Suche

IT-Security to go: Wie KMU ihre IT-Sicherheit sofort verbessern können

  • 94 Prozent aller KMU waren 2024/2025 Cyberangriffen ausgesetzt – nicht die Unternehmensgröße entscheidet über das Risiko, sondern die Qualität der Sicherheitsmaßnahmen.
  • IT-Sicherheit umfasst mehr als Technik: Neben technischen Schutzmaßnahmen sind organisatorische Aspekte wie Notfallpläne und eine etablierte Sicherheitskultur mit regelmäßigen Mitarbeiterschulungen entscheidend.
  • Eine ausgewogene Gesamtstrategie auf Basis eines Security-Audits ermöglicht es, gezielt die größten Schwachstellen anzugehen und Angriffsflächen kurzfristig wirkungsvoll zu reduzieren.

NOBIX Group GmbHNOBIX Group GmbH

Etwa 94 Prozent aller kleinen und mittelständischen Unternehmen waren 2024/2025 einem Cyberangriff ausgesetzt. Und die Angriffe steigen weiter, durchschnittlich gibt es 1223 Attacken pro Woche auf deutsche Unternehmen. Und das unabhängig von Branche oder Unternehmensgröße. Die Frage ist also weniger, ob man angegriffen wird, sondern, ob die Abwehr standhält oder wie schnell eine Reaktion erfolgen kann.

Oft ist es nicht das große Geld, das die Angreifer anlockt, sondern die Daten von Kunden als Erpressungspotenzial. Jedes Hotel oder Restaurant hat eine Vielzahl von Kundendaten, die sich lukrativ verkaufen lassen.

Es ist also fahrlässig zu glauben, dass man kein attraktives Ziel sei, weil das eigene Unternehmen nur wenige Mitarbeitende hat. Es ist eher umgekehrt: Hacker vermuten bei mittelständischen Firmen, dass die IT-Sicherheitsmaßnahmen nicht zeitgemäß sind und sich leichter umgehen lassen. Sie sind also bevorzugte Ziele.

Partner aus dem HORECA Scout

Zögern steigert das Risiko

Etwa 94 Prozent aller kleinen und mittelständischen Unternehmen waren 2024/2025 einem Cyberangriff ausgesetzt. Und die Angriffe steigen weiter, durchschnittlich gibt es 1223 Attacken pro Woche auf deutsche Unternehmen. Und das unabhängig von Branche oder Unternehmensgröße. Die Frage ist also weniger, ob man angegriffen wird, sondern, ob die Abwehr standhält oder wie schnell eine Reaktion erfolgen kann. Oft ist es nicht das große Geld, das die Angreifer anlockt, sondern die Daten von Kunden als Erpressungspotenzial. Jedes Hotel oder Restaurant hat eine Vielzahl von Kundendaten, die sich lukrativ verkaufen lassen. Es ist also fahrlässig zu glauben, dass man kein attraktives Ziel sei, weil das eigene Unternehmen nur wenige Mitarbeitende hat. Es ist eher umgekehrt: Hacker vermuten bei mittelständischen Firmen, dass die IT-Sicherheitsmaßnahmen nicht zeitgemäß sind und sich leichter umgehen lassen. Sie sind also bevorzugte Ziele. Wenn Sie sich unsicher sind, ob die aktuellen Maßnahmen und eingesetzten Tools ausreichen, sollten Verantwortliche nicht zögern, Security-Audits selbst vorzunehmen oder über Dienstleister zu beauftragen und eine ganzheitliche Lösung auszuarbeiten. Es geht dabei nicht um blinden Aktionismus, sondern um ein planvolles Vorgehen. IT-Sicherheit hat dabei mehrere Aspekte und betrifft nicht nur die Technik. Neben IT-technischen und physischen Schutzmaßnahmen müssen Unternehmen auch organisatorische und personelle Sicherheitsaspekte berücksichtigen. Dazu zählen etwa ein Notfallplan sowie eine etablierte Sicherheitskultur mit Schulungen und regelmäßigen Zertifizierungen, die ein Plus an Sicherheit schaffen.

11 On-the-Go-Learnings für eine verbesserte IT-Sicherheit

1. Schwachstellen finden

Angreifer suchen nach Schwachstellen wie ungepatchte Sicherheitslücken. Daher ist es sinnvoll, seine Systeme auf Schwachstellen hin zu überprüfen. Dabei helfen spezielle Best-Practice-Tools, etwa von Enginsight und Palo Alto, die diese Schwachstellen kennen. Mit ihnen lassen sich Pseudo-Angriffe und Pen-Tests durchführen. Zusätzlich sinnvoll sind regelmäßige Netzwerk-Scans, mit denen sich Schwachstellen der eingesetzten Geräte finden und sichtbar machen lassen.

Lesen Sie auch
Künstliche Intelligenz, KI und AutomationSoftware und SystemeMarketingRevenuemanagement
Hotelsuche im Wandel: Wie KI und Social Media den Weg zur Buchung verändern
Themen in diesem Artikel
DatenschutzRecht und ComplianceSoftware und SystemeAnalyseCyber-SicherheitDatenschutzDatensicherungHackerIT-SicherheitMitarbeiterschulungNetzwerktechnikPhishingZugangskontrolle

2. Alle Netzwerke-Geräte erfassen

Bei Netzwerk denkt man an Notebooks, Server und Switches. Dazu zählen aber auch Türschließ-, Beleuchtungs- sowie Alarmsysteme, Telefonanlagen oder Kühlschränke mit Internet-Verbindung, also alle Geräte, die mit dem Internet kommunizieren und darüber schlussendlich auch angegriffen werden können. Diese sollten lückenlos erfasst und mit neuester Firmware und Updates aktuell gehalten werden.

3. Security nicht überdimensionieren

Die IT-Security-Landschaft sollte schlank und effektiv sein. „Viel hilft viel" ist der falsche Ansatz, weil er Leistung und unnötiges Geld kostet, mehr Verwaltungsaufwand erfordert und die IT aufbläht. Es ist daher sinnvoll, eine genaue Aufstellung zu machen, welche Tools im Einsatz sind und welche Funktionalitäten doppelt vorhanden sind. Darauf basierend lässt sich einfach entscheiden, welche Tools welche Aufgaben übernehmen sollen.

Lesen Sie auch
AußengastronomieBranche und TrendsMarketing
Hunde willkommen, Kinder draußen: Wie Restaurants Hausregeln sauber kommunizieren

4. DNS-Schutzschirm aufspannen

Ein DNS-Server übersetzt Domain-Namen wie nobix-group.de in eine IP-Adresse. Üblicherweise findet die Übersetzung ausnahmslos für alle Domainnamen statt, unabhängig davon, ob sich dahinter eine Hackerwebseite verbirgt oder ein seriöser Anbieter. Spezielle DNS-Server verweigern jedoch die Auflösung von Domainnamen zu IP-Adressen, die bekanntermaßen einem böswilligen Akteur zuzuschreiben sind. Mit solchen speziellen Servern schützen sich Unternehmen beispielsweise davor, auf Phishing-Mails hereinzufallen.

5. Backups schützen

Ransomware-Angreifer versuchen, alle Daten eines Unternehmens zu verschlüsseln und anschließend Geld zu erpressen. Zu den Daten im Visier der Hacker zählen auch Backups. Diese müssen gesondert gesichert, physisch getrennt und nicht überschreibbar sein. Hierbei helfen spezielle Tools wie Dell Data Protection oder auch Veeam-Backup-Lösungen. Zusätzlich sollten Unternehmen regelmäßig testen, ob ihre Backups intakt sind und sich zurückspielen lassen.

6. Multifaktor-Authentifizierung konsequent durchsetzen

Neben einem Login mit Passwort sollten Unternehmen konsequent überall dort eine Zweifaktor-Authentifizierung einrichten, wo es möglich ist. Denn dann reichen gestohlene Login-Passwortdaten allein nicht mehr aus, um Zugriff zu erhalten. Die gute Nachricht: Beim Einsatz von Hardware-Token oder Passwortsafe-Anwendungen ist der zweite Faktor kaum noch mit Komforteinbußen verbunden. Alternativ lassen sich auch Passkeys einsetzen.

7. Erbeutete Zugangsdaten automatisiert beobachten und auswerten

Im Darknet werden Listen mit Login-Zugängen gehandelt, die bei früheren IT-Angriffen erbeutet wurden. Es ist daher wichtig, Tools wie Passwortsafe-Anwendungen einzusetzen, die Zugangsdaten automatisch gegen bekannte Einbrüche testen und auf Schwachpunkte hinweisen.

8. Beschränken, wer ins Netzwerk darf

Es gibt technische Möglichkeiten, mit denen sich einfach begrenzen lässt, wer sich von außerhalb ins eigene Netzwerk einloggen oder interne Dienste von außerhalb nutzen darf. Sinnvoll ist hierfür eine Network-Access-Control-Lösung (NAC). Sie stellt sicher, dass nur autorisierte Nutzende und Endgeräte Zugang zum Unternehmensnetzwerk erhalten. Grundsätzlich sollte die Authentifizierung und Autorisierung auf dem sicheren 802.1X-Standard beruhen und auch eng angebundene Dienstleister mit einbeziehen.

9. Netzwerk auf den Ernstfall vorbereiten

Damit ein erfolgreicher Angriff in einem Netzwerk- oder Computersystem nicht das gesamte Netzwerk lahmlegt, ist es sinnvoll, dieses zu segmentieren und mittels Zero-Trust-Technologie zu schützen. Spezielle Recovery-Systeme helfen zudem, nach einem Einbruch möglichst schnell wieder arbeitsfähig zu sein.

10. Regelmäßige Zertifizierungen und Trainings durchführen

Einige der häufigsten Einfallstore für Hacker-Angriffe sind Mitarbeitende, die einen Angriff als solchen nicht erkennen und sich fehlerhaft verhalten. Um das zu verhindern, sollten Verantwortliche regelmäßige Trainings und sich wiederholende Zertifizierungen durchführen, um für die notwendige Aufmerksamkeit zu sorgen.

11. Software updaten und regelmäßig kontrollieren

Regelmäßig werden Sicherheitslücken entdeckt, die im Betriebssystem von Rechnern, in Treibern oder Anwendungen versteckt sein können. Das Durchführen von Updates sollte daher geübte Praxis und möglichst automatisiert erfolgen, um den Zeitraum zwischen Entdeckung und Behebung möglichst kurz zu halten. Gängige App-Stores können hierbei unterstützen, da sie Anwendungen mit einer automatischen Update-Funktion versehen. Außerdem sollten Unternehmen sicherstellen, dass Anwendende nur geprüfte Applikationen aus vorgegebenen Quellen installieren können.

Für eine ausgewogene, umfassende Sicherheitsstrategie sorgen

Entscheidend für eine maximale IT-Sicherheit ist eine ausgewogene Gesamtstrategie, die auf einem umfassenden Audit des eigenen Unternehmens basieren sollte. Nach der Security-Analyse lassen sich mit einem erfahrenen IT-Dienstleister gezielt die Punkte angehen, die den größten Handlungsbedarf haben. Damit können Unternehmen kurzfristig die größten Angriffsflächen wirkungsvoll reduzieren.

Access Hospitality
Künstliche Intelligenz, KI und Automation

Hotelsuche im Wandel: Wie KI und Social Media den Weg zur Buchung verändern

Reisende starten ihre Hotelsuche heute auf TikTok, Instagram oder bei KI-Diensten wie Perplexity – nicht mehr nur bei Google. Was bedeutet das für Häuser, die künftig noch gefunden und gebucht werden wollen? Zwischen Stammdatenpflege, Bewertungsmanagement und Social-Media-Strategie entscheidet sich, wer in den neuen Antwortmaschinen auftaucht – und wer unsichtbar bleibt.

Vitaly Gariev, Pexels
Branche und Trends

Was Fußballfans rund um die WM bestellen – und was das für Betriebe zeigt

Während der FIFA Fußball-Weltmeisterschaft 2026 hat ein großer Lieferdienst erstmals ausgewertet, was deutsche Fans vor und nach Spielen bestellen. Das Ergebnis überrascht: Die stärksten Zuwächse finden sich nicht bei Bier und Pizza, sondern bei Partydekoration und Einweggeschirr. Die Daten zeigen, wie sehr Fußball-Großereignisse zum gemeinsamen sozialen Ritual geworden sind – mit klaren Mustern bei Vorbereitung und Verarbeitung.

Weitere Artikel zum Thema

Access Hospitality
Reisende starten ihre Hotelsuche heute auf TikTok, Instagram oder bei KI-Diensten wie Perplexity – nicht mehr nur bei Google. Was bedeutet das für Häuser, die künftig noch gefunden und gebucht werden wollen? Zwischen Stammdatenpflege, Bewertungsmanagement[...]
Access Hospitality
Pavel Danilyuk, Pexels
Minijobs sollen politisch nicht abgeschafft werden. Für Hotellerie und Gastronomie ist das ein wichtiges Signal. Gleichzeitig stehen höhere Arbeitgeberbelastungen im Raum. Betriebe sollten deshalb nicht nur auf den Erhalt der Minijobs schauen, sondern auch auf[...]
Pavel Danilyuk, Pexels
Mathias Reding, Pexels
Eine gestaffelte Abgabe auf zuckergesüßte Getränke steht zur Debatte – und was zunächst wie ein Thema für Hersteller und Handel klingt, landet schnell auf der Getränkekarte. Wo drohen höhere Einkaufspreise, welche Produkte trifft es, und[...]
Mathias Reding, Pexels
Vitaly Gariev, Unsplash
Schluss mit Screenshots und Formularen: Die Radisson Hotel Group ersetzt den klassischen Bestpreis-Prozess durch einen KI-gestützten Preisabgleich, der günstigere Angebote externer Plattformen automatisch auf den eigenen Buchungskanal überträgt. Was das für Preistransparenz, Direktbuchungen und die[...]
Vitaly Gariev, Unsplash
IHM, Julian Hartwig
Am 16. und 17. September 2026 verwandelt sich das MOC München zum zentralen Treffpunkt der unabhängigen Hotellerie. Über 160 Aussteller zeigen auf der Independent Hotel Show Munich, wie Design, durchdachte Ausstattung und smarte Technologie zusammenspielen[...]
IHM, Julian Hartwig
Unser Newsletter

Bleiben Sie auf dem Laufenden mit regelmäßigen Informationen zum Thema Gastgewerbe. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen.