Zurück zum Blog
IT-Sicherheit

Phishing im KMU stoppen: 7 Maßnahmen für mehr Sicherheit

Max Schneider - Automation Engineer bei ProzessPilot2. Juni 20266 Min. Lesezeit

Warum Phishing für KMU so gefährlich ist

Ein Klick auf einen falschen Link. Ein gefälschtes Login-Fenster. Eine scheinbar echte Rechnung im Postfach. Mehr braucht es oft nicht, damit ein kleines oder mittleres Unternehmen zum Ziel wird. Phishing ist heute eine der häufigsten Einfallstüren für Cyberangriffe. Und gerade KMU sind besonders gefährdet, weil Zeit, Personal und Sicherheitsbudgets knapp sind.

Die gute Nachricht: Du musst nicht alles auf einmal umbauen, um dich wirksam zu schützen. Schon wenige gezielte Maßnahmen senken das Risiko deutlich. In diesem Artikel zeige ich dir sieben praxisnahe Schritte, mit denen du Phishing in deinem Unternehmen besser erkennst, abwehrst und im Ernstfall schneller reagierst.

1. E-Mail-Postfächer technisch absichern

Phishing beginnt fast immer per E-Mail. Deshalb sollte der erste Schutz direkt am Postfach ansetzen.

Das solltest du einrichten

  • SPF, DKIM und DMARC für deine Domain
  • Spam- und Malware-Filter auf aktuellem Stand
  • Warnhinweise bei externen Absendern
  • Blockierung gefährlicher Dateitypen

Diese Einstellungen verhindern nicht jedes Phishing. Aber sie erschweren es Angreifern deutlich, deine Domain zu missbrauchen oder Schadsoftware einzuschleusen.

Wichtig ist auch: Prüfe regelmäßig, ob diese Schutzmechanismen korrekt konfiguriert sind. Gerade bei Domain- oder Mailserver-Umstellungen gehen solche Einstellungen schnell verloren.

2. Mehrfaktor-Authentifizierung überall aktivieren

Wenn ein Passwort gestohlen wird, ist der Schaden ohne zusätzliche Absicherung oft sofort da. Deshalb gehört Mehrfaktor-Authentifizierung (MFA) zu den wichtigsten Maßnahmen überhaupt.

Besonders wichtig für

  • Microsoft 365 und Google Workspace
  • ERP- und CRM-Systeme
  • Cloud-Speicher wie OneDrive, SharePoint oder Dropbox
  • Remote-Zugänge, VPN und Admin-Konten

Am besten nutzt du eine Authenticator-App oder einen Hardware-Token. SMS-Codes sind besser als gar nichts, aber weniger sicher.

Setze MFA nicht nur für die Geschäftsführung um. Auch Buchhaltung, Vertrieb und IT-Admins brauchen sie. Denn genau diese Konten sind oft besonders wertvoll für Angreifer.

3. Zahlungen und Freigaben doppelt absichern

Phishing zielt häufig auf Geld. Ein gefälschtes Schreiben vom Chef, eine manipulierte Rechnung oder ein vermeintlicher Lieferantenwechsel können teuer werden. Deshalb reicht technischer Schutz allein nicht aus.

Diese Regeln helfen sofort

  • Zahlungsänderungen immer telefonisch gegenprüfen
  • Bankverbindungen nie nur per E-Mail akzeptieren
  • Vier-Augen-Prinzip bei Überweisungen einführen
  • Neue Empfänger vor der ersten Zahlung manuell prüfen

Besonders wirksam ist ein klarer interner Prozess: Wenn jemand per Mail eine dringende Überweisung anfordert, wird nicht direkt ausgeführt. Erst erfolgt die Prüfung über einen zweiten Kanal. Das kann ein Anruf oder ein interner Freigabeprozess sein.

So verhinderst du, dass ein einzelner gefälschter Kontakt eine Zahlung auslöst.

4. Mitarbeitende regelmäßig schulen – kurz, konkret, wiederholt

Die beste Technik hilft wenig, wenn Mitarbeitende jede Woche auf neue Betrugsmaschen hereinfallen. Gleichzeitig bringen lange Pflichtschulungen oft wenig, weil sie im Alltag verpuffen.

Besser funktioniert das so

  • Monatliche Mini-Schulungen mit echten Beispielen
  • Phishing-Beispiele aus dem eigenen Alltag zeigen
  • Kurze Lernhäppchen statt Frontalvorträge
  • Sofortiges Feedback bei Verdachtsfällen

Wichtig ist, dass die Schulung nicht abstrakt bleibt. Zeig echte Beispiele wie:

  • „Ihr Microsoft-Konto wird gesperrt“
  • „Offene Rechnung mit Anhang“
  • „Dokument wurde zur Freigabe geteilt“
  • „Paketzustellung fehlgeschlagen“

Je näher die Beispiele an euren Prozessen sind, desto besser lernen die Teams. Und: Mache klar, dass Meldungen von Verdachtsfällen erwünscht sind. Niemand sollte Angst haben, einen Fehler zuzugeben.

5. Einen klaren Meldeweg für verdächtige Mails schaffen

Viele Angriffe werden erst spät erkannt, weil Mitarbeitende nicht wissen, was sie tun sollen. Genau hier hilft ein einfacher Meldeweg.

So sieht ein guter Prozess aus

  • Verdächtige Mail nicht weiterleiten, sondern melden
  • Ein definierter Kontakt für IT oder interne Sicherheit
  • Ein zentraler Posteingang oder Ticketkanal für Meldungen
  • Klare Reaktionsregel: „Besser einmal zu viel melden als einmal zu wenig“

Am besten setzt du einen Button im Mailprogramm oder eine feste Mailadresse wie `security@firma.de` ein. Noch besser ist eine kleine interne Routine: Wer eine verdächtige Mail erkennt, markiert sie, meldet sie und löscht sie erst nach Freigabe.

Wenn du den Meldeweg einfach machst, steigen die Chancen, Angriffe früh zu stoppen.

6. Rechte und Zugänge konsequent begrenzen

Phishing wird besonders gefährlich, wenn ein kompromittiertes Konto zu viele Rechte hat. Deshalb brauchst du das Prinzip „so wenig Rechte wie möglich“.

Prüfe diese Punkte

  • Haben normale Nutzer Admin-Rechte?
  • Sind alte Konten noch aktiv?
  • Greifen Mitarbeitende auf Systeme zu, die sie gar nicht brauchen?
  • Gibt es gemeinsame Logins statt individueller Konten?

Ein gestohlenes Benutzerkonto mit Minimalrechten ist deutlich weniger gefährlich als ein Admin-Account mit Zugriff auf alles. Deshalb solltest du Rollen regelmäßig prüfen und unnötige Zugänge entfernen.

Auch bei externen Dienstleistern gilt: Nur die Zugriffe freigeben, die wirklich gebraucht werden. Sobald ein Projekt endet, sollten Konten deaktiviert werden.

7. Einen Notfallplan für Phishing vorbereiten

Trotz aller Vorsicht kann etwas durchrutschen. Entscheidend ist dann, wie schnell dein Unternehmen reagiert. Ein einfacher Notfallplan spart Zeit und verhindert Folgeschäden.

Der Plan sollte enthalten

  • Wer entscheidet im Ernstfall?
  • Wen informieren Mitarbeitende zuerst?
  • Welche Systeme werden sofort geprüft?
  • Wie werden Passwörter zurückgesetzt?
  • Wie wird der Vorfall dokumentiert?

Ein guter Plan muss nicht kompliziert sein. Eine Seite reicht oft schon, wenn die Schritte klar sind. Zum Beispiel:

1. Verdacht melden 2. Konto sperren oder Passwort ändern 3. Betroffene Mails analysieren 4. Weitere Zugriffe prüfen 5. Kunden oder Partner informieren, falls nötig

Teste diesen Ablauf einmal im Jahr mit einem kurzen internen Szenario. So weiß im Ernstfall jeder, was zu tun ist.

Typische Fehler, die du vermeiden solltest

Viele KMU setzen einzelne Maßnahmen um, aber an den falschen Stellen oder nur halbherzig. Diese Fehler sehe ich besonders oft:

  • Nur auf Technik setzen, aber keine Schulung machen
  • MFA nur für die Geschäftsführung aktivieren
  • Verdächtige Mails im Team chaotisch weiterleiten
  • Admin-Rechte zu großzügig vergeben
  • Keine Prüfung von Zahlungsänderungen einführen
  • Notfallplan nur in der Schublade lassen

Sicherheit funktioniert im Alltag. Nicht auf dem Papier. Deshalb sollten deine Maßnahmen einfach, verbindlich und wiederholbar sein.

So startest du in 30 Tagen

Wenn du Phishing in deinem KMU wirksam reduzieren willst, fang klein an. Diese Reihenfolge hat sich bewährt:

Woche 1

  • Mail-Schutz prüfen
  • MFA für kritische Konten aktivieren
  • Admin-Konten inventarisieren

Woche 2

  • Zahlungsfreigaben definieren
  • Meldeweg für verdächtige Mails einführen
  • Alte Zugänge entfernen

Woche 3

  • Erste Kurzschulung im Team durchführen
  • Echte Phishing-Beispiele zeigen
  • Notfallplan als Einseiter erstellen

Woche 4

  • Test mit einer simulierten Phishing-Mail
  • Reaktionszeiten prüfen
  • Schwachstellen nachbessern

So baust du Schutz Schritt für Schritt auf, ohne das Tagesgeschäft zu blockieren.

Fazit: Phishing lässt sich nicht komplett verhindern, aber stark reduzieren

Phishing wird nicht verschwinden. Aber du kannst die Angriffsfläche in deinem Unternehmen deutlich verkleinern. Entscheidend sind nicht einzelne Großprojekte, sondern konsequente Basics: E-Mail-Schutz, MFA, klare Zahlungsregeln, einfache Meldestrukturen, begrenzte Zugriffe und ein Notfallplan.

Für KMU zählt vor allem eines: praktikable Sicherheit, die im Alltag funktioniert. Wenn du die sieben Maßnahmen aus diesem Artikel umsetzt, machst du es Angreifern deutlich schwerer und deinem Team deutlich leichter, richtig zu reagieren.

Mein Tipp: Starte heute mit einem schnellen Check deiner wichtigsten Konten und Zahlungsprozesse. Schon kleine Verbesserungen können im Ernstfall den Unterschied machen.

Haben Sie Fragen?

Wir beraten Sie gerne zu den Themen Digitalisierung, KI-Automatisierung und IT-Sicherheit. Nehmen Sie Kontakt mit uns auf.

Kontakt aufnehmen