Jetzt Ihre IT-Sicherheit gratis prüfen: 48 Prüfpunkte in 6 Bereichen, angelehnt an DIN SPEC 27076 – mit sofortigem PDF-Report und konkreten Handlungsempfehlungen.
Der Check prüft 48 Prüfpunkte in 6 Bereichen: Organisation & Verantwortung, Identität & Zugangsschutz, Datensicherung & Backup, Updates & Systemsicherheit, Schutz vor Schadprogrammen sowie IT-Systeme & Netzwerke – angelehnt an DIN SPEC 27076.
DIN SPEC 27076 ist die deutsche Norm für IT-Sicherheitsberatung für KMU, entwickelt vom DIN gemeinsam mit dem BSI. Sie definiert Mindestanforderungen für die IT-Sicherheit in kleinen und mittleren Unternehmen.
Die Prüfung dauert ca. 10 Minuten. Sie erhalten danach sofort Ihr Ergebnis als Score-Übersicht und auf Wunsch einen detaillierten PDF-Report per E-Mail – gratis und ohne Kaufverpflichtung.
Ja – die Nutzung ist vollständig kostenlos. Das Sofortergebnis erhalten Sie anonym. Für den PDF-Report geben Sie optional Ihre E-Mail an. Es entstehen keine Kosten und keine versteckten Verpflichtungen.
Der Check orientiert sich an DIN SPEC 27076 und deckt Basismaßnahmen ab, die auch für NIS-2-Anforderungen und die technischen Maßnahmen nach Art. 32 DSGVO relevant sind. Er ersetzt jedoch keine professionelle Compliance-Prüfung.
Der Check richtet sich an KMU und Mittelstand in Deutschland mit 1–250 Mitarbeitern. Er ist besonders geeignet für Geschäftsführer, IT-Verantwortliche und alle, die einen schnellen Überblick über ihr IT-Sicherheitsniveau erhalten möchten.
Wie ist IT-Sicherheit in Ihrer Organisation strukturell verankert? Klare Verantwortlichkeiten sind das Fundament jeder Sicherheitsstrategie.
Trägt die Geschäftsleitung die formale Verantwortung für IT- und Informationssicherheit im Unternehmen?
💡 Informationssicherheit ist Chefsache. Ohne klares Commitment der Leitungsebene fehlt es an Ressourcen und Durchsetzungskraft. Prüfen Sie: Gibt es eine dokumentierte Beauftragung – z.B. im Organigramm oder in einer internen Richtlinie?
Ist eine konkrete Ansprechperson (intern oder extern) für IT-Sicherheitsthemen benannt?
💡 Ohne eine klar definierte Zuständigkeit bleibt IT-Sicherheit "Aufgabe aller" – und damit niemandes. Diese Person muss nicht Vollzeit IT-Sicherheit machen, sollte aber eine dokumentierte Rolle haben.
Hat diese Person ausreichend Zeit und Kapazität, um Sicherheitsaufgaben zuverlässig wahrzunehmen?
💡 IT-Sicherheit "nebenbei" funktioniert nicht. Selbst wenn nur 1-2 Stunden pro Woche eingeplant sind: Hauptsache, diese Zeit ist fest reserviert und nicht immer der erste Kandidat beim Arbeitsdruck.
Verfügt die zuständige Person über nachweisbares Fachwissen im Bereich IT-Sicherheit?
💡 Fachwissen kann durch Schulungen, Zertifikate (z.B. IT-Grundschutz-Praktiker, CompTIA Security+) oder langjährige Praxiserfahrung nachgewiesen werden. Externe Dienstleister können diese Rolle ebenfalls übernehmen.
Gibt es eine bekannte Anlaufstelle, an die Mitarbeitende IT-Sicherheitsvorfälle oder Verdachtsfälle melden können?
💡 Mitarbeitende entdecken viele Angriffe zuerst – aber nur, wenn sie wissen, wohin sie damit sollen. Eine einfache E-Mail-Adresse wie security@unternehmen.de oder eine Telefonnummer reicht oft aus.
Existiert ein dokumentierter Notfallplan, der beschreibt, wer im IT-Ernstfall was zu tun hat?
💡 Ein Notfallplan muss kein 50-Seiten-Dokument sein. Schon eine einseitige Checkliste mit den wichtigsten Kontakten, Sofortmaßnahmen und Eskalationswegen hilft enorm – besonders im Stress eines echten Vorfalls.
Ist festgelegt, wer die Belegschaft im IT-Notfall informiert und koordiniert?
💡 Im Notfall herrscht Chaos – außer wenn klare Kommunikationswege existieren. Wer ruft wen an? Wer informiert Kunden? Wer entscheidet über Abschaltmaßnahmen? Diese Fragen sollten beantwortet sein, bevor der Notfall eintritt.
Werden alle Mitarbeitenden regelmäßig zu IT-Sicherheitsthemen und Cybergefahren sensibilisiert?
💡 Phishing, Social Engineering und Ransomware starten fast immer mit einem menschlichen Fehler. Regelmäßige Schulungen (mindestens einmal jährlich) oder kurze Awareness-Trainings senken das Risiko erheblich. Auch kurze monatliche E-Mails zählen.
Werden externe Dienstleister und Partner über Ihre IT-Sicherheitsanforderungen informiert?
💡 Externe, die Zugang zu Ihren Systemen oder Daten haben, sind potenzielle Schwachstellen. Klären Sie: Welche Sicherheitsanforderungen gelten für Wartungszugänge, Cloud-Dienstleister oder Berater? Sind diese vertraglich geregelt?
Gibt es interne schriftliche Regelungen zum sicheren Umgang mit vertraulichen Informationen?
💡 Eine Vertraulichkeits- oder Informationsschutzrichtlinie muss keine Rechtsabhandlung sein. Sie sollte klären: Welche Daten sind sensibel? Wie dürfen sie geteilt werden? Wo dürfen sie gespeichert werden?
Werden externe Personen mit Datenzugang schriftlich zur Vertraulichkeit verpflichtet?
💡 Eine Verschwiegenheitserklärung (NDA) ist Standard in professionellen Dienstleisterverträgen. Stellen Sie sicher, dass jede externe Person mit Zugang zu Ihren Daten oder Systemen eine solche unterschrieben hat.
Arbeiten Mitarbeitende in Ihrem Unternehmen mobil oder im Homeoffice?
💡 Falls Ihr Team ausschließlich vor Ort arbeitet und keine mobilen Geräte oder Remote-Zugriffe genutzt werden, entfallen die folgenden Fragen.
Existiert eine Richtlinie, die Sicherheitsregeln für mobiles Arbeiten und Homeoffice festlegt?
💡 Diese Richtlinie sollte mindestens abdecken: Nutzung privater Geräte (BYOD), WLAN-Sicherheit, VPN-Pflicht, Bildschirmsperren und den Umgang mit vertraulichen Unterlagen außerhalb des Büros.
Bestätigen Mitarbeitende den Erhalt und die Kenntnisnahme dieser Richtlinie schriftlich?
💡 Eine Unterschrift (oder digitale Bestätigung) stellt sicher, dass die Richtlinie tatsächlich gelesen wurde – und schafft bei Verstößen eine klare Grundlage.
Erhalten Mitarbeitende eine eigene Kopie der Richtlinie zur dauerhaften Verfügung?
💡 Die Aushändigung einer Kopie ist entscheidend – nicht nur die Veröffentlichung im Intranet. Beschäftigte müssen die Richtlinie jederzeit eigenständig einsehen können, um sich im Zweifel daran orientieren zu können.
Wird die Richtlinie regelmäßig auf Aktualität überprüft und bei Bedarf angepasst?
💡 Remote-Arbeit und Cyberbedrohungen entwickeln sich schnell. Eine Richtlinie, die 2019 erstellt wurde, deckt womöglich keine heutigen Risiken wie KI-gestützte Phishing-Angriffe oder neue Cloud-Dienste ab.
Wer hat Zugang zu was? Starke Authentifizierung und das Prinzip der minimalen Rechte sind entscheidend, um unbefugte Zugriffe zu verhindern.
Ist geregelt und kontrolliert, wer physischen Zugang zu Unternehmensräumen mit IT-Systemen erhält?
💡 Physische Sicherheit ist oft die vernachlässigte Basis. Wer kann ins Serverraumzimmer, ins Büro, zum NAS? Zugangsregelungen können einfach sein: abschließbare Räume, Besucherpflicht mit Begleitung, keine tailgating-Möglichkeiten.
Hat jeder Mitarbeitende nur Zugriff auf die Daten und Systeme, die er für seine Arbeit tatsächlich benötigt?
💡 Das "Least Privilege Principle" ist einer der wichtigsten Grundsätze der IT-Sicherheit. Ein Buchhalter braucht keinen Zugriff auf Kundendatenbanken – und ein Praktikant nicht auf alle Laufwerke. So begrenzt man Schäden bei Fehlern oder Angriffen.
Verwendet jede Person eigene, individuelle Zugangsdaten (kein Teilen von Accounts)?
💡 Geteilte Accounts machen Nachvollziehbarkeit unmöglich. Wenn "admin/admin" von fünf Personen genutzt wird, weiß niemand, wer wann was getan hat. Außerdem: Wechselt eine Person, müssen alle anderen ihr Passwort ändern.
Werden im Unternehmen ausreichend starke Passwörter verwendet (lang, komplex, einzigartig)?
💡 "Sommer2023!" ist kein sicheres Passwort. Empfehlung: mindestens 12 Zeichen, Mix aus Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen. Ein Passwortmanager (z.B. Bitwarden, KeePass) erleichtert das enorm und ist kostenlos verfügbar.
Wird Zwei-Faktor-Authentifizierung (2FA) genutzt, wo immer es technisch möglich ist?
💡 2FA ist aktuell eine der effektivsten Maßnahmen gegen Kontoübernahmen. Selbst wenn ein Passwort gestohlen wird, schützt ein zweiter Faktor (SMS, App, Hardware-Token). Microsoft und Google bieten 2FA kostenlos an.
Datenverlust durch Ransomware, Hardware-Ausfall oder menschliches Versagen kann existenzbedrohend sein. Regelmäßige und getestete Backups sind Ihre letzte Verteidigungslinie.
Werden Datensicherungen in regelmäßigen, definierten Abständen automatisch oder manuell durchgeführt?
💡 Wie oft Sie sichern sollten, hängt davon ab, wie viele Daten Sie sich leisten können zu verlieren. Für die meisten KMU gilt: mindestens täglich für kritische Daten, mindestens wöchentlich für den Rest. Automatisierung ist zuverlässiger als manuelles Backup.
Sind Backup-Daten vor unbefugtem Zugriff geschützt (z.B. durch Verschlüsselung oder Zugangsbeschränkungen)?
💡 Ein unverschlüsseltes Backup auf einem öffentlich zugänglichen NAS ist kaum besser als keine Sicherung. Backups sollten verschlüsselt sein – besonders wenn sie in der Cloud oder extern gespeichert werden.
Ist der Backup-Prozess dokumentiert (Was wird gesichert? Wann? Wie? Von wem)?
💡 Wenn die Person, die das Backup eingerichtet hat, krank oder nicht mehr im Unternehmen ist, muss jemand anderes die Wiederherstellung durchführen können. Ohne Dokumentation wird das zum Glücksspiel.
Ist eine Person konkret für die Überwachung und Durchführung der Datensicherung verantwortlich?
💡 Automatische Backups können fehlschlagen – und wenn niemand die Meldungen prüft, merkt man es erst im Ernstfall. Eine klare Zuständigkeit sorgt dafür, dass Backup-Fehler bemerkt und behoben werden.
Werden Backups physisch oder logisch getrennt vom Produktivsystem gespeichert (z.B. externes Laufwerk, Cloud, Offsite)?
💡 Ein Backup auf demselben Server, den Ransomware verschlüsselt, ist wertlos. Die 3-2-1-Regel empfiehlt: 3 Kopien, auf 2 verschiedenen Medien, davon 1 außerhalb des Büros oder in der Cloud.
Wird regelmäßig getestet, ob eine Wiederherstellung aus dem Backup tatsächlich funktioniert?
💡 Viele Unternehmen haben Backups, die sich im Ernstfall als korrupt oder unvollständig erweisen. Ein Backup, das nie getestet wurde, ist kein Backup. Mindestens zweimal jährlich eine Probe-Wiederherstellung durchführen.
Finden diese Wiederherstellungstests in festen, geplanten Abständen statt?
💡 Einmalige Tests reichen nicht. Systeme ändern sich – neue Software, neue Daten, neue Strukturen. Nur regelmäßige Tests stellen sicher, dass das Backup mit der aktuellen Umgebung kompatibel ist.
Ungepatchte Software ist einer der häufigsten Einfallstore für Cyberangriffe. Konsequentes Update-Management schließt bekannte Sicherheitslücken, bevor Angreifer sie ausnutzen.
Werden verfügbare Sicherheits-Updates für Betriebssysteme und eingesetzte Software regelmäßig installiert?
💡 Über 60% aller erfolgreichen Cyberangriffe nutzen bekannte Schwachstellen aus, für die es bereits Patches gibt. Automatische Updates sind für die meisten Systeme einfach zu aktivieren und sollten Standard sein.
Werden kritische Sicherheits-Updates zeitnah nach ihrer Veröffentlichung eingespielt (innerhalb weniger Tage)?
💡 Nach Bekanntwerden einer Sicherheitslücke starten automatisierte Angriffe oft innerhalb von Stunden. Kritische Patches müssen unverzüglich eingespielt werden (innerhalb von 24 Stunden spätestens) – auch wenn das einen kurzen Neustart bedeutet.
Ist klar definiert, wer im Unternehmen für die Installation und Überwachung von Updates zuständig ist?
💡 Ohne klare Verantwortlichkeit werden Updates verschoben oder vergessen. Ob IT-Mitarbeiter, externer Dienstleister oder automatisiertes Tool – die Zuständigkeit muss eindeutig sein und regelmäßig überprüft werden.
Werden IT-Systeme und Software, die keine Sicherheitsupdates mehr erhalten (End-of-Life), identifiziert und beobachtet?
💡 Windows 7, Office 2010, alte NAS-Firmware – End-of-Life-Produkte erhalten keine Sicherheitsupdates mehr und sind dauerhaft verwundbar. Sie müssen bekannt sein, um sie gezielt abzusichern oder zu ersetzen.
Werden End-of-Life-Systeme aktiv durch neuere, unterstützte Versionen ersetzt?
💡 Der Weiterbetrieb veralteter Systeme ist ein kalkulierbares Risiko – aber es sollte bewusst entschieden und nicht ignoriert werden. Gibt es einen Migrationsplan? Oder zumindest Isolationsmaßnahmen für kritische Altsysteme?
Antivirus, sichere Softwarequellen und Makro-Kontrolle: Diese Maßnahmen schützen Ihre Systeme vor Schadsoftware, Spyware und manipulierten Dokumenten.
Sind alle IT-Geräte im Unternehmen mit aktueller Schutzsoftware (Endpoint-Security / Antivirus) ausgestattet?
💡 Moderne Endpoint-Security erkennt neben klassischen Viren auch Ransomware, Spyware und verdächtiges Verhalten. Für kleine Unternehmen reicht oft der kostenlose Windows Defender. Entscheidend ist: Schutzsoftware muss auf jedem Gerät aktiviert und stets aktuell sein.
Wird Software und werden Downloads ausschließlich aus vertrauenswürdigen, offiziellen Quellen bezogen?
💡 Raubkopien, inoffizielle Download-Seiten oder Crack-Tools sind ein beliebter Verteilungsweg für Malware. Klare Regeln, welche Software installiert werden darf und woher, reduzieren das Risiko erheblich. Idealerweise gibt es eine genehmigte Software-Liste.
Dürfen nur dafür autorisierte Personen neue Software auf Unternehmensgeräten installieren?
💡 Wenn jeder Mitarbeitende selbst Programme installieren kann, steigt das Risiko, dass schädliche oder unsichere Software ins Netzwerk gelangt. Administratorrechte sollten auf IT-Verantwortliche beschränkt sein.
Ist die Ausführung von Makros (z.B. in Tabellenkalkulation oder Office-Dokumenten) standardmäßig deaktiviert?
💡 Makros in Office-Dokumenten sind eines der häufigsten Einfallstore für Schadsoftware. Besonders per E-Mail empfangene Dokumente mit Makros stellen ein hohes Risiko dar. Die Standardeinstellung sollte immer "deaktiviert" sein.
Gibt es eine klare Regelung, wer in Ausnahmefällen Makros aktivieren darf und unter welchen Bedingungen?
💡 Manche Geschäftsprozesse erfordern Makros – etwa in komplexen Excel-Auswertungen. Dann muss klar geregelt sein: Wer darf aktivieren? Wurde die Quelle geprüft? Ist die Datei vertrauenswürdig?
Firewalls, WLAN-Verschlüsselung, VPN und physischer Schutz Ihrer IT-Infrastruktur – technische Absicherung auf Netzwerkebene ist unverzichtbar.
Ist in Ihrem Unternehmensnetzwerk eine Firewall im Einsatz?
💡 Eine Firewall ist die erste Verteidigungslinie Ihres Netzwerks gegen Angriffe von außen. Sie kontrolliert, welcher Datenverkehr in Ihr Netzwerk hinein und hinaus darf. Ohne Firewall ist Ihr Netzwerk praktisch offen.
Wurde die Firewall individuell konfiguriert, sodass nur tatsächlich benötigte Dienste zugelassen sind?
💡 Eine Firewall mit Werkseinstellungen bietet oft unzureichenden Schutz. Individuelle Regeln stellen sicher, dass nur die Verbindungen erlaubt sind, die Ihr Unternehmen wirklich braucht – alles andere wird blockiert.
Ist festgelegt, wer über die Firewall-Konfiguration und -Regeln entscheidet?
💡 Firewall-Regeln sollten nicht willkürlich geändert werden. Es muss eine kompetente Person bestimmt sein, die Änderungen genehmigt, dokumentiert und deren Auswirkungen versteht.
Sind sämtliche Arbeitsgeräte (Computer, Laptops, Tablets, Smartphones) durch eine Passwort- oder PIN-Sperre geschützt?
💡 Ein ungesperrtes Gerät ist wie eine offene Tür: Jeder kann darauf zugreifen. Automatische Bildschirmsperren nach kurzer Inaktivität (max. 5 Minuten) sollten auf allen Geräten erzwungen sein.
Greifen Beschäftigte von unterwegs oder aus dem Homeoffice auf das Firmennetzwerk zu?
💡 Wenn Mitarbeitende von außerhalb auf interne Systeme, Laufwerke oder Anwendungen zugreifen, muss dieser Zugang besonders abgesichert werden.
Nutzen Beschäftigte eine verschlüsselte Verbindung (z.B. VPN), wenn sie von extern auf das Firmennetzwerk zugreifen?
💡 Ohne verschlüsselte Verbindung können Daten auf dem Übertragungsweg abgefangen oder manipuliert werden. Ein VPN schafft einen sicheren Tunnel zwischen dem Endgerät und Ihrem Firmennetzwerk.
Nutzen Sie in Ihrem Unternehmen WLAN für den Internetzugang?
💡 WLAN ist komfortabel, aber ohne richtige Konfiguration ein Sicherheitsrisiko. Die folgenden Fragen betreffen die Absicherung Ihres Funk-Netzwerks.
Ist Ihr WLAN mit einem aktuellen Verschlüsselungsstandard (mindestens WPA2, besser WPA3) gesichert?
💡 Ältere Standards wie WEP oder WPA1 gelten als geknackt und bieten keinen wirksamen Schutz mehr. Prüfen Sie in Ihren Router-Einstellungen, welcher Standard aktiv ist. WPA3 bietet den besten Schutz.
Ist das WLAN mit einem ausreichend langen und komplexen Passwort (mindestens 20 Zeichen) geschützt?
💡 Ein kurzes WLAN-Passwort kann mit frei verfügbaren Tools in wenigen Stunden geknackt werden. Mindestens 20 Zeichen mit Buchstaben, Zahlen und Sonderzeichen bieten einen soliden Schutz.
Nutzen Gäste oder Beschäftigte mit privaten Geräten Ihr WLAN?
💡 Private Geräte und Gäste-Geräte unterliegen nicht Ihrer IT-Kontrolle und könnten infiziert sein. Der Zugang zum Firmennetzwerk über solche Geräte muss besonders geregelt sein.
Existiert ein separates, vom Firmennetzwerk getrenntes WLAN für Gäste und private Geräte?
💡 Ein Gäste-WLAN verhindert, dass fremde oder private Geräte auf Ihre internen Systeme, Drucker und Datenfreigaben zugreifen können. Die meisten modernen Router bieten diese Funktion an.
Wird auf Server oder Computer in Ihrem Unternehmen per Fernwartung zugegriffen?
💡 Fernwartung durch IT-Dienstleister ist üblich, birgt aber Risiken wenn sie nicht kontrolliert stattfindet. Die folgenden Fragen betreffen die Absicherung von Fernzugriffen.
Ist klar geregelt, unter welchen Bedingungen und zu welchem Zeitpunkt Fernwartung stattfinden darf?
💡 Fernwartung sollte nicht rund um die Uhr unkontrolliert möglich sein. Idealerweise wird sie nur bei Bedarf freigeschaltet, zeitlich begrenzt und protokolliert.
Erfolgen Fernwartungsverbindungen ausschließlich verschlüsselt?
💡 Unverschlüsselte Fernwartung bedeutet, dass Zugangsdaten und Bildschirminhalte im Klartext übertragen werden. VPN-basierte oder Ende-zu-Ende-verschlüsselte Fernwartungstools sind Pflicht.
Sind Ihre IT-Komponenten (Server, Netzwerkgeräte, NAS) vor Elementarschäden wie Feuer, Wasser, Überhitzung oder Überspannung geschützt?
💡 Nicht nur Hacker bedrohen Ihre IT: Ein Wasserrohrbruch im Serverraum, ein Blitzschlag ohne Überspannungsschutz oder Überhitzung durch fehlende Klimatisierung können ebenso verheerende Folgen haben.
Ihr persönlicher IT-Sicherheits-Report mit allen Ergebnissen und Handlungsempfehlungen wird sofort an Ihre E-Mail-Adresse gesendet.
Ihr persönlicher IT-Sicherheits-Report ist auf dem Weg zu Ihrer Inbox. Prüfen Sie auch Ihren Spam-Ordner.
Benötigen Sie professionelle Unterstützung bei der Umsetzung?
Kostenloses Beratungsgespräch buchen