Berufsfeld Informatik · Interaktives Lernmodul

IT‑Sicherheit

Von der Existenzsicherung über die gesetzlichen Pflichten DSGVO, NIS‑2 und CRA bis zu den 27 Anforderungen der DIN SPEC 27076 — erklärt, visualisiert und zum Selbsttest.

289,2 Mrd €
Schaden 2025 (DE)
70 %
durch Cyberattacken
72 h
DSGVO-Meldefrist
27
Anforderungen
Lernmodul starten Direkt zum Quiz
Zum Aufklappen Rückblick & Wiederholung alles auf einen Blick

Die wichtigsten Punkte kompakt zusammengefasst — ideal zum schnellen Nachschlagen vor dem Quiz.

01 · GRUNDLAGE
Existenzsicherung ab Tag 1
Startups haben keine Reserven. Ransomware oder IP-Diebstahl kann das Aus bedeuten.
02 · RECHT
DSGVO · NIS-2 · CRA
Schützen Menschen, Betrieb/Lieferkette und Produkte. 72-h-Meldefrist bei Vorfällen.
03 · ZAHLEN
289,2 Mrd € Schaden
2025 in Deutschland — 70 % davon durch Cyberattacken.
04 · GEFAHR
Ransomware
Verursacht am häufigsten Schäden: Daten werden verschlüsselt, Lösegeld gefordert.
05 · STANDARD
DIN SPEC 27076
CyberRisikoCheck mit 27 Anforderungen für kleine Unternehmen.
06 · SCHUTZ
Firewall · VPN · Backup · 2FA
Technische Basismaßnahmen: Netz absichern, verschlüsseln, sichern, prüfen.
01 — Grundlagen

Existenzsicherung von Tag 1 an

IT-Sicherheit ist kein „Nice-to-have" für später, sondern das Fundament der Unternehmensgründung. Wer erst nach dem ersten Vorfall reagiert, hat oft schon verloren.

!

Vermeidung von Totalausfällen

Startups haben oft keine Reserven. Ein Ransomware-Angriff mitten in der Skalierungsphase ist finanziell meist nicht mehr verkraftbar — er kann das gesamte Unternehmen lahmlegen.

Schutz des geistigen Eigentums

Der Diebstahl von Prototypen, Quellcode oder Geschäftsgeheimnissen kann das Ende bedeuten, bevor das Produkt überhaupt am Markt ist. Die Idee ist oft das wertvollste Kapital.

02 — Recht

Gesetzliche Pflichten im Zeitverlauf

Drei europäische Regelwerke greifen ineinander. Jedes schützt etwas anderes — vom Menschen über den Betrieb bis zum Produkt.

← Mai 2018 · VergangenheitMärz 2026 · GegenwartDez 2027 · Zukunft →
DSGVO seit Mai 2018
Schützt den Menschen

Personenbezogene Daten. Es gibt heute keine Entschuldigung mehr für fehlende Basis-Sicherheit wie Offline-Backups.

Sicherheitsvorfall innerhalb von 72 Stunden an die Behörde (LDI) melden.
„Wie schütze ich die Daten meiner Kunden und Mitarbeitenden?"
NIS-2 seit Dez 2025
Schützt Betrieb & Lieferkette

Ausfallsicherheit. In DE über das NIS2UmsuCG in Kraft. BSI-Registrierung für Großunternehmen endete im März 2026.

🔗 Zulieferer müssen ein angemessenes Sicherheitsniveau vertraglich zusichern und nachweisen.
„Wie schütze ich meine Produktion vor dem Stillstand?"
CRA ab Sep 2026 / 2027
Schützt das Produkt

Hardware & Software. Meldepflichten starten Sep 2026; ab Dez 2027 voll anwendbar für alle neuen Produkte.

🔧 Anlagen nur noch mit „Security by Design" und automatischen Sicherheitsupdates.
„Wie sicher ist die Maschine, die ich als Nächstes aufstelle?"
03 — Zahlen

Wirtschaftsschutz 2025

Die Dimension des Problems in Zahlen — warum sich Investitionen in IT-Sicherheit rechnen.

289,2
Milliarden Euro

Gesamtschaden 2025 in Deutschland durch Diebstahl, Sabotage und Industriespionage.

Anteil durch Cyberattacken 70 %

Mehr als zwei Drittel des gesamten Schadens gehen direkt auf Cyberattacken zurück — nicht auf klassischen Diebstahl vor Ort.

04 — Größte Gefahr

Ransomware verursacht am häufigsten Schäden

Schadsoftware verschlüsselt die Daten eines Unternehmens und gibt sie erst gegen Lösegeld wieder frei. So läuft ein typischer Angriff ab:

Schritt 1
Einfallstor
Phishing-Mail oder ein aktiviertes Makro öffnet die Tür.
Schritt 2
Infektion
Die Schadsoftware wird ausgeführt und breitet sich im Netz aus.
Schritt 3
Verschlüsselung
Alle Dateien werden gesperrt — der Betrieb steht still.
Schritt 4
Lösegeld
Forderung zur Freigabe — oft plus Drohung mit Datenleck.
Betroffene Unternehmen 2024 — welche Aussagen treffen zu? (Mehrfachnennung, n = 1.003)
Sicherheit massiv verschärft54 %
„Es hat uns erwischt" (der Schock)42 %
Datenrettung aus eigener Kraft40 %
Betrieb vorübergehend lahmgelegt17 %
Wiederherstellung ohne Lösegeld10 %
Datenleck: Täter gingen online1 %
05 — Standard

DIN SPEC 27076 & CyberRisikoCheck

Ein praxisnaher Standard speziell für kleine Unternehmen. Der CyberRisikoCheck liefert drei Kernleistungen — und mündet in 27 konkrete Anforderungen.

1

IST-Analyse & Risikobewertung

Ermittlung des aktuellen Sicherheitsniveaus und klare visuelle Hervorhebung von Schwachstellen und Handlungsbedarf.

2

Maßnahmen & Fördermittel

Konkrete, praxisnahe Lösungsvorschläge zur Erhöhung der IT-Sicherheit — inklusive passender staatlicher Fördermöglichkeiten.

3

Sensibilisierung

Aufklärung und Schärfung des Bewusstseins im Unternehmen für aktuelle Cyber-Gefahren bei der Ergebnisübergabe.

So sieht eine Anforderung im Detail aus — Beispiel 20-1
Anforderung

Das Ausführen von aktiven Inhalten oder Makros muss standardmäßig deaktiviert sein.

Prüffrage

Sind Makros bei Ihnen standardmäßig aktiviert?

Erläuterung / Risiko

Makros können Schadsoftware enthalten, die beim Einschalten aktiviert wird und IT-Systeme angreift — das kann die Betriebsfähigkeit dauerhaft schädigen.

06 — Technik

Netzwerk-Konzepte anschaulich

Firewall, VPN und ein getrenntes Gäste-WLAN sind die technische Basis. So greifen sie zusammen:

🌐
Internet
Öffentliches, unsicheres Netz
🧱
Firewall
Lässt nur erforderliche Dienste durch
🏢
Internes Netz
Server & Arbeitsplätze
🔒
VPN aus dem Homeoffice
Verschlüsselter Tunnel ins Firmennetz — Pflicht beim mobilen Arbeiten.
📡
Getrenntes Gäste-WLAN
Eigenes, verschlüsseltes Netz für Gäste & private Geräte — nie ins interne Netz.
🔑
WLAN ≥ 20 Zeichen
Nach aktuellem Standard (WPA) verschlüsselt, komplexes Passwort.
07 — Umsetzung

Die 27 Anforderungen

Alle Anforderungen der DIN SPEC 27076 — thematisch gruppiert. Jede Gruppe zum Aufklappen, mit Praxisbeispiel.

01–04 Verantwortung & Organisation
01Die Geschäftsführung trägt die Gesamtverantwortung für die Informationssicherheit.
02-1Eine verantwortliche Person benennen (falls die GF sich nicht allein kümmert).
02-2Diese Person verfügt über die notwendigen Kapazitäten.
02-3…und über relevante Kenntnisse im Bereich Informationssicherheit.
03Ein Notfallkontakt für ungewöhnliche Vorkommnisse und Geräteverlust steht bereit.
04-1Jedem ist im Sicherheitsvorfall klar, wie er sich verhält und wem er was meldet (Notfallplan).
04-2Eine verantwortliche Person sorgt dafür, dass das allen bekannt ist.
💡Beispiel: Aushang „Wer meldet was an wen?" + eine benannte Ansprechperson.
05–06 Sensibilisierung & Vertraulichkeit
05-1Alle Nutzenden gehen sicher mit IT um und erkennen Verdächtiges (z. B. Phishing) — durch Schulungen.
05-2Externe (z. B. Dienstleister) sind ebenso eingewiesen, geschult oder sensibilisiert.
06-1Interne Regelungen zur Vertraulichkeit sind formuliert.
06-2Externe sind schriftlich zur Einhaltung interner Vertraulichkeitsregeln verpflichtet.
💡Beispiel: Jährliche Awareness-Schulung + Vertraulichkeitsvereinbarung (NDA) für Dienstleister.
07 Homeoffice & mobiles Arbeiten
07-1Eine Richtlinie legt die Sicherheitsmaßnahmen im Homeoffice und beim mobilen Arbeiten fest.
07-2Die Richtlinie wird vom Beschäftigten unterschrieben zurückgegeben.
07-3Eine Kopie verbleibt beim Beschäftigten.
07-4Die Richtlinie wird auf Aktualität überprüft.
💡Beispiel: Unterschriebene Homeoffice-Richtlinie, jährlich überprüft.
08–10 · 23 Zutritt, Zugriff & Passwörter
08-1Nur berechtigte Personen haben Zutritt zu den Räumlichkeiten.
08-2Zugriff nur auf Daten und Bereiche, für die man zuständig ist (Need-to-know).
09-1Individuelles Passwort für jedes Benutzerkonto.
09-2Passwörter möglichst lang und komplex.
102-Faktor-Authentifizierung nutzen, sofern angeboten.
23Alle Geräte (PC, Laptop, Tablet, Smartphone) sind passwortgeschützt.
💡Beispiel: Rollen-Rechte-Konzept + Passwortmanager + 2FA-App.
11–14 Datensicherung (Backup)
11-1Datensicherungen in festen, branchenabhängigen Intervallen.
12Die Datensicherung ist vor unbefugtem Zugriff geschützt.
13-1Es ist festgelegt, wie die Daten gesichert werden.
13-2Es ist eine Zuständigkeit fürs Sichern festgelegt.
14-1Backups liegen auf externen Speichermedien.
14-2Es wird getestet, ob extern gesicherte Daten funktionsfähig und vollständig sind.
14-3Dieser Test erfolgt in sinnvollen Abständen.
💡Beispiel: 3-2-1-Regel (3 Kopien, 2 Medien, 1 extern) + monatlicher Restore-Test.
15–17 Updates & Ausmusterung
15-1Updates für IT-Systeme und Software werden installiert.
15-2Updates werden unverzüglich nach Veröffentlichung installiert.
16Es ist festgelegt, wer die Updates installiert.
17-1Systeme ohne Sicherheitsupdates werden identifiziert…
17-2…und ausgemustert.
💡Beispiel: Automatisches Patch-Management + Inventar veralteter Systeme.
18–20 Schadsoftware & Software
18Alle Geräte haben einen Schutz vor Schadsoftware (Virenschutz).
19-1Software wird nur aus vertrauenswürdigen Quellen bezogen.
19-2Nur IT-verantwortliche Personen dürfen Software installieren.
20-1Aktive Inhalte / Makros sind standardmäßig deaktiviert.
20-2Makros nur im begründeten Ausnahmefall — durch eine autorisierte Person.
💡Beispiel: Zentraler Virenschutz + Makros per Gruppenrichtlinie gesperrt.
21–26 Netzwerk, WLAN & Fernwartung
21Eine Firewall ist installiert.
22-1Die Firewall ist so konfiguriert, dass nur erforderliche Dienste zugelassen sind.
22-2Eine Person entscheidet über die Firewall-Regeln.
24-1Homeoffice/mobil: verschlüsselte Verbindung (VPN) ins Firmennetz.
25-1Das WLAN ist nach aktuellem Standard verschlüsselt.
25-2WLAN-Passwort komplex, mindestens 20 Zeichen.
25-4Separates, getrenntes Gäste-WLAN für Gäste und private Hardware.
26-1Fernwartung ist geregelt (Bedingungen & Zeitpunkt).
26-2Fernwartungen sind immer verschlüsselt.
💡Beispiel: Firewall-Whitelist, VPN-Pflicht, eigenes Gäste-WLAN.
27 Physischer Schutz
27Sämtliche IT-Komponenten sind vor Elementarschäden (Feuer, Wasser, Sturm) geschützt.
💡Beispiel: Serverraum ohne Wasserleitungen, mit USV und Rauchmelder.
08 — Nachschlagen

Fachwortglossar

Alle Fachbegriffe erklärt — englische Begriffe mit deutscher Entsprechung. Tippe zum Filtern.

🔍
{{ glossarCount }} Begriffe
Keine Treffer — versuch einen anderen Begriff.
{{ g.term }} {{ g.cat }}
EN: {{ g.en }}

{{ g.def }}

09 — Selbsttest

Quiz zum Lernen

Wähle eine Antwort und klicke auf Prüfen — du erhältst sofort Rückmeldung mit Erklärung.

{{ scoreText }}
{{ answeredText }} · richtig beantwortet
Frage {{ f.nr }}

{{ f.q }}

{{ f.fbTitle }} {{ f.expl }}

Offene Fragen

Formuliere deine Antwort selbst — danach blendest du die Musterantwort zum Vergleich ein.

Offen {{ f.nr }}

{{ f.q }}

Musterantwort

{{ f.answer }}