IT Service Wagner LogoIT Service Wagner
    Notdienst erreichbar·02635 788886-0
    Zurückit-sicherheit 30.4.2026 9 Min. Lesezeit IT Service Wagner

    IT-Sicherheit für kleine Unternehmen: Warum ein einziges schwaches Passwort reicht

    IT-Sicherheit für kleine Unternehmen: Warum ein einziges schwaches Passwort reicht

    Viele kleine Unternehmen investieren in gute Arbeitsplätze, moderne Software und schnelle Internetanschlüsse. Bei Passwörtern wird es trotzdem oft dünn: ein kurzer Begriff, ein Geburtsdatum, dieselbe Kombination für mehrere Dienste, ein geteiltes Konto für das Team. Solange nichts passiert, wirkt das harmlos. In der Praxis reicht aber ein einziges schwaches oder wiederverwendetes Passwort aus, um E-Mails mitzulesen, Rechnungen umzuleiten, Kundendaten zu kopieren oder Schadsoftware einzuschleusen. Gerade bei Microsoft 365 ist das Risiko greifbar. Ein kompromittiertes Konto ist nicht nur ein Zugang zu einem Postfach. Es kann Zugriff auf Teams, SharePoint, OneDrive, Kalender, Kontakte, Geschäftsdokumente und interne Kommunikation geben. Für kleine Unternehmen ohne eigene IT-Abteilung wird daraus schnell ein operatives Problem: Wer erkennt den Angriff? Wer sperrt den Zugang? Wer prüft, ob Daten abgeflossen sind? Wer stellt sicher, dass sich der Vorfall nicht wiederholt? Dieser Beitrag erklärt, warum Passwörter weiterhin ein kritischer Schwachpunkt sind, welche Fehler in kleinen Unternehmen besonders häufig vorkommen und welche Schutzmaßnahmen realistisch umsetzbar sind.

    Warum Passwörter für die IT-Sicherheit kleiner Unternehmen so kritisch sind

    Angreifer suchen nicht zwingend nach dem technisch anspruchsvollsten Weg. Sie suchen nach dem einfachsten. Ein schwaches Passwort ist genau das. Wenn Zugangsdaten in Datenlecks auftauchen, automatisiert ausprobiert werden oder per Phishing abgegriffen werden, ist die Tür häufig schon offen. Für kleine Unternehmen ist das besonders gefährlich, weil viele digitale Prozesse über wenige zentrale Konten laufen. Ein Microsoft-365-Konto kann zum Beispiel folgende Bereiche betreffen:

    • E-Mail-Kommunikation mit Kunden, Lieferanten und Steuerberatung
    • Rechnungen, Angebote und Auftragsunterlagen
    • Dateien in OneDrive und SharePoint
    • Besprechungen und interne Chats in Teams
    • Kalender mit Terminen, Projektinformationen und Kontakten
    • Administratorzugänge für Benutzer, Geräte und Lizenzen Wenn ein Angreifer ein normales Benutzerkonto übernimmt, kann er oft schon erheblichen Schaden anrichten. Wird ein Administratorkonto kompromittiert, ist die Lage deutlich ernster. Dann können Weiterleitungen eingerichtet, neue Benutzer angelegt, Sicherheitsregeln verändert oder Daten massenhaft heruntergeladen werden. Das BSI weist seit Jahren darauf hin, dass Informationssicherheit auch für kleine und mittlere Unternehmen ein zentrales Thema ist. Viele Betriebe haben keine eigene IT-Expertise, sind aber genauso abhängig von funktionierenden Systemen wie größere Organisationen. Genau hier entsteht die Lücke: Die Abhängigkeit ist hoch, die Absicherung oft noch nicht ausreichend strukturiert.

    Typische Passwortfehler in kleinen Unternehmen

    In der Betreuung kleiner Unternehmen sieht man immer wieder ähnliche Muster. Sie entstehen selten aus Nachlässigkeit, sondern aus Zeitdruck, gewachsenen Strukturen und dem Wunsch, den Arbeitsalltag einfach zu halten.

    Ein Passwort für mehrere Dienste

    Ein Mitarbeiter nutzt dasselbe Passwort für Microsoft 365, einen Webshop, ein Branchenportal und vielleicht noch private Dienste. Wird eines dieser Portale kompromittiert, probieren Angreifer die Zugangsdaten automatisiert bei anderen Diensten aus. Diese Methode ist einfach, schnell und leider oft erfolgreich.

    Geteilte Konten im Team

    Ein gemeinsames Postfach oder ein gemeinsam genutzter Benutzer wirkt praktisch. In der Realität geht Transparenz verloren. Niemand kann sauber nachvollziehen, wer sich wann angemeldet hat. Verlässt eine Person das Unternehmen, muss das Passwort geändert werden. Geschieht das nicht konsequent, bleibt ein unnötiges Risiko bestehen.

    Zu einfache Passwörter

    Kurze Passwörter, Firmennamen, Jahreszahlen oder Tastaturmuster sind schnell erraten oder automatisiert getestet. Auch Varianten wie Firmenname2026 sind keine gute Idee. Solche Muster sind für Angreifer naheliegend.

    Passwörter in Browsern, Notizbüchern oder Excel-Listen

    Passwörter müssen verfügbar sein, aber nicht überall. Eine unverschlüsselte Excel-Liste, ein Zettel unter der Tastatur oder gespeicherte Zugangsdaten in einem nicht abgesicherten Browser können im Ernstfall zum Problem werden.

    Administratorrechte für den Alltag

    Wenn Benutzer mit zu hohen Rechten arbeiten, wird ein kompromittiertes Konto deutlich gefährlicher. Ein Angreifer erhält dann nicht nur Zugriff auf Daten, sondern kann unter Umständen Einstellungen verändern, Sicherheitsfunktionen deaktivieren oder weitere Konten manipulieren.

    Was nach einer Kontoübernahme passieren kann

    Viele denken bei Cyberangriffen zuerst an verschlüsselte Server. In kleinen Unternehmen beginnt der Schaden aber oft leiser. Ein Angreifer meldet sich im Postfach an, liest mit und wartet. Besonders gefährlich sind folgende Szenarien.

    Rechnungsbetrug und manipulierte Zahlungsdaten

    Wenn ein Angreifer Zugriff auf E-Mails hat, erkennt er laufende Geschäftsvorgänge. Er sieht, wann Rechnungen gestellt werden, welche Kunden zahlen und wer intern Freigaben erteilt. Danach kann er gefälschte E-Mails verschicken oder Bankverbindungen ändern. Der Betrug wirkt glaubwürdig, weil er aus einem echten Postfach kommt oder sich auf echte Vorgänge bezieht.

    Versteckte Weiterleitungen

    Ein häufiges Zeichen kompromittierter Microsoft-365-Konten sind eingerichtete Weiterleitungen oder Postfachregeln. Eingehende Nachrichten werden kopiert, gelöscht oder an externe Adressen gesendet. Das Unternehmen merkt davon zunächst nichts.

    Zugriff auf Dateien und Kundendaten

    Über OneDrive und SharePoint können Angreifer Dokumente herunterladen, verändern oder löschen. Je nach Branche betrifft das personenbezogene Daten, Verträge, Kalkulationen, technische Unterlagen oder interne Auswertungen. Daraus können Meldepflichten, Vertrauensverlust und Betriebsunterbrechungen entstehen.

    Missbrauch des Kontos für weitere Angriffe

    Ein echtes Firmenkonto hat Vertrauen. Angreifer nutzen es, um Kunden, Lieferanten oder Mitarbeitende anzuschreiben. Dadurch kann ein einzelnes schwaches Passwort zur Gefahr für das gesamte geschäftliche Umfeld werden.

    Konkrete Schutzmaßnahmen: So sichern Sie Konten wirksam ab

    Gute IT-Sicherheit für kleine Unternehmen muss nicht kompliziert beginnen. Wichtig ist, die grundlegenden Maßnahmen konsequent umzusetzen und nicht bei der Passwortregel stehenzubleiben.

    1. Mehr-Faktor-Authentifizierung für alle Konten aktivieren

    Mehr-Faktor-Authentifizierung, kurz MFA, ist eine der wichtigsten Schutzmaßnahmen. Selbst wenn ein Passwort bekannt wird, reicht es allein nicht mehr für die Anmeldung. Der zweite Faktor kann zum Beispiel über eine Authenticator-App bestätigt werden. Für Microsoft 365 sollte MFA nicht nur für Administratoren gelten, sondern für alle Benutzer. Gerade normale Benutzerkonten werden häufig angegriffen, weil sie direkten Zugriff auf E-Mails und Dateien haben. Administratoren benötigen zusätzlich besonders strenge Regeln. Wichtig: SMS ist besser als gar kein zweiter Faktor, aber eine Authenticator-App ist in der Regel vorzuziehen. Noch stärker sind passwortlose Verfahren oder Sicherheitsschlüssel, wenn sie zum Unternehmen passen.

    2. Passwortmanager einsetzen

    Ein Passwortmanager hilft, lange und eindeutige Passwörter zu verwenden, ohne sie auswendig lernen zu müssen. Für Unternehmen ist ein zentral verwalteter Passwortmanager sinnvoller als private Einzellösungen. So lassen sich Zugänge sicher teilen, Berechtigungen steuern und beim Austritt eines Mitarbeiters sauber entziehen. Ein gutes Passwort muss nicht ständig geändert werden, wenn es stark und einzigartig ist. Geändert werden sollte es aber sofort, wenn ein Verdacht auf Kompromittierung besteht oder ein Dienst von einem Datenleck betroffen ist.

    3. Gemeinsame Konten vermeiden

    Jede Person sollte ein eigenes Benutzerkonto haben. Gemeinsame Postfächer können in Microsoft 365 korrekt eingerichtet werden, ohne dass sich alle mit demselben Passwort anmelden müssen. Die Benutzer greifen dann mit ihrem persönlichen Konto auf das gemeinsame Postfach zu. Das verbessert Nachvollziehbarkeit und Sicherheit. Auch für externe Dienstleister sollten keine geteilten Standardzugänge verwendet werden. Besser sind eigene Konten mit klaren Berechtigungen und einer festen Laufzeit.

    4. Administratorrechte begrenzen

    Administratorkonten sollten nur für administrative Aufgaben genutzt werden, nicht für den normalen E-Mail-Alltag. Eine bewährte Praxis ist die Trennung zwischen normalem Benutzerkonto und Admin-Konto. Zusätzlich sollten Admin-Konten besonders geschützt werden, etwa mit MFA, starken Richtlinien und möglichst wenigen berechtigten Personen. Das Prinzip der geringsten Rechte ist simpel: Jeder erhält nur die Zugriffe, die für die Arbeit nötig sind. Das begrenzt Schäden, wenn ein Konto kompromittiert wird.

    5. Anmeldeprotokolle und Warnungen nutzen

    Microsoft 365 bietet Möglichkeiten, ungewöhnliche Anmeldungen, verdächtige Aktivitäten und riskante Benutzer zu erkennen. Je nach Lizenz stehen unterschiedliche Sicherheitsfunktionen zur Verfügung. Kleine Unternehmen sollten mindestens prüfen, ob Anmeldeprotokolle regelmäßig kontrolliert werden und ob Benachrichtigungen für kritische Ereignisse eingerichtet sind. Typische Warnsignale sind Anmeldungen aus ungewöhnlichen Ländern, viele fehlgeschlagene Anmeldeversuche, neue Postfachregeln, externe Weiterleitungen oder plötzliche Änderungen an Sicherheitsinformationen.

    6. Externe Weiterleitungen kontrollieren

    Viele Angriffe auf Microsoft 365 setzen auf unbemerkte E-Mail-Weiterleitungen. Unternehmen sollten festlegen, ob externe automatische Weiterleitungen überhaupt erlaubt sind. Häufig ist es sicherer, sie standardmäßig zu blockieren und nur begründete Ausnahmen zuzulassen. Zusätzlich sollten bestehende Postfachregeln regelmäßig geprüft werden. Besonders verdächtig sind Regeln, die Nachrichten mit Begriffen wie Rechnung, Zahlung, Angebot oder Freigabe verschieben, löschen oder weiterleiten.

    7. Mitarbeitende praxisnah sensibilisieren

    Schulungen müssen nicht lang sein, aber konkret. Mitarbeitende sollten wissen, woran sie Phishing erkennen, warum MFA-Abfragen nicht blind bestätigt werden dürfen und wie sie verdächtige E-Mails melden. Wichtig ist eine Kultur, in der Rückfragen erwünscht sind. Viele Schäden entstehen, weil jemand unsicher ist, aber niemanden stören möchte. Praktische Regeln helfen mehr als abstrakte Warnungen:

    • Keine MFA-Bestätigung auslösen, wenn man sich nicht gerade selbst anmeldet
    • Zahlungsdaten bei Änderungen telefonisch über bekannte Nummern prüfen
    • Anhänge und Links bei unerwarteten Nachrichten kritisch betrachten
    • Verdächtige E-Mails intern weitergeben, statt selbst zu experimentieren
    • Sicherheitsvorfälle sofort melden, auch wenn man einen Fehler vermutet

    8. Backups und Wiederherstellung nicht vergessen

    Passwortschutz verhindert nicht jeden Angriff. Deshalb gehören Backups zur Sicherheitsstrategie. Für Microsoft 365 sollten Unternehmen klären, welche Daten wie lange wiederherstellbar sind und ob zusätzliche Backup-Lösungen sinnvoll sind. Gelöschte oder manipulierte Dateien, E-Mails und SharePoint-Daten müssen im Ernstfall zuverlässig wiederhergestellt werden können. Auch die Wiederherstellung sollte getestet werden. Ein Backup, das niemand geprüft hat, ist im Ernstfall eine Hoffnung, aber kein belastbares Sicherheitskonzept.

    Microsoft 365 sicher betreiben: nicht nur Lizenzen verwalten

    Viele kleine Unternehmen nutzen Microsoft 365, aber die Sicherheitskonfiguration bleibt auf Werkseinstellungen oder ist historisch gewachsen. Dabei entscheidet die Konfiguration maßgeblich über das Schutzniveau. Sinnvolle Prüfbereiche sind unter anderem:

    • Ist MFA für alle Benutzer aktiv und sauber eingerichtet?
    • Gibt es alte, ungenutzte oder ehemalige Benutzerkonten?
    • Sind Administratorrollen nachvollziehbar vergeben?
    • Sind externe Weiterleitungen eingeschränkt?
    • Werden Postfachregeln und Anmeldungen überwacht?
    • Gibt es klare Prozesse für Eintritt, Wechsel und Austritt von Mitarbeitenden?
    • Sind Geräte, auf denen Microsoft 365 genutzt wird, aktuell und geschützt?
    • Gibt es ein Backup-Konzept für wichtige Microsoft-365-Daten? Je nach Lizenz können Funktionen wie bedingter Zugriff, Geräteverwaltung, Microsoft Defender, Sensitivity Labels oder erweiterte Protokollierung hinzukommen. Nicht jedes kleine Unternehmen braucht sofort die größte Lizenz. Entscheidend ist, dass die vorhandenen Möglichkeiten genutzt und Risiken bewusst bewertet werden.

    Was tun, wenn ein Passwort kompromittiert wurde?

    Wenn der Verdacht besteht, dass ein Konto übernommen wurde, zählt Geschwindigkeit. Gleichzeitig sollte nicht nur das Passwort geändert werden. Ein Angreifer kann bereits Hintertüren eingerichtet haben. Ein sinnvoller Ablauf sieht so aus:

    1. Konto sofort sperren oder Anmeldung blockieren
    2. Passwort zurücksetzen und MFA neu prüfen
    3. Aktive Sitzungen beenden
    4. Postfachregeln und Weiterleitungen kontrollieren
    5. Sicherheitsinformationen wie Telefonnummern und Authenticator-Geräte prüfen
    6. Anmeldeprotokolle auswerten
    7. Betroffene Dateien, E-Mails und Freigaben prüfen
    8. Kunden oder Partner informieren, wenn missbräuchliche Nachrichten versendet wurden
    9. Ursache ermitteln und Schutzmaßnahmen nachziehen Bei personenbezogenen Daten kann zusätzlich eine datenschutzrechtliche Bewertung nötig sein. Hier sollten Geschäftsführung, Datenschutzverantwortliche und IT gemeinsam handeln.

    Wann externe IT-Hilfe sinnvoll ist

    Externe Unterstützung ist nicht erst dann sinnvoll, wenn bereits ein Angriff läuft. Gerade kleine Unternehmen profitieren von einem strukturierten Blick von außen. Ein IT-Dienstleister kann Schwachstellen erkennen, Prioritäten setzen und Maßnahmen so umsetzen, dass der Arbeitsalltag nicht unnötig kompliziert wird. Sinnvoll ist externe Hilfe besonders, wenn:

    • Microsoft 365 gewachsen ist, aber nie sauber sicherheitsseitig geprüft wurde
    • niemand im Unternehmen regelmäßig Anmeldeprotokolle kontrolliert
    • unklar ist, wer welche Administratorrechte besitzt
    • MFA noch nicht vollständig eingeführt ist
    • es gemeinsame Konten oder alte Benutzer gibt
    • keine klare Backup- und Notfallstrategie existiert
    • bereits verdächtige Anmeldungen oder Phishing-Vorfälle aufgetreten sind IT Service Wagner unterstützt kleine Unternehmen bei IT-Sicherheit und Microsoft 365, etwa durch Sicherheitschecks, MFA-Einführung, Konten- und Rechtekonzepte, Absicherung von E-Mail und SharePoint sowie praxistaugliche Notfallmaßnahmen. Wichtig ist dabei nicht maximale Komplexität, sondern ein Schutzkonzept, das zu Größe, Arbeitsweise und Budget des Unternehmens passt.

    Fazit: Passwortsicherheit ist kein Nebenthema

    Ein einziges schwaches Passwort kann reichen, um ein kleines Unternehmen spürbar zu schädigen. Der Angriff beginnt oft unscheinbar, etwa mit einer Anmeldung im Postfach. Die Folgen können Rechnungsbetrug, Datenabfluss, Vertrauensverlust und Betriebsunterbrechungen sein. Die gute Nachricht: Viele wirksame Maßnahmen sind bekannt und für kleine Unternehmen umsetzbar. MFA, Passwortmanager, individuelle Konten, begrenzte Administratorrechte, Überwachung, Backup und klare Abläufe erhöhen das Sicherheitsniveau deutlich. Entscheidend ist, nicht auf den Ernstfall zu warten. Für die IT-Sicherheit kleiner Unternehmen gilt: Je früher grundlegende Schutzmaßnahmen sauber umgesetzt werden, desto geringer ist das Risiko, dass ein einzelnes Passwort zum Einfallstor für einen größeren Schaden wird.

    Orientierung und weiterführende Informationen

    Hilfreiche Grundlagen bieten unter anderem die Informationen des BSI für kleine und mittlere Unternehmen, die BSI-Broschüre zur Cybersicherheit für KMU sowie Angebote wie der CyberRisikoCheck und die Transferstelle Cybersicherheit. Diese Quellen ersetzen keine individuelle Prüfung der eigenen Umgebung, geben aber einen guten Rahmen für die nächsten Schritte.

    Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung auf unserer Website zu bieten und unseren Datenverkehr zu analysieren. Datenschutzerklärung