Tools & Selbstchecks
Cybersecurity-Selbstcheck für kleine Unternehmen
Selbstcheck für KMU: Backup, Multi-Faktor-Authentifizierung, Updates, Rechteverwaltung und E-Mail-Sicherheit - in wenigen Minuten den eigenen Stand ermitteln.
In rund 5 Minuten zur ersten Einschätzung
20 Fragen, ca. 5 Minuten, sofortige Auswertung. Der Cybersecurity-Selbstcheck bietet Ihnen eine allgemeine Orientierung zu typischen Sicherheitsmaßnahmen in kleinen und mittleren Unternehmen: Backups, Multi-Faktor-Authentifizierung, Updates, Rechteverwaltung und E-Mail-Sicherheit.
Hinweis zur Einordnung
Der Cybersecurity-Selbstcheck stellt keine individuelle Sicherheitsberatung und kein Sicherheits-Audit dar. Die Ergebnisse basieren ausschließlich auf Ihren eigenen Angaben und bieten eine allgemeine Orientierung. Trotz eines positiven Ergebnisses kann kein vollständiger Schutz vor Sicherheitsvorfällen oder Cyberangriffen garantiert werden.
Datenschutz
Dieser Selbstcheck läuft vollständig in Ihrem Browser. Ihre Antworten werden weder übertragen noch gespeichert. Es werden keine Cookies, kein Tracking und kein lokaler Speicher verwendet. Beim Ausdrucken/PDF-Speichern verarbeitet ausschließlich Ihr Browser die Daten lokal.
Backups
Gibt es regelmäßige, getestete Backups - und liegen sie getrennt vom Hauptsystem?
Multi-Faktor-Authentifizierung & Zugänge
Sind E-Mail, Cloud-Dienste und Admin-Zugänge mit einem zweiten Faktor geschützt?
Updates & Patch-Management
Werden Betriebssysteme, Software und Geräte zeitnah aktualisiert?
Rechteverwaltung
Hat jeder nur die Zugriffe, die er wirklich braucht - auch ehemalige Mitarbeitende nicht mehr?
E-Mail-Sicherheit
Phishing-Schutz, SPF/DKIM/DMARC und der Umgang mit verdächtigen Nachrichten.
Ihre Auswertung
0 / 60
Wichtige Hinweise zur Einordnung
- Der Cybersecurity-Selbstcheck stellt keine individuelle Sicherheitsberatung und kein Sicherheits-Audit dar. Die Ergebnisse basieren ausschließlich auf Ihren eigenen Angaben und bieten eine allgemeine Orientierung.
- Trotz eines positiven Ergebnisses kann kein vollständiger Schutz vor Sicherheitsvorfällen oder Cyberangriffen garantiert werden. Digital-e übernimmt keine Haftung für Schäden, die aus der Nutzung oder dem Vertrauen auf die Ergebnisse des Selbstchecks entstehen, soweit gesetzlich zulässig.
- Für eine belastbare Beurteilung Ihrer Sicherheitslage wird eine vertiefte fachliche Prüfung und ggf. eine individuelle Beratung empfohlen.
- Die Empfehlungen beruhen auf allgemein anerkannten Best Practices zum Zeitpunkt der Veröffentlichung und können durch technische und organisatorische Entwicklungen überholt sein.
Ergebnis nach Bereichen
Was zuerst? Priorisierte nächste Schritte
Zu keiner der 20 Fragen ist eine Empfehlung offen: Sie haben überall die beste Antwort ausgewählt. Ein gutes Ergebnis ist ein Hinweis auf bereits umgesetzte Maßnahmen, ersetzt aber keine umfassende Sicherheitsanalyse.
Sofort angehen
In den nächsten 30 Tagen
Mittelfristig einplanen
Richten Sie eine automatische, mindestens tägliche Sicherung Ihrer Geschäftsdaten ein. Manuelle Sicherungen geraten im Alltag in Vergessenheit, Automatik nicht. Viele Cloud- und NAS-Lösungen bringen das von Haus aus mit; wichtig ist, dass die Sicherung ohne Zutun läuft und Fehler gemeldet werden.
Sorgen Sie dafür, dass mindestens eine Sicherungskopie nicht dauerhaft mit Ihrem Netzwerk verbunden ist: eine Festplatte, die nach der Sicherung physisch getrennt wird, oder ein Cloud-Backup mit eigenem, separatem Zugang. Faustregel „3-2-1": drei Kopien, zwei verschiedene Speicherarten, eine davon außer Haus bzw. offline.
Planen Sie mindestens einmal im Jahr einen Wiederherstellungstest: eine Handvoll wichtiger Dateien und idealerweise ein komplettes System aus dem Backup zurückholen. Notieren Sie, wie lange es gedauert hat. Das ist Ihre realistische Ausfallzeit.
Halten Sie auf ein bis zwei Seiten fest: Welche Systeme und Daten braucht der Betrieb zuerst? Wer wird gerufen (Dienstleister, Anbieter-Hotlines)? Wo liegen Backups und Zugangsdaten? Drucken Sie den Plan aus. Im Ernstfall ist die IT möglicherweise nicht verfügbar.
Aktivieren Sie die Multi-Faktor-Authentifizierung für jedes geschäftliche Postfach, beginnend bei den Konten von Geschäftsführung und Buchhaltung. Bei Microsoft 365, Google Workspace und den meisten Mail-Anbietern ist das in wenigen Minuten pro Konto erledigt und kostenlos.
Schützen Sie alle Verwaltungszugänge (Cloud-Verwaltung, Hosting/Website, Firewall, Buchhaltung) mit einem zweiten Faktor. Admin-Konten sind das lohnendste Ziel. Hier sollte MFA zuerst und ohne Ausnahme aktiv sein.
Führen Sie einen Passwort-Manager für das ganze Team ein. Er erzeugt für jeden Dienst ein eigenes, langes Passwort und merkt es sich. Niemand muss sich mehr etwas notieren oder wiederverwenden. Einführung inklusive kurzer Team-Einweisung ist an einem Nachmittag machbar.
Geben Sie jeder Person eigene Zugänge und lösen Sie geteilte Logins auf, wo immer möglich. Wo ein Funktionspostfach (z. B. info@) nötig ist: als geteiltes Postfach mit persönlichen Logins einrichten statt mit einem gemeinsamen Passwort.
Aktivieren Sie automatische Betriebssystem-Updates auf allen Geräten und legen Sie einen festen Wochentag fest, an dem jemand kontrolliert, ob alle Geräte aktuell sind. Aufgeschobene Neustarts sind der häufigste Grund, warum „automatisch" in der Praxis doch nicht passiert.
Ersetzen Sie Systeme ohne Sicherheitsupdates zeitnah. Wo das kurzfristig nicht geht (z. B. Steuerrechner einer Maschine): das Gerät vom Internet und vom übrigen Netz trennen und den Ersatz fest einplanen. Ein System ohne Updates im normalen Betrieb ist die offene Hintertür Ihres Netzwerks.
Nehmen Sie Router, Firewall, NAS, Drucker und Kameras in einen einfachen Update-Rhythmus auf (z. B. quartalsweise prüfen, wo verfügbar: Auto-Update aktivieren). Geräte, für die es keine Updates mehr gibt, gehören ersetzt, insbesondere der Internet-Router.
Benennen Sie schriftlich eine verantwortliche Person (intern oder Dienstleister) für Anwendungs-Updates, inklusive Website-System und Erweiterungen. Ein Satz genügt: „X prüft am ersten Montag im Monat alle Anwendungen und die Website auf Updates."
Richten Sie für die tägliche Arbeit Standard-Benutzerkonten ein; Administratorrechte gibt es nur über ein separates Konto für Installationen. Das kostet nichts und entschärft die häufigsten Schadsoftware-Infektionen erheblich.
Gehen Sie Ordner- und Systemfreigaben einmal durch: Wer braucht wirklich Zugriff auf Buchhaltung, Personal, Kundendaten? Vergeben Sie Rechte nach Aufgabe statt „alle dürfen alles". Das begrenzt Schäden und erfüllt zugleich die DSGVO-Anforderung der Datenminimierung.
Erstellen Sie eine kurze Checkliste für Austritte: alle Konten deaktivieren, Passwörter geteilter Systeme ändern, Firmen-Geräte und Schlüssel einsammeln, am letzten Arbeitstag, nicht „irgendwann". Eine Liste aller Systeme (siehe Zugriffs-Übersicht) macht das zum 15-Minuten-Vorgang.
Legen Sie eine simple Tabelle an: Person/Dienstleister × System/Cloud-Dienst × Rechte. Einmal erstellt, ist sie die Grundlage für Offboarding, Rechte-Aufräumen und jeden künftigen Sicherheits-Schritt. Halbjährlich kurz aktualisieren.
Machen Sie Phishing-Erkennung zum wiederkehrenden Kurzthema (z. B. 15 Minuten pro Quartal, aktuelle Beispiele zeigen). Einmalige Belehrungen verpuffen; regelmäßige kleine Auffrischungen verändern das Verhalten.
Führen Sie eine feste, ausnahmslose Regel ein: Jede Änderung einer Bankverbindung und jede ungewöhnliche Zahlungsaufforderung wird über einen zweiten Kanal bestätigt: Rückruf unter der bekannten (nicht der in der E-Mail genannten) Nummer. Diese eine Regel verhindert die teuersten Betrugsfälle.
Bitten Sie Ihren E-Mail- oder Website-Anbieter, SPF, DKIM und DMARC für Ihre Domain vollständig einzurichten (fehlende Einträge ergänzen, DMARC mindestens auf „quarantine"). Das ist eine einmalige technische Einstellung ohne laufende Kosten.
Legen Sie fest und kommunizieren Sie: Wer einen verdächtigen Klick bemerkt, meldet ihn sofort an eine benannte Stelle, ausdrücklich ohne Schuldzuweisung. Ergänzen Sie die drei Sofortmaßnahmen: Netzwerkverbindung trennen, nichts löschen, Passwort von einem anderen Gerät aus ändern.
Warum genau diese fünf Bereiche?
Die fünf Bereiche des Selbstchecks decken die Angriffswege ab, über die in kleinen und mittleren Unternehmen real die meisten Schäden entstehen. Backups entscheiden darüber, ob ein Verschlüsselungstrojaner ein ärgerlicher Zwischenfall oder eine Existenzbedrohung ist: Nur eine getrennte, getestete Sicherung macht Erpressung wirkungslos. Multi-Faktor-Authentifizierung stoppt die häufigste Angriffsform überhaupt, die Übernahme von Konten mit gestohlenen oder erratenen Passwörtern; besonders das E-Mail-Postfach ist als Generalschlüssel zu allen anderen Diensten das lohnendste Ziel.
Updates schließen bekannte Lücken, bevor automatisierte Angriffe sie finden. Die meisten erfolgreichen Angriffe nutzen Schwachstellen, für die es längst eine Korrektur gab. Eine saubere Rechteverwaltung begrenzt den Schaden, wenn doch etwas passiert: Wer im Alltag ohne Administratorrechte arbeitet und Alt-Zugänge ehemaliger Mitarbeitender konsequent deaktiviert, nimmt Angreifern die Bewegungsfreiheit. Und weil fast jeder Angriff auf ein KMU mit einer E-Mail beginnt, gehört die E-Mail-Sicherheit dazu: vom Erkennen von Phishing über eine simple Rückruf-Regel gegen Zahlungsbetrug bis zu den technischen Schutzeinträgen SPF, DKIM und DMARC.
Wenn Sie danach auch Ihre Website betrachten möchten: Die Checkliste für eine DSGVO-konforme Unternehmenswebsite ergänzt den Selbstcheck um die Datenschutz-Perspektive.
Woran sich der Selbstcheck orientiert
Fragen, Punktwertung und die priorisierten Handlungsempfehlungen orientieren sich an zwei etablierten Rahmenwerken: an der Basis-Absicherung des BSI IT-Grundschutzes (unter anderem Datensicherung, Identitäts- und Berechtigungsmanagement, Patch-Management) und am CyberRisikoCheck nach DIN SPEC 27076, einem Standard, der für kleine und mittlere Unternehmen eine Ist-Aufnahme mit Punktwertung und priorisierten Empfehlungen beschreibt. Der Selbstcheck überträgt dieses Muster in die Selbstbedienung: 20 Fragen in fünf Bereichen, „Weiß nicht" zählt wie „nicht verlässlich umgesetzt", kritische Lücken werden in der Auswertung besonders gewichtet.
Wichtig zur Einordnung: Der Selbstcheck orientiert sich an diesen Standards, bildet sie aber nicht vollständig ab und ist keine Umsetzung der DIN SPEC 27076. Die dargestellten Hinweise sind standardisierte Empfehlungen und ersetzen keine individuelle Beratung. Für den nächsten Schritt nach dem Selbstcheck finden Sie unter Security & Datenschutz einen Überblick über unsere Leistungen.
Häufige Fragen zum Selbstcheck
Was kostet der Cybersecurity-Selbstcheck?
Nichts. Der Selbstcheck ist kostenlos, ohne Anmeldung und ohne Angabe von Kontaktdaten nutzbar.
Werden meine Antworten gespeichert oder übertragen?
Nein. Dieser Selbstcheck läuft vollständig in Ihrem Browser. Ihre Antworten werden weder übertragen noch gespeichert. Es werden keine Cookies, kein Tracking und kein lokaler Speicher verwendet. Beim Ausdrucken/PDF-Speichern verarbeitet ausschließlich Ihr Browser die Daten lokal.
Ersetzt der Selbstcheck ein Sicherheits-Audit oder eine individuelle Beratung?
Nein. Der Cybersecurity-Selbstcheck stellt keine individuelle Sicherheitsberatung und kein Sicherheits-Audit dar. Die Ergebnisse basieren ausschließlich auf Ihren eigenen Angaben und bieten eine allgemeine Orientierung. Die dargestellten Hinweise sind standardisierte Empfehlungen und ersetzen keine individuelle Beratung.
Für wen ist der Selbstcheck gedacht?
Für Inhaberinnen, Inhaber und Verantwortliche in kleinen und mittleren Unternehmen ohne eigene IT-Abteilung. Die 20 Fragen dauern etwa 5 Minuten und sind ohne IT-Vorwissen verständlich; Fachbegriffe wie MFA oder SPF/DKIM/DMARC werden direkt in der Frage erklärt.
Woran orientieren sich die Fragen?
Die Fragen orientieren sich an der Basis-Absicherung des BSI IT-Grundschutzes und am CyberRisikoCheck nach DIN SPEC 27076. Beide dienen als fachlicher Orientierungsrahmen; der Selbstcheck bildet diese Standards nicht vollständig ab.
Was bedeutet das Ampel-Ergebnis?
Rot steht für akuten Handlungsbedarf, Gelb für einen Grundschutz mit Lücken, Grün für eine solide Basis. Die Auswertung zeigt zusätzlich je Bereich eine Punktzahl und eine priorisierte Liste der nächsten Schritte. Ein gutes Ergebnis ist ein Hinweis auf bereits umgesetzte Maßnahmen, ersetzt aber keine umfassende Sicherheitsanalyse.