Was ein Malermeister, eine Zahnarztpraxis und eine Bäckerei gemeinsam haben? Sie alle wurden in den letzten zwei Jahren Opfer eines Cyberangriffs — und alle dachten vorher: „Uns interessiert doch niemand.“
Genau das ist die gefährlichste Lüge in der IT-Sicherheit für kleine und mittlere Unternehmen.
Dieser Artikel zeigt Ihnen die 7 größten Schwachstellen, die IT-Sicherheitsexperten 2026 in KMU immer wieder finden — mit konkreten Beispielen aus dem Alltag und klaren Handlungsempfehlungen. Keine Theorie. Kein Buzzword-Bingo. Nur das, was wirklich passiert.
Warum KMU das bevorzugte Ziel sind — und es nicht wissen
Hacker greifen nicht nur Konzerne an. Der Mittelstand ist längst das lukrativere Ziel: Wertvolle Daten, kaum IT-Schutz, oft kein dedizierter IT-Administrator. Das BSI meldet für 2025, dass über 60 Prozent aller erfolgreichen Ransomware-Angriffe in Deutschland Unternehmen mit weniger als 250 Mitarbeitern treffen.
Eine Zahnarztpraxis in München verlor 2024 sämtliche Patientendaten der letzten 10 Jahre. Backup? Keines. Schaden: über 80.000 Euro — Datenverlust, Ausfallzeit, DSGVO-Bußgeld nicht eingerechnet.
Das hätte sich vermeiden lassen. Mit Maßnahmen, die zusammen weniger als 200 Euro im Monat kosten.
Schwachstelle 1: Veraltete Software und fehlende Updates
Was passiert wirklich
Ein Sanitärbetrieb mit 12 Mitarbeitern nutzt seit Jahren dieselbe Windows-7-Installation auf dem Bürorechner — weil „das ja immer funktioniert hat.“ Windows 7 erhält seit 2020 keine Sicherheitsupdates mehr. Jede bekannte Sicherheitslücke bleibt offen. Für Angreifer ist das eine offene Tür.
Das Gleiche gilt für ungepatchte WordPress-Websites, veraltete Router-Firmware oder Buchhaltungssoftware aus dem Jahr 2018.
Warum es so häufig vorkommt
Updates kosten Zeit, manchmal stören sie den Arbeitsablauf, und manchmal hat niemand die Verantwortung dafür. In einem 8-Mann-Malerbetrieb gibt es keinen IT-Leiter — das Update-Fenster poppt auf, der Mitarbeiter klickt es weg. Und wieder. Und wieder.
Was Sie konkret tun können
- Automatische Updates für Betriebssystem und Anwendungen aktivieren
- Regelmäßige Update-Zyklen festlegen — z. B. jeden ersten Dienstag im Monat
- Professionelles Patch-Management einrichten, das Updates zentral überwacht und dokumentiert
- Geräte mit Ende-des-Supports-Datum (EOL) identifizieren und ersetzen
Praxisbeispiel: Ein Friseursalon mit 6 Angestellten stellte fest, dass sein Kassensystem seit 3 Jahren kein Update erhalten hatte — und dabei täglich Kreditkartendaten verarbeitete. Das ist nicht nur ein Sicherheitsrisiko, sondern ein PCI-DSS-Verstoß.
Schwachstelle 2: Schwache oder wiederverwendete Passwörter
Was passiert wirklich
„Firma2023!“ als Passwort für alle Systeme. Der Steuerberater, das E-Mail-Konto, das WLAN, die Kundendatenbank. Wird eines dieser Konten kompromittiert — etwa durch ein Datenleck bei einem anderen Anbieter — haben Angreifer sofort Zugang zu allem.
Credential Stuffing nennt sich das: Angreifer kaufen im Darknet Millionen gestohlener Passwörter und probieren sie automatisiert bei Tausenden von Diensten aus. Es dauert Sekunden.
Konkrete Szenarien aus dem KMU-Alltag
- Bäckerei mit Online-Shop: Das Admin-Passwort für WooCommerce war identisch mit dem privaten Gmail-Konto des Inhabers. Nach einem Datenleck bei einem Fitness-App-Anbieter wurden innerhalb von Stunden 4.000 Kundendaten gestohlen.
- Steuerberatungskanzlei: Alle Mitarbeiter teilten sich ein gemeinsames Passwort für das Mandantenportal. Als ein Mitarbeiter das Unternehmen verließ, hatte er noch monatelang Zugriff.
- Arztpraxis: Das WLAN-Passwort hing als Post-it am Empfangstresen — sichtbar für jeden Patienten im Wartezimmer.
Was Sie konkret tun können
- Unternehmensweiten Passwort-Manager einführen — ein Master-Passwort für alles andere
- Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme aktivieren
- Passwortrichtlinie einführen: mindestens 12 Zeichen, keine Wiederverwendung
- Bei Mitarbeiteraustritt sofort alle Zugänge sperren — über eine klare Offboarding-Checkliste
Schwachstelle 3: Phishing — der Mensch als Einfallstor
Was passiert wirklich
Eine E-Mail kommt rein: „Ihre DHL-Sendung konnte nicht zugestellt werden. Bitte bestätigen Sie Ihre Adresse.“ Der Link sieht aus wie DHL, die E-Mail klingt wie DHL. Ein Klick. Eine eingetippte Kreditkartennummer. Fertig.
Phishing ist 2026 die mit Abstand häufigste Angriffsmethode gegen KMU — und sie wird durch KI-generierte Texte erschreckend gut. Grammatikfehler als Erkennungsmerkmal? Längst Geschichte.
Besonders gefährlich: Spear Phishing
Spear Phishing zielt auf einzelne Personen. Der Angreifer kennt den Namen des Geschäftsführers, den des Steuerberaters, weiß, dass gerade Jahresabschluss ist — und schickt eine perfekt formulierte E-Mail: „Bitte überweisen Sie den angehängten Betrag bis heute 17 Uhr.“
Reales Beispiel: Eine Physiotherapiepraxis in Hamburg überwies 2025 auf diese Weise 14.000 Euro auf ein ausländisches Konto. Die E-Mail schien vom Steuerberater zu kommen — mit originalem Namen, originalem Logo, originalem Schreibstil. Nur die Absenderadresse hatte einen Buchstaben getauscht.
Was Sie konkret tun können
- Mitarbeiter schulen: regelmäßige Phishing-Simulationen durchführen
- E-Mail-Filter und Spam-Schutz professionell konfigurieren — nicht nur den Standard-Schutz nutzen
- Klare interne Regel: Überweisungen über X Euro immer telefonisch bestätigen
- Absenderadressen immer vollständig prüfen — nicht nur den Anzeigenamen
- Bei E-Mail-Problemen und verdächtigen Nachrichten sofort IT-Support kontaktieren
Kostenlose Erstberatung
Nicht sicher, wie gut Ihr Unternehmen geschützt ist?
Wir analysieren Ihre IT-Sicherheit und zeigen Ihnen konkret, wo die größten Lücken sind.
Schwachstelle 4: Fehlende oder ungetestete Datensicherung
Was passiert wirklich
Ransomware verschlüsselt alle Dateien. Der Angreifer fordert 8.000 Euro in Bitcoin. Sie haben ein Backup — aber es liegt auf dem gleichen Netzlaufwerk wie die verschlüsselten Daten. Das Backup ist also ebenfalls verschlüsselt.
Das ist kein Einzelfall. Es ist der häufigste Fehler bei der Datensicherung in KMU.
Die 3-2-1-Regel — und warum sie so wenige kennen
3 Kopien der Daten. Auf 2 verschiedenen Medien. 1 davon außerhalb des Gebäudes (oder in der Cloud).
- Zahnarztpraxis: Backup auf externer Festplatte — die bei einem Einbruch zusammen mit dem PC gestohlen wurde.
- Steuerkanzlei: Backup auf NAS im selben Raum — nach einem Wasserschaden weg.
- Logistikunternehmen: Cloud-Backup eingerichtet — aber seit 14 Monaten nicht getestet. Im Ernstfall: kein Restore möglich, weil die Backup-Software einen Konfigurationsfehler hatte.
Was Sie konkret tun können
- Professionelle Datensicherung nach 3-2-1-Regel einrichten
- Backup monatlich testen — nicht nur einrichten
- Backup-Systeme vom Hauptnetzwerk isolieren (Air Gap)
- Restore-Zeit dokumentieren: Wie lange dauert es, bis Sie wieder arbeitsfähig sind?
Faustregel: Ein Backup, das nie getestet wurde, ist kein Backup. Es ist eine Hoffnung.
Schwachstelle 5: Unsicheres WLAN und unkontrollierte Netzwerkzugänge
Was passiert wirklich
In einem Friseursalon teilen Kunden und Mitarbeiter dasselbe WLAN. Der Kunde im Wartestuhl sitzt im gleichen Netzwerk wie die Kasse, das Buchungssystem und der Bürorechner mit den Kundendaten. Mit frei verfügbaren Tools dauert ein Angriff auf solche Netzwerke weniger als 5 Minuten.
Ähnliches gilt für Handwerksbetriebe mit Außendienstlern: Das Tablet des Monteurs verbindet sich automatisch mit jedem bekannten WLAN — auch dem offenen Hotspot in der Raststätte. Darüber abgefangene VPN-Zugangsdaten ermöglichen später den Zugriff ins Firmennetz.
Konkrete Risiken
- Offenes Gäste-WLAN ohne Segmentierung: Zugriff auf interne Systeme möglich
- Veraltete Router-Firmware: Bekannte Sicherheitslücken, die nie gepatcht wurden
- Standard-Passwörter am Router: „admin/admin“ ist bei erschreckend vielen Geräten noch aktiv
- Keine VPN-Pflicht für Homeoffice: Mitarbeiter greifen unverschlüsselt auf Firmendaten zu
Was Sie konkret tun können
- Gäste-WLAN vom Firmennetz trennen (VLAN-Segmentierung)
- Firewall professionell konfigurieren und regelmäßig prüfen
- VPN für alle Remote-Zugänge verpflichtend einrichten
- Router-Passwörter und Firmware sofort aktualisieren
- Netzwerkverkehr mit Monitoring überwachen
Schwachstelle 6: Fehlende Zugriffsrechte und unkontrollierte Benutzerkonten
Was passiert wirklich
In einem Autohaus haben alle 15 Mitarbeiter vollen Administratorzugang zu allen Systemen — weil es „einfacher“ ist. Die Buchhalterin kann die IT-Konfiguration ändern. Der Azubi sieht die kompletten Kundendaten seit Firmengründung. Der ehemalige Mitarbeiter, der vor 8 Monaten gegangen ist, hat theoretisch immer noch Zugang.
Das Prinzip der minimalen Rechte (Principle of Least Privilege) ist eines der wirkungsvollsten Sicherheitsprinzipien überhaupt — und eines der am meisten ignorierten in KMU.
Warum das so gefährlich ist
- Ein kompromittierter Mitarbeiter-Account mit Adminrechten gibt Angreifern sofort Vollzugriff
- Ehemalige Mitarbeiter können im Streitfall Daten stehlen oder löschen
- Versehentliches Löschen oder Ändern kritischer Systemdateien durch unerfahrene Nutzer
Was Sie konkret tun können
- Benutzerkonten und Zugriffsrechte nach Rolle vergeben — nur was jemand braucht, bekommt er
- Offboarding-Prozess definieren: Beim Austritt sofort alle Konten sperren
- Adminrechte nur für IT-Verantwortliche — keine alltägliche Arbeit mit Adminkonten
- Regelmäßiges Audit: Wer hat Zugriff auf was?
- Berechtigungskonzept dokumentieren und aktuell halten
Schwachstelle 7: Kein Notfallplan — und die fatale Unterschätzung der Ausfallzeit
Was passiert wirklich
Montag, 8:30 Uhr. Die Systeme einer Steuerberatungskanzlei mit 18 Mitarbeitern sind komplett verschlüsselt. Nichts geht mehr. Kein Zugriff auf Mandantendaten, keine E-Mails, kein Telefon über VoIP. Was passiert?
In den meisten KMU: Chaos. Niemand weiß, wen man anrufen soll. Der IT-Dienstleister ist nicht erreichbar. Der Versicherer fragt nach einer Schadensnummer. Die Mitarbeiter sitzen herum. Stunde für Stunde.
Durchschnittliche Ausfallzeit nach einem Ransomware-Angriff ohne Notfallplan: 21 Tage.
Das kostet nicht nur Geld — es kostet Kunden, Vertrauen und manchmal die Existenz.
Was ein guter Notfallplan enthält
- Notfallkontakte: IT-Dienstleister, Versicherer, BSI-Meldestelle, Datenschutzbeauftragter
- Klare Eskalationskette: Wer entscheidet was, wer informiert wen?
- Offline-Dokumentation: Wie kommt man ins System, wenn die Systeme weg sind?
- Kommunikationsplan: Was sagen wir Kunden, Mitarbeitern, Behörden?
- Restore-Plan: In welcher Reihenfolge werden welche Systeme wiederhergestellt?
Was Sie konkret tun können
- IT-Sicherheitskonzept erstellen — mit Notfallplan als zentralem Bestandteil
- Notfallkontakte ausdrucken und physisch im Büro hinterlegen
- Einmal jährlich einen simulierten Notfall durchspielen
- Cyberversicherung prüfen — aber nur als letzte Absicherung, nicht als Ersatz für Prävention
- DSGVO-Meldepflicht kennen: Bei Datenpannen müssen Sie innerhalb von 72 Stunden melden
Die ehrliche Zusammenfassung: Was kostet Sicherheit — und was kostet Unsicherheit?
| Schwachstelle | Typischer Schaden | Schutzkosten / Monat |
|---|---|---|
| Veraltete Software | 5.000 – 50.000 € | 50 – 100 € |
| Schwache Passwörter | 2.000 – 20.000 € | 5 – 15 € |
| Phishing | 10.000 – 100.000 € | 30 – 80 € |
| Fehlendes Backup | 20.000 – 200.000 € | 30 – 100 € |
| Unsicheres Netzwerk | 5.000 – 40.000 € | 50 – 150 € |
| Fehlende Zugriffsrechte | 3.000 – 30.000 € | 20 – 50 € |
| Kein Notfallplan | 50.000 – 500.000 € | 20 – 50 € |
| Gesamt | bis 940.000 € | 205 – 545 € |
Die Rechnung ist eindeutig. IT-Sicherheit für KMU kostet im Monat weniger als ein Mitarbeiter-Bruttotag. Ein erfolgreicher Angriff kostet im Schnitt das 100-fache.
Was Sie jetzt tun sollten — in dieser Reihenfolge
Wenn Sie nach diesem Artikel eine Sache mitnehmen, dann diese: Fangen Sie mit dem Einfachsten an.
- Diese Woche: MFA für E-Mail und Microsoft 365 aktivieren — kostenlos, 15 Minuten
- Diesen Monat: Backup prüfen und testen — läuft es wirklich?
- Dieses Quartal: Passwort-Manager einführen, Zugriffsrechte bereinigen
- Dieses Jahr: Professionelles IT-Sicherheitskonzept entwickeln lassen
Sie müssen kein IT-Experte werden. Sie müssen nur aufhören zu denken, dass Sie kein Ziel sind.
Denn das sind Sie. Und das wissen die Angreifer längst.

