Zum Inhalt

IT-Sicherheits-Prüfliste

IT-Sicherheits-Prüfliste für kleine Unternehmen und Selbständige

Diese Prüfliste fasst alle Checklisten des Guides in einem Dokument zusammen. Sie ist kein Test – sie ist ein Arbeitsinstrument. Geh sie einmal pro Jahr durch, oder immer dann wenn sich etwas Wesentliches ändert: neuer IT-Dienstleister, neue Mitarbeiter, Umzug, neue Cloud-Dienste.

Nicht jeder Punkt ist für jedes Unternehmen gleich relevant. Ein Soloselbständiger ohne Mitarbeiter überspringt die Abschnitte zu Mitarbeiterverwaltung. Wer keine eigene Domain betreibt, überspringt DNS. Konzentriere dich auf das, was für deine konkrete Situation zutrifft.

Legende: Du = Inhaber/Verantwortliche/r · IT = IT-Dienstleister · G = Gemeinsam

1. Domain & DNS

  • Ich bin der registrierte Inhaber meiner Domain – nicht mein Webdesigner oder Hoster. (du)
  • Ich habe Zugang zum Konto bei meinem Registrar und kenne das Passwort. (du)
  • Die automatische Verlängerung ist aktiviert und die Zahlungsmethode ist aktuell. (du)
  • Das Ablaufdatum meiner Domain ist in meinem Kalender eingetragen. (du)
  • Ich habe eine Kopie meiner DNS-Einträge im Notfalldokument. (du)
  • Ich weiß, wie ich im Notfall den A-Record und den MX-Record meiner Domain ändern kann. (du)

2. E-Mail

  • Meine geschäftliche E-Mail läuft über eine eigene Domain – nicht über @gmail.com, @web.de o. ä. (du)
  • SPF-Record ist eingetragen und korrekt – geprüft mit mxtoolbox.com. (IT)
  • Alle Dienste, die E-Mails in meinem Namen versenden, sind im SPF-Record aufgeführt. (IT)
  • DKIM ist für alle sendenden Dienste eingerichtet. (IT)
  • DMARC ist eingerichtet – mindestens mit p=none und einer Reporting-Adresse. (IT)
  • Spam-Filter ist aktiv. (IT)
  • E-Mail-Anhänge werden auf Viren geprüft. (IT)
  • Meine E-Mails werden lokal archiviert und sind Teil meines Backups. (IT / du)
  • Ich habe eine alternative Kontaktmöglichkeit für den Fall eines E-Mail-Ausfalls. (du)
  • Meine Kunden kennen mindestens eine weitere Möglichkeit, mich zu erreichen. (du)
  • Ich weiß, wie ich den MX-Record meiner Domain ändern kann, wenn ich den E-Mail-Anbieter wechseln muss. (du)
  • Mitarbeiter sind für Phishing sensibilisiert. (du)

3. Passwörter & Zwei-Faktor-Authentifizierung

  • Ich nutze einen Passwort-Manager für alle wichtigen Dienste. (du)
  • Jeder Dienst hat ein eigenes, starkes Passwort – kein Passwort wird mehrfach verwendet. (du)
  • Ich habe meine E-Mail-Adresse auf haveibeenpwned.com geprüft. (du)
  • Standard-/Werkspasswörter wurden bei allen Geräten und Diensten geändert. (IT / du)
  • Keine Passwörter in unverschlüsselten Dateien oder auf Post-its. (du)
  • 2FA ist für alle E-Mail-Konten aktiv. (du)
  • 2FA ist für alle Cloud-Dienste aktiv. (du)
  • 2FA ist für VPN/Remote-Zugriff aktiv. (IT)
  • Ich nutze TOTP (App) statt SMS als zweiten Faktor, wo immer möglich. (du)
  • Backup-Codes für alle 2FA-geschützten Dienste sind sicher aufbewahrt – nicht nur auf dem Smartphone. (du)
  • Die wichtigsten Zugangsdaten sind im Notfalldokument dokumentiert. (du)

4. Geräte & Updates

  • Automatische Updates sind für Betriebssystem und alle wichtigen Programme aktiviert. (IT / du)
  • Browser-Erweiterungen sind auf das Minimum reduziert und aktuell. (du)
  • Buchhaltungssoftware und Branchensoftware werden mindestens quartalsweise manuell auf Updates geprüft. (du)
  • Router-Firmware ist aktuell. (IT / du)
  • NAS-Firmware und NAS-Pakete sind aktuell (falls NAS vorhanden). (IT / du)
  • Ich habe geprüft, ob eingesetzte Software noch im Hersteller-Support ist (kein End-of-Life). (IT / du)
  • Ein einfaches Software-Inventar mit Versionsständen ist angelegt. (IT / du)
  • Mein Smartphone hat eine starke Bildschirmsperre und aktuelle Software. (du)
  • Die Fernlösch-Funktion ist auf Laptop und Smartphone eingerichtet und getestet. (IT)
  • Ich weiß, was ich in den ersten Stunden nach einem Gerätediebstahl tun muss. (du)
  • Kein lokaler Admin-Account wird für den Alltag genutzt. (IT)
  • Bildschirmsperre greift nach spätestens 5 Minuten Inaktivität. (IT / du)
  • Keine unbekannten USB-Geräte werden angeschlossen. (du)

5. Verschlüsselung

  • Festplattenverschlüsselung ist auf allen Laptops aktiv (FileVault / BitLocker / LUKS). (IT)
  • Bei BitLocker: Die Online-Speicherung des Schlüssels ist geprüft und eine bewusste Entscheidung getroffen. (du)
  • Der Wiederherstellungsschlüssel ist sicher aufbewahrt – getrennt vom Gerät, z. B. im Passwort-Manager oder Notfalldokument. (du)
  • Mein Smartphone hat eine Bildschirmsperre – damit ist die Geräteverschlüsselung aktiv. (du)
  • Mein NAS verschlüsselt zumindest die Ordner mit sensiblen Daten. (IT / du)
  • Externe Festplatten und USB-Sticks mit sensiblen Daten sind verschlüsselt. (IT / du)
  • Für besonders sensible Cloud-Daten nutze ich clientseitige Verschlüsselung – z. B. mit Cryptomator. (du)

6. Backups

  • Ich habe mindestens zwei Backup-Kopien meiner Daten – zusätzlich zum Original. (IT / du)
  • Meine Backups liegen auf mindestens zwei verschiedenen Medien oder Diensten. (IT / du)
  • Mindestens eine Backup-Kopie befindet sich außerhalb meines Büros oder Zuhauses. (IT / du)
  • Ich nutze eine echte Backup-Lösung – keine reine Cloud-Synchronisierung. (IT / du)
  • Mein Backup bewahrt Versionen für mindestens 30 Tage auf. (IT)
  • Meine externe Backup-Festplatte ist nicht dauerhaft angeschlossen – oder ich nutze Object Lock. (IT / du)
  • Alle Backups – lokal und in der Cloud – sind verschlüsselt. (IT)
  • Bei Cloud-Backups ist clientseitige Verschlüsselung aktiv. (IT)
  • Der Verschlüsselungsschlüssel ist sicher und getrennt vom Backup aufbewahrt. (du)
  • Ich erhalte aktive Benachrichtigungen, wenn ein Backup fehlschlägt. (IT)
  • Ich habe mein Backup zuletzt getestet und die Wiederherstellung funktioniert. (IT / du)
  • Steuerrelevante Daten werden mindestens 10 Jahre aufbewahrt. (du)

Falls NAS vorhanden:

  • Mir ist bewusst, dass RAID kein Backup ist – ich habe ein separates Backup meines NAS. (du)
  • Das NAS-Backup enthält eine physisch getrennte Kopie und eine Offsite-Kopie. (IT / du)
  • Auf meinem NAS laufen nur Dienste, die ich aktiv nutze – alle anderen sind deaktiviert. (IT)
  • Das NAS ist nicht direkt aus dem Internet erreichbar, oder der Zugang ist per VPN abgesichert. (IT)

7. Netzwerk & Internet

  • Router-Modell und Firmware sind aktuell. (IT / du)
  • Standard-Passwort des Routers wurde geändert. (IT / du)
  • Gäste-WLAN ist vom Arbeitsnetz getrennt. (IT)
  • WLAN-Verschlüsselung ist WPA2 oder WPA3. (IT / du)
  • Fernzugriff läuft über VPN, nicht über offene Ports. (IT)
  • Meine Zugangsdaten für den Internetanschluss sind notiert und im Notfalldokument. (du)
  • Ich habe ein aktuelles Backup der Router-Konfiguration. (IT)
  • Ich weiß, wie ich meinen Smartphone-Hotspot aktiviere, und habe ihn mindestens einmal getestet. (du)
  • Mein Mobilfunktarif erlaubt Hotspot-Nutzung. (du)
  • Die Störungs-Hotline meines Providers ist im Notfalldokument eingetragen. (du)
  • In öffentlichen WLANs nutze ich eine VPN-Verbindung oder den eigenen Hotspot. (du)
  • Das automatische Verbinden mit bekannten WLANs ist auf meinen Geräten deaktiviert. (du)

8. Cloud-Dienste & Plattformen

  • Meine wichtigsten Cloud-Daten sind Teil meines normalen Backups. (IT / du)
  • Als Wiederherstellungskontakt ist eine E-Mail-Adresse hinterlegt, die nicht beim selben Anbieter liegt. (du)
  • Ich nutze für kritische Funktionen nicht ausschließlich einen einzigen Anbieter. (du)
  • Ich weiß, wo ich den Support meiner wichtigsten Cloud-Anbieter erreiche – und habe die Kontaktdaten notiert. (du)
  • Meine wichtigsten laufenden Projektdaten sind auch lokal verfügbar, nicht nur in der Cloud. (du)
  • Datenstandort meiner Cloud-Dienste ist bekannt und DSGVO-konform (EU/EWR bevorzugt). (du)
  • Exit-Strategie ist vorhanden: Daten können bei Bedarf exportiert werden. (du)

9. Social Media & Online-Präsenz

  • Ich habe eine eigene Website als unabhängigen Ankerpunkt – unabhängig von Plattformen. (du)
  • Ich baue aktiv eine E-Mail-Liste auf – als plattformunabhängigen Kontaktkanal. (du)
  • Meine Inhalte existieren zuerst auf meiner Website, dann auf Plattformen. (du)
  • Ich exportiere meine LinkedIn-Kontakte regelmäßig. (du)
  • Ich nutze „Mit Facebook/Google anmelden" nicht als einzigen Login für wichtige Dienste. (du)
  • Auf meinen Social-Media-Konten sind E-Mail-Adresse und Telefonnummer aktuell hinterlegt. (du)
  • Ich habe einen Notfallkontakt auf meinen wichtigsten Plattformen – jemand, der im Fall einer Sperrung in meinem Netzwerk kommunizieren kann. (du)

10. Kommunikations-Redundanz

  • Ich habe einen vorbereiteten Notfallhinweis-Text für meine Website – bereit zum schnellen Aktivieren. (du)
  • Ich weiß, wie ich auf meiner Website kurzfristig einen Hinweis schalten kann, ohne meinen Webdesigner anrufen zu müssen. (du)
  • Meine Mobilnummer ist auf mich registriert – nicht auf einen Anbieter oder Arbeitgeber. (du)
  • Ich habe eine zweite SIM oder eSIM bei einem anderen Anbieter als Fallback. (du)
  • WhatsApp oder andere Messenger sind auf einem Zweitgerät eingerichtet oder als verknüpftes Gerät aktiv. (du)
  • Wichtige Kunden kennen mindestens zwei Wege, mich zu erreichen. (du)
  • Mein Kommunikations-Notfallset ist im Notfalldokument dokumentiert. (du)

11. Dritte & externe Zugänge

  • Ich gebe keine eigenen Zugangsdaten an Dritte weiter – stattdessen richte ich separate Konten ein. (du)
  • Dritte erhalten nur die Rechte, die sie für ihre konkrete Aufgabe brauchen. (du)
  • Ich führe eine einfache Liste: Wer hat aktuell Zugang zu was? (du)
  • Zeitlich begrenzte Zugänge haben ein Ablaufdatum oder einen Kalendereintrag zum Widerrufen. (du)
  • Bei Beendigung einer Zusammenarbeit entziehe ich den Zugang aktiv am selben Tag. (du)
  • Geteilte Passwörter werden nach Beendigung der Zusammenarbeit geändert. (du)
  • Den Steuerberater-Zugang habe ich über die Freigabefunktion meiner Buchhaltungssoftware eingerichtet, nicht über E-Mail-Anhänge. (du)
  • IT-Fernzugriff gewähre ich nur aktiv und gezielt – nie auf unaufgeforderte Anfrage. (du)
  • Alle Fernwartungssitzungen werden protokolliert. (IT)

12. Virenschutz & Schutz vor Schadsoftware

  • Virenschutz-Software ist auf allen Geräten installiert und aktuell. (IT / du)
  • Automatische Signatur-Updates sind aktiv. (IT)
  • Ransomware-Schutz ist aktiviert. (IT)
  • Web-Filter / DNS-Schutz für gefährliche Websites ist aktiv. (IT)
  • Browser und Browser-Plugins sind aktuell und auf das Minimum reduziert. (IT / du)
  • Es werden keine raubkopierten oder nicht vertrauenswürdigen Softwarequellen genutzt. (du)
  • Lizenzen des Virenschutzes sind aktuell. (du)

13. Social Engineering & Phishing

  • Ich prüfe die tatsächliche Absenderadresse bei verdächtigen E-Mails, nicht nur den Anzeigenamen. (du)
  • Ich klicke nicht auf Links in E-Mails, die ich nicht erwartet habe – ich rufe die Website direkt auf. (du)
  • Ich öffne keine Anhänge aus unbekannten oder verdächtigen Quellen. (du)
  • Geänderte Bankverbindungen bestätige ich immer telefonisch. (du)
  • Ich weiß, was ich tun muss, wenn ich auf eine Phishing-Mail hereingefallen bin – inklusive Session-Terminierung. (du)
  • Ich weiß, wo ich in meinen wichtigsten Diensten alle aktiven Sitzungen beenden kann. (du)

14. KI-Tools sicher nutzen

  • Ich weiß, welches KI-Tool ich nutze und wie es meine Daten verarbeitet. (du)
  • Ich gebe keine personenbezogenen Kundendaten in öffentliche KI-Tools ein. (du)
  • Ich habe die Datenschutzeinstellungen meines KI-Tools geprüft – insbesondere ob Eingaben zum Training genutzt werden. (du)
  • Für meinen Beruf relevante Schweigepflichten habe ich bei meiner KI-Nutzung berücksichtigt. (du)
  • Ich prüfe KI-Output auf Fakten und Richtigkeit, bevor ich ihn weitergebe. (du)
  • Ich habe mit wichtigen Auftraggebern geklärt, ob der Einsatz von KI erlaubt ist. (du)
  • Ich lade keine biometrischen Daten (Fotos, Stimme, Videos) in KI-Tools hoch, bei denen ich keine Transparenz über die Datenverwendung habe. (du)
  • Bei KI-Agenten habe ich das Prinzip minimaler Berechtigungen angewendet – der Agent hat nur Zugriff auf das, was er wirklich braucht. (du)
  • Dokumente aus unbekannten Quellen lasse ich nicht ungeprüft durch KI-Agenten verarbeiten. (du)
  • Ich habe einen AVV mit meinem KI-Anbieter abgeschlossen, wenn ich personenbezogene Daten verarbeite. (du)
  • KI-generierte Inhalte, die Menschen täuschen könnten, kennzeichne ich als KI-generiert. (du)
  • Meine Mitarbeitenden sind über den korrekten und sicheren Umgang mit KI-Tools informiert (AI Literacy nach Art. 4 AI Act). (du)

15. Datenschutz & DSGVO

  • Ich führe ein Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO. (du)
  • Für jede Verarbeitungstätigkeit ist eine Rechtsgrundlage nach Art. 6 DSGVO benannt. (du)
  • Drittlandübermittlungen sind im VVT dokumentiert – mit der jeweiligen Garantie (SCCs, DPF o. ä.). (du)
  • Löschfristen sind für jede Datenkategorie festgelegt und werden eingehalten. (du)
  • Die TOMs sind im VVT dokumentiert – Verschlüsselung, Backup, Zugangsschutz (Art. 32 DSGVO). (du)
  • Meine Datenschutzerklärung ist deckungsgleich mit dem VVT. (du)
  • Datenschutzbeauftragter ist bestellt, falls erforderlich. (du)
  • Ich weiß, wie ich auf Auskunfts- oder Löschanfragen von Betroffenen reagiere. (du)
  • Mein Cookie-Banner (falls vorhanden) ermöglicht echte Ablehnung ohne Umwege. (du)
  • Mein Newsletter-Verteiler basiert auf dokumentierten Double-Opt-in-Einwilligungen. (du)
  • Die Kontaktdaten meiner zuständigen Landesdatenschutzbehörde sind im Notfalldokument. (du)
  • Ich weiß, was im Falle einer Datenpanne zu tun ist – Meldung innerhalb von 72 Stunden (Art. 33 DSGVO). (du)

Auftragsverarbeitungsverträge (AVV):

  • AVV mit IT-Dienstleister ist geschlossen. (du)
  • AVV mit allen genutzten Cloud-Anbietern ist vorhanden. (du)
  • AVV mit Hosting-Provider / Website-Betreiber ist vorhanden. (du)
  • Alle AVVs sind aktuell und vollständig – jährliche Prüfung. (du)

16. Website & Recht

  • Mein Impressum enthält alle Pflichtangaben – E-Mail-Adresse und mindestens einen weiteren schnellen Kontaktweg. (du)
  • Das Impressum ist über einen gut sichtbaren Link auf jeder Seite meiner Website erreichbar. (du)
  • Meine Datenschutzerklärung ist vollständig und deckt alle Dienste ab, die ich tatsächlich nutze. (du)
  • Ich überprüfe Impressum und Datenschutzerklärung mindestens jährlich. (du)
  • Alle Bilder auf meiner Website stammen aus eigener Erstellung oder von lizenzierten Quellen. (du)
  • Für alle Fotos mit erkennbaren Personen habe ich schriftliche Einwilligungen. (du)
  • Alle eingesetzten Schriften (Fonts) sind für kommerzielle Nutzung lizenziert. (du)
  • Meine SSL-Konfiguration ist geprüft und aktuell (mindestens A-Rating bei SSL Labs). (IT)
  • Ich nutze regelmäßig einen automatischen Scanner zur Prüfung auf neue Tracker. (du)
  • Meine AGB wurden anwaltlich geprüft (falls vorhanden). (du)
  • Meine Rechnungen enthalten alle Pflichtangaben. (du)

17. Berufsgeheimnisträger (nur relevant für Ärzte, Anwälte, Steuerberater, Notare, Wirtschaftsprüfer)

  • Alle Endgeräte, auf denen geschützte Daten gespeichert oder verarbeitet werden, sind verschlüsselt. (IT)
  • Alle Mitarbeiter sind schriftlich (bei Notaren förmlich) zur Verschwiegenheit verpflichtet. (du)
  • Bei Ausscheiden von Mitarbeitern werden alle Zugangsdaten geändert und Geräte zurückgegeben. (du)
  • Mit jedem externen Dienstleister mit Datenzugriff liegt sowohl ein AVV als auch eine Verschwiegenheitsverpflichtung nach § 203 Abs. 4 StGB vor. (du)
  • Die Verträge enthalten das Need-to-know-Prinzip und eine Regelung zur Subunternehmerbeauftragung. (du)
  • Ärzte/Zahnärzte/Psychotherapeuten: Anforderungen der KBV/KZBV IT-Sicherheitsrichtlinie nach § 390 SGB V sind umgesetzt. (IT / du)
  • Rechtsanwälte: Dienstleisterverträge berücksichtigen § 43e BRAO. (du)
  • Steuerberater: Dienstleisterverträge berücksichtigen § 62a StBerG; Mitarbeiterverpflichtungen nach § 62 StBerG sind dokumentiert. (du)
  • Notare: Beschäftigte Personen sind förmlich nach § 26 BNotO verpflichtet. (du)
  • Wirtschaftsprüfer: Mitarbeiterverpflichtungen nach § 50 WPO sind dokumentiert. (du)

18. Notfallplanung & Krisenmanagement

Vorbereitung:

  • Kontaktdaten der zuständigen Landesdatenschutzbehörde sind im Notfalldokument. (du)
  • Kontaktdaten der ZAC (Zentrale Ansprechstelle Cybercrime) meines Bundeslandes sind im Notfalldokument. (du)
  • BSI-Warnmeldungen sind abonniert (bsi.bund.de). (du)
  • Ein IT-Dienstleister mit Incident-Response-Erfahrung ist identifiziert und seine Nummer im Notfalldokument. (du)
  • Eine zweite E-Mail-Adresse bei einem anderen Anbieter ist eingerichtet und meinen wichtigsten Kunden bekannt. (du)
  • Eine Offline-Kundenliste (Name, E-Mail, Telefon) ist aktuell und offline verfügbar. (du)
  • Mein aktuellstes Backup liegt offline – nicht synchronisiert mit dem Primärsystem. (IT / du)
  • Cyber-Versicherung ist vorhanden; Notfall-Hotline ist im Notfalldokument eingetragen. (du)
  • Notfall-Kontaktliste ist auch analog (auf Papier) verfügbar. (du)

Sofortmaßnahmen bei einem Vorfall:

  • Betroffenes Gerät sofort vom Netz getrennt (Kabel, WLAN, Bluetooth). (du)
  • Cloud-Synchronisation von anderen Geräten pausiert. (du)
  • Dokumentation des Vorfalls gestartet (was, wann, was getan). (du)
  • Analyse: Welche personenbezogenen Daten sind betroffen? (du)
  • Datenschutzbehörde informiert, wenn Datenpanne vorliegt (72-Stunden-Frist, Art. 33 DSGVO). (du)
  • Strafanzeige erstattet (Aktenzeichen notieren). (du)
  • Cyber-Versicherung informiert – keine eigenmächtigen Kosten ohne Rücksprache. (du)
  • Betroffene Kunden informiert – proaktiv, ehrlich, konkret. (du)
  • Passwörter von einem sauberen Gerät aus geändert. (du)

Bei Ransomware zusätzlich:

  • nomoreransom.org geprüft – gibt es ein kostenloses Entschlüsselungstool? (du)
  • Nicht gezahlt ohne vorherigen rechtlichen Rat. (du)
  • ZAC und ggf. Anwalt kontaktiert. (du)

Wiederherstellung:

  • Einfallstor identifiziert und geschlossen, bevor das System wieder online geht. (IT)
  • System vollständig neu aufgesetzt – kein Bereinigen ohne Neuinstallation. (IT)
  • Backup aus dem Zeitraum vor der Infektion verwendet. (IT)
  • Backup vor dem Zurückspielen auf Schadsoftware geprüft. (IT)
  • Alle Passwörter geändert, bevor das System produktiv genutzt wird. (du)

19. Digitaler Nachlass & Notfallvollmacht

  • Es gibt eine Vertrauensperson, die im Notfall handeln kann und weiß, dass sie diese Rolle hat. (du)
  • Diese Person weiß, wo das Notfalldokument liegt – und wie sie darauf zugreifen kann. (du)
  • Das Notfalldokument enthält Anweisungen für den Ausfall- oder Todesfall. (du)
  • Ich habe eine schriftliche Vollmacht vorbereitet oder zumindest geprüft, ob ich eine brauche. (du)
  • Das Thema ist in meinem Testament oder meiner Nachlassplanung berücksichtigt. (du)

20. Regelmäßige Sicherheitsroutine

  • Monatlicher Kalendertermin „IT-Kurzcheck" ist eingerichtet (15 Min.). (du)
  • Quartalsweiser Kalendertermin „IT-Wartung" ist eingerichtet (60 Min.). (du)
  • Jährlicher Kalendertermin „IT-Jahrescheck" ist eingerichtet (halber Tag). (du)
  • Ich bin beim BSI-Newsletter angemeldet oder nutze Have I Been Pwned für monatliche Leck-Prüfung. (du)
  • Ich habe eine Liste der Zugänge für Dritte, die ich monatlich prüfe. (du)
  • Mein Notfalldokument hat ein Datum der letzten Aktualisierung. (du)