Zurück zum Blog
IT-Sicherheit

Phishing im KMU stoppen: 7 Schutzmaßnahmen, die wirken

Jonas Weber - IT-Administrator bei ProzessPilot19. Mai 20265 Min. Lesezeit

Warum Phishing für KMU so gefährlich ist

Phishing ist für kleine und mittlere Unternehmen kein Randthema. Ein einziger Klick auf eine gefälschte E-Mail kann reichen, damit Angreifer Passwörter abgreifen, Zahlungen umleiten oder ganze Postfächer übernehmen. Gerade im Mittelstand ist das Risiko hoch: Wenig Zeit, viele Rollen, oft keine eigene IT-Sicherheitsabteilung.

Die gute Nachricht: Du musst nicht sofort ein Großprojekt starten. Mit ein paar gezielten Maßnahmen lässt sich das Risiko spürbar senken. Entscheidend ist, dass du nicht nur auf Technik setzt, sondern auch auf klare Abläufe und geschulte Mitarbeitende.

1. E-Mail-Authentifizierung sauber einrichten

Der wichtigste technische Schutz gegen gefälschte Absender sind die Standards SPF, DKIM und DMARC. Sie helfen Mailservern zu prüfen, ob eine E-Mail wirklich von deiner Domain stammt.

Was du konkret tun solltest

  • SPF: Lege fest, welche Server E-Mails im Namen deiner Domain senden dürfen.
  • DKIM: Signiere ausgehende E-Mails digital.
  • DMARC: Bestimme, wie Empfänger mit verdächtigen Mails umgehen sollen.

Wichtig ist nicht nur, diese Einträge zu setzen, sondern sie auch zu überwachen. Viele KMU aktivieren DMARC zu vorsichtig oder gar nicht. Dann bleibt der Schutz schwach. Starte mit Monitoring, prüfe Berichte und ziehe die Richtlinie schrittweise an.

2. Multi-Faktor-Authentifizierung überall aktivieren

Wenn Passwörter gestohlen werden, ist MFA oft die letzte Hürde. Deshalb solltest du Multi-Faktor-Authentifizierung nicht nur für Office 365 oder Google Workspace aktivieren, sondern auch für:

  • CRM-Systeme
  • Cloud-Speicher
  • Buchhaltung
  • Remote-Zugänge
  • Passwortmanager

Besonders wichtig: Admin-Konten und Konten mit Zahlungsfreigaben. Ein Angreifer, der dort rein kommt, kann großen Schaden anrichten.

Praxis-Tipp

Nutze nach Möglichkeit App-basierte oder hardwaregestützte MFA statt SMS. SMS ist besser als nichts, aber leichter angreifbar.

3. Verdächtige E-Mails sichtbar markieren und melden

Mitarbeitende reagieren schneller, wenn sie wissen, worauf sie achten sollen. Deshalb braucht es klare Regeln im Posteingang. E-Mails mit externem Absender sollten deutlich markiert werden. Zusätzlich sollte es einen einfachen Weg geben, verdächtige Nachrichten zu melden.

So setzt du das um

  • Füge einen sichtbaren Hinweis für externe Absender ein.
  • Richte einen „Phishing melden“-Button ein.
  • Lege eine zentrale Stelle fest, die Meldungen prüft.
  • Gib klares Feedback an Mitarbeitende zurück.

So entsteht ein Frühwarnsystem. Häufig sind Kolleginnen und Kollegen die ersten, die einen Angriff bemerken.

4. Zahlungsprozesse gegen CEO-Fraud absichern

Phishing endet oft nicht beim Passwort. Ein typisches Ziel ist CEO-Fraud: Eine Mail wirkt, als käme sie von der Geschäftsführung oder einem Geschäftspartner. Dann werden Rechnungen umgeleitet oder Überweisungen ausgelöst.

Drei einfache Schutzregeln

  • Zahlungsänderungen nie nur per E-Mail freigeben.
  • Rückruf immer über bekannte Nummern, nicht über die Signatur.
  • Vier-Augen-Prinzip für alle größeren oder ungewöhnlichen Zahlungen.

Wenn dein Unternehmen regelmäßig Rechnungen verarbeitet, ist das einer der wirksamsten Hebel überhaupt. Ein klarer Freigabeprozess spart im Ernstfall viel Geld.

5. Passwörter und Zugriff über einen Passwortmanager steuern

Viele Phishing-Angriffe werden erfolgreich, weil Passwörter mehrfach verwendet oder ungeschützt geteilt werden. Ein Passwortmanager reduziert dieses Risiko deutlich.

Darauf kommt es an

  • Jeder Nutzer braucht ein eigenes, starkes Master-Passwort.
  • Freigegebene Zugänge dürfen nicht per Klartext-Mail verschickt werden.
  • Team-Zugänge sollten rollenbasiert verwaltet werden.
  • Alte, gemeinsame Passwörter müssen konsequent ersetzt werden.

Ein Passwortmanager ist auch organisatorisch wichtig. Er macht sichtbar, wer worauf Zugriff hat. Das hilft bei Offboarding, Urlaubsvertretung und Sicherheitsprüfungen.

6. Mitarbeitende kurz, regelmäßig und praxisnah schulen

Ein einmaliges Sicherheitstraining reicht nicht. Phishing verändert sich ständig. Die beste Schulung ist die, die regelmäßig stattfindet und echte Beispiele aus dem Arbeitsalltag zeigt.

Gute Schulungen sind:

  • kurz: 10 bis 15 Minuten reichen oft aus
  • konkret: mit echten oder realistischen Mail-Beispielen
  • wiederkehrend: monatlich oder quartalsweise
  • rollenbezogen: andere Risiken für Buchhaltung, Vertrieb oder Geschäftsführung

Ein Beispiel aus der Praxis: Die Buchhaltung bekommt eine scheinbar normale Rechnung mit neuer IBAN. Der Vertrieb erhält eine Mail vom „Kunden“, der dringend ein Dokument braucht. Solche Fälle sollten im Training vorkommen.

7. Notfallplan für den Ernstfall vorbereiten

Trotz aller Maßnahmen kann ein Klick passieren. Dann zählt Tempo. Ein guter Notfallplan verhindert, dass aus einem Vorfall ein größerer Schaden wird.

Der Plan sollte enthalten

  • wen Mitarbeitende sofort informieren
  • wie verdächtige Geräte oder Konten gesperrt werden
  • wie Passwörter zurückgesetzt werden
  • wie Betroffene Kunden oder Partner informiert werden
  • wann externe Hilfe eingeschaltet wird

Dokumentiere den Ablauf einfach und verständlich. Keine langen Konzepte, sondern eine Seite mit klaren Schritten. So bleibt der Plan im Ernstfall nutzbar.

Was KMU heute sofort umsetzen können

Wenn du nur wenig Zeit hast, starte mit diesen fünf Maßnahmen:

1. MFA für alle kritischen Konten aktivieren 2. SPF, DKIM und DMARC prüfen 3. Einen Meldeweg für Phishing einrichten 4. Zahlungsfreigaben per Vier-Augen-Prinzip absichern 5. Ein kurzes Awareness-Training planen

Damit schaffst du schnell ein solides Grundniveau. Die meisten Phishing-Vorfälle werden nicht durch hochkomplexe Angriffe erfolgreich, sondern durch kleine Lücken in Technik und Routine.

Typische Fehler, die du vermeiden solltest

Viele Unternehmen machen bei der Umsetzung ähnliche Fehler:

  • Nur auf Anti-Spam-Filter vertrauen
  • MFA nur für wenige Nutzer aktivieren
  • Sicherheitsregeln nicht dokumentieren
  • Schulungen zu theoretisch gestalten
  • Verdachtsmeldungen im Alltag ignorieren

Gerade der letzte Punkt ist wichtig. Wenn Mitarbeitende Meldungen absetzen, muss jemand reagieren. Sonst sinkt die Bereitschaft, künftig wieder etwas zu melden.

Fazit: Phishing-Schutz ist Chefsache, aber einfach startbar

Phishing lässt sich nicht komplett verhindern. Aber du kannst die Wahrscheinlichkeit und den möglichen Schaden deutlich senken. Für KMU ist das besonders wichtig, weil schon ein einzelner Vorfall teuer werden kann.

Der beste Ansatz ist eine Kombination aus Technik, klaren Prozessen und regelmäßiger Schulung. Fang mit MFA, E-Mail-Authentifizierung und einem einfachen Meldeweg an. Ergänze dann Freigabeprozesse, Passwortmanager und einen Notfallplan.

Wenn du deinen Phishing-Schutz im Unternehmen systematisch verbessern willst, starte heute mit einer kurzen Bestandsaufnahme. Prüfe, welche Konten noch ohne MFA laufen, ob deine Domain gegen Spoofing geschützt ist und ob Mitarbeitende verdächtige E-Mails schnell melden können. Genau dort beginnt wirksame IT-Sicherheit im KMU.

Haben Sie Fragen?

Wir beraten Sie gerne zu den Themen Digitalisierung, KI-Automatisierung und IT-Sicherheit. Nehmen Sie Kontakt mit uns auf.

Kontakt aufnehmen