Häufige Fragen (FAQ)

Ruhe bewahren und sofort handeln. Wenn Sie vermuten, dass Ihr System kompromittiert wurde:

1. Trennen Sie das Gerät vom Internet (WLAN deaktivieren, LAN-Kabel ziehen) – so stoppen Sie den Datentransfer.
2. Ändern Sie alle Passwörter von einem anderen, sicheren Gerät aus – besonders E-Mail, Banking, Social Media.
3. Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für alle wichtigen Konten.
4. Informieren Sie Ihre Bank, falls Finanzdaten betroffen sein könnten.
5. Erstatten Sie Anzeige bei der Polizei – Cyberkriminalität ist strafbar.
6. Kontaktieren Sie uns für professionelle Unterstützung.

→ Detaillierte Schritt-für-Schritt-Anleitung: Sofortmaßnahmen

Nicht zahlen – und sofort handeln:

1. Betroffene Geräte sofort vom Netzwerk trennen (auch andere PCs schützen).
2. Nicht auf Lösegeldforderung eingehen – Zahlung garantiert keine Entschlüsselung.
3. Vorhandene Backups sichern und prüfen, ob sie sauber sind.
4. Anzeige erstatten (Staatsanwaltschaft/Polizei, LKA Cybercrime).
5. Professionelle IT-Forensik einschalten, bevor das System bereinigt wird.
6. BSI und ggf. Datenschutzbehörde informieren (bei Datenverlust Pflicht nach DSGVO Art. 33: 72h).

Hinweis: Kostenlose Entschlüsselungstools für bestimmte Ransomware-Familien finden Sie bei No More Ransom.

Sofortmaßnahmen nach einem Phishing-Klick:

1. Keine Daten eingeben – Seite sofort schließen, falls noch kein Login erfolgt ist.
2. Falls Zugangsdaten eingegeben: Passwort sofort ändern (auf sicherem Gerät), 2FA aktivieren.
3. Falls auf verdächtigem Gerät: Gerät vom Internet trennen, Antivirusscan starten.
4. Haben Sie Zahlungsdaten eingegeben? Bank sofort anrufen, Karte sperren lassen.
5. E-Mail-Konto auf Weiterleitungsregeln prüfen (Angreifer richten oft Weiterleitungen ein).
6. Passwörter anderer Dienste ändern, falls Sie dasselbe Passwort verwenden.

Ja – wenn personenbezogene Daten betroffen sind, besteht Meldepflicht nach DSGVO Art. 33.

Frist: 72 Stunden ab Kenntnis der Panne – an die zuständige Datenschutzbehörde (in Sachsen-Anhalt: Landesbeauftragter für den Datenschutz).

Wann müssen Sie melden?

• Unbefugter Zugriff auf Kundendaten, Mitarbeiterdaten oder andere personenbezogene Informationen
• Datenverlust durch Ransomware, versehentliches Löschen oder gestohlene Geräte
• Versendung von Daten an falsche Empfänger in größerem Umfang

Wann ist keine Meldung nötig?

• Wenn die betroffenen Daten vollständig verschlüsselt waren und der Schlüssel sicher ist
• Wenn keine Risiken für die Betroffenen entstehen (geringe Sensitivität, kein Missbrauchsrisiko)

Zusätzliche Benachrichtigungspflicht gegenüber den betroffenen Personen: Bei hohem Risiko müssen auch die Betroffenen direkt informiert werden (Art. 34 DSGVO).

Dokumentation ist Pflicht – auch wenn keine Meldung erforderlich ist, müssen Sie die Datenpanne intern dokumentieren.

→ Sofortige professionelle Unterstützung: Kontakt aufnehmen

Unser IP-/Port-Check prüft, welche Ports Ihrer öffentlichen IP-Adresse von außen erreichbar (offen) sind.

Was bedeuten die Status-Anzeigen?

• 🟢 Geschlossen / Gefiltert: Der Port ist nicht erreichbar – das ist für die meisten Ports gut.
• 🔴 Offen: Der Port antwortet von außen. Je nach Port kann das ein Risiko sein (z.B. RDP Port 3389 = hohes Risiko).

Wichtige Hinweise:

• Der Scan erfolgt nur gegen Ihre eigene IP, die Sie selbst kontrollieren müssen.
• Es werden keine Daten gespeichert – der Scan ist vollständig anonym.
• Nutzen Sie den Scan nur für Netzwerke, für die Sie berechtigt sind.

Nein – absolut nicht. Das Datenschutz-Versprechen des IFCSD ist klar:

• Ihre E-Mail-Adresse wird ausschließlich für die Live-Abfrage verwendet und nicht gespeichert.
• Kein Logging, keine Weitergabe, keine Nutzung zu Werbezwecken.
• Die Abfrage erfolgt über die Have I Been Pwned API (HIBP) – einem international anerkannten Dienst.
• Wir übertragen nur einen anonymisierten Hash an externe Dienste (k-Anonymität bei Passwortchecks).

Das Datenschutzversprechen ist Teil unserer Marken-DNA und technisch umgesetzt (keine Datenbank-Writes für Tool-Eingaben).

Unser SSL-Check analysiert das TLS/SSL-Zertifikat einer Website und gibt Auskunft über Gültigkeit, Konfiguration und potenzielle Schwachstellen.

Was wird geprüft?

• Gültigkeit und Ablaufdatum des Zertifikats
• Ausstellende Zertifizierungsstelle (CA) und Vertrauenswürdigkeit
• Verwendetes Protokoll (TLS 1.2 / TLS 1.3 – ältere Versionen gelten als unsicher)
• Cipher Suites (Verschlüsselungsverfahren)
• HSTS-Header (erzwingt HTTPS für wiederkehrende Besucher)

Was bedeuten die Ergebnisse?

• ✅ Gültig & sicher: Zertifikat aktuell, starke Verschlüsselung aktiv
• ⚠️ Läuft bald ab: Erneuerung innerhalb von 30 Tagen empfohlen
• ❌ Abgelaufen / ungültig: Besucher sehen Browser-Warnmeldungen, Verschlüsselung nicht aktiv – sofortiger Handlungsbedarf

Risiken eines abgelaufenen SSL-Zertifikats:

• Man-in-the-Middle-Angriffe werden möglich
• Browser zeigen Sicherheitswarnung → massive Vertrauensverluste bei Besuchern
• Negative Auswirkungen auf Google-Ranking
• Möglicher DSGVO-Verstoß (fehlende technische Schutzmaßnahme nach Art. 32)

Der Check ist vollständig anonym – die geprüfte Domain wird nicht gespeichert.

Der DNS-Check analysiert die DNS-Konfiguration einer Domain auf sicherheitsrelevante Einträge – besonders für den Schutz vor E-Mail-Spoofing und Phishing.

Was wird geprüft?

• SPF (Sender Policy Framework): Legt fest, welche Server E-Mails im Namen Ihrer Domain senden dürfen. Fehlt SPF, können Angreifer E-Mails mit Ihrer Absenderadresse versenden.
• DMARC: Bestimmt, was mit E-Mails passiert, die SPF/DKIM nicht bestehen (Quarantäne oder Ablehnung). Ohne DMARC landen gefälschte Mails oft im Posteingang.
• DKIM: Digitale Signatur für ausgehende E-Mails – verhindert Manipulation im Transit.
• MX-Einträge: Prüfung der Mailserver-Konfiguration auf Konsistenz und Sicherheit.

Typische Risiken bei fehlender Konfiguration:

• Angreifer versenden Phishing-Mails mit Ihrer Firmenadresse an Kunden oder Partner
• Ihre legitimen E-Mails landen im Spam (fehlender SPF/DKIM)
• CEO-Fraud: gefälschte Zahlungsanweisungen im Namen der Geschäftsleitung

Empfehlung des BSI: SPF, DKIM und DMARC sollten für jede Unternehmens-Domain konfiguriert sein. DMARC-Policy mindestens quarantine, idealerweise reject.

Der Check erfolgt ausschließlich über öffentlich zugängliche DNS-Einträge – keine sensiblen Daten werden übertragen.

Der Schnell-Sicherheitscheck kombiniert mehrere Prüfungen in einem Schritt: offene Ports, SSL-Status und DNS-Konfiguration Ihrer Domain oder IP-Adresse.

Was wird geprüft?

1. Offene Ports: Welche Dienste sind von außen erreichbar? (z.B. RDP, SSH, FTP = häufige Angriffsvektoren)
2. SSL/TLS: Ist das Zertifikat gültig und die Verschlüsselung aktuell?
3. DNS-Sicherheit: Sind SPF, DMARC und DKIM korrekt konfiguriert?

Ergebnis-Ampel:

• 🟢 Kein unmittelbarer Handlungsbedarf
• 🟡 Verbesserungen empfohlen
• 🔴 Kritische Schwachstellen – sofortiger Handlungsbedarf

Für wen ist der Check geeignet?

• Geschäftsführer und IT-Verantwortliche, die einen schnellen Überblick benötigen
• Unternehmen ohne eigene IT-Abteilung
• Als Einstieg vor einem professionellen CyberRisikoCheck (DIN SPEC 27076)

Hinweis: Der Schnell-Sicherheitscheck ist kein Ersatz für ein vollständiges Sicherheitsaudit. Er zeigt die wichtigsten extern sichtbaren Schwachstellen – nicht die interne Infrastruktur.

Der CyberRisikoCheck (CRC) ist ein standardisiertes Verfahren zur Bewertung der Cybersicherheitslage kleiner und mittlerer Unternehmen (KMU) – entwickelt vom BSI auf Basis der DIN SPEC 27076.

Wer kann den CRC nutzen?

• Unternehmen mit bis zu 250 Mitarbeitern (KMU laut EU-Definition)
• Keine IT-Vorkenntnisse erforderlich – das Interview ist für Geschäftsführer konzipiert

Was passiert beim CRC?

1. Strukturiertes Interview (~2 Stunden) mit einem zertifizierten Berater
2. Bewertung in 27 Handlungsfeldern (Passwörter, Updates, Backups, Zugänge, Phishing-Schutz…)
3. Schriftlicher Bericht mit Risikoampel und priorisierten Maßnahmen

Kosten: Für KMU kostenlos – das BSI finanziert das Programm.

→ Kostenlos anfragen

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Deutschland in Kraft. Es gilt ohne Übergangsfrist.

Direkt betroffen sind Unternehmen mit:

• Mehr als 50 Mitarbeitern oder mehr als 10 Mio. € Jahresumsatz
• Tätigkeit in einer der 18 regulierten Sektoren (u.a. Energie, IT/TK, Gesundheit, Transport, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Lebensmittel)

Achtung: Indirekte Betroffenheit für viele KMU
Auch wenn Ihr Unternehmen formal unter den Schwellenwerten liegt: Größere Auftraggeber (Konzerne, öffentliche Hand) verlangen zunehmend, dass ihre Lieferanten und Dienstleister NIS2-konforme Sicherheitsstandards nachweisen – als Voraussetzung für die Geschäftsbeziehung.

Pflichten für betroffene Unternehmen:

• Registrierung beim BSI (Frist 6. März 2026 – wer noch nicht registriert ist, muss sofort handeln)
• Risikomanagementmaßnahmen in 10 Bereichen umsetzen (u.a. MFA, Backup, Lieferkettensicherheit)
• Sicherheitsvorfälle melden: 24h-Frühwarnung, 72h-Bericht, 1-Monats-Abschlussbericht

Bußgelder bei Verstößen:

• Wesentliche Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
• Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des Umsatzes
• Persönliche Haftung der Geschäftsführung

→ Kostenlose Erstberatung zur NIS2-Compliance anfragen

Das IFCSD ist ein Projekt der GENO Group eG und bietet Cybersicherheitsleistungen speziell für KMU, Handwerksbetriebe, Vereine und Kommunen.

Kostenlose Leistungen:

• CyberRisikoCheck (BSI / DIN SPEC 27076): Vollständig kostenfrei für KMU bis 250 Mitarbeiter – finanziert durch das BSI-Förderprogramm
• Online-Tools: Port-Check, E-Mail-Leak-Check, SSL-Check, DNS-Check, Schnell-Sicherheitscheck – kostenlos und ohne Anmeldung
• Erstberatung: Kostenloses Erstgespräch zur Einschätzung Ihrer Sicherheitslage

Kostenpflichtige Leistungen:

• Penetrationstests und Sicherheitsaudits
• Incident Response (Soforthilfe bei laufenden Angriffen)
• Schulungen und Awareness-Trainings für Mitarbeiter
• Umsetzungsbegleitung nach CyberRisikoCheck oder NIS2-Analyse
• Managed Security Services und laufende Betreuung

Preisgestaltung:
Preise richten sich nach Unternehmensgröße, Aufwand und Leistungsumfang. Wir erstellen immer ein individuelles Angebot – keine versteckten Kosten.

→ Unverbindlich anfragen

Das IFCSD ist dem Datenschutz und der Anonymität verpflichtet:

Unsere Tools (Port-Check, E-Mail-Leak-Check):

• Keine Speicherung von IP-Adressen oder E-Mail-Adressen
• Kein Tracking ohne Ihre ausdrückliche Zustimmung
• Cloudflare als Infrastruktur-Provider (EU-Datenschutz, AVV vorhanden)

Kontaktformular:

• Ihre Anfrage wird für die Bearbeitung gespeichert und danach gelöscht
• Keine Weitergabe an Dritte zu Werbezwecken

Website-Besuche:

• Kein Tracking ohne Consent (Consent Mode v2)
• Keine Cookies ohne Ihre Zustimmung

Vollständige Informationen: Datenschutzerklärung

Nach Art. 33 DSGVO müssen Sie eine Datenpanne innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde melden, sobald ein Risiko für betroffene Personen besteht.

Zuständige Behörde in Sachsen-Anhalt:
Landesbeauftragter für den Datenschutz Sachsen-Anhalt – Meldung über das Online-Portal oder postalisch.

Drei Risikostufen der DSGVO:

1. Kein Risiko → nur interne Dokumentation erforderlich, keine Meldepflicht
2. Risiko vorhanden → Meldung an die Datenschutzbehörde innerhalb 72h
3. Hohes Risiko → zusätzlich direkte Benachrichtigung der betroffenen Personen (Art. 34 DSGVO)

Faktoren für die Risikobewertung:

• Art der betroffenen Daten (Gesundheit, Finanzen, Passwörter = höheres Risiko)
• Anzahl betroffener Personen
• Ob Daten verschlüsselt waren
• Wahrscheinlichkeit eines Missbrauchs

Wichtig: Auch wenn keine Meldung nötig ist, müssen Datenpannen intern dokumentiert werden (Art. 33 Abs. 5 DSGVO). Fehlende Dokumentation kann bei einer Prüfung als Verstoß gewertet werden.

Fristversäumnis: Wird die 72h-Frist nicht eingehalten, müssen Sie die Verzögerung begründen. Bußgelder bis zu 10 Mio. € oder 2 % des Jahresumsatzes sind möglich.

→ Bei einem akuten Vorfall: Soforthilfe anfordern

Zwei-Faktor-Authentifizierung (2FA) bedeutet, dass Sie sich bei einem Konto mit zwei unabhängigen Faktoren ausweisen müssen – nicht nur mit dem Passwort.

Die drei Faktortypen:

• Wissen: Passwort, PIN
• Besitz: Smartphone (Authenticator-App, SMS-Code), Hardware-Token
• Biometrie: Fingerabdruck, Gesichtserkennung

Bei 2FA kombinieren Sie mindestens zwei dieser Faktoren – z.B. Passwort + Authenticator-App.

Warum ist 2FA so wichtig?
Gestohlene Passwörter sind einer der häufigsten Angriffswege. Laut BSI können über 80 % der Kontoübernahmen durch aktiviertes 2FA verhindert werden. Selbst wenn ein Angreifer Ihr Passwort kennt, kommt er ohne den zweiten Faktor nicht rein.

Empfohlene 2FA-Methoden (nach Sicherheitsstufe):

1. Hardware-Token (z.B. YubiKey) – höchste Sicherheit
2. Authenticator-App (z.B. Microsoft Authenticator, Google Authenticator) – sehr sicher
3. SMS-Code – besser als kein 2FA, aber anfällig für SIM-Swapping

Wo sollten Sie 2FA aktivieren?

• E-Mail-Konto (höchste Priorität – Schlüssel zu allen anderen Konten)
• Banking und Zahlungsdienste
• Unternehmensanwendungen (Microsoft 365, Google Workspace)
• Cloud-Dienste, Social Media, Domain-Verwaltung

Das BSI empfiehlt 2FA als eine der wichtigsten Basismaßnahmen für Unternehmen.

Laut BSI-Lagebericht 2025 bleibt die Bedrohungslage für deutsche Unternehmen auf höchstem Niveau. Rund 80 % der registrierten Cyberangriffe betrafen KMU.

Die häufigsten Angriffsarten:

1. Ransomware
Schadsoftware verschlüsselt alle Daten und fordert Lösegeld. Durchschnittlicher Schaden pro Vorfall in Deutschland: mehrere hunderttausend Euro (inklusive Ausfallzeiten). Wichtig: Nicht zahlen – Zahlung garantiert keine Entschlüsselung.

2. Phishing und Spear-Phishing
Gefälschte E-Mails erschleichen Zugangsdaten oder installieren Schadsoftware. Spear-Phishing zielt gezielt auf einzelne Personen ab (z.B. mit echtem Namen und Firmenkontext).

3. Kompromittierte Zugangsdaten
Gestohlene Passwörter aus Datenlecks werden für Kontoübernahmen genutzt. Abhilfe: starke, einzigartige Passwörter + 2FA.

4. Schwachstellen in Software
Ungepatchte Systeme (veraltete Software, fehlende Updates) bieten Angreifern bekannte Einfallstore. BSI empfiehlt: Updates innerhalb von 72 Stunden nach Veröffentlichung einspielen.

5. CEO-Fraud / Business Email Compromise
Gefälschte E-Mails im Namen der Geschäftsführung fordern Mitarbeiter zu Überweisungen auf. Schaden deutschlandweit in Milliardenhöhe jährlich.

Schutzmaßnahmen laut BSI:

• Regelmäßige Updates aller Systeme
• 2FA für alle Konten
• Regelmäßige Backups (3-2-1-Regel: 3 Kopien, 2 Medien, 1 extern/offline)
• Mitarbeitersensibilisierung

→ Kostenloser CyberRisikoCheck anfragen

Das BSI hat seine Empfehlungen zu Passwörtern zuletzt 2023 aktualisiert – weg vom erzwungenen Wechsel, hin zu langen, einzigartigen Passwörtern.

BSI-Empfehlungen für sichere Passwörter:

• Mindestlänge: 12 Zeichen (für kritische Konten: 20+)
• Kombination aus Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen
• Kein Wechsel ohne Anlass – häufige Wechsel führen zu schwächeren Passwörtern
• Einzigartig pro Dienst – niemals dasselbe Passwort mehrfach verwenden
• Keine Wörter aus Wörterbüchern, keine persönlichen Informationen (Geburtstag, Name)

Passphrasen als Alternative:
Vier zufällige Wörter ergeben ein sicheres und merkbares Passwort: Ampel-Katze-Regen-Stuhl ist sicherer als P@ssw0rd!.

Passwort-Manager – die praktische Lösung:
Ein Passwort-Manager speichert alle Passwörter verschlüsselt. Sie merken sich nur ein starkes Master-Passwort.

Empfohlene Passwort-Manager (Stand 2026):

• Bitwarden (Open Source, kostenlos für Einzelpersonen)
• KeePassXC (lokal, kein Cloud-Sync)
• 1Password oder Dashlane (kostenpflichtig, für Teams geeignet)

Zusätzlich: E-Mail-Leak-Check
Prüfen Sie, ob Ihre E-Mail-Adressen in bekannten Datenlecks aufgetaucht sind:
→ E-Mail-Leak-Check starten

Backups sind die wichtigste Maßnahme gegen Ransomware und Datenverlust – aber nur wenn sie korrekt eingerichtet sind.

Die BSI-Empfehlung: die 3-2-1-Regel

• 3 Kopien der Daten
• auf 2 verschiedenen Speichermedien (z.B. NAS + externe Festplatte)
• davon 1 an einem externen Standort oder offline

Warum offline/extern so wichtig ist:
Ransomware verschlüsselt alle erreichbaren Laufwerke – inklusive dauerhaft verbundener Backuplaufwerke und Netzlaufwerke. Ein Backup, das permanent verbunden ist, ist kein sicheres Backup.

Backup-Frequenz nach Datenkritikalität:

• Täglich: Kundendaten, Buchhaltung, aktive Projekte
• Wöchentlich: Systeme und Konfigurationen
• Monatlich: Archivdaten

Backup-Test ist Pflicht:
Ein nicht getestetes Backup ist kein Backup. Führen Sie mindestens einmal pro Quartal eine Wiederherstellungsübung durch.

Cloud-Backup als Ergänzung:
Cloud-Backups sind eine sinnvolle Ergänzung (nicht Ersatz) zum lokalen Backup – achten Sie auf DSGVO-konforme Anbieter mit Serverstandort EU und Auftragsverarbeitungsvertrag (AVV).

Empfohlene Tools:

• Veeam (für Windows-Server-Umgebungen)
• Acronis Cyber Protect (all-in-one für KMU)
• Restic (Open Source, für Linux/Mac)
• Windows Server: integriertes Windows Server Backup

→ Backup-Strategie im CyberRisikoCheck bewerten lassen