IT-Sicherheit für Unternehmen: Die vollständige Referenz
Endpoint Security, Multi-Faktor-Authentifizierung, Passwortmanager, Passkeys und Zero Trust – was hinter den Begriffen steckt, wie sie zusammenspielen und womit Sie in Ihrem Unternehmen anfangen sollten.
- 1. Die Bausteine im Überblick
- 2. Was ist Endpoint Security?
- 3. Multi-Faktor-Authentifizierung (MFA)
- 4. Passwortmanager: Warum sie Pflicht sein sollten
- 5. Passkeys: Die Zukunft ohne Passwort?
- 6. Zero Trust: Vertrauen ist keine Sicherheitsstrategie
- 7. Firewall und Backup: die anderen zwei Bausteine
- 8. Checkliste: IT-Sicherheits-Grundschutz
- 9. Fazit
Die Bausteine im Überblick
IT-Sicherheit für Unternehmen besteht nicht aus einer einzigen Maßnahme, sondern aus mehreren Schichten, die sich gegenseitig ergänzen. Fällt eine Schicht aus oder wird umgangen, fangen die anderen den Angriff im besten Fall trotzdem ab. Dieses Prinzip nennt man Defense in Depth (mehrschichtige Verteidigung). Die zentralen Bausteine für die meisten Unternehmen sind:
- Netzwerkebene: Firewall – schützt die Grenze zwischen Ihrem Netzwerk und dem Internet.
- Geräteebene: Endpoint Security – schützt einzelne Rechner, Laptops und Server.
- Zugangsebene: MFA, Passwortmanager, Passkeys – schützen, wer sich mit welchen Zugangsdaten anmelden kann.
- Architekturebene: Zero Trust – die grundsätzliche Haltung, wie viel Vertrauen einem Gerät oder Nutzer automatisch entgegengebracht wird.
- Datenebene: Backup – die letzte Verteidigungslinie, wenn alle anderen Schichten versagt haben.
Firewall und Backup haben wir bereits in eigenen, ausführlichen Artikeln behandelt (Links am Ende des jeweiligen Abschnitts). Dieser Artikel konzentriert sich auf die übrigen, ebenso wichtigen Bausteine.
Was ist Endpoint Security?
Endpoint Security bezeichnet den Schutz einzelner Endgeräte – Notebooks, Desktop-PCs, Server und zunehmend auch mobile Geräte – vor Schadsoftware und Angriffen. Moderne Endpoint-Security-Lösungen gehen weit über klassisches Antivirus hinaus:
- Signaturbasierte Erkennung: Bekannte Schadsoftware wird anhand digitaler "Fingerabdrücke" erkannt und blockiert – die klassische Antivirus-Funktion.
- Verhaltensbasierte Erkennung (EDR – Endpoint Detection and Response): Verdächtiges Verhalten (z.B. massenhaftes Verschlüsseln von Dateien, typisch für Ransomware) wird erkannt, auch wenn die konkrete Schadsoftware noch unbekannt ist.
- Automatisierte Reaktion: Bei Erkennung einer Bedrohung kann das betroffene Gerät automatisch vom Netzwerk isoliert werden, bevor sich die Infektion ausbreitet.
- Zentrale Verwaltung: Ein Überblick über den Sicherheitsstatus aller Geräte an einer Stelle, statt Einzellösungen ohne Zusammenhang.
Wichtig: Endpoint Security ersetzt keine Firewall und umgekehrt. Die Firewall schützt die Netzwerkgrenze, Endpoint Security das einzelne Gerät – beide Ebenen werden für einen vollständigen Schutz gebraucht.
Multi-Faktor-Authentifizierung (MFA)
MFA verlangt neben dem Passwort einen zweiten (oder dritten) Nachweis der Identität – meist einen Code aus einer App, einen Fingerabdruck oder eine Bestätigung auf dem Smartphone. Der Effekt ist erheblich: Selbst wenn ein Passwort gestohlen oder erraten wird, kann sich ein Angreifer ohne den zweiten Faktor trotzdem nicht anmelden.
- Authenticator-App (z.B. Microsoft Authenticator): Erzeugt zeitbasierte Codes oder sendet Bestätigungsanfragen – der heute übliche Standard.
- SMS-Codes: Besser als gar keine MFA, aber anfälliger für bestimmte Angriffe (SIM-Swapping) als App-basierte Verfahren.
- Hardware-Token (z.B. YubiKey): Physischer Schlüssel, besonders sicher, aber mit Anschaffungskosten und Verwaltungsaufwand verbunden.
- Biometrie: Fingerabdruck oder Gesichtserkennung, meist in Kombination mit einem Gerät (siehe auch Passkeys weiter unten).
Die Umsetzung sollte nicht optional, sondern für alle Nutzer und alle geschäftskritischen Systeme verpflichtend sein. Viele erfolgreiche Angriffe auf Unternehmen wären mit aktivierter MFA gescheitert, selbst wenn Zugangsdaten durch Phishing erbeutet wurden.
Passwortmanager: Warum sie Pflicht sein sollten
Ein Passwortmanager speichert Zugangsdaten verschlüsselt und ermöglicht es, für jeden Dienst ein individuelles, komplexes Passwort zu verwenden, ohne sich alle merken zu müssen. Das löst das häufigste Passwortproblem in Unternehmen: die Wiederverwendung desselben (oft schwachen) Passworts für mehrere Dienste.
- Einzigartige Passwörter pro Dienst: Wird ein Dienst gehackt und Zugangsdaten geleakt, bleiben alle anderen Konten unberührt.
- Komplexität ohne Merkaufwand: Lange, zufällige Passwörter sind sicherer und müssen dank Passwortmanager nicht auswendig gelernt werden.
- Zentrale Freigabe im Team: Geschäftliche Passwortmanager erlauben es, Zugänge sicher im Team zu teilen, ohne Passwörter per Chat oder E-Mail zu verschicken.
- Warnung bei kompromittierten Passwörtern: Viele Passwortmanager prüfen automatisch, ob gespeicherte Passwörter in bekannten Datenlecks aufgetaucht sind.
Praxis-Tipp: Ein unternehmensweiter Passwortmanager mit zentraler Verwaltung ist Excel-Listen oder Post-its am Monitor haushoch überlegen – der Umstieg lohnt sich unabhängig von der Unternehmensgröße.
Passkeys: Die Zukunft ohne Passwort?
Passkeys sind ein neueres Authentifizierungsverfahren, das Passwörter komplett ersetzen soll. Statt eines Passworts wird ein kryptografisches Schlüsselpaar verwendet: Ein privater Schlüssel bleibt sicher auf Ihrem Gerät (Smartphone, Laptop), ein öffentlicher Schlüssel liegt beim jeweiligen Onlinedienst. Die Anmeldung erfolgt per Biometrie (Fingerabdruck, Gesichtserkennung) oder Geräte-PIN.
- Kein Passwort mehr zu merken oder zu stehlen: Da nie ein geheimes Passwort übertragen wird, laufen klassische Phishing-Angriffe ins Leere.
- Geräte-gebunden: Der private Schlüssel verlässt nie Ihr Gerät – ein Angreifer bräuchte physischen Zugriff darauf.
- Wachsende Unterstützung: Microsoft, Google, Apple und immer mehr Onlinedienste unterstützen Passkeys bereits.
- Noch nicht überall verfügbar: Viele Business-Anwendungen und interne Systeme unterstützen Passkeys noch nicht flächendeckend – ein vollständiger Umstieg ist aktuell für die meisten Unternehmen noch nicht möglich.
Für die Praxis bedeutet das: Passkeys sind dort sinnvoll einzuführen, wo sie bereits unterstützt werden (z.B. Microsoft-Konten), ersetzen aber aktuell noch nicht vollständig MFA und Passwortmanager für alle Systeme.
Zero Trust: Vertrauen ist keine Sicherheitsstrategie
Zero Trust ist kein einzelnes Produkt, sondern ein Sicherheitsprinzip: Kein Gerät, kein Nutzer und keine Anwendung wird automatisch vertraut – auch nicht, wenn sie sich bereits "innerhalb" des Firmennetzwerks befinden. Jeder Zugriff wird einzeln geprüft und autorisiert, unabhängig vom Standort.
- "Niemals vertrauen, immer verifizieren": Der Kerngedanke hinter Zero Trust – auch ein Gerät im Büro-WLAN erhält nicht automatisch Vertrauen.
- Kontextbasierter Zugriff: Zugriffsentscheidungen berücksichtigen Faktoren wie Standort, Gerätezustand und Tageszeit, statt pauschal "im Netzwerk = vertrauenswürdig" anzunehmen.
- Mikrosegmentierung: Das Netzwerk wird in kleinere Bereiche unterteilt, sodass sich ein Angreifer bei einem erfolgreichen Einbruch nicht frei im gesamten Netzwerk bewegen kann.
- Praktischer Einstieg für KMU: Muss nicht auf einen Schlag umgesetzt werden – MFA für alle Zugriffe, konsequente Rechtevergabe nach dem Prinzip der geringsten Berechtigung und Netzwerksegmentierung sind bereits wichtige erste Schritte in Richtung Zero Trust.
Für die meisten kleinen und mittleren Unternehmen ist Zero Trust weniger ein konkretes Projekt als eine schrittweise Weiterentwicklung bestehender Sicherheitsmaßnahmen in diese Richtung – MFA, saubere Rechtevergabe und Netzwerksegmentierung sind die praktischen Bausteine, mit denen die meisten Betriebe bereits anfangen können.
Firewall und Backup: die anderen zwei Bausteine
Zu einer vollständigen IT-Sicherheitsstrategie gehören neben den oben genannten Bausteinen auch eine professionelle Firewall und eine solide Backup-Strategie – beide haben wir bereits ausführlich in eigenen Artikeln behandelt:
- Brauche ich überhaupt eine Firewall? – warum eine Router-Firewall allein nicht ausreicht.
- Backup-Lösungen für Unternehmen – die vollständige Referenz zu 3-2-1-Regel, Immutable Backup und mehr.
Checkliste: IT-Sicherheits-Grundschutz
- Ist MFA für alle Nutzer und alle geschäftskritischen Systeme verpflichtend aktiviert?
- Nutzt Ihr Unternehmen einen zentralen Passwortmanager statt individueller, wiederverwendeter Passwörter?
- Läuft auf allen Geräten eine zentral verwaltete Endpoint-Security-Lösung mit Verhaltenserkennung (EDR)?
- Ist geprüft, wo Passkeys bereits sinnvoll eingeführt werden könnten (z.B. Microsoft-Konten)?
- Wird das Prinzip der geringsten Berechtigung angewendet – haben Nutzer nur Zugriff auf das, was sie wirklich brauchen?
- Gibt es eine professionelle Firewall, die über die Standard-Router-Funktion hinausgeht?
- Ist eine getestete Backup-Strategie nach 3-2-1(-1-0) vorhanden?
Fazit
Keiner der genannten Bausteine – Endpoint Security, MFA, Passwortmanager, Passkeys oder Zero Trust – ersetzt die anderen. Erst im Zusammenspiel entsteht eine belastbare IT-Sicherheit, die auch bei einem einzelnen Fehlschlag (ein geklicktes Phishing-Link, ein gestohlenes Passwort) nicht sofort zum Totalschaden führt. Für die meisten Unternehmen ist MFA plus ein zentraler Passwortmanager der wirkungsvollste erste Schritt – die anderen Bausteine lassen sich darauf aufbauend schrittweise ergänzen.
Wie steht es um Ihre IT-Sicherheit?
Wir prüfen Ihre aktuelle Absicherung im IT-Check und zeigen konkret, wo die größten Lücken liegen – von Endpoint Security bis Zero Trust.
Zu IT-Sicherheit & Cybersecurity