In rund 5 Minuten zur ersten Einschätzung

20 Fragen, ca. 5 Minuten, sofortige Auswertung. Der Cybersecurity-Selbstcheck bietet Ihnen eine allgemeine Orientierung zu typischen Sicherheitsmaßnahmen in kleinen und mittleren Unternehmen: Backups, Multi-Faktor-Authentifizierung, Updates, Rechteverwaltung und E-Mail-Sicherheit.

Hinweis zur Einordnung

Der Cybersecurity-Selbstcheck stellt keine individuelle Sicherheitsberatung und kein Sicherheits-Audit dar. Die Ergebnisse basieren ausschließlich auf Ihren eigenen Angaben und bieten eine allgemeine Orientierung. Trotz eines positiven Ergebnisses kann kein vollständiger Schutz vor Sicherheitsvorfällen oder Cyberangriffen garantiert werden.

Datenschutz

Dieser Selbstcheck läuft vollständig in Ihrem Browser. Ihre Antworten werden weder übertragen noch gespeichert. Es werden keine Cookies, kein Tracking und kein lokaler Speicher verwendet. Beim Ausdrucken/PDF-Speichern verarbeitet ausschließlich Ihr Browser die Daten lokal.

Backups

Gibt es regelmäßige, getestete Backups - und liegen sie getrennt vom Hauptsystem?

Werden von Ihren wichtigen Unternehmensdaten (Aufträge, Buchhaltung, E-Mails, Kundendaten) regelmäßig Sicherungskopien erstellt?
Liegt mindestens eine Sicherungskopie getrennt vom Firmennetz, also offline (z. B. Festplatte, die nach der Sicherung abgestöpselt wird) oder in einem separaten Cloud-Speicher mit eigenem Zugang?
Haben Sie schon einmal ausprobiert, ob sich Ihre Daten aus der Sicherung tatsächlich wiederherstellen lassen?
Wissen Sie, wie lange Ihr Betrieb ohne seine IT (Rechner, Daten, E-Mail) arbeitsfähig bliebe und was im Notfall zuerst wiederhergestellt werden müsste?

Multi-Faktor-Authentifizierung & Zugänge

Sind E-Mail, Cloud-Dienste und Admin-Zugänge mit einem zweiten Faktor geschützt?

Ist der Zugang zu Ihren geschäftlichen E-Mail-Postfächern mit einem zweiten Faktor geschützt?

„Zweiter Faktor" = zusätzlich zum Passwort z. B. eine Bestätigung per App oder ein Einmalcode.

Sind Administrator-Zugänge mit einem zweiten Faktor geschützt, z. B. Cloud-Verwaltung (Microsoft 365/Google), Website/Hosting, Firewall/Router, Buchhaltungs- oder Branchensoftware?
Verwendet jede Person in Ihrem Unternehmen für jeden Dienst ein eigenes, ausreichend langes Passwort, z. B. mithilfe eines Passwort-Managers?
Gibt es Sammel-Zugänge, die sich mehrere Personen teilen (z. B. ein gemeinsames „info@"-Login oder ein gemeinsamer Windows-Benutzer)?

Updates & Patch-Management

Werden Betriebssysteme, Software und Geräte zeitnah aktualisiert?

Werden Betriebssystem-Updates auf allen Arbeitsrechnern (und ggf. Servern) zeitnah installiert, idealerweise automatisch?
Sind bei Ihnen noch Systeme im Einsatz, für die es keine Sicherheitsupdates mehr gibt (z. B. Windows 7/8, Server 2012, sehr alte Smartphones oder nicht mehr gepflegte Branchensoftware)?
Werden auch die „Nebengeräte" regelmäßig aktualisiert: Router, Firewall, NAS (Netzwerkspeicher), Drucker, Kameras?
Ist klar geregelt, wer sich um Updates der Anwendungen kümmert: Browser, Office, Branchensoftware und (falls vorhanden) Ihr Website-System samt Erweiterungen?

Rechteverwaltung

Hat jeder nur die Zugriffe, die er wirklich braucht - auch ehemalige Mitarbeitende nicht mehr?

Arbeiten Ihre Mitarbeitenden im Tagesgeschäft mit normalen Benutzerrechten, oder haben viele Administratorrechte auf ihrem Rechner?
Haben Mitarbeitende nur Zugriff auf die Daten und Systeme, die sie für ihre Arbeit tatsächlich brauchen?
Was passiert mit Zugängen, wenn jemand das Unternehmen verlässt?
Gibt es eine Übersicht, wer (einschließlich externer Dienstleister) auf welche Systeme und Cloud-Dienste Zugriff hat?

E-Mail-Sicherheit

Phishing-Schutz, SPF/DKIM/DMARC und der Umgang mit verdächtigen Nachrichten.

Wissen Ihre Mitarbeitenden, woran man Phishing-Mails erkennt und wird das Thema regelmäßig aufgefrischt?
Gibt es eine feste Regel, dass geänderte Bankverbindungen oder ungewöhnliche Zahlungsaufforderungen immer über einen zweiten Weg geprüft werden (z. B. Rückruf unter der bekannten Telefonnummer)?
Sind für Ihre E-Mail-Domain die Schutzstandards SPF, DKIM und DMARC eingerichtet?

Diese technischen Einträge erschweren es Fremden, E-Mails in Ihrem Namen zu verschicken. Ihr E-Mail- oder Website-Anbieter kann das prüfen.

Wissen alle im Team, was zu tun ist, wenn jemand auf einen verdächtigen Link geklickt oder einen Anhang geöffnet hat?

Warum genau diese fünf Bereiche?

Die fünf Bereiche des Selbstchecks decken die Angriffswege ab, über die in kleinen und mittleren Unternehmen real die meisten Schäden entstehen. Backups entscheiden darüber, ob ein Verschlüsselungstrojaner ein ärgerlicher Zwischenfall oder eine Existenzbedrohung ist: Nur eine getrennte, getestete Sicherung macht Erpressung wirkungslos. Multi-Faktor-Authentifizierung stoppt die häufigste Angriffsform überhaupt, die Übernahme von Konten mit gestohlenen oder erratenen Passwörtern; besonders das E-Mail-Postfach ist als Generalschlüssel zu allen anderen Diensten das lohnendste Ziel.

Updates schließen bekannte Lücken, bevor automatisierte Angriffe sie finden. Die meisten erfolgreichen Angriffe nutzen Schwachstellen, für die es längst eine Korrektur gab. Eine saubere Rechteverwaltung begrenzt den Schaden, wenn doch etwas passiert: Wer im Alltag ohne Administratorrechte arbeitet und Alt-Zugänge ehemaliger Mitarbeitender konsequent deaktiviert, nimmt Angreifern die Bewegungsfreiheit. Und weil fast jeder Angriff auf ein KMU mit einer E-Mail beginnt, gehört die E-Mail-Sicherheit dazu: vom Erkennen von Phishing über eine simple Rückruf-Regel gegen Zahlungsbetrug bis zu den technischen Schutzeinträgen SPF, DKIM und DMARC.

Wenn Sie danach auch Ihre Website betrachten möchten: Die Checkliste für eine DSGVO-konforme Unternehmenswebsite ergänzt den Selbstcheck um die Datenschutz-Perspektive.

Woran sich der Selbstcheck orientiert

Fragen, Punktwertung und die priorisierten Handlungsempfehlungen orientieren sich an zwei etablierten Rahmenwerken: an der Basis-Absicherung des BSI IT-Grundschutzes (unter anderem Datensicherung, Identitäts- und Berechtigungsmanagement, Patch-Management) und am CyberRisikoCheck nach DIN SPEC 27076, einem Standard, der für kleine und mittlere Unternehmen eine Ist-Aufnahme mit Punktwertung und priorisierten Empfehlungen beschreibt. Der Selbstcheck überträgt dieses Muster in die Selbstbedienung: 20 Fragen in fünf Bereichen, „Weiß nicht" zählt wie „nicht verlässlich umgesetzt", kritische Lücken werden in der Auswertung besonders gewichtet.

Wichtig zur Einordnung: Der Selbstcheck orientiert sich an diesen Standards, bildet sie aber nicht vollständig ab und ist keine Umsetzung der DIN SPEC 27076. Die dargestellten Hinweise sind standardisierte Empfehlungen und ersetzen keine individuelle Beratung. Für den nächsten Schritt nach dem Selbstcheck finden Sie unter Security & Datenschutz einen Überblick über unsere Leistungen.

Häufige Fragen zum Selbstcheck

Was kostet der Cybersecurity-Selbstcheck?

Nichts. Der Selbstcheck ist kostenlos, ohne Anmeldung und ohne Angabe von Kontaktdaten nutzbar.

Werden meine Antworten gespeichert oder übertragen?

Nein. Dieser Selbstcheck läuft vollständig in Ihrem Browser. Ihre Antworten werden weder übertragen noch gespeichert. Es werden keine Cookies, kein Tracking und kein lokaler Speicher verwendet. Beim Ausdrucken/PDF-Speichern verarbeitet ausschließlich Ihr Browser die Daten lokal.

Ersetzt der Selbstcheck ein Sicherheits-Audit oder eine individuelle Beratung?

Nein. Der Cybersecurity-Selbstcheck stellt keine individuelle Sicherheitsberatung und kein Sicherheits-Audit dar. Die Ergebnisse basieren ausschließlich auf Ihren eigenen Angaben und bieten eine allgemeine Orientierung. Die dargestellten Hinweise sind standardisierte Empfehlungen und ersetzen keine individuelle Beratung.

Für wen ist der Selbstcheck gedacht?

Für Inhaberinnen, Inhaber und Verantwortliche in kleinen und mittleren Unternehmen ohne eigene IT-Abteilung. Die 20 Fragen dauern etwa 5 Minuten und sind ohne IT-Vorwissen verständlich; Fachbegriffe wie MFA oder SPF/DKIM/DMARC werden direkt in der Frage erklärt.

Woran orientieren sich die Fragen?

Die Fragen orientieren sich an der Basis-Absicherung des BSI IT-Grundschutzes und am CyberRisikoCheck nach DIN SPEC 27076. Beide dienen als fachlicher Orientierungsrahmen; der Selbstcheck bildet diese Standards nicht vollständig ab.

Was bedeutet das Ampel-Ergebnis?

Rot steht für akuten Handlungsbedarf, Gelb für einen Grundschutz mit Lücken, Grün für eine solide Basis. Die Auswertung zeigt zusätzlich je Bereich eine Punktzahl und eine priorisierte Liste der nächsten Schritte. Ein gutes Ergebnis ist ein Hinweis auf bereits umgesetzte Maßnahmen, ersetzt aber keine umfassende Sicherheitsanalyse.