10 häufigste Cybersecurity-Fehler im Mittelstand - und wie Sie sie vermeiden
Die 10 kritischsten Sicherheitsfehler die wir in deutschen KMU immer wieder beim Penetrationstest finden: von fehlender MFA über ungepatchte Systeme bis zu schwachen Backup-Strategien. Mit konkreten Gegenmassnahmen.
Chris Wojzechowski Geschäftsführender Gesellschafter TL;DR
AWARE7-Penetrationstests bei deutschen KMU decken immer wieder dieselben vermeidbaren Fehler auf: 90 % aller Business-E-Mail-Kompromittierungen wären mit MFA verhindert worden; in 40 % der Unternehmen laufen Infrastrukturgeräte mit Standardpasswörtern; in 80 % der Ransomware-Angriffe werden auch Backups verschlüsselt, weil sie im selben Netzwerksegment liegen. Weitere kritische Punkte: Flat Networks ohne VLAN-Segmentierung, 20+ Domain-Admin-Konten, kein DMARC (E-Mail-Spoofing möglich), öffentliche Cloud-Storage-Buckets und kein dokumentierter Incident-Response-Plan. Für jeden der 10 Fehler liefert der Artikel sofort umsetzbare Gegenmaßnahmen.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).
Inhaltsverzeichnis (10 Abschnitte)
In unseren Penetrationstests bei deutschen KMU und Mittelstandsunternehmen begegnen uns dieselben Schwachstellen immer wieder. Diese 10 Fehler kosten Unternehmen jährlich Millionen - und wären alle vermeidbar.
Fehler #1: Kein MFA auf Remote-Zugängen
Was wir sehen: VPN, RDP, Outlook Web Access und Microsoft 365 erreichbar mit nur Passwort.
Was das bedeutet: Ein einziges gestohlenes Passwort - aus einem Datenleck, über Phishing oder Credential Stuffing - reicht für vollen Netzwerkzugang.
Die Statistik: 90% aller Business-E-Mail-Kompromittierungen wären mit MFA verhindert worden (Microsoft 2024).
Lösung:
Sofort (diese Woche):
✓ MFA für Microsoft 365 / Entra ID aktivieren
✓ MFA für VPN-Zugänge aktivieren
✓ RDP aus dem Internet entfernen (VPN-Only)
Frei verfügbar:
Microsoft Authenticator (M365)
Cisco Duo (bis 10 User kostenlos)
Google Workspace 2FAFehler #2: Kritische CVEs bleiben Monate ungepatchet
Was wir sehen: Fortinet FortiGate, Cisco AnyConnect, Citrix-Gateways mit Schwachstellen aus 2022-2023. Exchange-Server ohne Sicherheitsupdates.
Was das bedeutet: Bekannte CVEs werden aktiv von Ransomware-Gruppen ausgenutzt. Shodan zeigt alle exponierten Systeme - Angreifer scannen systematisch.
Reales Beispiel: CVE-2023-4966 (Citrix Bleed, CVSS 9.4) wurde von LockBit-Affiliates innerhalb von 2 Wochen nach Veröffentlichung aktiv ausgenutzt.
Lösung:
Patch-Management SLA:
Kritische CVEs (CVSS ≥ 9.0): 48 Stunden
Hohe CVEs (CVSS 7.0-8.9): 2 Wochen
Mittlere CVEs: 1 Monat
Monitoring:
BSI CERT-Bund Warndienst abonnieren
CISA Known Exploited Vulnerabilities: cisa.gov/kev
Vendor Security Bulletins (Fortinet, Cisco, Microsoft)Fehler #3: Backup existiert - ist aber nicht immutable
Was wir sehen: NAS-Backup im gleichen Netzwerksegment wie Produktivserver. SMB-Share als Backup-Ziel ohne Versionierung.
Was das bedeutet: Ransomware verschlüsselt auch die Backups. Das Unternehmen steht ohne Wiederherstellungsoption da.
Die Realität: In 80% der Ransomware-Angriffe werden auch Backups verschlüsselt oder gelöscht (Sophos State of Ransomware 2024).
Lösung:
3-2-1-1-0-Backup-Regel:
3 Kopien der Daten
2 verschiedene Medientypen
1 offsite (Cloud oder externes Rechenzentrum)
1 offline/immutable (nicht überschreibbar)
0 ungetestete Backups
Immutable Backup-Optionen:
AWS S3 Object Lock (Glacier Instant)
Azure Blob Storage immutable + versioned
Veeam Hardened Repository (Linux)
Wasabi Object Storage (WORM)Fehler #4: Standard-Credentials auf Infrastruktur-Geräten
Was wir sehen: Netzwerk-Switches, Drucker, IP-Kameras, NAS-Systeme mit admin/admin oder dem Hersteller-Standardpasswort.
Pentesting-Erfahrung: In 40% der Unternehmen finden wir Infrastrukturgeräte mit Standardpasswörtern. Diese sind in öffentlichen Datenbanken gelistet.
Beliebte Standardpasswörter:
admin:admin, admin:1234, root:root
Cisco: cisco:cisco
Fortinet: admin:(kein Passwort)
HP Drucker: admin:admin oder admin:(leer)
QNAP NAS: admin:admin
IP-Kameras: admin:12345Lösung: Jedes Gerät bekommt bei Inbetriebnahme ein einzigartiges Passwort (Passwort-Manager). Asset-Inventar mit Passwort-Tracking.
Fehler #5: Fehlende Netzwerksegmentierung
Was wir sehen: Flat Network - alle Systeme im gleichen Subnetz. Drucker, Server, Workstations, IoT-Geräte kommunizieren frei miteinander.
Was das bedeutet: Ein kompromittierter Rechner in der Buchhaltung kann direkt auf den Domain Controller, den Fileserver und die Produktionssteuerung zugreifen.
Lösung:
Basis-Segmentierung (VLANs):
VLAN 10: Server (Produktiv)
VLAN 20: Workstations
VLAN 30: Management (IT-Admin)
VLAN 40: Gäste / BYOD
VLAN 50: IoT / Drucker
VLAN 60: DMZ (öffentliche Dienste)
Regeln:
Workstations können NICHT direkt auf Server zugreifen (nur via Anwendung)
Management-VLAN: nur IT-Admins, MFA erforderlich
IoT/Drucker: kein Zugang zu UnternehmensdatenFehler #6: Keine Security Awareness bei Mitarbeitern
Was wir sehen: Mitarbeiter klicken in Phishing-Simulationen auf 35-60% der Test-Mails. Passwörter werden telefonisch weitergegeben wenn jemand behauptet von der IT-Abteilung zu sein.
IBM 2024: 68% aller Datenlecks haben menschliche Fehler als primäre Ursache.
Lösung:
Mindest-Programm:
✓ Jährliches Security Awareness Training für alle Mitarbeiter
✓ Phishing-Simulation 4x pro Jahr (unangemeldet)
✓ Klare Eskalationsregeln: "Bei Verdacht sofort IT anrufen"
✓ Passwort-Manager für alle
Messbar machen:
Phishing Click-Rate soll < 5% sein
Reporting-Rate soll > 30% sein ("diese Mail ist verdächtig")Fehler #7: Active Directory - Zu viele Domain Admins
Was wir sehen: 20+ Domain-Admin-Accounts, Dienst-Accounts mit Admin-Rechten, alte Ex-Mitarbeiter-Accounts noch aktiv.
Das Problem: Jeder kompromittierte Domain-Admin hat Vollzugriff auf alle Systeme. Domain Admins werden für alltägliche Aufgaben genutzt.
Pentesting-Fund: In einer Firma mit 200 Mitarbeitern fanden wir 31 aktive Domain-Admin-Accounts - 8 davon gehörten seit Jahren ausgeschiedenen Mitarbeitern.
Lösung:
# Alle Domain Admins auflisten:
Get-ADGroupMember -Identity "Domain Admins" | Select Name, SamAccountName
# Inaktive Accounts finden (90+ Tage kein Login):
Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 -UsersOnly
Ziel:
✓ Maximal 2-3 echte Domain-Admin-Accounts (für Break-Glass-Szenarien)
✓ Privilegierte Aktionen via PAM + Just-In-Time-Zugang
✓ Separates Admin-Konto von Daily-Driver-Konto trennen
✓ Inaktive Accounts automatisch nach 90 Tagen deaktivierenFehler #8: Kein DMARC auf eigener Domain
Was wir sehen: Keine oder fehlerhafte DMARC-Konfiguration. E-Mails mit @firma.de im Absender können von jedem Server weltweit gesendet werden.
Folge: Angreifer senden glaubwürdige E-Mails scheinbar von CEO@ihrfirma.de - Mitarbeiter, Partner, Kunden täuschen.
Tool-Test: Senden Sie eine Test-Mail von einem beliebigen SMTP-Server mit Ihrer Domain als Absender - kommt sie durch?
Lösung:
# DMARC-Record in DNS (TXT-Record):
_dmarc.ihrfirma.de TXT "v=DMARC1; p=reject; rua=mailto:dmarc@ihrfirma.de"
# Rollout:
Schritt 1: p=none (Monitoring, 4 Wochen)
Schritt 2: p=quarantine (Übergang)
Schritt 3: p=reject (Ziel - verhindert Spoofing vollständig)Fehler #9: Cloud-Storage öffentlich zugänglich
Was wir sehen: AWS S3-Buckets, Azure Blob Storage, SharePoint-Ordner versehentlich öffentlich zugänglich.
Typische Funde:
- Kunden-Verträge im öffentlichen S3-Bucket
- HR-Daten in öffentlichem SharePoint
- Backup-Dumps öffentlich auf Azure Storage
Lösung:
# AWS: Alle öffentlichen S3-Buckets finden
aws s3api list-buckets --query 'Buckets[].Name' | \
xargs -I{} aws s3api get-bucket-acl --bucket {} 2>/dev/null | \
grep AllUsers
# Azure: Öffentliche Blob-Container
az storage account list | az storage container list --public-access
Präventiv:
✓ AWS S3 Block Public Access auf Account-Ebene aktivieren
✓ Azure Policy: kein öffentlicher Blob-Zugriff
✓ Regelmäßiger Cloud Security Posture Check (Defender for Cloud)Fehler #10: Kein Incident Response Plan
Was wir sehen: Bei Simulation “Ihre Systeme werden gerade verschlüsselt - was tun Sie?” gibt es keine dokumentierten Schritte. Kein Ansprechpartner beim BSI bekannt.
Warum kritisch: In einem Ransomware-Angriff läuft die Uhr. Jede Minute ohne Reaktion kostet mehr Daten und Geld. Ohne Plan verlieren Teams wertvolle Stunden mit Abstimmung.
NIS2 Anforderung: Incident Response Plan ist für betroffene Unternehmen gesetzlich vorgeschrieben.
Mindest-IR-Plan:
1. Erkennung
Wer meldet was an wen? (IT → CISO → Geschäftsführer)
Hotline für Mitarbeiter: IT-Notfallnummer
2. Eindämmung (Containment)
Betroffene Systeme vom Netz trennen (Kabel ziehen)
Cloud-Accounts sperren
Passwörter zurücksetzen
3. Behörden
BSI/CERT-Bund melden (NIS2: 24h Frist!)
Landeskriminalamt (Cybercrime-Hotline)
Datenschutzbeauftragter (DSGVO: 72h Frist!)
4. Forensik
Logs sichern (nicht überschreiben lassen!)
Forensik-Dienstleister auf Abruf: [Kontakt eintragen]
5. Recovery
Backup-Status prüfen
Systeme neu aufsetzen (nie verschlüsselte Systeme entsperren ohne Forensik)Wie viele dieser Fehler hat Ihr Unternehmen? In einem halbtägigen Security-Assessment prüfen wir systematisch alle 10 Punkte und liefern eine priorisierte Maßnahmenliste.
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst — mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
