Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
10 häufigste Cybersecurity-Fehler im Mittelstand - und wie Sie sie vermeiden - Cybersicherheit und digitaler Schutz
Compliance & Standards

10 häufigste Cybersecurity-Fehler im Mittelstand - und wie Sie sie vermeiden

Die 10 kritischsten Sicherheitsfehler die wir in deutschen KMU immer wieder beim Penetrationstest finden: von fehlender MFA über ungepatchte Systeme bis zu schwachen Backup-Strategien. Mit konkreten Gegenmassnahmen.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
8 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

AWARE7-Penetrationstests bei deutschen KMU decken immer wieder dieselben vermeidbaren Fehler auf: 90 % aller Business-E-Mail-Kompromittierungen wären mit MFA verhindert worden; in 40 % der Unternehmen laufen Infrastrukturgeräte mit Standardpasswörtern; in 80 % der Ransomware-Angriffe werden auch Backups verschlüsselt, weil sie im selben Netzwerksegment liegen. Weitere kritische Punkte: Flat Networks ohne VLAN-Segmentierung, 20+ Domain-Admin-Konten, kein DMARC (E-Mail-Spoofing möglich), öffentliche Cloud-Storage-Buckets und kein dokumentierter Incident-Response-Plan. Für jeden der 10 Fehler liefert der Artikel sofort umsetzbare Gegenmaßnahmen.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).

Inhaltsverzeichnis (10 Abschnitte)

In unseren Penetrationstests bei deutschen KMU und Mittelstandsunternehmen begegnen uns dieselben Schwachstellen immer wieder. Diese 10 Fehler kosten Unternehmen jährlich Millionen - und wären alle vermeidbar.

Fehler #1: Kein MFA auf Remote-Zugängen

Was wir sehen: VPN, RDP, Outlook Web Access und Microsoft 365 erreichbar mit nur Passwort.

Was das bedeutet: Ein einziges gestohlenes Passwort - aus einem Datenleck, über Phishing oder Credential Stuffing - reicht für vollen Netzwerkzugang.

Die Statistik: 90% aller Business-E-Mail-Kompromittierungen wären mit MFA verhindert worden (Microsoft 2024).

Lösung: Diese Maßnahmen lassen sich noch diese Woche umsetzen: MFA für Microsoft 365 bzw. Entra ID aktivieren, MFA für VPN-Zugänge aktivieren und RDP aus dem Internet entfernen (VPN-Only). Alle drei Optionen sind kostenlos verfügbar: Microsoft Authenticator (M365), Cisco Duo (bis 10 User kostenlos) und Google Workspace 2FA.

Fehler #2: Kritische CVEs bleiben Monate ungepatchet

Was wir sehen: Fortinet FortiGate, Cisco AnyConnect, Citrix-Gateways mit Schwachstellen aus 2022-2023. Exchange-Server ohne Sicherheitsupdates.

Was das bedeutet: Bekannte CVEs werden aktiv von Ransomware-Gruppen ausgenutzt. Shodan zeigt alle exponierten Systeme - Angreifer scannen systematisch.

Reales Beispiel: CVE-2023-4966 (Citrix Bleed, CVSS 9.4) wurde von LockBit-Affiliates innerhalb von 2 Wochen nach Veröffentlichung aktiv ausgenutzt.

Lösung: Empfohlene Patch-Management-SLAs: kritische CVEs (CVSS ab 9.0) innerhalb von 48 Stunden, hohe CVEs (CVSS 7.0–8.9) innerhalb von 2 Wochen, mittlere CVEs innerhalb eines Monats. Für das Monitoring: BSI CERT-Bund Warndienst abonnieren, die CISA Known Exploited Vulnerabilities-Liste (cisa.gov/kev) im Blick behalten und Vendor Security Bulletins der eingesetzten Hersteller (Fortinet, Cisco, Microsoft) verfolgen.

Fehler #3: Backup existiert - ist aber nicht immutable

Was wir sehen: NAS-Backup im gleichen Netzwerksegment wie Produktivserver. SMB-Share als Backup-Ziel ohne Versionierung.

Was das bedeutet: Ransomware verschlüsselt auch die Backups. Das Unternehmen steht ohne Wiederherstellungsoption da.

Die Realität: In 80% der Ransomware-Angriffe werden auch Backups verschlüsselt oder gelöscht (Sophos State of Ransomware 2024).

Lösung: Die 3-2-1-1-0-Backup-Regel: 3 Kopien der Daten, auf 2 verschiedenen Medientypen, davon 1 offsite (Cloud oder externes Rechenzentrum), 1 offline bzw. immutable (nicht überschreibbar), und 0 ungetestete Backups. Bewährte Optionen für unveränderliche Backups: AWS S3 Object Lock (Glacier Instant), Azure Blob Storage mit immutable und versioned, Veeam Hardened Repository auf Linux sowie Wasabi Object Storage mit WORM-Modus.

Fehler #4: Standard-Credentials auf Infrastruktur-Geräten

Was wir sehen: Netzwerk-Switches, Drucker, IP-Kameras, NAS-Systeme mit admin/admin oder dem Hersteller-Standardpasswort.

Pentesting-Erfahrung: In 40% der Unternehmen finden wir Infrastrukturgeräte mit Standardpasswörtern. Diese sind in öffentlichen Datenbanken gelistet - typische Beispiele: admin:admin, admin:1234, root:root, bei Cisco cisco:cisco, bei Fortinet admin ohne Passwort, bei HP-Druckern und QNAP-NAS-Systemen admin:admin sowie bei IP-Kameras häufig admin:12345.

Lösung: Jedes Gerät bekommt bei Inbetriebnahme ein einzigartiges Passwort (Passwort-Manager). Asset-Inventar mit Passwort-Tracking.

Fehler #5: Fehlende Netzwerksegmentierung

Was wir sehen: Flat Network - alle Systeme im gleichen Subnetz. Drucker, Server, Workstations, IoT-Geräte kommunizieren frei miteinander.

Was das bedeutet: Ein kompromittierter Rechner in der Buchhaltung kann direkt auf den Domain Controller, den Fileserver und die Produktionssteuerung zugreifen.

Lösung: Eine Basis-Segmentierung mit VLANs schafft klare Zonen: ein Server-VLAN für Produktivsysteme, ein Workstation-VLAN, ein Management-VLAN ausschließlich für IT-Admins, ein Gast- und BYOD-VLAN, ein IoT- und Drucker-VLAN sowie eine DMZ für öffentliche Dienste. Die zugehörigen Regeln: Workstations greifen nicht direkt auf Server zu (nur über Anwendungen), das Management-VLAN ist auf IT-Admins mit MFA beschränkt, und IoT-Geräte haben keinen Zugang zu Unternehmensdaten.

Fehler #6: Keine Security Awareness bei Mitarbeitern

Was wir sehen: Mitarbeiter klicken in Phishing-Simulationen auf 35-60% der Test-Mails. Passwörter werden telefonisch weitergegeben wenn jemand behauptet von der IT-Abteilung zu sein.

IBM 2024: 68% aller Datenlecks haben menschliche Fehler als primäre Ursache.

Lösung: Ein Mindest-Programm umfasst: jährliches Security Awareness Training für alle Mitarbeiter, unangemeldete Phishing-Simulationen viermal pro Jahr, klare Eskalationsregeln ("Bei Verdacht sofort IT anrufen") und Passwort-Manager für alle. Messbare Ziele: die Phishing-Klickrate soll unter 5 % sinken, die Reporting-Rate ("diese Mail ist verdächtig") über 30 % steigen.

Fehler #7: Active Directory - Zu viele Domain Admins

Was wir sehen: 20+ Domain-Admin-Accounts, Dienst-Accounts mit Admin-Rechten, alte Ex-Mitarbeiter-Accounts noch aktiv.

Das Problem: Jeder kompromittierte Domain-Admin hat Vollzugriff auf alle Systeme. Domain Admins werden für alltägliche Aufgaben genutzt.

Pentesting-Fund: In einer Firma mit 200 Mitarbeitern fanden wir 31 aktive Domain-Admin-Accounts - 8 davon gehörten seit Jahren ausgeschiedenen Mitarbeitern.

Lösung:

# Alle Domain Admins auflisten:
Get-ADGroupMember -Identity "Domain Admins" | Select Name, SamAccountName

# Inaktive Accounts finden (90+ Tage kein Login):
Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 -UsersOnly

Das Ziel: maximal 2-3 echte Domain-Admin-Accounts für Break-Glass-Szenarien, privilegierte Aktionen über PAM mit Just-In-Time-Zugang, konsequente Trennung von Admin-Konto und Daily-Driver-Konto sowie automatische Deaktivierung inaktiver Accounts nach 90 Tagen.

Fehler #8: Kein DMARC auf eigener Domain

Was wir sehen: Keine oder fehlerhafte DMARC-Konfiguration. E-Mails mit @firma.de im Absender können von jedem Server weltweit gesendet werden.

Folge: Angreifer senden glaubwürdige E-Mails scheinbar von CEO@ihrfirma.de - Mitarbeiter, Partner, Kunden täuschen.

Tool-Test: Senden Sie eine Test-Mail von einem beliebigen SMTP-Server mit Ihrer Domain als Absender - kommt sie durch?

Lösung: DMARC wird als TXT-Record in den DNS eingetragen:

_dmarc.ihrfirma.de  TXT  "v=DMARC1; p=reject; rua=mailto:dmarc@ihrfirma.de"

Der Rollout erfolgt in drei Schritten: zunächst p=none für reines Monitoring (4 Wochen), dann p=quarantine als Übergangsphase, schließlich p=reject als Zielkonfiguration, die E-Mail-Spoofing vollständig verhindert.

Fehler #9: Cloud-Storage öffentlich zugänglich

Was wir sehen: AWS S3-Buckets, Azure Blob Storage, SharePoint-Ordner versehentlich öffentlich zugänglich.

Typische Funde:

  • Kunden-Verträge im öffentlichen S3-Bucket
  • HR-Daten in öffentlichem SharePoint
  • Backup-Dumps öffentlich auf Azure Storage

Lösung:

# AWS: Alle öffentlichen S3-Buckets finden
aws s3api list-buckets --query 'Buckets[].Name' | \
  xargs -I{} aws s3api get-bucket-acl --bucket {} 2>/dev/null | \
  grep AllUsers

# Azure: Öffentliche Blob-Container prüfen
az storage account list | az storage container list --public-access

Präventiv empfehlen sich drei Maßnahmen: AWS S3 Block Public Access auf Account-Ebene aktivieren, eine Azure Policy für keinen öffentlichen Blob-Zugriff einrichten und regelmäßige Cloud Security Posture Checks mit Microsoft Defender for Cloud durchführen.

Fehler #10: Kein Incident Response Plan

Was wir sehen: Bei Simulation "Ihre Systeme werden gerade verschlüsselt - was tun Sie?" gibt es keine dokumentierten Schritte. Kein Ansprechpartner beim BSI bekannt.

Warum kritisch: In einem Ransomware-Angriff läuft die Uhr. Jede Minute ohne Reaktion kostet mehr Daten und Geld. Ohne Plan verlieren Teams wertvolle Stunden mit Abstimmung.

NIS2 Anforderung: Incident Response Plan ist für betroffene Unternehmen gesetzlich vorgeschrieben.

Mindest-IR-Plan: Ein dokumentierter Plan umfasst fünf Phasen:

  1. Erkennung: Wer meldet was an wen (IT → CISO → Geschäftsführer)? Hotline für Mitarbeiter mit IT-Notfallnummer.
  2. Eindämmung: Betroffene Systeme vom Netz trennen (Kabel ziehen), Cloud-Accounts sperren, Passwörter zurücksetzen.
  3. Behörden: BSI/CERT-Bund melden (NIS2: 24-Stunden-Frist), Landeskriminalamt (Cybercrime-Hotline), Datenschutzbeauftragter (DSGVO: 72-Stunden-Frist).
  4. Forensik: Logs sichern (nicht überschreiben lassen), Forensik-Dienstleister auf Abruf mit eingetragenem Kontakt.
  5. Recovery: Backup-Status prüfen, Systeme neu aufsetzen - verschlüsselte Systeme niemals ohne vorherige Forensik entsperren.

Wie viele dieser Fehler hat Ihr Unternehmen? In einem halbtägigen Security-Assessment prüfen wir systematisch alle 10 Punkte und liefern eine priorisierte Maßnahmenliste.

Kostenloses Erstgespräch vereinbaren

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAV