Cybersicherheitsplan KMU: 20 wesentliche Maßnahmen
Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) für ganz Spanien.
Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.
Ein KMU-Cybersicherheitsplan kombiniert 20 Basismaßnahmen: MFA, 3-2-1-Backup, EDR, Schulung, Patches, Zugriffskontrolle und Incident Response.
Sie müssen kein großes Unternehmen sein, um Ziel eines Cyberangriffs zu werden. Tatsächlich richten sich 70% der Cyberangriffe in Spanien gegen KMU - gerade weil deren Abwehr schwächer ist. Die gute Nachricht: 80% der erfolgreichen Angriffe hätten mit Basismaßnahmen verhindert werden können, die keine großen Investitionen erfordern. Hier sind die 20 Cybersicherheitsmaßnahmen, die jedes KMU umgesetzt haben sollte, geordnet nach Priorität und Wirkung.
Stufe 1: dringende Maßnahmen (diese Woche umsetzen)
Maßnahme 1: Multi-Faktor-Authentifizierung (MFA) bei allen kritischen Konten
MFA ist die Sicherheitsmaßnahme mit der größten Sofortwirkung. Aktivieren Sie die Zwei-Schritt-Verifizierung bei allen E-Mail-Konten, Cloud-Zugängen (Microsoft 365, Google Workspace), CRM, ERP, Online-Banking, Unternehmens-Social-Media und der Admin-Konsole Ihrer Website. Erlangt ein Angreifer das Passwort eines Mitarbeiters, verhindert MFA den Kontozugriff.
Die Kosten sind praktisch null (die meisten Cloud-Dienste bieten MFA ohne Aufpreis), die Umsetzung erfolgt an einem Tag.
Maßnahme 2: Backups nach der 3-2-1-Regel
Die 3-2-1-Regel sieht 3 Kopien Ihrer Daten auf 2 verschiedenen Medien vor, mit 1 Kopie ausserhalb des Standorts. Backups müssen automatisch sein, regelmässig verifiziert (mindestens quartalsweise Wiederherstellungstest) und ransomware-geschützt (mindestens eine Kopie unveränderlich oder netzwerkgetrennt).
Maßnahme 3: Aktualisierung und Patching aller Systeme
Cyberkriminelle nutzen bekannte Schwachstellen in veralteter Software aus. Halten Sie alle Betriebssysteme (Windows, macOS, Linux, iOS, Android), alle Anwendungen (Browser, Office, Adobe, Java), die Firmware von Netzwerkgeräten (Router, Firewalls, WLAN-Access-Points) und Webanwendungen (WordPress, CMS, Plugins) aktuell.
Maßnahme 4: Basis-Sicherheitsschulung für alle Mitarbeiter
95% der Sicherheitsvorfälle haben eine menschliche Komponente. Eine 2-stündige Schulung zur Erkennung von Phishing-Mails, zur Bedeutung einzigartiger und starker Passwörter, zum sicheren Umgang mit E-Mail und Web, zur Reaktion bei Verdachtsfällen und zum Meldeverfahren reduziert das Risiko drastisch.
Stufe 2: grundlegende Maßnahmen (in diesem Monat umsetzen)
Maßnahme 5: Endpoint Protection (EDR)
Ersetzen Sie das traditionelle Antivirenprogramm durch eine EDR-Lösung (Endpoint Detection and Response), die nicht nur bekannte Malware blockt, sondern verdächtiges Verhalten erkennt und Ermittlungs- und Reaktionsfähigkeiten bietet. Moderne EDR-Lösungen für KMU kosten 3 bis 8 EUR pro Gerät und Monat.
Maßnahme 6: korrekt konfigurierte Perimeter-Firewall
Eine Firewall ist nur so gut wie ihre Konfiguration. Prüfen Sie, dass sie nicht autorisierten eingehenden Verkehr blockiert, ausgehenden Verkehr filtert, Logs aktiviert sind und Regeln mindestens halbjährlich überprüft werden.
Maßnahme 7: Passwortmanagement
Führen Sie eine Passwort-Policy ein, die mindestens 12 Zeichen verlangt, Wiederverwendung verbietet und einen Enterprise-Passwortmanager (Bitwarden, 1Password, Keeper) nutzt. Kosten: 3 bis 6 EUR pro Nutzer und Monat.
Maßnahme 8: einfache Netzwerksegmentierung
Trennen Sie mindestens Ihr Gäste-WLAN vom Unternehmensnetz. Haben Sie IoT-Geräte (Kameras, Sensoren, vernetzte Drucker), platzieren Sie diese in einem separaten Netz.
Maßnahme 9: Verschlüsselung mobiler Geräte
Aktivieren Sie vollständige Festplattenverschlüsselung auf allen Laptops und Mobilgeräten (BitLocker bei Windows, FileVault bei macOS, native Verschlüsselung bei iOS und Android). Geht ein Laptop verloren oder wird gestohlen, verhindert die Verschlüsselung den Datenzugriff.
Maßnahme 10: Acceptable-Use-Policy und BYOD
Definieren Sie schriftlich, was Mitarbeiter mit Firmengeräten tun dürfen und was nicht, sowie was sie mit Privatgeräten beim Zugriff auf Unternehmensressourcen tun dürfen.
Stufe 3: fortgeschrittene Maßnahmen (in diesem Quartal umsetzen)
Maßnahme 11: Konfiguration von SPF, DKIM und DMARC
Diese drei Technologien schützen Ihre E-Mail-Domain vor Identitätsdiebstahl. SPF prüft, dass E-Mails wirklich von Ihren autorisierten Servern stammen. DKIM signiert die E-Mails kryptografisch. DMARC legt die Richtlinie fest, was mit nicht bestandenen Prüfungen geschieht.
Maßnahme 12: Incident-Response-Plan
Dokumentieren Sie ein Verfahren, das die Verantwortlichen für das Incident Management definiert, wie Vorfälle erkannt und klassifiziert werden, die Eindämmungsschritte, wen Sie informieren (intern, Behörden, Kunden), wie der Normalbetrieb wiederhergestellt wird, und welche Lehren aus jedem Vorfall gezogen werden. Trainieren Sie den Plan mindestens jährlich.
Maßnahme 13: Sicherheits-Monitoring
Implementieren Sie Tools, die die Aktivität Ihrer Systeme auf Anomalien überwachen. Für KMU reicht eine schlanke Cloud-SIEM-Lösung oder die Monitoring-Funktion der EDR-Lösung als Ausgangspunkt.
Maßnahme 14: Vulnerability Management
Führen Sie quartalsweise Schwachstellenscans durch und beheben Sie kritische und hohe Schwachstellen innerhalb von 30 Tagen. Tools wie OpenVAS (kostenlos) oder Nessus Essentials (kostenlos bis 16 IPs) ermöglichen jedem KMU das Scannen ohne Lizenzkosten.
Maßnahme 15: WLAN-Sicherheit im Unternehmen
Nutzen Sie WPA3 (mindestens WPA2 Enterprise), ändern Sie Standardpasswörter aller Netzwerkgeräte, deaktivieren Sie WPS, verbergen Sie ggf. das SSID des Unternehmensnetzes und überwachen Sie verbundene Geräte.
Stufe 4: Maßnahmen für vollständigen Schutz (in diesem Halbjahr umsetzen)
Maßnahmen 16-20
Die verbleibenden fünf Maßnahmen umfassen DLP (Data Loss Prevention) zur Verhinderung von Datenabflüssen, den Abschluss einer auf Ihre Größe und Branche zugeschnittenen Cyberrisikoversicherung, Privileged Access Management (PAM), die Automatisierung der Reaktion auf einfache Vorfälle sowie einen jährlichen Penetrationstest zur Wirksamkeitsprüfung des Gesamtpakets.
Förderung mit Kit Digital und öffentlichen Förderungen
Das Kit Digital finanziert in der Cybersicherheits-Kategorie die Implementierung vieler dieser Maßnahmen (Antimalware/EDR, Monitoring, Incident Response) mit bis zu 6.000 EUR für Segmente I bis III und bis zu 29.000 EUR für Segmente IV und V.
Brauchen Sie einen umfassenden Cybersicherheitsplan für Ihr KMU? Sprechen wir. Wir bewerten Ihre Lage und schlagen die effizientesten Maßnahmen nach Risikoniveau und Budget vor.
Autor: Ángel Ortega Castro - unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.
Häufig gestellte Fragen
Wie wirkt sich das auf mein KMU aus?
Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.
Wie hoch sind die Kosten 2026?
Richtwerte für KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR für die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.
Welche spanische Regelung gilt?
Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.
Wie lange dauert die Implementierung?
Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.
Kann es über Kit Digital oder Kit Consulting kofinanziert werden?
Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.
El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro