Zurück zum Blog
IT-Sicherheit

Phishing im KMU: 7 Schutzmaßnahmen für mehr IT-Sicherheit

Jonas Weber - IT-Administrator bei ProzessPilot26. Mai 20266 Min. Lesezeit

Phishing trifft KMU härter, als viele denken

Eine einzige gefälschte Mail reicht oft aus. Ein Mitarbeiter klickt auf einen Link, gibt Zugangsdaten ein oder lädt eine schädliche Datei herunter. Schon ist der Schaden da: Konten werden übernommen, Rechnungen umgeleitet oder ganze Systeme verschlüsselt. Gerade kleine und mittlere Unternehmen sind dafür ein beliebtes Ziel. Warum? Weil Angreifer dort oft weniger technische Schutzschichten und weniger Sensibilisierung erwarten.

Die gute Nachricht: Du musst kein Großunternehmen sein, um dich wirksam zu schützen. Mit klaren Abläufen, einfachen technischen Maßnahmen und etwas Training senkst du das Risiko deutlich. In diesem Artikel zeige ich dir 7 praktische Schutzmaßnahmen gegen Phishing, die KMU direkt umsetzen können.

Warum Phishing für KMU so gefährlich ist

Phishing ist nicht nur „eine nervige Spam-Mail“. Es ist oft der Einstieg in größere Angriffe. Die Täter wollen Zugangsdaten, Zahlungsfreigaben oder interne Informationen. Besonders kritisch wird es, wenn:

  • E-Mail-Konten für Rechnungsfreigaben genutzt werden
  • Mitarbeitende viele externe Nachrichten erhalten
  • Passwörter mehrfach verwendet werden
  • Freigabeprozesse ohne zweite Kontrolle laufen
  • keine klare Meldewege für verdächtige Mails existieren

Das Problem: Ein Angriff wirkt oft harmlos. Ein Link führt zu einer täuschend echten Login-Seite. Eine Rechnung sieht aus wie von einem bekannten Lieferanten. Eine angebliche IT-Mail fordert zur Passwortänderung auf. Genau deshalb braucht es Maßnahmen, die nicht auf „Achtung“ allein setzen.

1. Multi-Faktor-Authentifizierung überall aktivieren

Die wichtigste Maßnahme zuerst: Multi-Faktor-Authentifizierung (MFA). Selbst wenn ein Passwort gestohlen wird, bleibt das Konto geschützt, weil ein zweiter Faktor fehlt.

Wo du MFA zuerst einführen solltest

  • E-Mail-Postfächer
  • Microsoft 365 oder Google Workspace
  • Buchhaltungs- und ERP-Systeme
  • VPN-Zugänge
  • Cloud-Speicher wie OneDrive, SharePoint oder Dropbox

So setzt du es pragmatisch um

Starte mit den Konten, die den größten Schaden verursachen könnten. Das sind fast immer E-Mail und Finanzsysteme. Nutze nach Möglichkeit Authenticator-Apps statt SMS. SMS ist besser als nichts, aber weniger sicher.

2. E-Mail-Schutz technisch absichern

Phishing läuft fast immer über E-Mail. Deshalb brauchst du dort eine saubere Basis. Dazu gehören nicht nur Spamfilter, sondern auch Schutzmechanismen gegen gefälschte Absender.

Diese drei Dinge sollten eingerichtet sein

  • SPF: Erlaubt festgelegten Servern, Mails für deine Domain zu senden
  • DKIM: Signiert Mails digital und macht Manipulation erkennbar
  • DMARC: Legt fest, was bei gefälschten Mails passieren soll

Viele KMU haben diese drei Einträge nicht korrekt konfiguriert. Das ist riskant, weil Angreifer dann Mails scheinbar im Namen deines Unternehmens verschicken können. Ein IT-Dienstleister kann das in der Regel schnell prüfen und umsetzen.

3. Rechnungs- und Zahlungsprozesse doppelt absichern

Business-E-Mail-Compromise ist eine der teuersten Phishing-Varianten. Dabei geben sich Angreifer als Chef, Lieferant oder Partner aus und bitten um eine geänderte Bankverbindung oder eine schnelle Überweisung.

Schütze besonders diese Prozesse

  • Änderungen von Bankverbindungen nur nach Rückruf über bekannte Nummern
  • Zahlungsfreigaben immer mit Vier-Augen-Prinzip
  • Rechnungen mit ungewöhnlichen Beträgen manuell prüfen
  • Keine Freigabe nur per E-Mail
  • Stammdatenänderungen dokumentieren

Ein einfaches Beispiel

Wenn eine Mail kommt: „Unsere Bankverbindung hat sich geändert“, dann wird nicht auf die Mail geantwortet. Stattdessen ruft jemand aus deinem Team die bekannte Nummer des Lieferanten an. Erst danach wird geändert. Dieser kleine Prozess verhindert viele teure Betrugsfälle.

4. Mitarbeitende regelmäßig und kurz schulen

Die beste Technik hilft wenig, wenn jemand aus Unsicherheit auf den falschen Link klickt. Deshalb gehört Schulung zu den wirksamsten Schutzmaßnahmen. Aber bitte nicht als jährliche Pflichtveranstaltung mit langweiligem Vortrag.

Was gut funktioniert

  • kurze Einheiten von 10 bis 15 Minuten
  • echte Beispiele aus dem Arbeitsalltag
  • Screenshots gefälschter Mails
  • klare Regeln: „Was mache ich bei Verdacht?“
  • Wiederholung statt Einmalaktion

Inhalte, die jeder kennen sollte

  • Absenderadresse genau prüfen
  • Links vor dem Klicken ansehen
  • Anhänge nur bei Erwartung öffnen
  • Dringlichkeit und Druck als Warnsignal erkennen
  • verdächtige Mails sofort melden

Wichtig ist nicht, dass Mitarbeitende jede Betrugsmasche kennen. Wichtig ist, dass sie Warnzeichen erkennen und sicher reagieren können.

5. Meldeweg für verdächtige Mails festlegen

Wenn Mitarbeitende nicht wissen, wohin mit verdächtigen Mails, wird oft gar nichts gemeldet. Dann bleibt ein Vorfall unentdeckt oder wird später erst zum Problem.

Lege einen einfachen Prozess fest

  • eine zentrale E-Mail-Adresse wie sicherheit@deinunternehmen.de
  • ein Ansprechpartner aus IT oder Verwaltung
  • klare Reaktion: Mail weiterleiten, nicht löschen
  • Rückmeldung an Mitarbeitende, ob es ein echter Angriff war

Warum das so wichtig ist

Je früher du eine Phishing-Mail erkennst, desto eher kannst du andere warnen oder gesperrte Konten prüfen. Ein klarer Meldeweg spart Zeit und reduziert Schäden.

6. Berechtigungen und Konten aufräumen

Nicht jeder braucht Zugriff auf alles. Trotzdem sind in vielen KMU zu viele Konten aktiv, alte Zugänge bleiben bestehen oder Mitarbeiter haben weitreichende Rechte, die sie im Alltag gar nicht benötigen.

Prüfe diese Punkte regelmäßig

  • Wer hat Admin-Rechte?
  • Welche Konten sind noch aktiv, obwohl sie nicht genutzt werden?
  • Gibt es gemeinsame Postfächer mit zu breiten Rechten?
  • Haben Dienstleister alte Zugänge, die noch funktionieren?

Gute Faustregel

Vergib nur so viele Rechte wie nötig. Das nennt sich Least Privilege. Wenn ein normales Benutzerkonto kompromittiert wird, kann der Schaden dann deutlich kleiner ausfallen.

7. Sicheres Verhalten bei verdächtigen Links und Anhängen fördern

Viele Phishing-Angriffe funktionieren nur, weil jemand schnell klickt. Deshalb lohnt es sich, eine einfache Klick-Disziplin im Alltag zu etablieren.

Diese Regeln helfen sofort

  • Links nicht direkt aus der Mail öffnen, wenn der Inhalt überraschend ist
  • bei Login-Aufforderungen die Website manuell im Browser öffnen
  • Anhänge mit Makros besonders kritisch prüfen
  • keine ZIP- oder Office-Dateien aus unbekannten Mails öffnen
  • Dateinamen und Absender genau vergleichen

Praktischer Tipp für Teams

Mache es zur Gewohnheit, ungewöhnliche Mails kurz im Team oder bei einer IT-Ansprechperson gegenzuprüfen. Zwei Minuten Rückfrage sind besser als zwei Tage Stillstand.

Was du in den nächsten 30 Tagen umsetzen kannst

Wenn du nicht alles auf einmal angehen willst, starte mit einem klaren Plan. So kommst du schnell zu messbaren Verbesserungen.

Woche 1: Sofortmaßnahmen

  • MFA für E-Mail und Cloud aktivieren
  • Meldeadresse für verdächtige Mails einrichten
  • Mitarbeitende über aktuelle Phishing-Muster informieren

Woche 2: Technische Basis prüfen

  • SPF, DKIM und DMARC kontrollieren
  • Spamfilter und Sicherheitsrichtlinien prüfen
  • alte Konten und Berechtigungen identifizieren

Woche 3: Prozesse absichern

  • Zahlungsfreigaben mit Vier-Augen-Prinzip definieren
  • Änderung von Bankdaten nur per Rückruf absichern
  • Notfallkontakt für Sicherheitsvorfälle festlegen

Woche 4: Schulung und Routine

  • kurze Awareness-Schulung durchführen
  • Beispiel-Mails aus dem eigenen Alltag besprechen
  • Meldeprozess testen

Fazit: Phishing-Schutz ist kein Luxus, sondern Basisarbeit

Phishing bleibt eine der größten Bedrohungen für KMU, weil der Angriff oft günstig, schnell und sehr erfolgreich ist. Du kannst das Risiko aber spürbar senken, wenn du die Grundlagen sauber aufsetzt: MFA, E-Mail-Schutz, klare Prozesse, Schulung und einfache Meldewege.

Wichtig ist nicht Perfektion, sondern Verlässlichkeit. Fang mit den größten Risiken an und arbeite dich Schritt für Schritt vor. So baust du eine Schutzstruktur auf, die im Alltag funktioniert.

Wenn du wissen willst, wie du Sicherheitsmaßnahmen in deinem Unternehmen praktisch einführst, ohne den Betrieb auszubremsen, dann sprich mit ProzessPilot über eine passende Sicherheits- und Automatisierungsstrategie für dein KMU.

Haben Sie Fragen?

Wir beraten Sie gerne zu den Themen Digitalisierung, KI-Automatisierung und IT-Sicherheit. Nehmen Sie Kontakt mit uns auf.

Kontakt aufnehmen