IT-Sicherheitsaudit-Checkliste für Berliner KMU: 7 Domänen vor einem Sicherheitsvorfall prüfen

Ein Sicherheitsaudit ist kein Penetrationstest. Ein Pentest exploitiert aktiv Schwachstellen, um die Auswirkung zu demonstrieren. Ein Sicherheitsaudit ist eine strukturierte Überprüfung Ihrer aktuellen Kontrollen, Konfiguration und Prozesse gegen eine definierte Baseline — Lücken werden identifiziert, bevor ein Angreifer sie findet. Für die meisten Berliner KMU liefert ein gut durchgeführter interner Sicherheitsaudit unmittelbareren Mehrwert als ein Pentest, weil er die Konfigurationsschwächen adressiert, die weit häufiger ausgenutzt werden als Zero-Day-Schwachstellen.

Diese Checkliste deckt die sieben relevantesten Domänen für ein Berliner KMU ab, das unter DSGVO und zunehmend unter NIS2-nahen Anforderungen operiert.

Domäne 1: Identitäts- und Zugriffsmanagement

• ☐ MFA für alle Benutzerkonten durchgesetzt — keine Ausnahmen für Geschäftsführung oder gemeinsam genutzte Konten
• ☐ Legacy-Authentifizierungsprotokolle gesperrt (Basic Auth zu Exchange, SMTP AUTH für Nicht-Service-Konten)
• ☐ Privilegierte Konten (Global Admin, Domain Admin) werden nur bei Bedarf verwendet — nicht als täglich genutzte Konten
• ☐ Inaktive Konten deaktiviert oder gelöscht — Konten prüfen, die seit mehr als 90 Tagen nicht aktiv waren
• ☐ IT-Offboarding-Verfahren getestet: Sicherstellen, dass ausgeschiedene Mitarbeiterkonten innerhalb von 24 Stunden nach Austritt vollständig deaktiviert werden
• ☐ Kennwortrichtlinie durchgesetzt: mindestens 12 Zeichen, Komplexität, keine Wiederverwendung der letzten 10 Kennwörter
• ☐ Self-Service-Kennwortzurücksetzung (SSPR) aktiviert, um Helpdesk-Anrufe zu reduzieren

Domäne 2: Endpunktsicherheit

• ☐ Endpoint Detection and Response (EDR) auf allen Windows- und macOS-Geräten bereitgestellt — Abdeckung prüfen, nicht nur Richtlinienexistenz
• ☐ BS- und Anwendungs-Patch-Compliance: Alle Geräte innerhalb von 14 Tagen nach kritischen Sicherheitsupdates aktuell
• ☐ Festplattenverschlüsselung aktiviert und Wiederherstellungsschlüssel hinterlegt (BitLocker/FileVault)
• ☐ Lokale Administratorrechte von Standardbenutzern entfernt
• ☐ USB/Wechselmedien-Richtlinie definiert und durchgesetzt
• ☐ Gerätecompliance gegen MDM-Baseline geprüft (Intune Compliance-Bericht oder gleichwertig)
• ☐ Bildschirmsperre nach maximal 5 Minuten Inaktivität auf allen Geräten

Domäne 3: E-Mail-Sicherheit

• ☐ SPF-Record veröffentlicht und gültig — alle legitimen Sendequellen eingeschlossen, mit -all (Hard Fail) beendet
• ☐ DKIM-Signierung für Ihre Domain in M365 oder Ihrer E-Mail-Plattform konfiguriert
• ☐ DMARC veröffentlicht mit mindestens p=quarantine — p=reject ist das gehärtete Ziel
• ☐ Anti-Phishing-Richtlinien in Microsoft Defender für M365 konfiguriert
• ☐ Sichere Links und sichere Anhänge aktiviert (Defender for Office 365 Plan 1)
• ☐ Warntag für externe E-Mails aktiviert
• ☐ E-Mail-Weiterleitung an externe Adressen überprüft — automatische Weiterleitungsregeln an Gmail oder private Konten sind ein Datenexfiltrationsrisiko

Domäne 4: Netzwerksicherheit

• ☐ Firewall-Firmware aktuell — Herstellerhinweise für Ihr Modell und Ihre Version prüfen
• ☐ Remotezugriff überprüft — wenn VPN genutzt wird, sicherstellen dass MFA am VPN-Gateway durchgesetzt wird
• ☐ WLAN-Netzwerke segmentiert — Gast-WLAN im separaten VLAN, IoT-Geräte von Unternehmens-Endpunkten isoliert
• ☐ Eingehende Firewall-Regeln überprüft — Regeln mit Quelle Beliebig entfernen, wenn sie nicht operativ erforderlich sind
• ☐ RDP-Zugriff überprüft — RDP sollte niemals direkt ins Internet exponiert sein (TCP 3389)
• ☐ DNS-Filterung aktiv — bekannte bösartige Domains auf DNS-Resolver-Ebene blockieren

Domäne 5: Backup und Wiederherstellung

• ☐ Alle geschäftskritischen Daten gesichert — Umfang bestätigen: On-Premise-Server, Cloud-VMs, M365 (Exchange, SharePoint, OneDrive) und SaaS-Anwendungen
• ☐ Backup folgt der 3-2-1-Regel: 3 Kopien, 2 verschiedene Medientypen, 1 außer Haus
• ☐ Backup ist unveränderlich oder air-gapped — Ransomware kann Ihre Backups nicht erreichen und verschlüsseln
• ☐ Wiederherstellungstest in den letzten 6 Monaten durchgeführt — ein nie getestetes Backup ist kein Backup
• ☐ Wiederherstellungszeit dokumentiert: Wie lange dauert die Wiederherstellung Ihrer kritischsten Systeme aus dem Backup?
• ☐ M365-Daten per Drittlösung gesichert (Veeam, Acronis, Datto) — Microsoft bewahrt M365-Daten nur für begrenzte Zeit auf

Domäne 6: Datenschutz (DSGVO)

• ☐ Verarbeitungstätigkeiten dokumentiert (Verzeichnis von Verarbeitungstätigkeiten / VVT) — für alle Verantwortlichen nach DSGVO Artikel 30 erforderlich
• ☐ Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern abgeschlossen, die personenbezogene Daten in Ihrem Auftrag verarbeiten
• ☐ Aufbewahrungsfristen definiert und durchgesetzt
• ☐ Datenpannen-Reaktionsverfahren dokumentiert — Sie haben 72 Stunden, um die Berliner Beauftragte für Datenschutz nach DSGVO Artikel 33 zu benachrichtigen
• ☐ Datenübertragung außerhalb der EU geprüft — bei US-basierten SaaS-Anbietern Standardvertragsklauseln (SCC) oder EU-Hosting sicherstellen
• ☐ Datenschutzerklärung auf der Website aktuell und korrekt

Domäne 7: Sicherheitsbewusstsein

• ☐ Phishing-Simulation in den letzten 12 Monaten durchgeführt — Benutzer, die auf simuliertes Phishing klicken, erhalten sofort eine Schulung
• ☐ Sicherheitsbewusstseinsschulung von allen Mitarbeitern abgeschlossen — mindestens jährlich, vierteljährlich bevorzugt für Risikopositionen (Finanzen, HR, Führungskräfte)
• ☐ Social-Engineering-Verfahren definiert: Was soll ein Mitarbeiter tun, wenn er einen verdächtigen Anruf erhält, der vorgibt IT-Support oder die Bank zu sein?
• ☐ Vorfallmeldeprozess kommuniziert — Mitarbeiter wissen, wie und wo sie einen vermuteten Sicherheitsvorfall melden sollen
• ☐ IT-Asset-Rückgabeverfahren für Remote-Mitarbeiter dokumentiert und getestet

Bewertung und Priorisierung

Nach Abschluss des Audits bewerten Sie jede Domäne nach dem Prozentsatz der implementierten Kontrollen. Für die meisten Berliner KMU, die dieses Audit zum ersten Mal durchführen, zeigen die Domänen Identität und Backup die kritischsten Lücken. MFA ist in KMUs noch nicht universell durchgesetzt, und getestete Backup-Wiederherstellung ist die Ausnahme, nicht die Regel. Beides sind hochwertige, erreichbare Verbesserungen, die Ihre Exposition erheblich reduzieren.

Wer das Audit durchführen sollte

Ein internes IT-Team kann diese Checkliste ausführen, aber es gibt strukturelle Einschränkungen: Die Person, die die Infrastruktur verwaltet, auditiert ihre eigene Arbeit. Für DSGVO-Compliance-Dokumentation oder Berichte an Geschäftsführung oder Investoren hat ein unabhängiges Audit durch Dritte mehr Gewicht und deckt blinde Flecken auf, die interne Teams mit der Zeit normalisieren.

Wenn Sie eine unabhängige Überprüfung Ihrer Sicherheitslage gegen diese Baseline wünschen, deckt unsere kostenlose IT-Analyse die Domänen Identität, Endpunkt, E-Mail und Backup ab und gibt Ihnen innerhalb einer Woche eine priorisierte Mängelliste.