Dein Passwort ist der Name deines Hundes. Und alle im Büro kennen es.

Ich war letzte Woche bei einem Kunden in Korschenbroich. Kleiner Betrieb, 15 Mitarbeiter, läuft gut. Auf dem Monitor am Empfang klebt ein Post-it. Darauf steht das Passwort für das Warenwirtschaftssystem. In Großbuchstaben.

Ich habe gefragt, ob das Absicht ist. Die Antwort: 'Ja, sonst vergisst das immer jemand.' Das ist kein Einzelfall. Das ist der Normalzustand in vielen kleinen Unternehmen. Und es ist eine tickende Zeitbombe.

Warum kleine Unternehmen glauben, sie wären kein Ziel

Die meisten Unternehmer, mit denen ich spreche, sagen: 'Wir sind doch viel zu klein. Wer sollte uns hacken?' Die ehrliche Antwort: automatisierte Angriffe interessieren sich nicht für deine Firmengröße. Die scannen das Internet nach offenen Türen. Und bei vielen KMUs stehen die Türen sperrangelweit offen.

Laut BSI waren 2025 über 40 Prozent aller Ransomware-Angriffe in Deutschland gegen kleine und mittlere Unternehmen gerichtet. Nicht gegen Konzerne. Gegen Firmen wie deine. Gegen Handwerksbetriebe in Neuss, Agenturen in Düsseldorf, Logistiker im Rhein-Kreis.

Der Grund ist einfach: Große Firmen haben Firewalls, Sicherheitsteams und Budgets. Kleine Firmen haben ein Passwort auf einem Post-it.

Die drei häufigsten Einfallstore, die ich bei Kunden sehe

Erstens: Passwörter. Ein Passwort für alles. Geteilt im Team. Nie geändert. Manchmal ist es '123456', manchmal der Firmenname mit einer 1 dahinter. Das ist kein Schutz. Das ist eine Einladung.

Zweitens: E-Mails. Jemand klickt auf einen Link in einer gut gemachten Fake-Rechnung. Schon ist Schadsoftware auf dem Rechner. Von dort breitet sie sich im Netzwerk aus. Innerhalb von Minuten hat jemand Zugriff auf eure Kundendaten, Angebote und Kontoverbindungen.

Drittens: Veraltete Software. Der Server läuft noch mit einem Betriebssystem, das seit drei Jahren keine Sicherheitsupdates mehr bekommt. Die Branchensoftware wurde seit 2019 nicht aktualisiert. Jede bekannte Schwachstelle ist ein offenes Fenster für Angreifer.

Was ein Angriff wirklich kostet

Stell dir vor, morgen früh fährt kein Rechner mehr hoch. Alle Daten sind verschlüsselt. Auf dem Bildschirm steht eine Lösegeldforderung. 20.000 Euro in Bitcoin.

Das Lösegeld ist nicht mal das Schlimmste. Das Schlimmste sind die zwei Wochen, in denen du nicht arbeiten kannst. Keine Rechnungen. Keine Aufträge. Keine Kundenkommunikation. Deine Mitarbeiter sitzen da und können nichts tun. Du zahlst trotzdem ihre Gehälter.

Dann kommt der Moment, in dem du feststellst, dass dein letztes Backup von vor vier Monaten ist. Oder dass es gar kein Backup gibt. Ich habe das bei einem Betrieb in der Nähe von Düsseldorf erlebt. Die haben drei Monate gebraucht, um wieder normal arbeiten zu können. Zwei Mitarbeiter haben in der Zeit gekündigt.

Die durchschnittlichen Kosten eines Cyberangriffs für ein kleines Unternehmen liegen laut Studien zwischen 30.000 und 150.000 Euro. Das ist für viele KMUs existenzbedrohend.

Was du auch ohne IT-Abteilung sofort tun kannst

Du brauchst kein Sicherheitsteam und kein riesiges Budget. Du brauchst ein paar grundlegende Maßnahmen, die du diese Woche umsetzen kannst.

Führe einen Passwort-Manager ein. Tools wie Bitwarden oder 1Password kosten ein paar Euro pro Mitarbeiter im Monat. Damit hat jeder eigene, starke Passwörter für jeden Dienst. Niemand muss sich mehr etwas merken. Und niemand muss mehr etwas auf einen Zettel schreiben.

Aktiviere die Zwei-Faktor-Authentifizierung überall, wo es geht. E-Mail, Cloud-Speicher, Buchhaltungssoftware, Banking. Das dauert zehn Minuten pro Dienst und macht es Angreifern um ein Vielfaches schwerer.

Richte automatische Backups ein. Täglich. An einen Ort, der nicht direkt am Netzwerk hängt. Teste einmal im Quartal, ob du aus dem Backup tatsächlich wiederherstellen kannst. Ein Backup, das nie getestet wurde, ist kein Backup.

Halte deine Software aktuell. Betriebssysteme, Browser, Branchensoftware. Updates nerven, ja. Aber sie schließen genau die Lücken, die Angreifer ausnutzen.

Deine Mitarbeiter sind die beste Firewall. Oder die größte Schwachstelle.

Technik allein reicht nicht. Der häufigste Angriffsweg führt über Menschen. Eine täuschend echte E-Mail vom angeblichen Chef, der dringend eine Überweisung braucht. Ein Anruf von jemandem, der sich als IT-Dienstleister ausgibt und 'kurz das Passwort braucht'.

Du musst kein stundenlanges Schulungsprogramm aufsetzen. Sag deinem Team drei Dinge: Klickt nicht auf Links in E-Mails, die ihr nicht erwartet habt. Gebt niemals Passwörter am Telefon weiter. Und fragt lieber einmal zu viel nach als einmal zu wenig.

Mach das zur Regel, nicht zur Empfehlung. Und wiederhole es regelmäßig. Nicht einmal im Jahr, sondern alle paar Wochen. Kurz, konkret, ohne Panikmache.

Sicherheit ist kein Projekt. Es ist eine Gewohnheit.

Viele Unternehmer denken bei IT-Sicherheit an ein einmaliges Projekt. Firewall kaufen, fertig. So funktioniert das nicht. Sicherheit ist wie Sauberkeit im Betrieb. Du machst einmal sauber und hörst dann auf? Natürlich nicht.

Du brauchst ein paar einfache Routinen. Wer prüft, ob Updates installiert sind? Wer kontrolliert die Backups? Wer ist Ansprechpartner, wenn jemandem eine verdächtige E-Mail auffällt? Das muss nicht komplex sein. Es muss nur existieren.

Und wenn du merkst, dass du Unterstützung brauchst, hol dir jemanden, der deine Systeme einmal durchschaut und dir einen ehrlichen Überblick gibt. Nicht jemanden, der dir Angst macht, um dir teure Produkte zu verkaufen. Sondern jemanden, der dir sagt, was wirklich nötig ist.