Das Wichtigste in Kürze
- Warum gerade KMU? Angreifer wählen Ziele nach Aufwand und Erfolgsquote. Mittelständische Betriebe sind digital gut vernetzt, aber selten umfassend abgesichert.
- Was sind die Basics? Multi-Faktor-Authentifizierung, Patch- und Update-Management, klare Zugriffsbeschränkungen, Geräte- und Identitätssicherheit sowie Security Awareness inklusive DKIM, DMARC und SPF.
- Wie groß ist die Wirkung? Microsoft beziffert die Schutzwirkung von MFA auf über 99 Prozent der automatisierten Angriffe. Patch-Management schließt die häufigsten Einfallstore.
- Was kostet Untätigkeit? 59 Prozent der Unternehmen halten Cyberangriffe inzwischen für existenzbedrohend. 15 Prozent haben nach Ransomware bereits Lösegeld gezahlt.
- Wie kommen wir dahin? Ein strukturiertes Security Baseline Audit bringt in wenigen Tagen Klarheit über den Ist-Zustand und liefert einen priorisierten Maßnahmenplan.
- CodeKlar als Partner: Wir prüfen Ihre Microsoft 365 Umgebung systematisch, setzen die Basics sauber um und begleiten Sie bis zur belastbaren Sicherheitsbasis.
Bedrohungslage: Warum KMU im Fadenkreuz stehen
Kleine und mittlere Unternehmen sind heute kein Beifang mehr, sondern bevorzugte Angriffsziele. Genau weil die IT schlank aufgestellt ist und ein eigenes Sicherheitsteam fehlt, lohnt sich der Angriff für Kriminelle besonders. Wer die Security Basics KMU nicht sauber umsetzt, riskiert den Stillstand des Betriebs, hohe Schäden und einen massiven Vertrauensverlust bei Kunden und Partnern.
Die Zahlen sprechen eine klare Sprache. Das BSI registriert täglich rund 309.000 neue Schadprogrammvarianten. Ransomware-Gruppen agieren professionell, mit Service-Modellen, klaren Rollen und gezielter Vorgehensweise gegen ungeschützte Mittelständler. Wer denkt, zu klein für einen Angriff zu sein, unterschätzt das Geschäftsmodell der Angreifer fundamental.
Mittelständler sind aus drei Gründen attraktiv: Sie verfügen über wertvolle Daten und Geschäftsbeziehungen, sie sind tief in Lieferketten integriert, und ihre Sicherheitsarchitektur ist oft historisch gewachsen. Genau diese Mischung macht sie zu einem lohnenden, technisch leicht angreifbaren Ziel.
Abb. 1: Bedrohungslage in Deutschland 2023 bis 2025. Quelle: Bitkom Wirtschaftsschutz 2025.
Die 5 Security Basics, die wirklich zählen
Sicherheit ist kein einzelnes Produkt, sondern das Zusammenspiel weniger, sauber umgesetzter Grundregeln. Die folgenden fünf Basics decken den Großteil der typischen Angriffswege ab und lassen sich in jeder Microsoft 365 Umgebung umsetzen.
| Security Basic | Risiko ohne Maßnahme | Wirkung der Umsetzung |
| Multi-Faktor-Authentifizierung | Gestohlene Passwörter führen direkt zu Kontoübernahmen und Datenabfluss. | Blockiert über 99 Prozent der automatisierten Angriffe auf Konten. |
| Patch- und Update-Management | Bekannte Schwachstellen bleiben offen, Ransomware nutzt sie binnen Tagen. | Schließt die häufigsten Einfallstore und reduziert die Angriffsfläche deutlich. |
| Zugriffsbeschränkungen | Zu viele globale Admins, alte Konten und überzogene Rechte vergrößern jeden Schaden. | Least Privilege begrenzt den Radius eines erfolgreichen Angriffs erheblich. |
| Geräte- und Identitätssicherheit | Private oder ungeschützte Geräte werden zum Einfallstor in Microsoft 365. | Conditional Access und Intune erzwingen sichere, verwaltete Endpunkte. |
| Security Awareness und DKIM, DMARC, SPF | Phishing trifft Mitarbeitende ungeschützt, Domain-Spoofing bleibt unbemerkt. | Geschulte Teams plus saubere Mail-Authentifizierung stoppen einen Großteil der Angriffe. |
Multi-Faktor-Authentifizierung
Ein Passwort allein ist heute keine Hürde mehr. Phishing, Credential-Stuffing und Datenlecks aus anderen Diensten machen Zugangsdaten zur Massenware. MFA stellt sicher, dass ein Angreifer mit einem gestohlenen Passwort allein nichts anfangen kann.
In Microsoft 365 lässt sich MFA für alle Benutzerkonten erzwingen, idealerweise mit der Microsoft Authenticator App oder einem FIDO2-Schlüssel. SMS-Codes sind besser als nichts, gelten aber inzwischen als unsicher und sollten ausgemustert werden.
Praxis-Tipp: Starten Sie mit den privilegierten Konten und den Geschäftsführungs-Postfächern. Diese sind das attraktivste Ziel und müssen als erstes abgesichert sein.
Patch- und Update-Management
Die meisten erfolgreichen Angriffe nutzen Schwachstellen, für die seit Wochen oder Monaten ein Patch verfügbar ist. Ein strukturierter Update-Prozess für Betriebssysteme, Office-Anwendungen, Browser, Server und Netzwerkkomponenten ist deshalb keine Kür, sondern Pflicht.
Microsoft Intune und Windows Autopatch erleichtern das deutlich. Wichtig ist ein klar definierter Rhythmus, dokumentierte Verantwortlichkeiten und ein regelmäßiger Bericht, welche Systeme nicht aktuell sind und warum.
Klare Zugriffsbeschränkungen
Zu viele globale Administratoren sind eine der häufigsten Schwachstellen in KMU-Umgebungen. Microsoft empfiehlt maximal zwei bis vier globale Admin-Konten, in der Praxis findet sich oft das Mehrfache. Jeder zusätzliche Admin ist ein zusätzliches Risiko.
Das Prinzip Least Privilege gilt nicht nur für Admins. Auch normale Benutzer haben oft Zugriff auf Daten, die für ihre Arbeit nicht nötig sind. Eine saubere Rechtestruktur, regelmäßige Reviews und der Einsatz von Privileged Identity Management reduzieren den möglichen Schaden im Ernstfall erheblich.
Faustregel: Zwei bis vier globale Admins, getrennt von den persönlichen Tageskonten. Alles darüber gehört begründet und überprüft.
Geräte- und Identitätssicherheit
Mit hybrider Arbeit hat sich die Angriffsfläche verlagert. Nicht mehr das Firmennetz schützt, sondern Identität plus Gerät. Conditional Access in Microsoft Entra prüft bei jedem Login, ob Benutzer, Gerät, Standort und Risiko zusammenpassen. Nur dann wird Zugriff gewährt.
Intune sorgt parallel dafür, dass nur verwaltete und konforme Geräte überhaupt auf Unternehmensdaten zugreifen können. Das schützt vor verlorenen Laptops genauso wie vor unsicheren privaten Endpunkten im Homeoffice.
Security Awareness inklusive DKIM, DMARC und SPF
Die beste Technik nutzt wenig, wenn Mitarbeitende auf eine gut gemachte Phishing-Mail klicken. Regelmäßige, kurze Awareness-Trainings sind wirksamer als jährliche Pflichtschulungen. Phishing-Simulationen zeigen ehrlich, wo noch Lücken sind.
Zur Awareness gehört die technische Absicherung des eigenen Mailverkehrs. SPF, DKIM und DMARC verhindern, dass Angreifer im Namen Ihrer Domain täuschend echte Mails versenden. Ohne diese drei Einträge ist Ihre Domain im Grunde frei zur Nutzung durch Dritte.
Wie ein Angriff in der Praxis abläuft
Ein realistisches Szenario verdeutlicht das Risiko besser als jede Statistik. Ein Mitarbeitender erhält eine Mail, die scheinbar von der Geschäftsleitung kommt, und gibt seine Zugangsdaten auf einer täuschend echten Microsoft-Login-Seite ein. Es gibt keine MFA. Der Angreifer meldet sich an, richtet eine Weiterleitungsregel ein und liest still mit.
Innerhalb weniger Tage hat der Angreifer Zugriff auf Rechnungen, Bankverbindungen und laufende Geschäftsvorgänge. Er manipuliert eine Zahlungsaufforderung an einen Kunden, indem er die Kontonummer austauscht. Das Geld geht auf ein fremdes Konto. Wenn der Betrug auffällt, ist es längst zu spät.
Der Haken: Solche Vorfälle sind keine Einzelfälle, sondern Alltag. Sie sind technisch trivial, wirtschaftlich hochwirksam und mit den fünf Basics in den meisten Fällen vermeidbar.
Die Lösung: Security Baseline Audit
Bevor neue Tools angeschafft oder Projekte gestartet werden, lohnt sich ein nüchterner Blick auf den Ist-Zustand. Ein Security Baseline Audit beantwortet genau diese Frage: Wo stehen wir heute und welche Maßnahmen haben den größten Effekt zuerst?
Im Kern besteht ein Baseline Audit aus fünf Bausteinen:
- MFA-Quote und Authentifizierungsmethoden je Benutzer prüfen
- Admin-Rollen, globale Administratoren und Privileged Access analysieren
- Microsoft Secure Score auswerten und gezielt verbessern
- Freigaben, externe Zugriffe und Conditional Access sichten
- Sofortmaßnahmen-Plan mit klarer Priorisierung und Verantwortlichkeit
Unser Ansatz bei CodeKlar
Ein Audit ist nur dann wirksam, wenn auf die Analyse auch Umsetzung folgt. Wir begleiten KMU in fünf strukturierten Schritten von der Standortbestimmung bis zur belastbaren Sicherheitsbasis.
- Strukturierte Voranalyse. Wir nehmen Ihre Microsoft 365 Umgebung systematisch unter die Lupe, prüfen Identitäten, Geräte, Mail-Sicherheit, Conditional Access und den aktuellen Secure Score. Sie erhalten eine ehrliche Einordnung statt Marketing-Folien.
- Klare Priorisierung. Gemeinsam sortieren wir die Befunde nach Risiko und Aufwand. Sie wissen anschließend genau, welche Maßnahmen Sie sofort umsetzen sollten und welche in den nächsten Quartalen folgen.
- Saubere Umsetzung der Basics. Wir richten MFA, Conditional Access, Intune-Richtlinien, DKIM, DMARC und SPF korrekt ein und dokumentieren jeden Schritt. Keine improvisierten Workarounds, keine offenen Enden.
- Schulung und Awareness. Wir binden Ihre Mitarbeitenden mit verständlichen, kurzen Trainings ein. Phishing-Simulationen zeigen, wo nachgeschärft werden muss, ohne Schuldzuweisungen.
- Betrieb und Weiterentwicklung. Sicherheit ist kein Projekt mit Enddatum. Auf Wunsch begleiten wir Sie laufend mit regelmäßigen Reviews, Secure Score Monitoring und Updates der Richtlinien an neue Bedrohungen.
DSGVO und Compliance Brille
Die Security Basics sind nicht nur technisch sinnvoll, sondern auch regulatorisch relevant. Nach Art. 32 DSGVO sind Unternehmen verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. Fehlende MFA oder unkontrollierte Admin-Rechte sind im Schadensfall schwer zu rechtfertigen. Mit NIS2 kommt für viele Mittelständler zusätzlich eine konkrete Pflicht zur Umsetzung von Risikomanagement, Meldewegen und Sicherheitsmaßnahmen hinzu.
Wer die fünf Basics sauber umsetzt, erfüllt damit einen großen Teil der einschlägigen Anforderungen aus DSGVO, BSI-Empfehlungen und NIS2 automatisch mit. Das macht aus Pflichtaufgaben einen echten Hebel für mehr Sicherheit.
Warum mal eben selbst machen selten eine gute Idee ist
Microsoft 365 wirkt auf den ersten Blick gut beherrschbar, in der Tiefe ist die Plattform aber komplex. Conditional Access Regeln, die zu strikt sind, sperren plötzlich legitime Benutzer aus. Zu lockere Regeln liefern keinen echten Schutz. DKIM-Einträge müssen für jede sendende Domain konfiguriert und rotiert werden, sonst landet die Zustellung in Spam-Ordnern.
Eine externe Begleitung bringt zwei Dinge mit: Erfahrung aus vielen Umgebungen und einen unverstellten Blick von außen. Beides hilft, blinde Flecken zu schließen und teure Fehlkonfigurationen zu vermeiden.
Fazit
Cyberangriffe auf KMU sind keine Theorie, sondern messbare Realität. Wer die fünf Security Basics konsequent umsetzt, schließt einen Großteil der typischen Einfallstore und reduziert sein Risiko erheblich. Der entscheidende Schritt ist nicht die nächste Sicherheitssoftware, sondern eine ehrliche Standortbestimmung und die Bereitschaft, die Grundlagen sauber zu erledigen.
Wer jetzt handelt, gewinnt mehr als nur ein Stück Sicherheit. Eine belastbare Microsoft 365 Basis schafft Vertrauen bei Kunden, Versicherern und Aufsichtsbehörden und macht das Unternehmen widerstandsfähig gegen die nächste Welle von Angriffen.
Jetzt Security Baseline Audit angehen
Steht in Ihrem Unternehmen das Thema Sicherheit auf der Agenda, aber niemand weiß genau, wo zuerst angefangen werden soll? Wollen Sie Klarheit darüber, wie gut Ihr Microsoft 365 Tenant heute wirklich geschützt ist?
Unser Angebot: Ein strukturiertes Security Baseline Audit von CodeKlar prüft Ihre Microsoft 365 Umgebung systematisch entlang der fünf Basics. Sie erhalten eine ehrliche Einordnung, einen priorisierten Maßnahmenplan und auf Wunsch die direkte Umsetzung durch unsere Experten. Sie bekommen einen dedizierten Ansprechpartner, klare Termine und transparente Kosten.
Jetzt Beratung anfragenJetzt unverbindliches Audit-Gespräch buchen und die Security Basics sicher angehen.
