IT-Sicherheit & DSGVO

Sicherheit ist kein Produkt, sondern ein Zustand

Es gibt keine Software, die Sie kaufen, einschalten und dann sicher sind. Wer Ihnen das verspricht, verkauft Ihnen ein gutes Gefühl, keinen Schutz. IT-Sicherheit ist kein Kasten im Serverraum, sondern ein Zustand, den man herstellt und dann hält — aus dem richtigen Zusammenspiel von Technik, Abläufen und Menschen, die wissen, worauf sie achten müssen.

Im Mittelstand begegnet uns oft dieselbe Mischung: Irgendein Virenscanner läuft, eine Firewall steht seit Jahren unverändert, die Backups „laufen schon“. Niemand hat schlecht gehandelt. Es hat sich nur nie jemand zuständig gefühlt, das Ganze einmal nüchtern zu prüfen. Und genau da entsteht das Risiko — nicht aus bösem Willen, sondern aus dem ganz normalen Tagesgeschäft.

Die gute Nachricht: Sie müssen kein eigenes Sicherheitsteam aufbauen und auch nicht in Angst leben. Sie brauchen jemanden, der ehrlich hinschaut, die wichtigsten Lücken zuerst schließt und Ihnen in verständlichen Worten sagt, woran Sie sind. Genau das ist unser Job — und wir reden dabei Klartext, ohne Fachchinesisch und ohne Ihnen Angst zu machen, um Ihnen etwas zu verkaufen.

Die häufigsten Einfallstore im Mittelstand

Die meisten Angriffe sind nicht das Werk hochbegabter Hacker aus dem Film. Sie laufen über dieselben paar Schwachstellen, die in fast jedem Betrieb zu finden sind. Wer die kennt, hat schon halb gewonnen.

Phishing

Die mit Abstand häufigste Eintrittstür. Eine gefälschte Rechnung, eine angebliche Mail vom Chef, ein vermeintlicher Paketdienst — ein Klick, eine eingegebene Zugangsdaten, und der Angreifer ist drin. Die Mails sind längst nicht mehr holprig übersetzt, sondern oft täuschend echt, mit korrektem Briefkopf und passendem Anliegen. Hier hilft keine Technik allein, sondern ein Team, das im richtigen Moment stutzig wird.

Schwache und wiederverwendete Passwörter

Ein Passwort für mehrere Dienste, der Name vom Hund mit einer Ziffer hintendran, der Zugang, der auf einem Zettel unter der Tastatur klebt. Taucht ein solches Passwort irgendwo in einem geleakten Datensatz auf, probieren Angreifer es automatisiert überall durch. Deshalb gehören ein Passwort-Manager und eine Zwei-Faktor-Authentifizierung (2FA) heute zur Grundausstattung — nicht als Schikane, sondern als doppelter Boden.

Veraltete Software

Jede Software hat Lücken. Hersteller schließen sie mit Updates — aber nur, wenn diese auch eingespielt werden. Aus Sorge, dass „dann etwas nicht mehr geht“, werden Updates gern weggeklickt und wochenlang aufgeschoben. Genau diese bekannten, längst geschlossenen Lücken nutzen Angreifer, weil sie wissen, dass viele Betriebe hinterherhinken. Ein geordnetes Patch-Management nimmt Ihnen diese Sorge ab.

Ungetestete Backups

Ein Backup, das niemand kontrolliert, ist kein Backup — es ist eine Hoffnung. Wir sehen immer wieder Sicherungen, die seit Monaten ins Leere liefen, die niemand je zurückgespielt hat oder die am selben Ort liegen wie die Originaldaten. Im Ernstfall ist das wertlos. Ein Backup zählt erst, wenn erprobt ist, dass sich daraus auch wirklich wiederherstellen lässt — und wenn eine Kopie außer Haus und vom Netz getrennt liegt.

Schutz vor Ransomware — was wirklich hilft

Ransomware ist das Schreckgespenst, von dem die meisten gehört haben: Ein Trojaner verschlüsselt Ihre Daten, und auf dem Bildschirm steht eine Lösegeldforderung. Tagelanger Stillstand, im schlimmsten Fall der Verlust von Jahren an Arbeit. Es klingt dramatisch, weil es das auch sein kann. Aber genau gegen diese Bedrohung lässt sich erstaunlich wirksam vorsorgen — mit Grundlagen, nicht mit Magie.

Was im Ernstfall den Unterschied macht, sind ein paar nüchterne Maßnahmen, die ineinandergreifen:

• Gehärtete, getrennte Backups. Eine Sicherung, die der Angreifer nicht miterwischt, weil sie offline oder unveränderbar (Stichwort „immutable“) aufbewahrt wird. Das ist Ihre Lebensversicherung: Wer sauber wiederherstellen kann, muss kein Lösegeld zahlen.
• Zwei-Faktor-Authentifizierung überall. Selbst wenn ein Passwort gestohlen wird, kommt niemand allein damit hinein. 2FA stoppt einen Großteil der Angriffe, bevor sie überhaupt beginnen.
• Endpoint-Schutz statt simplem Virenscanner. Moderne Schutzsoftware erkennt nicht nur bekannte Schädlinge, sondern auch verdächtiges Verhalten — und schlägt Alarm, bevor sich etwas im Netzwerk ausbreitet.
• Saubere Trennung im Netzwerk. Damit ein befallener Rechner nicht gleich den ganzen Betrieb mitreißt, sondern eingegrenzt bleibt.
• Aktuelle Software. Geschlossene Lücken sind keine Lücken mehr. Konsequentes Patchen nimmt Angreifern die einfachsten Wege.

Sie merken: Da ist kein einzelnes Wundermittel dabei. Schutz vor Ransomware entsteht aus mehreren soliden Schichten, von denen jede den Schaden begrenzt, falls eine andere versagt. Genau so bauen wir es auf — bodenständig und auf Ihren Betrieb zugeschnitten.

DSGVO im Klartext: Was Sie wirklich brauchen

Bei „DSGVO“ verdrehen viele die Augen oder bekommen ein schlechtes Gewissen. Dabei steckt dahinter im Kern etwas Vernünftiges: sorgsam mit den Daten umzugehen, die Ihnen Kunden, Patienten oder Mitarbeitende anvertrauen. Den größten Teil davon kann man ganz handfest technisch und organisatorisch lösen — und genau da setzen wir an.

Eine kompakte Checkliste, an der sich die meisten Betriebe gut orientieren können:

• Technische und organisatorische Maßnahmen (TOMs) sind dokumentiert und werden gelebt: Wer hat Zugriff worauf, wie wird gesichert, wie verschlüsselt.
• Zugriffsrechte sind sauber vergeben — jeder sieht nur, was er für seine Arbeit braucht, und ausgeschiedene Mitarbeiter verlieren ihren Zugang zuverlässig.
• Verschlüsselung ist im Einsatz, wo es zählt: auf Notebooks, mobilen Datenträgern und in der Datenübertragung.
• Backups sind vorhanden, getestet und gegen Verlust wie Manipulation abgesichert.
• Ein Verzeichnis von Verarbeitungstätigkeiten ist vorhanden und aktuell — nicht als Staubfänger, sondern als gepflegte Übersicht.
• Auftragsverarbeitungsverträge (AVV) mit Ihren Dienstleistern (Cloud, Software, Steuerbüro) liegen vor und sind vollständig.
• Ihre Mitarbeitenden sind sensibilisiert und wissen, wie sie mit personenbezogenen Daten umgehen.
• Für den Ernstfall gibt es einen Plan, falls doch einmal Daten abhandenkommen.

Das ist kein Hexenwerk, aber es ist Arbeit — und sie lohnt sich, weil sie im Zweifel Ihren guten Ruf schützt und nebenbei Ihre IT ohnehin sicherer macht. Wir setzen das Stück für Stück mit Ihnen um, in verständlicher Sprache, mit einer Doku, die man auch in zwei Jahren noch versteht.

Ein ehrliches Wort zur Rechtslage

Und jetzt der Teil, bei dem manche Anbieter lieber schweigen: Ich bin IT-Spezialist, kein Anwalt. Ich richte Ihre Backups ein, härte Ihre Systeme, baue 2FA, pflege das Verzeichnis von Verarbeitungstätigkeiten und kümmere mich um das AVV-Handling — die technische und organisatorische Seite also. Was ich nicht tue, ist Rechtsberatung. Ob in Ihrem konkreten Fall ein Datenschutzbeauftragter zu benennen ist, wie ein Vertrag rechtlich zu bewerten ist oder welche Meldepflichten greifen — das gehört in die Hände eines Anwalts oder Ihres Datenschutzbeauftragten.

Genau dort arbeite ich Hand in Hand mit Ihren rechtlichen Beratern: Sie liefern die juristische Bewertung, ich sorge dafür, dass sie technisch sauber umgesetzt ist. Diese klare Trennung ist mir wichtig — denn Ihnen ist nicht damit geholfen, wenn ein IT-Mensch sich als Jurist ausgibt. Ehrlichkeit an dieser Stelle erspart Ihnen später böse Überraschungen.

Der Notfallplan: Wenn es doch passiert

Selbst der beste Schutz ist keine hundertprozentige Garantie. Deshalb gehört zur ehrlichen Sicherheits-Strategie auch die Frage: Was tun wir, wenn es trotzdem passiert? Ein Notfallplan ist nichts Bürokratisches — er ist das, was im entscheidenden Moment verhindert, dass Panik die Regie übernimmt.

Wir halten gemeinsam und schriftlich fest, was im Ernstfall zählt: Wer wird zuerst informiert? Welche Systeme werden sofort vom Netz getrennt, um die Ausbreitung zu stoppen? Wer übernimmt die Wiederherstellung aus den Backups, und in welcher Reihenfolge fahren wir die Systeme wieder hoch? Dazu eine Liste der wichtigsten Kontakte — von uns über Ihren Internetanbieter bis, falls nötig, zu Behörden und Ihrem rechtlichen Berater.

Der Unterschied zwischen einem Betrieb mit Notfallplan und einem ohne ist im Krisenfall riesig. Der eine arbeitet eine ruhige Liste ab und ist nach Stunden wieder am Netz. Der andere telefoniert kopflos herum, während die Uhr läuft und der Schaden wächst. Wir sorgen dafür, dass Sie zur ersten Sorte gehören — und üben den Ablauf, damit er im Ernstfall sitzt.

Warum aus Wertingen?

Weil Vertrauen Nähe braucht — gerade bei einem Thema, bei dem es um Ihre sensibelsten Daten geht. Sie bekommen keine anonyme Hotline in einer fremden Stadt, sondern eine feste Ansprechperson, die Ihren Betrieb kennt und der Sie auch persönlich gegenübersitzen können. In Bayerisch-Schwaben sind wir schnell vor Ort — in Wertingen, Dillingen, Augsburg, Donauwörth, Günzburg und im Donau-Ries. Vieles lösen wir sofort per Fernwartung, aber wenn es darauf ankommt, stehen wir bei Ihnen in der Tür.

Und weil wir den Mittelstand hier kennen: die Kanzlei, die Arztpraxis, den Handwerksbetrieb, die Produktion. Wir wissen, dass bei Ihnen nicht ein IT-Vorstand über Sicherheit entscheidet, sondern der Chef oder die Chefin zwischen zwei Terminen — und dass Sie keine Vorträge über Bedrohungslagen wollen, sondern klare Antworten und einen Schutz, der im Alltag funktioniert. Genau so liefern wir: verständlich erklärt, im Alltag umsetzbar, aus der Region.

Ein Ransomware-Angriff, Stunde für Stunde

Damit aus dem abstrakten Schreckgespenst etwas Greifbares wird, schauen wir uns einmal an, wie so ein Tag tatsächlich abläuft. Nicht, um Ihnen Angst zu machen — sondern damit Sie sehen, an welcher Stelle gute Vorbereitung den ganzen Verlauf verändert.

7:30 Uhr. Die erste Mitarbeiterin kommt ins Büro, fährt den Rechner hoch — und nichts geht. Die Dateien auf dem Server tragen plötzlich seltsame Endungen, lassen sich nicht mehr öffnen. Auf dem Bildschirm liegt eine Textdatei: Ihre Daten seien verschlüsselt, gegen Zahlung in einer Kryptowährung gebe es den Schlüssel zurück, die Uhr tickt. Was in Wahrheit schon in der Nacht oder am Wochenende passiert ist, fällt jetzt, am Morgen, allen auf einmal auf.

8:00 Uhr. Die ersten Kollegen treffen ein, einer nach dem anderen meldet dasselbe. Die Auftragsverwaltung ist weg, die Angebote von gestern, die Buchhaltung, die Kundendaten. Das Telefon klingelt, weil ein Kunde eine Lieferung erwartet — und niemand kann nachsehen, was vereinbart war. In diesem Moment entscheidet sich, in welche Richtung der Tag kippt. Ohne Plan beginnt das kopflose Telefonieren: Wer kennt sich aus? Wen ruft man an? Soll man alles ausschalten oder bloß nichts anfassen?

Die Versuchung zu zahlen. Irgendwann steht die Frage im Raum: Zahlen wir einfach? Es klingt nach dem schnellsten Weg zurück zur Arbeit. Doch davon raten praktisch alle Fachleute und Behörden ab — und das aus guten Gründen. Sie haben es mit Kriminellen zu tun: Es gibt keine Garantie, dass Sie nach der Zahlung überhaupt einen funktionierenden Schlüssel bekommen. Sie finanzieren das nächste Geschäftsmodell der Täter. Und Sie gelten anschließend als zahlungswilliges Ziel, das man gern ein zweites Mal besucht. Davon abgesehen ist mit der Entschlüsselung längst nicht alles vorbei — die Angreifer waren in Ihrem Netz, und das Aufräumen beginnt erst.

Wie dieselbe Geschichte mit guten Backups verläuft. Jetzt spielen wir denselben Morgen noch einmal durch — bei einem Betrieb, der vorbereitet ist. Um 8:00 Uhr ist die Lage genauso unschön, aber es gibt einen Notfallplan. Die befallenen Geräte gehen vom Netz, damit sich nichts weiter ausbreitet. Ein Anruf bei uns, und wir steigen priorisiert ein. Weil eine Sicherung offline und unveränderbar außer Haus liegt, hat der Angreifer sie nicht miterwischt. Wir prüfen, ab wann die Daten sauber sind, und beginnen die Wiederherstellung — System für System, in sinnvoller Reihenfolge. Statt einer Lösegeldforderung steht am Ende eine ruhige Liste, die abgearbeitet wird.

Der Unterschied zwischen beiden Geschichten ist nicht Glück und keine teure Spezialtechnik. Es sind ein paar nüchterne Maßnahmen, die vorher getroffen wurden: getrennte Backups, von denen man weiß, dass sie sich zurückspielen lassen, und ein Plan, der die Panik aus dem Raum nimmt. Genau das bauen wir mit Ihnen auf, bevor der Morgen kommt, an dem es darauf ankommt.

DSGVO-Schnellcheck für den kleinen Betrieb

Sie müssen kein Datenschutz-Experte sein, um ein Gefühl dafür zu bekommen, wo Sie stehen. Die folgende kurze DSGVO-Checkliste für KMU ist als ehrlicher Selbsttest für einen Betrieb mit etwa zehn Leuten gedacht. Gehen Sie die Punkte in Ruhe durch und haken Sie ab, was Sie guten Gewissens mit „ja“ beantworten können — bei jedem „nein“ oder „weiß nicht“ liegt ein Ansatzpunkt.

• Verzeichnis von Verarbeitungstätigkeiten vorhanden und aktuell? Eine gepflegte Übersicht darüber, welche personenbezogenen Daten Sie zu welchem Zweck verarbeiten — kein Staubfänger im Schrank, sondern auf dem aktuellen Stand.
• AVV mit allen Dienstleistern abgeschlossen? Überall dort, wo ein externer Anbieter in Ihrem Auftrag Daten verarbeitet — Cloud-Speicher, Branchensoftware, Newsletter-Dienst, Steuerbüro —, sollte ein Auftragsverarbeitungsvertrag vorliegen.
• Zugriffsrechte sauber vergeben? Sieht jeder nur, was er für seine Arbeit wirklich braucht? Hat niemand „aus Bequemlichkeit“ Vollzugriff auf alles?
• Zugänge ausgeschiedener Mitarbeiter zuverlässig gesperrt? Wenn jemand das Unternehmen verlässt, verschwindet sein Zugang dann verlässlich — inklusive E-Mail, Cloud und Fernzugriff?
• Backups vorhanden, getestet und verschlüsselt? Werden die Sicherungen tatsächlich zurückgespielt und ist eine Kopie verschlüsselt sowie vom Netz getrennt aufbewahrt?
• Verschlüsselung dort, wo es zählt? Sind Notebooks, USB-Sticks und mobile Datenträger verschlüsselt, damit ein verlorenes Gerät nicht gleich ein Datenleck ist?
• Löschkonzept vorhanden? Gibt es eine einfache Regel, wann welche Daten gelöscht werden, statt alles für immer aufzuheben?
• Mitarbeiter sensibilisiert? Wissen Ihre Leute, wie man mit personenbezogenen Daten umgeht und woran man eine Phishing-Mail erkennt?
• Technische und organisatorische Maßnahmen (TOMs) dokumentiert? Ist schriftlich festgehalten, wie Sie Daten schützen — und wird das im Alltag auch so gelebt?
• Plan für den Datenpannen-Fall? Wissen Sie grob, was zu tun ist, falls doch einmal Daten abhandenkommen?

Wer hier überall ein ruhiges „ja“ setzen kann, steht solide da. Wo Lücken auftauchen, ist das kein Grund zur Panik — es ist eine To-do-Liste, die wir gemeinsam abarbeiten. Und ein wichtiger Hinweis: Diese Liste ist zur Orientierung gedacht, sie ist keine Rechtsberatung. Ob in Ihrem konkreten Fall weitere Pflichten greifen, gehört in die Hände Ihres Anwalts oder Datenschutzbeauftragten.

Ihre Mitarbeiter sind keine Schwachstelle — sie sind die beste Firewall

Es ist ein verbreiteter Reflex, beim Thema Sicherheit zuerst an Technik zu denken: noch ein Schutzprogramm, noch eine Box im Serverraum. Dabei läuft der häufigste Angriff gar nicht über die Technik, sondern über den Menschen davor. Und genau deshalb sind Ihre Mitarbeitenden nicht das schwächste Glied, als das sie oft hingestellt werden — richtig vorbereitet sind sie Ihre wirksamste Verteidigung, weil sie etwas können, das keine Software kann: stutzig werden.

Drei Situationen aus dem ganz normalen Alltag, die fast jeder schon erlebt hat:

• Die gefälschte Chef-Mail. „Bitte überweisen Sie noch heute dringend an folgendes Konto, ich bin gerade im Termin und nicht erreichbar.“ Absender und Tonfall wirken echt, der Druck ist gewollt. Ein Mitarbeiter, der gelernt hat, bei solchen Mails kurz zum Hörer zu greifen und nachzufragen, verhindert in einer Minute einen Schaden, den keine Firewall aufgehalten hätte.
• Der USB-Stick vom Parkplatz. Ein gefundener Stick weckt Neugier — und genau darauf setzen Angreifer, die ihn dort „verloren“ haben. Wer weiß, dass ein fremder Stick nie in den Firmenrechner gehört, läuft gar nicht erst in die Falle.
• Das Passwort am Monitor. Der gelbe Zettel mit dem Zugang, gut sichtbar am Bildschirm oder unter der Tastatur. Im Betriebsalltag mit Besuchern, Lieferanten und Handwerkern ist das eine offene Tür. Ein Passwort-Manager macht den Zettel überflüssig — man muss sich nur noch ein einziges, gutes Passwort merken.

Das Schöne daran: Sensibilisierung ist weder teuer noch aufwendig, und sie macht niemandem Angst. Wir setzen nicht auf trockene Vorträge oder erhobene Zeigefinger, sondern auf kurze, praxisnahe Schulungen mit echten Beispielen aus Ihrer Branche — woran man eine Phishing-Mail erkennt, wie man im Zweifel reagiert, warum 2FA der Kollege ist und nicht der Gegner. Wer einmal verstanden hat, nach welchem Muster die Maschen ablaufen, erkennt auch die nächste, neue Variante. So wird aus einer gefühlten Schwachstelle eine wachsame Mannschaft — und das ist mehr wert als jedes einzelne Werkzeug.

Besonders sensibel: Kanzleien, Praxen & Co.

Nicht in jedem Betrieb sind die Daten gleich heikel. Wer Schrauben sortiert, hat andere Sorgen als jemand, der mit Mandanten- oder Patientendaten umgeht. Für Steuerberater und Kanzleien, Arztpraxen und ähnlich sensible Branchen liegt die Latte deshalb spürbar höher — und das aus gutem Grund.

In einer Steuerkanzlei laufen die wirtschaftlichen Innereien ganzer Unternehmen und Familien zusammen: Umsätze, Gehälter, private Verhältnisse. In einer Arztpraxis geht es um Gesundheitsdaten, also um das, was viele Menschen für das Privateste überhaupt halten. Beide Berufe unterliegen zudem einer beruflichen Schweigepflicht, die weit über das hinausgeht, was die Datenschutzregeln ohnehin verlangen. Kommen hier Daten abhanden, ist nicht nur ein Formfehler passiert — es steht das Vertrauensverhältnis auf dem Spiel, das die Grundlage des ganzen Geschäfts ist.

Praktisch heißt das: enger gefasste Zugriffsrechte, eine konsequente Verschlüsselung, besonders gut abgesicherte Backups und ein sauber dokumentierter Umgang mit den anvertrauten Daten. Es heißt auch, dass die Abstimmung mit Ihrem Datenschutzbeauftragten oder Anwalt hier noch wichtiger ist als anderswo — die rechtliche Bewertung gehört in deren Hände, und ich setze die technische und organisatorische Seite passgenau dazu um.

Die gute Nachricht: Auch das ist kein Hexenwerk, wenn man es von Anfang an mitdenkt. Weil wir den Mittelstand in Bayerisch-Schwaben kennen — die Kanzlei in Dillingen, die Praxis in Wertingen, das Steuerbüro im Donau-Ries —, wissen wir, worauf es in diesen Branchen ankommt, und richten den Schutz von vornherein auf dieses höhere Maß aus. Mehr dazu finden Sie auch auf unseren Seiten für Steuerberater und Arztpraxen.

So fängt es an

Der erste Schritt ist immer ein kostenloses, unverbindliches Erstgespräch. Wir hören zu, fragen nach, wo die größten Sorgen liegen, und sagen Ihnen ehrlich, ob und wie wir helfen können. Passt es, machen wir einen Sicherheits- und DSGVO-Check — und Sie haben danach zum ersten Mal schwarz auf weiß, wie es um Ihren Schutz und Ihren Datenschutz wirklich steht. Ohne Fachchinesisch, ohne erhobenen Zeigefinger.

Daraus wird kein dickes Angstpapier, sondern ein klarer Plan mit Prioritäten und Richtpreisen. Sie entscheiden in Ruhe, was und wann umgesetzt wird. Wir schließen die größten Lücken zuerst und bleiben danach an Ihrer Seite, damit aus dem einmal hergestellten Zustand ein dauerhafter wird.

Kein Mondpreis, kein Wischiwaschi — sondern jemand, der dranbleibt und mit dem Sie ruhig schlafen.