IT-Sicherheit für Gründer: So bauen Sie Ihre digitale Basis richtig auf

1. Ein Gerät, ein Account, klare Trennung

• Nutzen Sie für das Unternehmen eigene Geräte und Konten (z.B. separates Geschäfts-Smartphone, Geschäfts-Laptop, Geschäfts-E-Mail) und trennen Sie diese strikt vom Privaten.​
• Legen Sie sich direkt eine zentrale Geschäftsadresse an (z.B. it-sicherheit@firma.de) für Sicherheitsmails, Admin-Logins und Registrierungen bei Diensten.​

2. Sofort sichere Basis einstellen (Updates & Schutz)

• Aktivieren Sie auf allen Geräten automatische Updates für Betriebssystem, Browser, Office und Sicherheitssoftware; prüfen Sie einmal pro Woche, ob Updates anstehen.​
• Installieren Sie ein aktuelles Virenschutzprogramm bzw. nutzen Sie die integrierten Schutzfunktionen moderner Betriebssysteme und aktivieren Sie die lokale Firewall (z.B. Windows Defender Firewall).​
• Konfigurieren Sie Ihren Router als zentrale Firewall: Ändern Sie das Standard-Admin-Passwort, aktivieren Sie die integrierte Firewall-Funktion, deaktivieren Sie UPnP/WPS, aktualisieren Sie die Firmware monatlich und blockieren Sie standardmäßig alle eingehenden Verbindungen von außen.

3. Passwortmanager und 2FA überall nutzen

• Installieren Sie einen Passwortmanager (z.B. als App + Browser-Plugin) und lassen Sie für jeden Dienst ein eigenes, zufällig generiertes Passwort erstellen (oder eine Passwortrichtlinie festlegen): Mindestlänge 16 Zeichen, mit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen (z.B. „X7#kP9mQ2$vL8nR4“ statt „passwort123“).
• Für besonders kritische Konten wie Admin-Zugänge (z.B. Root-Accounts, Server-Logins, Domain-Registrierungen) wählen Sie noch längere Passwörter (20+ Zeichen) oder Hardware-Keys und vermeiden Sie Wiederverwendung – nie dasselbe Passwort für zwei Dienste.
• Aktivieren Sie Mehrfaktor-Authentifizierung konsequent für: E-Mail, Cloud-Speicher, Buchhaltung/Banking, Shop-Systeme, Domain- und Hosting-Accounts, App-Stores/Marktplätze.
• ​Finden Sie heraus, ob Ihre persönlichen Daten und Passwörter im Internet offengelegt wurden.

4. Einfaches Backup-Regel einführen („3-2-1 light“)

• Folgen Sie der bewährten 3-2-1-Regel: Erstellen Sie 3 Kopien Ihrer geschäftskritischen Daten (Original + 2 Backups), speichern Sie diese auf 2 verschiedenen Medientypen (z.B. Cloud-Speicher + externe Festplatte) und lagern Sie 1 Kopie offline oder geografisch getrennt (z.B. verschlüsselte Festplatte im Safe oder bei vertrauenswürdiger Familie), damit Ransomware oder Ausfälle nicht alle Kopien gleichzeitig treffen.
• Verschlüsseln Sie Backups idealerweise immer (z.B. mit integrierten Tools wie BitLocker, FileVault oder Passwortschutz in Cloud-Diensten), um Daten bei Verlust oder Diebstahl zu schützen.
• Richten Sie einen festen Termin ein (z.B. Freitag 15 Uhr), an dem ein automatisches oder manuelles Backup läuft, und protokollieren Sie kurz in einer Excel-Tabelle oder Notiz-App (Datum, was gesichert, Erfolg/Ja-Nein), ob es funktioniert hat – testen Sie zudem vierteljährlich eine Wiederherstellung.

5. Cloud und Tools bewusst auswählen

• Prüfen Sie bei jedem neuen Tool (CRM, Projekt-Tool, Kollaborationsplattform), ob der Anbieter Standort, Verschlüsselung und seriöse Referenzen klar benennt.​
• Starten Sie mit wenigen, gut ausgewählten Tools statt mit einem „Zoo“ an Apps; überprüfen Sie mindestens einmal im Quartal, welche Dienste Sie wirklich nutzen und löschen Sie alte Accounts.​

6. Website, Shop oder Plattform-Auftritt absichern

• Nutzen Sie für Website und Shop nur Anbieter mit automatischem HTTPS-Zertifikat und regelmäßigen Sicherheitsupdates (z.B. Managed-Hosting, Baukasten- oder SaaS-Shop).​
• Legen Sie für Agentur oder Freelancer eigene Benutzerkonten mit begrenzten Rechten an, statt Ihr Admin-Passwort weiterzugeben, und löschen Sie Zugänge, sobald das Projekt endet.​
• Wie Sie Ihre Online-Konten vor Angriffen schützen können oder was Sie im Fall eines erfolgreichen Angriffs tun sollten, erfahren Sie auf der Website der Verbraucherzentrale.

7. E-Mail und Kommunikation „phishingfest“ machen

• Aktivieren Sie bei Ihrem Mail-Anbieter Spam- und Phishing-Filter und konfigurieren Sie E-Mail-Server sowie Clients (z.B. Outlook, Thunderbird), sodass immer die tatsächlichen Absenderinformationen sichtbar sind – vollständige E-Mail-Adresse (z.B. „support@gefälschte-domain.ru“ statt nur „support@bank.de“) und Header-Details einblendbar.​
• Markieren Sie verdächtige Mails konsequent, statt sie zu öffnen, und prüfen Sie Absenderadressen immer zweimal auf Tippfehler oder ungewöhnliche Domains.​
• Etablieren Sie eine einfache Regel: Keine Änderung von Bankverbindungen, Passwörtern oder Verträgen nur per E-Mail – immer Rückruf unter bekannter Nummer oder Rückfrage über einen zweiten Kanal (z.B. Telefon aus Adressbuch oder Website).

8. Klare Zuständigkeit und Mini-Regeln im Team

• Benennen Sie eine Person als „IT-Sicherheitsbeauftragten light“, auch wenn sie nebenbei andere Aufgaben hat; diese Person checkt z.B. monatlich Updates, Backups und Zugriffe.​
• Schreiben Sie auf einer A4-Seite 5–7 Hausregeln fest (z.B. „Keine Privat-Apps auf Firmenhandys“, „Keine USB-Sticks unbekannter Herkunft“, „Passwörter nie per Mail oder Chat teilen“) und besprechen Sie diese einmal mit allen.​

9. Datenschutz & Datenminimierung von Anfang an

• Speichern Sie nur Daten, die Sie wirklich benötigen, und löschen Sie Test-, Alt- und Dublettendaten regelmäßig – gerade in Tools, die Sie in der Testphase ausprobiert haben.​
• Nutzen Sie Standardvorlagen von IHK oder BSI für Verarbeitungsverzeichnisse und technische/organisatorische Maßnahmen, statt alles selbst zu erfinden.​

10. Mini-Notfallplan für den Ernstfall

• Schreiben Sie auf einer Seite: Wen rufen Sie an (IT-Dienstleister, Hoster, Bank, IHK/BSI-Hotline), welche ersten Schritte Sie tun (Netzwerk trennen, Passwörter ändern, Backup prüfen) und wer intern informiert wird.
• Füllen Sie die BSI-IT-Notfallkarte aus, drucken Sie sie aus und bewahren Sie sie griffbereit auf – so wissen Sie im Ernstfall sofort, welche ersten Schritte zu tun sind.​
• Üben Sie diesen Ablauf einmal im Jahr kurz im Team („Tabletop“: durchspielen eines fiktiven Vorfalls), damit im echten Notfall niemand überlegen muss, was zu tun ist.