Cybersecurity: Diese Strategien sind 2026 entscheidend

131.391 – so viele Fälle von Cyberkriminalität weist die Polizeiliche Kriminalstatistik (PKS) im Jahr 2024 in Deutschland aus (BKA – Bundeslagebild Cybercrime 2024). Das sind nur jene Fälle, die direkt in Deutschland verübt wurden. Weitere 201.877 Angriffe wurden aus dem Ausland oder unbekannten Quellen gemeldet. Die Aufklärungsquote liegt mit 32 Prozent deutlich unter dem PKS-Gesamtdurchschnitt von 58 Prozent.

Der wirtschaftliche Schaden für 2024: 178,6 Milliarden Euro. 

Die Zahlen zeigen, dass die Bedrohung durch Cyberkriminalität alarmierend hoch bleibt. Ob Freelancer:in oder Geschäftsführer:in: Niemand sollte die Risiken unterschätzen. In diesem Artikel erfahren Sie von Ayoub El Aassal, Qonto’s Leiter der Cybersicherheit, welche Schutzstrategien für Selbstständige und KMU im Jahr 2026 sinnvoll sind.

Cyberattacken – das passiert doch nur den anderen, oder? Untersuchungen zeigen, dass die Bedrohung durch Cyberangriffe weiter steigt. Laut der Bitkom-Studie Wirtschaftsschutz 2024 gaben 81 % der deutschen Unternehmen an, in den vergangenen zwölf Monaten Opfer von Datendiebstahl, Industriespionage oder Sabotage gewesen zu sein.

Es ist also Zeit, sich für 2026 abzusichern. 

Die Mehrheit der Angriffe erfolgt opportunistisch. Das bedeutet, dass zunächst nach vorhandenen Schwachstellen gesucht wird. Es wird dann gezielt dort angegriffen, wo Sicherheitslücken bestehen. Anders ausgedrückt: Es wird vor allem deshalb angegriffen, weil Schwachstellen existieren. 

Daher muss Ihre Sicherheitsstrategie mit der Frage beginnen: Wo könnten meine Schwachstellen liegen?

Ist Ihr Unternehmen wenig online präsent – zum Beispiel nur mit einer einfachen Website und einem Social-Media-Profil – sind automatisierte Bots, die das Internet nach leicht ausnutzbaren Lücken durchsuchen, Ihre größte Gefahr. Mit steigendem Umsatz geraten Sie ins Visier gezielter Angriffe, oft von Cyberkriminellen mit mehr Ressourcen und Know-how. 

Wir führen Schritt für Schritt durch verschiedene Unternehmensgrößen und schauen, welches Sicherheitskonzept wirklich schützt. 

Wie hoch ist Ihr Gefährdungsgrad? Für die meisten Selbstständigen und Freiberufler:innen ist das Risiko vergleichsweise gering. Wahrscheinlich haben Sie einen Online-Lebenslauf, ein LinkedIn- oder Malt-Profil und vielleicht eine eigene Website. All das gefährdet den Fortbestand Ihres Unternehmens in der Regel nicht. 

Hier sind dennoch zwei einfache, aber entscheidende Maßnahmen, um Ihr Geschäft zumindest grundlegend abzusichern:

1. Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für alle Konten

Die Zwei-Faktor-Authentifizierung (2FA, englisch: two-factor authentication) ist eine Sicherheitsmethode, bei der zwei verschiedene Identifizierungsmerkmale nötig sind, um auf Ihre Daten zuzugreifen. 

Das funktioniert meistens, indem nach der Eingabe eines Passworts ein zusätzlicher Login in einer App notwendig ist. Sie müssen einen Sicherheitsschlüssel also nicht nur kennen (Passwort), sondern einen weiteren physisch besitzen (App auf dem Smartphone). 

Es gibt verschiedene Möglichkeiten, die Zwei-Faktor-Authentifizierung einzurichten. Dazu gehören zum Beispiel:

• der Versand eines zeitlich begrenzten Einmalcodes per SMS,
• die Verwendung einer App zur Authentifizierung,
• das Empfangen einer Anmeldebenachrichtigung auf einem anderen Gerät,
• die Gesichts-, Stimm- oder Fingerabdruckerkennung,
• ein physischer Sicherheitsschlüssel (z. B. Yubikey).

2. Nutzen Sie einen Passwort-Manager

Ein Passwortmanager erstellt für Sie sichere Passwörter und speichert diese automatisch. Zu den bekanntesten Anbietern zählen:

• Dashlane
• 1Password

Diese Programme erkennen automatisch legitime Webseiten und füllen die Anmeldefelder für Sie aus. Während Menschen von gefälschten Seiten (wie einer Gmail-Kopie) leicht getäuscht werden können, trägt der Passwortmanager Ihr Passwort nur dann ein, wenn die Seite wirklich legitim ist. 

Wenn Sie auf einer gefälschten Seite landen, verweigert der Manager das automatische Ausfüllen – ein zuverlässiger Warnmechanismus.

Die Browser Google Chrome und Safari haben eigene Passwortmanager. Aber sind diese wirklich sicher? Wir bewerten das so: 

Wie hoch ist Ihr Gefährdungsgrad?

Ein KMU ist meist online präsent, oft mit einer eigenen Website, über die Produkte und Dienstleistungen angeboten werden. Hier ist der Gefährdungsgrad nicht besonders hoch. Das Risiko eines Cyberverbrechens steigt aber vor allem durch die von KMU häufig angelegten Datenbanken mit Kunden- und Geschäftsdaten. Das sind die wichtigsten Tipps je nach Größe Ihres Unternehmens.

Welche Maßnahmen sind sinnvoll? 

Die Empfehlungen für Selbstständige und Einzelunternehmer:innen gelten grundsätzlich auch für KMU. Sorgen Sie also dafür, dass Ihre Mitarbeitenden bei allen geschäftskritischen Tools die Zwei-Faktor-Authentifizierung nutzen – und setzen Sie einen Passwortmanager für Ihr gesamtes Unternehmen ein.

Bei bis zu 50 Mitarbeitenden im Unternehmen sollten Sie zunächst eine Bestandsaufnahme Ihrer Vermögenswerte erstellen und die Risiken individuell bewerten. Sobald Sie diese Grundlage haben, können Sie gezielt Maßnahmen ergreifen, um die Risiken für jeden einzelnen Wert zu minimieren. Erst dann sollten Sie eine Sicherheitsstrategie implementieren. 

Hier sind zwei Maßnahmen, die Sie dabei unbedingt umsetzen sollten:

1. Schützen Sie jede Website durch eine WAF (Web Application Firewall) 

Eine WAF (Web Application Firewall) schützt Ihren Webserver, indem sie schädliche Anfragen aus dem Internet filtert. So sind Unternehmen auch vor einfachen und automatisierten Angriffen durch Scripts und Bots geschützt.

2. Minimieren Sie die Auswirkungen, falls ein Unternehmenswert kompromittiert wird 

Gehen Sie alle Ihre Unternehmenswerte durch und fragen Sie sich: Wie kann ich mein Geschäft schützen, wenn einer davon kompromittiert wird? Wird zum Beispiel ein Arbeitsplatz-Rechner angegriffen, sollte sich der Angriff nicht auf andere Arbeitsplätze ausbreiten können. 

Setzen Sie daher ein Antivirenprogramm ein und trennen Sie die Netzwerke zwischen den Arbeitsplätzen. Das gilt auch für Server und Systeme: Verwenden Sie nicht überall das gleiche Administrator- oder Anwendungspasswort. Mit gezielten, auch wirtschaftlichen Maßnahmen können Sie die Folgen deutlich begrenzen – und an Ihre eigene Risikobereitschaft anpassen. 

Was ist Ransomware? Ransomware – auch als Erpressungssoftware bekannt – ist eine Schadsoftware, die Unternehmensdaten verschlüsselt und für die Freigabe Lösegeld fordert. 

Sobald Ihr Team mehr als 50 Mitarbeitende zählt, ist es unerlässlich, eine Fachkraft einzustellen, die sich gezielt um den Schutz Ihres Unternehmens kümmert.

Zu den Aufgaben dieser Personen sollten u.a. gehören:

1. Cyberkriminelle genau modellieren

Mit ihrer Erfahrung zu den verschiedenen Angriffsmethoden helfen Cybersicherheitsbeauftragte, die richtigen Schwerpunkte zu setzen und Maßnahmen sinnvoll zu priorisieren. Wenn die größte Bedrohung aktuell von Ransomware ausgeht: Sollten Sie zuerst Backups anlegen, Netzwerke segmentieren oder ein EDR-System (Endpoint Detection and Response) einrichten, das Bedrohungen erkennt? All diese Maßnahmen sind sinnvoll – entscheidend ist aber die Reihenfolge. Sie kann darüber entscheiden, ob nur ein einzelner Arbeitsplatz oder das gesamte System betroffen ist. 

2. Systemische Risiken mit passenden Tools und Methoden eindämmen 

Kein Mitarbeitender sollte Ihr Unternehmen gefährden oder mit sensiblen Daten das Team verlassen können. Das ist anspruchsvoll und erfordert klare Prozesse sowie automatische oder manuelle Freigaben. So sollte zum Beispiel nie eine einzelne Person kritischen Code direkt in die Produktivumgebung übertragen können. Für solche Fälle braucht es ein Review- oder Freigabesystem, ohne die Entwicklungsagilität und Flexibilität zu verlieren.  

Bei mehr als 150 Mitarbeitenden kennen Sie wahrscheinlich nicht mehr alle im Unternehmen persönlich. Ein zentrales Identitätsmanagement wird dann unverzichtbar. Dafür braucht es eine Plattform, auf der sich alle Mitarbeitenden zentral authentifizieren. 

Dies sind beliebte und zuverlässige Lösungen:

• OneLogin
• Okta

An diesem Punkt verfügt Ihr Unternehmen wahrscheinlich über genug Ressourcen, um gezielt in die Erkennung von Sicherheitsvorfällen zu investieren. Jetzt ist es wichtig, alle Aktivitäten nachvollziehbar zu dokumentieren und zentral zu sammeln. Änderungen an kritischen Komponenten sollten jederzeit transparent sein. Werden solche Ereignisse in einem SIEM (Security Information and Event Management) gesammelt, lassen sich ungewöhnliche Aktivitäten schnell erkennen. 

Zwei Arten von Cyberangriffen kommen besonders häufig vor und können Ihr Unternehmen gefährden, wenn Sie die zugrunde liegenden Bedrohungen nicht kennen. Im Folgenden finden Sie wichtige Informationen zum Ablauf dieser Angriffe sowie praktische Tipps, wie Sie sich effektiv davor schützen können. 

Was passiert?

Angreifende nehmen Kontakt zum Opfer auf und verwenden dabei öffentlich zugängliche Informationen oder Daten aus bekannten Datenlecks (wie zuletzt bei Bouygues Telecom, Free oder SFR passiert). Ziel ist es, das Opfer zu einer Handlung wie etwa einer Überweisung zu bewegen, oft mit dem Vorwand eines angeblichen Sicherheitsproblems. 

Wie schützen Sie sich davovr? 

• Handeln Sie niemals vorschnell oder aus Zeitdruck – auch nicht nach einem überraschenden Anruf. 

• Legen Sie auf und nutzen Sie ausschließlich sichere Kanäle, um Kontakt aufzunehmen.

• Bestätigen Sie Transaktionen immer über einen zweiten Kanal. Bei einem Anruf: Schreiben Sie eine E-Mail an die auf der offiziellen Website angegebene Support-Adresse. Bei einer E-Mail: Rufen Sie die dort genannte Rufnummer an. 

• Seien Sie vorsichtig bei Kontaktinformationen aus dem Internet – zum Beispiel aus Branchenverzeichnissen, Google Maps oder Werbeanzeigen. Diese Angaben können von Cyberkriminellen manipuliert sein. 

• Gibt ein Anbieter an, seine IBAN geändert zu haben, bestätigen Sie die Änderung immer über eine Ihnen bekannte und gespeicherte Nummer. 

Was passiert?

Meistens erhalten Sie eine E-Mail, die auf den ersten Blick echt wirkt. Kleine Details verraten jedoch den Betrugsversuch. Ziel ist es, Sie zur Antwort oder zum Klick auf einen betrügerischen Link zu bewegen, damit Kriminelle an Ihre persönlichen Daten gelangen. 

Im Bankumfeld sind dies häufig E-Mails, die Sie dazu auffordern, sich angeblich aus Sicherheitsgründen auf der Website Ihrer Bank anzumelden. 

Tatsächlich werden Sie dabei auf eine gefälschte Website umgeleitet, wo Ihre persönlichen Daten abgegriffen werden.

Wie schützen Sie sich davor? 

• Prüfen Sie die Absenderdaten sorgfältig: Oft stimmt die tatsächliche Absenderadresse nicht mit dem angezeigten Namen überein. Beispiel: support[at]email-qonto.com vs. support[at]qonto.com (letztere ist korrekt). 

• Nutzen Sie einen Passwortmanager zum automatischen Ausfüllen Ihrer Zugangsdaten. Befinden Sie sich auf einer gefälschten Website, füllt der Manager das Passwort nicht aus. 

• Klicken Sie nicht direkt auf Links. Öffnen Sie stattdessen die App und prüfen Sie, ob die Information aus der E-Mail dort ebenfalls zu finden ist. So können Sie sie schnell verifizieren oder entkräften. 

Für Qonto gilt: Wir durchsuchen das Internet gezielt nach betrügerischen Websites, die unsere Marke missbrauchen – und lassen diese innerhalb weniger Stunden abschalten. 

Sie sehen, 2025 kommt kein Unternehmen mehr am Thema Cyberrisiko vorbei. Sensibilisierung und die Berücksichtigung in Ihren Entwicklungsplänen sind unerlässlich, um Ihr Unternehmen langfristig zu schützen. Wir hoffen, dass Sie die in diesem Beitrag vorgestellten Best Practices dabei unterstützen, Ihr Unternehmen optimal abzusichern.