Sicherheitsroutine
Die Sicherheits-Routine – Einmal einrichten, dauerhaft gepflegt¶
Warum dieser Guide sonst in der Schublade landet¶
Du hast diesen Guide gelesen. Du hast Maßnahmen umgesetzt: Passwort-Manager eingerichtet, Backups konfiguriert, Notfalldokument geschrieben. Das ist mehr, als die meisten tun.
Aber IT-Sicherheit ist kein Zustand, den man einmalig erreicht. Software veraltet. Passwörter werden kompromittiert, ohne dass man es merkt. Der Zugang, den du einem Subunternehmer gegeben hast, existiert noch – obwohl die Zusammenarbeit längst beendet ist. Das Backup läuft seit drei Monaten nicht mehr, weil die externe Festplatte im Urlaub ausgesteckt wurde und seitdem im Regal liegt.
Die meisten IT-Sicherheitsprobleme bei Selbständigen entstehen nicht aus Unwissenheit, sondern aus Vernachlässigung. Gute Absichten, die im Alltag versanden.
Die Lösung ist keine Disziplin – sondern ein System. Eine feste Routine, die das Wichtigste in regelmäßigen Abständen überprüft und aktuell hält. Kein Aufwand von Stunden, sondern von Minuten – wenn man weiß, was zu prüfen ist.
Monatliche Routine – 15 Minuten¶
Diese Punkte sind schnell und hochrelevant. Sie lassen sich in einer Kaffeepause erledigen.
| Was | Warum |
|---|---|
| Backup-Status prüfen | Läuft das Backup noch? Letzte erfolgreiche Sicherung wann? |
| Kritische Sicherheitsmeldungen prüfen | BSI-Newsletter oder Have I Been Pwned – wurde eine deiner E-Mail-Adressen in einem Datenleck gefunden? |
| Offene Zugänge für Dritte prüfen | Wer hat noch aktiven Zugang zu deinen Systemen? Ist das noch nötig? |
| Ungewöhnliche Kontoaktivitäten prüfen | Logins von unbekannten Geräten oder Orten in deinen wichtigsten Diensten? |
Wo prüfen: Die meisten Dienste (Google, Microsoft, Apple) zeigen unter „Sicherheit" oder „Geräteübersicht" alle aktiven Sitzungen. Einmal im Monat durchsehen – dauert zwei Minuten.
Quartalsweise Routine – 60 Minuten¶
Einmal pro Quartal, am besten als fester Kalendereintrag. Diese Punkte brauchen etwas mehr Zeit, sind aber nicht aufwendig.
| Was | Warum |
|---|---|
| Backup testen | Ein vorhandenes Backup ist kein funktionierendes Backup. Einmal pro Quartal eine Datei aus dem Backup wiederherstellen. |
| Software-Inventar aktualisieren | Neue Programme installiert? Alte deinstalliert? Lizenzen noch gültig? |
| Updates manuell prüfen | Buchhaltungssoftware, Router-Firmware, NAS-Firmware – alles, das sich nicht automatisch aktualisiert. |
| Passwörter kritischer Dienste prüfen | Nicht zwingend ändern – aber prüfen: Sind alle kritischen Konten mit 2FA gesichert? Gibt es noch alte Passwörter, die vor dem Passwort-Manager erstellt wurden? |
| Zugänge für Dritte überprüfen | Liste durchgehen: Wer hat noch Zugang? Ist er noch nötig? |
| DSGVO-Pflichten prüfen | Hat sich etwas geändert? Neue Dienste eingesetzt, neue Verarbeitungen begonnen? VVT aktualisieren. |
Jährliche Routine – halber Tag¶
Einmal im Jahr, am besten zu einem festen Zeitpunkt – zum Beispiel Anfang Januar oder nach dem Jahresabschluss. Das ist die große Inspektion.
| Was | Warum |
|---|---|
| Notfalldokument aktualisieren | Passwörter geändert? Neue Dienste? Neue Kontakte? Neue Hardware? Das Notfalldokument spiegelt den aktuellen Stand wider – oder es ist im Ernstfall wertlos. |
| Vollständigen Restore-Test durchführen | Nicht nur eine Datei – sondern einen vollständigen Wiederherstellungstest für das wichtigste System. Wie lange dauert es? Funktioniert alles? |
| Software auf End-of-Life prüfen | Welche Software läuft aus dem Support? Was muss ersetzt oder aktualisiert werden? |
| Cyberversicherung prüfen | Hat sich dein Unternehmen verändert? Höherer Umsatz, neue Mitarbeiter, neue Systeme? Deckungssumme noch angemessen? Obliegenheiten noch erfüllt? |
| Website auf Rechtskonformität prüfen | Impressum, Datenschutzerklärung, Cookie-Banner – alles noch aktuell und vollständig? |
| Berechtigungen in Cloud-Diensten prüfen | Welche Apps und Dienste haben OAuth-Zugang zu deinen Konten? Alles noch nötig? |
| Passwörter aller kritischen Dienste erneuern | Banking, E-Mail, Domain-Registrar, Hosting – einmal im Jahr komplett erneuern. |
| Notfallkontakte aktualisieren | IT-Dienstleister, Datenschutzbehörde, Cyberversicherungs-Hotline – sind alle Kontaktdaten noch aktuell? |
| Backup-Strategie bewerten | Hat sich dein Arbeitsvolumen verändert? Reicht die aktuelle Backup-Strategie noch aus? |
Der Jahrescheck als Kalendertermin¶
Diese Routine funktioniert nur, wenn sie im Kalender steht – nicht als vage Absicht, sondern als konkreter Termin mit Zeitblock. Empfehlung: einmal im Jahr, wiederkehrend, mit der Bezeichnung „IT-Jahrescheck" und einer Erinnerung zwei Wochen vorher.
Wer den monatlichen und quartalsweisen Check ebenfalls in den Kalender einträgt, nimmt sich dem Zufallsprinzip. Eine wiederkehrende Erinnerung am ersten Montag jeden Monats kostet dreißig Sekunden zum Einrichten und spart im Ernstfall Stunden.
Wenn sich etwas Wesentliches ändert – sofort handeln¶
Neben der regelmäßigen Routine gibt es Ereignisse, die sofortiges Handeln erfordern – unabhängig vom Kalender:
Jemand verlässt dein Netzwerk (Subunternehmer, Assistenz, Kooperation) → Zugänge sofort entziehen, geteilte Passwörter sofort ändern.
Du wechselst einen kritischen Dienst (neuer Hosting-Anbieter, neue Buchhaltungssoftware) → Notfalldokument sofort aktualisieren, Backup-Konfiguration prüfen.
Ein Datenleck wird bekannt, das einen von dir genutzten Dienst betrifft → Passwort des betroffenen Dienstes sofort ändern, prüfen ob dasselbe Passwort woanders verwendet wird.
Du kaufst neues Equipment (Laptop, NAS, Router) → Vor Inbetriebnahme konfigurieren, Backup einrichten, ins Notfalldokument eintragen.
Checkliste: Sicherheits-Routine einrichten¶
- Monatlicher Kalendertermin „IT-Kurzcheck" ist eingerichtet (15 Min.).
- Quartalsweiser Kalendertermin „IT-Wartung" ist eingerichtet (60 Min.).
- Jährlicher Kalendertermin „IT-Jahrescheck" ist eingerichtet (halber Tag).
- Ich bin beim BSI-Newsletter angemeldet oder nutze Have I Been Pwned für monatliche Leck-Prüfung.
- Ich habe eine Liste der Zugänge für Dritte, die ich monatlich prüfe.
- Mein Notfalldokument hat ein Datum der letzten Aktualisierung.