IT-Sicherheits-Checkliste für KMU
Erstellen Sie eine umfassende IT-Sicherheits-Checkliste per KI - von Passwortrichtlinien über Backup-Strategien bis zu Firewall-Konfiguration und Zwei-Faktor-Authentifizierung.
Der Prompt
IT-Sicherheits-Checkliste für KMU
Cyberangriffe auf kleine und mittlere Unternehmen nehmen jährlich um über 30% zu - und die meisten Sicherheitslücken entstehen durch fehlende Grundlagen. Dieser KI-Prompt erstellt Ihnen eine maßgeschneiderte IT-Sicherheits-Checkliste, die alle kritischen Bereiche abdeckt: Passwortrichtlinien, Backup-Strategie, Update-Management, Firewall-Konfiguration und Zwei-Faktor-Authentifizierung. Speziell für KMU entwickelt, die ohne eigene IT-Abteilung ein solides Sicherheitsniveau erreichen wollen.
Du bist ein erfahrener IT-Sicherheitsberater mit Spezialisierung auf kleine und mittlere Unternehmen in Deutschland. Erstelle eine umfassende, praxistaugliche IT-Sicherheits-Checkliste, die auch ohne eigene IT-Abteilung umsetzbar ist. Berücksichtige dabei DSGVO-Anforderungen und den BSI-Grundschutz. Erfrage nacheinander folgende Informationen (stelle pro Nachricht maximal 2-3 Fragen): **Unternehmensprofil:** 1. Branche und Unternehmensgroesse (Mitarbeiterzahl) 2. Art der gespeicherten Daten (Kundendaten, Gesundheitsdaten, Finanzdaten, Personaldaten?) 3. Aktuelle IT-Infrastruktur: Anzahl Computer, Server (lokal/Cloud), Netzwerkgeräte 4. Gibt es bereits einen IT-Dienstleister oder wird alles intern betreut? 5. Arbeiten Mitarbeiter auch im Homeoffice oder mobil? 6. Welche Software und Cloud-Dienste werden genutzt (Office 365, Google Workspace, branchenspezifische Software)? **Aktueller Sicherheitsstand:** 7. Gibt es eine bestehende Passwortrichtlinie? Wenn ja, wie sieht sie aus? 8. Wie werden aktuell Backups erstellt (automatisch/manuell, lokal/Cloud, Häufigkeit)? 9. Ist ein Virenschutzprogramm im Einsatz? Welches? 10. Gibt es eine Firewall (Hardware/Software)? Wird sie gewartet? 11. Wird Zwei-Faktor-Authentifizierung (2FA) bereits genutzt? Für welche Dienste? 12. Wann wurden zuletzt alle Systeme aktualisiert (Betriebssystem, Software, Firmware)? Erstelle dann eine vollständige IT-Sicherheits-Checkliste mit folgenden Bereichen: **1. PASSWORTRICHTLINIE UND ZUGANGSKONTROLLE:** - Mindestanforderungen für Passwoerter definieren (Länge, Komplexitaet, Ablauffristen) - Passwort-Manager empfehlen (z.B. Bitwarden, KeePass) mit konkreter Einrichtungsanleitung - Separate Passwoerter für jeden Dienst durchsetzen - Admin-Konten von Benutzer-Konten trennen (Principle of Least Privilege) - Sofortige Deaktivierung bei Mitarbeiter-Austritt (Offboarding-Checkliste) - Master-Passwort-Regelung für Notfälle (versiegelter Umschlag im Tresor) - Konkrete Richtlinie als kopierfertiges Dokument erstellen **2. BACKUP-STRATEGIE (3-2-1-REGEL):** - 3-2-1-Prinzip erklären und umsetzen: 3 Kopien, 2 verschiedene Medien, 1 extern/offsite - Automatische Backup-Zeitplaene erstellen (täglich inkrementell, wöchentlich voll) - Backup-Tools empfehlen je nach Infrastruktur (Veeam, Acronis, macOS Time Machine, Windows Backup) - Cloud-Backup einrichten (verschluesselt, DSGVO-konformer Anbieter in der EU) - Restore-Test planen: Mindestens quartalsmäßig prüfen, ob Backups wiederherstellbar sind - Recovery Time Objective (RTO) und Recovery Point Objective (RPO) definieren - Ransomware-Schutz: Mindestens ein Backup offline oder air-gapped **3. UPDATE- UND PATCH-MANAGEMENT:** - Automatische Updates aktivieren für Betriebssysteme (Windows Update, macOS) - Browser und Plugins aktuell halten (Chrome, Firefox, Java, Flash entfernen) - Firmware-Updates für Router, Drucker, NAS-Systeme planen - Branchensoftware-Updates: Pruefzyklus definieren - End-of-Life-Software identifizieren und Migration planen (z.B. Windows 10 Support-Ende) - Update-Zeitfenster festlegen (z.B. Freitagabend, damit Probleme am Wochenende geloest werden) - Kritische Sicherheitsupdates: Maximal 48 Stunden nach Veröffentlichung einspielen **4. FIREWALL UND NETZWERKSICHERHEIT:** - Hardware-Firewall: Empfehlung je nach Unternehmensgroesse (Fritz!Box reicht NICHT für Unternehmen) - Empfohlene Lösungen: Sophos XGS, Ubiquiti UniFi Security Gateway, pfSense - WLAN-Sicherheit: WPA3 aktivieren, Gäste-WLAN separieren, SSID-Benennung - Netzwerksegmentierung: Geräte nach Funktion trennen (Büro, IoT, Gäste) - VPN für Homeoffice einrichten (WireGuard, OpenVPN) - Port-Scan durchführen und unnoetige offene Ports schließen - DNS-Filterung einrichten (z.B. Quad9, Cloudflare for Families) gegen Phishing **5. ZWEI-FAKTOR-AUTHENTIFIZIERUNG (2FA):** - Prioritaetenliste: Welche Konten zuerst absichern (E-Mail, Cloud, Banking, Admin-Zugaenge) - 2FA-Methoden vergleichen: Authenticator-App (empfohlen) vs. SMS (unsicher) vs. Hardware-Key (am sichersten) - Authenticator-Apps empfehlen: Microsoft Authenticator, Google Authenticator, Authy - Für höchste Sicherheit: FIDO2-Hardware-Keys (YubiKey) für Admin-Zugaenge - Recovery-Codes sicher aufbewahren (ausdrucken, im Tresor) - Schritt-für-Schritt-Anleitung zur 2FA-Aktivierung für die 5 wichtigsten Dienste des Unternehmens **6. MITARBEITER-SENSIBILISIERUNG:** - Phishing-Erkennung schulen: 5 konkrete Beispiele erstellen - Social-Engineering-Szenarien durchspielen - USB-Stick-Richtlinie: Fremde Datentraeger nie am Firmenrechner anschließen - Meldekette bei Sicherheitsvorfällen definieren - Jährliche Schulung planen (Termine und Inhalte vorschlagen) **7. DSGVO-RELEVANTE SICHERHEITSMASSNAHMEN:** - Technische und organisatorische Maßnahmen (TOMs) dokumentieren - Verzeichnis der Verarbeitungstätigkeiten prüfen - Auftragsverarbeitungsvertraege (AVV) mit IT-Dienstleistern abschließen - Datenschutz-Folgenabschätzung bei risikoreichen Verarbeitungen - Meldepflicht bei Datenpannen: 72-Stunden-Frist an die Aufsichtsbehörde **8. NOTFALLPLAN:** - IT-Notfall-Kontaktliste erstellen (IT-Dienstleister, Internetprovider, Polizei, BSI) - Ransomware-Notfallplan: Was tun bei Verschluesselung? (Sofort Netzwerk trennen, Backup prüfen, NICHT zahlen) - Datenverlust-Prozedur: Wiederherstellungsschritte dokumentieren - Business Continuity: Wie arbeiten wir weiter, wenn die IT ausfaellt? Erstelle die Checkliste als strukturiertes Dokument mit Checkboxen, Prioritaeten (KRITISCH / HOCH / MITTEL) und realistischem Zeitplan für die Umsetzung. Weise am Ende darauf hin, dass diese Checkliste eine solide Grundlage bildet, aber keine professionelle IT-Sicherheitsberatung oder ein BSI-Audit ersetzt. Bei besonders schuetzenswerten Daten (Gesundheit, Finanzen) empfehle eine professionelle Sicherheitsanalyse.
Entdecken Sie alle 35+ KI-Prompts in unserer Prompt-Bibliothek
Anwendungsfälle
So setzen Sie diesen Prompt in der Praxis ein.
Handwerksbetrieb ohne IT-Abteilung absichern
Ein Elektrikermeister mit 12 Mitarbeitern hat keine IT-Fachkraft und möchte seine Systeme gegen Cyberangriffe schützen. Der Prompt erstellt eine priorisierte Checkliste mit den wichtigsten Sofortmassnahmen.
Beispiel: Betrieb mit 8 PCs, einem NAS-Server und Fritz!Box-Router. Prompt identifiziert: Fritz!Box als Firewall unzureichend, kein Backup-Konzept vorhanden, gleiche Passwörter überall. Erstellt 4-Wochen-Plan: Woche 1 Passwort-Manager, Woche 2 Backup, Woche 3 Firewall-Upgrade, Woche 4 2FA.
Arztpraxis mit Patientendaten DSGVO-konform schützen
Eine Arztpraxis verarbeitet besonders schützenswerte Gesundheitsdaten und muss höchste Sicherheitsstandards einhalten. Der Prompt berücksichtigt die speziellen Anforderungen an medizinische Daten.
Beispiel: Gemeinschaftspraxis mit 5 Ärzten, Praxisverwaltungssoftware, digitale Patientenakten. Prompt empfiehlt: Verschlüsselung aller Datenträger, separates Praxis-WLAN, Hardware-Firewall mit IDS, tägliches verschlüsseltes Backup, 2FA für alle Zugänge, Notfallplan bei Datenpanne.
Homeoffice-Arbeitsplätze sicher anbinden
Ein Unternehmen führt Homeoffice ein und muss sicherstellen, dass Mitarbeiter von zu Hause sicher auf Firmendaten zugreifen können.
Beispiel: 15 Mitarbeiter sollen von zu Hause arbeiten. Prompt erstellt: VPN-Einrichtungsanleitung (WireGuard), Mindestanforderungen an Heim-Router, Richtlinie für private Geräte (BYOD), verschlüsselte Festplatten, 2FA-Pflicht für alle Remote-Zugänge.
Nach Cyberangriff Sicherheit komplett neu aufbauen
Ein Unternehmen wurde Opfer eines Ransomware-Angriffs und muss seine IT-Sicherheit von Grund auf neu aufbauen. Der Prompt erstellt einen Wiederaufbauplan mit Priorisierung.
Beispiel: Ransomware hat alle Systeme verschlüsselt, Backup war auf demselben Server. Prompt erstellt Notfall-Checkliste: Neue saubere Systeme aufsetzen, 3-2-1-Backup sofort einrichten, alle Passwörter ändern, Hardware-Firewall installieren, Mitarbeiterschulung innerhalb 2 Wochen.
So nutzen Sie diesen Prompt
Schritt-für-Schritt-Anleitung für beste Ergebnisse.
- 1
Kopieren Sie den Prompt in ChatGPT, Claude oder Gemini und beantworten Sie die Fragen zu Ihrer aktuellen IT-Infrastruktur.
- 2
Beschreiben Sie ehrlich den aktuellen Sicherheitsstand - nur so kann die KI die richtigen Prioritäten setzen.
- 3
Geben Sie an, welche Art von Daten Sie verarbeiten, damit DSGVO-relevante Maßnahmen korrekt gewichtet werden.
- 4
Prüfen Sie die erstellte Checkliste und beginnen Sie mit den als KRITISCH markierten Punkten.
- 5
Setzen Sie den vorgeschlagenen Zeitplan um und wiederholen Sie die Checkliste quartalsmässig.
Tipps für beste Ergebnisse
Beachten Sie diese Hinweise, um das Maximum aus dem Prompt herauszuholen.
Beginnen Sie IMMER mit Passwort-Manager und 2FA - das sind die beiden Maßnahmen mit dem besten Kosten-Nutzen-Verhältnis. Ein Passwort-Manager wie Bitwarden kostet unter 3 EUR pro Mitarbeiter und Monat.
Testen Sie Ihre Backups! Ein Backup, das nie getestet wurde, ist kein Backup. Planen Sie mindestens einmal pro Quartal einen Restore-Test ein und dokumentieren Sie das Ergebnis.
Investieren Sie in eine ordentliche Hardware-Firewall. Eine Fritz!Box ist für den Heimgebrauch gedacht, nicht für Unternehmensnetzwerke. Ab 5 Mitarbeitern lohnt sich eine Sophos oder pfSense.
Schulen Sie Ihre Mitarbeiter regelmäßig: 90% aller Cyberangriffe beginnen mit einer Phishing-Mail. Eine 30-minütige Schulung pro Quartal reduziert das Risiko drastisch.
Häufig gestellte Fragen
Antworten zu diesem Prompt und seiner Nutzung.
Wie viel kostet IT-Sicherheit für ein kleines Unternehmen?
Die Grundabsicherung ist oft günstiger als erwartet: Passwort-Manager ab 3 EUR/Mitarbeiter/Monat, Cloud-Backup ab 5 EUR/Monat, Hardware-Firewall ab 300 EUR einmalig, 2FA ist meist kostenlos. Für einen Betrieb mit 10 Mitarbeitern rechnen Sie mit ca. 100-200 EUR monatlich für ein solides Sicherheitsniveau. Zum Vergleich: Ein erfolgreicher Ransomware-Angriff kostet KMU durchschnittlich 50.000-200.000 EUR.
Reicht ein Antivirenprogramm nicht als IT-Sicherheit aus?
Nein, ein Antivirenprogramm ist nur eine von vielen Schutzschichten. Moderne Cyberangriffe nutzen Phishing, Social Engineering und Zero-Day-Lücken, die kein Virenscanner erkennt. Sie brauchen einen mehrschichtigen Ansatz: Firewall, Passwortrichtlinie, 2FA, Backup, Updates und Mitarbeiterschulung. Das nennt sich Defense-in-Depth-Strategie - wenn eine Schicht versagt, schützt die nächste.
Muss ich als kleines Unternehmen die DSGVO bei IT-Sicherheit beachten?
Ja, unbedingt. Die DSGVO verlangt in Artikel 32 'geeignete technische und organisatorische Maßnahmen' zum Schutz personenbezogener Daten. Das betrifft jedes Unternehmen, das Kundendaten, Mitarbeiterdaten oder Lieferantendaten verarbeitet - also praktisch jedes Unternehmen. Bei Verstössen drohen Bußgelder bis zu 20 Millionen EUR oder 4% des Jahresumsatzes. Dokumentieren Sie Ihre Sicherheitsmassnahmen als TOMs (Technische und Organisatorische Maßnahmen).
Wie oft sollte ich meine IT-Sicherheit überprüfen?
Mindestens quartalsmässig sollten Sie die Checkliste durchgehen und prüfen, ob alle Maßnahmen noch aktuell sind. Updates und Backups sollten täglich oder wöchentlich laufen. Nach jedem Sicherheitsvorfall, Mitarbeiterwechsel oder größerer Änderung der IT-Infrastruktur ist eine sofortige Überprüfung nötig. Einmal jährlich empfiehlt sich ein externer Sicherheitscheck durch einen IT-Dienstleister.
Verwandte Prompts
Diese Prompts könnten ebenfalls für Sie interessant sein.
Lieber automatisieren lassen?
Dieser Prompt ist ein guter Anfang. Aber wenn Sie ganze Prozesse automatisieren wollen -- von Lead-Generierung über Kundenkommunikation bis Rechnungsstellung -- helfen wir Ihnen gerne persönlich weiter.
Kostenlose Erstberatung buchen