Zeit, ein wenig in das Thema einzutauchen und ein paar Fragen und Antworten dazu anzusehen:
"Ah, verdammt: IT-Sicherheit, da müsste man sich mal drum kümmern"
Ich kenne das: Das Bewusstsein ist da, das schlechte Gewissen auch. Doch weil das Risiko abstrakt wirkt, rutscht das Thema auf der Prioritätenliste immer wieder nach unten. Aber Vorsicht: Wenn Sie sich nicht kümmern, übernimmt ein Angreifer die Priorisierung für Sie – ungeplant und mit Folgen bis hin zur Insolvenz. Dabei ist die Gefahr real: Allein im Chiemgau erleben wir fast wöchentlich Vorfälle, von denen man nur selten öffentlich erfährt. Es gibt also deutlichen Handlungsbedarf, der auch nicht ignoriert werden kann.
"Cybersicherheit ist teuer, ich kann und will mir das nicht leisten"
Sehen Sie's doch mal von der anderen Seite: Ein Cyberangriff ist sehr teuer, die Frage ist, ob Sie sich den leisten können oder wollen - nur dass Sie das nicht in der Hand haben, denn er kommt sicher zur falschen Zeit (mein letzter war an einem 23.12., hurra. Sonst gerne Freitag mittags).
Cybersicherheit ist eine Industrie, die hunderte Millionen Euro schwer ist - und die will Ihnen einreden, dass Sie viel Geld dafür ausgeben müssen: Für Beratung, für Software oder Geräte, die dann gerne selbst mal anfällig für Cyber-Attacken sind.
Die gute Nachricht ist: Sie brauchen das nicht, Sie können sich ganz unkompliziert und kostengünstig gegen 90% der Einfallstore für Verschlüsselungs-Software wehren!
In einem sehr spannenden Beitrag auf LinkedIn hat Joanna Lang-Recht, Direktor IT-Forensik bei der Intersoft Consulting, Erfahrungen aus > 100 Cybersicherheitsvorfällen geteilt. Daraus und aus dem, was ich selbst täglich in freier Wildbahn beobachten kann, ergeben sich ein paar ganz einfache und kostengünstige Maßnahmen, mit denen Sie 90% der Einfallstore von Verschlüsselungstrojanern schließen können:
50% : Gestohlene oder schwache Zugangsdaten
- Schwache und wiederverwendete Passwörter bei VPNs, Firewalls, Windows-Konten und Webanwendungen.
- Zugangsdaten, die ins Darknet abgeflossen sind und für Brute-Force-Angriffe (Ausprobieren von Passwortlisten) genutzt werden.
- Systeme mit Standard-Zugangsdaten - gerne mal ganz unscheinbare Geräte wie Webcams, Smart-TVs oder Sensoren, die absichtlich oder unabsichtlich öffentlich erreichbar sind und deren Standard-Kennwörter bei der Konfiguration nicht geändert wurden.
1. Sie stellen sicher, dass Passwörter nicht wiederverwendet werden. Fangen Sie jetzt sofort an, wiederverwendete Passwörter zu ändern!
Wenn Sie schon dabei sind: Richten Sie 2-Faktor-Authentifizierung ein, besonders bei wichtigen Konten.
2. Sie nutzen nur lange Passwörter mit > 12 Zeichen, am Besten eher einen Pass-SATZ als ein Pass-WORT, denn Passwortlänge ist der entscheidende Faktor. Sie müssen keine wirren Sonderzeichen nutzen, Sie müssen das Passwort nicht regelmäßig ändern.
3. Installieren Sie einen Passwortmanager wie KeePass XC (kostenlos) oder 1Password (ab ca. 40 Euro/Jahr) und lernen Sie damit umzugehen.
Zeitaufwand: ~2-4 Stunden | Kosten: 0-40 €/Jahr
30% : Veraltete Software auf öffentlich erreichbaren Systemen
- Öffentlich erreichbare Systeme wie Firewalls, Mailserver, IoT-Geräte, deren Software trotz bekannter Sicherheitslücken seit Wochen und Monaten nicht aktualisiert wurden.
1. Erstellen Sie eine Liste aller öffentlich erreichbaren Geräte: Webserver, Mailserver, Firewalls, Webcams, alles - überprüfen Sie diese Liste regelmäßig auf Vollständigkeit. Wenn Sie ein neues Gerät in Betrieb nehmen, dann nehmen Sie es in diese Liste mit auf.
2. Ändern Sie sofort nach Inbetriebnahme eventuell voreingestellte Zugangsdaten, aktualisieren Sie die Software des Gerätes.
3. Automatisieren Sie regelmäßige Softwareupdates - oft geht das direkt auf dem Gerät oder per Gruppenrichtlinien, wenn nicht, dann sollten Sie den Einsatz überdenken.
4. Wenn Systeme nicht automatisch aktualisieren können, dann markieren Sie diese in der Geräteliste und prüfen mindestens monatliche manuell auf verfügbare Softwareaktualisierungen.
5. Setzen Sie keine Software und Geräte ein, die keine Sicherheitsupdates mehr erhalten. Beispiel: Windows 10.
Zeitaufwand: ~8 Stunden | Kosten: 0 €
10 % : Fehlkonfigurationen und Missbrauch legitimer Tools
- Vergessene Testsysteme oder Cloud-Speicher, die jahrelang ungesichert öffentlich zugänglich sind.
- Administrator-Konten, die dauerhaft für normale Büroarbeiten verwendet werden.
- Nicht benötigte Software auf Systemen, die für Angriffe missbraucht werden kann, z.B. PowerShell, CMD auf Windows-Rechnern.
- Deaktivierte Firewalls
1. Erstellen Sie eine Liste aller Test-Systeme und eventuell vorhandener Cloud-Speicher (z.B. Amazon S3-Buckets) und prüfen Sie deren Sicherheitseinstellungen - vielleicht überhaupt die Notwendigkeit, ggfs. abschalten.
2. Arbeiten Sie niemals mit Administrator-Rechten! Sie brauchen auf Ihren Rechnern ein personalisiertes Administrator-Konto, mit dem Sie Software installieren und Einstellungen ändern. Dieses Konto hat idealerweise kein E-Mail-Postfach. Für die alltägliche Arbeit am Rechner nutzen Sie ein eigenes, persönliches Konto ohne administrative Rechte.
3. Entfernen oder deaktivieren Sie nicht benötigte Software, speziell PowerShell und die Kommandozeile unter Windows.
4. Aktivieren Sie die Firewalls auf allen Geräten
Zeitaufwand: ~2-4 Stunden | Kosten: 0 €
Für eine deutliche Reduzierung des Risikos eines möglicherweise katastrophalen IT-Sicherheitsvorfalles haben Sie also:
12 Maßnahmen, 2 Tage Aufwand, 0 € Kosten, 90% weniger Risiko verschlüsselt zu werden.
Das sollte doch machbar sein, oder? Machen Sie es jetzt.
Zu Ihrer Unterstützung finden Sie hier meine praktische Checkliste zum Download.
Sie wollen richtig viel Geld sparen?
Bevor Sie diese minimalen Massnahmen nicht umgesetzt haben, brauchen Sie weder ein Cybersicherheits-Consulting, in dem Ihnen für einen Tagessatz > 1000 € genau die oben stehenden Maßnahmen erklärt werden, noch müssen Sie teure Geräte oder Software zur Abwehr von Cyberangriffen kaufen und betreiben.
Erst wenn mindestens diese Maßnahmen umgesetzt sind, macht es sehr viel Sinn, sich von externen Spezialisten beraten zu lassen.
Mehr Information zum Thema:
-
Bundesamt für Sicherheit in der Informationstechnik: Leichter Einstieg - Hilfestellungen und Videos zur Sensibilisierung für die Cyber-Sicherheit
-
Landesamt für Sicherheit in der Informationstechnik: Selbstcheck IT Resilienz (Mehr auf Kommunen ausgerichtet, aber auch für kleine und mittlere Unternehmen gut anwendbar)
-
Checkliste Minimalabsicherung und Vorlage Geräteliste zum Download
Hinweis zur Vollständigkeit:
Sie brauchen natürlich ein gutes Datensicherungs-Konzept, ich gehe davon aus, dass Sie das umgesetzt haben.
🔐 Zugang zu mehr Wissen?
Abonniere jetzt ZurSicherheit, um keinen Beitrag zu verpassen und aktuelle IT-Sicherheitstipps direkt zu erhalten.
Jetzt kostenlos abonnieren
