Die häufigsten IT-Probleme kleiner Unternehmen – Ursachen, Folgen und Lösungen

Reale Ausgangslage

In der täglichen Praxis zeigt sich, dass in zahlreichen kleinen Unternehmen kein strukturiertes IT-Sicherheitskonzept existiert. Typische Schwachstellen sind:

• der Verzicht auf Zwei-Faktor-Authentifizierung bei E-Mail- oder Cloud-Zugängen,
• veraltete Antivirensoftware ohne zentralisiertes Management,
• unkontrollierte Nutzung privater Endgeräte im Unternehmensnetzwerk,
• keine klar definierte Passwortstrategie,
• keine Protokollierung von Anmelde- oder Admin-Vorgängen.

Ein typisches Beispiel: Ein Mitarbeiter nutzt sein privates Notebook für den Zugriff auf Geschäftsdaten in Microsoft 365. Dieses Gerät ist weder verschlüsselt noch gegen Schadsoftware abgesichert. Im Falle eines Diebstahls oder einer Infektion mit Malware ist nicht nur der Datenbestand, sondern auch der gesamte Zugriffspfad zur Cloud kompromittiert.

Ursachenanalyse

• Mangelndes Bewusstsein für IT-Sicherheitsgrundlagen bei Geschäftsführung und Mitarbeitenden
• keine dedizierte IT-Zuständigkeit im Unternehmen
• keine Vorgaben oder Prozesse zur Einhaltung technischer Mindeststandards
• Glaube an trügerische Sicherheit durch Standardclouds wie Google Drive oder OneDrive

Auswirkungen

• Ransomware-Angriffe mit Lösegeldforderungen in Bitcoin
• Industriespionage oder Weiterverkauf sensibler Kundendaten
• Compliance-Verletzungen mit Bußgeldern (DSGVO, GoBD)
• langfristiger Reputationsschaden

Lösung: Sicherheit systematisch denken

Ein modernes Sicherheitskonzept muss folgende technische und organisatorische Säulen umfassen:

• Zentrale Endpoint-Security mit Managementkonsole, Echtzeitüberwachung, Exploit-Schutz und automatisierter Quarantäne
• Verpflichtende Multi-Faktor-Authentifizierung für alle Cloud-Zugänge, insbesondere E-Mail, Datenspeicher und Fernzugriffe
• Systematische Rechtevergabe nach dem Prinzip der minimalen Berechtigung (Least Privilege)
• Regelmäßige IT-Security-Schulungen – angepasst an das jeweilige Tätigkeitsfeld der Mitarbeitenden
• Verschlüsselung aller mobilen Endgeräte, z. B. Windows BitLocker oder macOS FileVault
• Intrusion Detection & Protokollierung, z. B. über Sysmon, Windows Security Logs oder Cloud-basierte Audit-Systeme

Ausgangslage

Viele kleinere Unternehmen nutzen ihre Hardware über den wirtschaftlichen Lebenszyklus hinaus. Beispiele aus der Praxis:

• Ein PC mit Windows 7 läuft seit 2014 ununterbrochen und hostet eine Access-Datenbank.
• Ein Netzwerkdrucker hat seit 2018 kein Firmware-Update mehr erhalten.
• Auf dem Haupt-PC läuft Office 2010 – die Outlook-Datenbank (.pst) hat 15 GB erreicht.

Technische Implikationen

• Nicht mehr unterstützte Betriebssysteme erhalten keine Sicherheitsupdates – jede bekannte Schwachstelle bleibt offen.
• Langsame Festplatten (HDD statt SSD) führen zu Wartezeiten bei jedem Programmstart.
• Inkompatibilitäten mit aktuellen Standards wie TLS 1.3, IPv6 oder UEFI verhindern Modernisierungen in der Infrastruktur.
• Fehlende Integrationsfähigkeit bei Altsoftware (z. B. fehlender API-Support, kein Mobile Access, keine Cloud-Anbindung).

Ursachen

• Budgetknappheit und Investitionszurückhaltung
• Angst vor Betriebsunterbrechung während der Umstellung
• fehlende Übersicht über Gerätebestand und Softwareversionen
• kein Lifecycle-Management oder Technologiefahrplan

Reale Folgen

• Erhöhte Ausfallraten bei kritischen Geräten
• massive Sicherheitslücken (z. B. EternalBlue auf alten Windows-Systemen)
• Totalausfall durch defekte HDDs ohne SSD-Backup
• Inkompatibilität bei Software-Rollouts, z. B. neue Office-Versionen

Lösung: Geplantes Lifecycle-Management

Effiziente Maßnahmen zur Vermeidung veralteter IT-Strukturen:

• Zentrale Erfassung aller IT-Komponenten mit Herstellungs- und Inbetriebnahmedatum
• Definition von Austauschzyklen nach Systemtyp (z. B. Clients: 4 Jahre, Server: 5 Jahre, Router: 3 Jahre)
• Monitoring des EOL-Supportstatus (End of Life/End of Support) per Datenbank oder Softwarelösung
• Budgetreservierung für Ersatzinvestitionen im Jahresplan
• Aktive Kontrolle von Softwareversionen inkl. Updateberechtigungen und Supportlaufzeiten

Realität im KMU-Segment

In vielen kleinen Betrieben wird das Thema Backup falsch oder gar nicht umgesetzt. Häufige Fehlannahmen sind:

• „Unsere Daten liegen in OneDrive – das ist doch ein Backup.“
• „Wir kopieren wöchentlich auf eine USB-Festplatte – das reicht.“
• „Unser Webhoster hat ein Backup – das ist deren Verantwortung.“

In Wahrheit fehlt in solchen Szenarien meist:

• eine regelmäßige Versionierung der Daten (z. B. tagesgenau),
• eine physikalische Trennung zwischen Produktivsystem und Sicherung,
• ein dokumentiertes Wiederherstellungskonzept (Disaster Recovery Plan).

Was passiert im Ernstfall?

• Ein Kryptotrojaner verschlüsselt alle Netzlaufwerke – das Backup liegt ebenfalls im gleichen Netzwerk und wird mitverschlüsselt.
• Die USB-Festplatte mit der einzigen Sicherung wird versehentlich formatiert oder gelöscht.
• Ein Office-Dokument wird fehlerhaft überschrieben – und OneDrive synchronisiert die fehlerhafte Version ohne Rückfallebene.

Lösung: 3-2-1-Backup + Restore-Strategie

Ein funktionierendes Konzept muss folgende Prinzipien erfüllen:

• Mindestens drei Kopien jeder kritischen Datei: Original + zwei Sicherungen
• Zwei verschiedene Medientypen: z. B. Cloud + NAS oder USB + Online-Backup
• Eine Sicherung an einem anderen physischen Standort (z. B. Cloud-Dienst mit externem Rechenzentrum)

Darüber hinaus gehören zwingend dazu:

• automatisierte Backups, die nicht vom Nutzer angestoßen werden müssen
• Verschlüsselung mit unternehmenseigenem Schlüsselmanagement
• regelmäßige Wiederherstellungstests (Restore-Simulationen)
• Sicherung von Clients, Servern, NAS-Systemen und Cloud-Accounts gleichermaßen
• rechtssichere Archivierung (z. B. GoBD-konform bei steuerrelevanten Daten)

Typisches Szenario

In der Praxis zeigt sich ein unstrukturierter Umgang mit Benutzerkonten:

• Mitarbeitende teilen sich Login-Daten, um sich das Einloggen zu „vereinfachen“.
• Es gibt keine Übersicht darüber, wer Zugang zu welchen Ordnern oder Tools hat.
• Ausgeschiedene Mitarbeiter bleiben in der Benutzerverwaltung aktiv.
• Die Buchhaltung hat Zugriff auf Personalakten – und umgekehrt.

Technische und rechtliche Risiken

• Datenlecks durch unbefugten Zugriff
• unvollständige Protokollierung bei Datenänderungen oder Löschungen
• keine gerichtsfeste Nachvollziehbarkeit bei Streitfällen
• Datenschutzverstöße (z. B. nach Art. 5 Abs. 1 lit. f DSGVO)

Lösung: Rollenbasierte Zugriffskontrolle und Identity Management

Ein ausgereiftes Berechtigungskonzept umfasst:

• Rollenmodelle (z. B. Vertrieb, Buchhaltung, Geschäftsleitung) mit jeweils definierten Zugriffsebenen
• Verzeichnisdienste wie Microsoft Entra ID (ehemals Azure AD), kombiniert mit Gruppenrichtlinien
• automatisierte Benutzerlebenszyklen: Anlage, Änderung, Deaktivierung
• vollständige Protokollierung aller Systemzugriffe
• Implementierung der SSO-Prinzipien (Single Sign-on) mit MFA

So wird sichergestellt, dass nur befugte Personen Zugriff auf geschäftskritische Daten erhalten – und das auch nur so lange, wie es erforderlich ist.

Ausgangslage im Alltag

In vielen kleinen Unternehmen existiert keine konsistente IT-Dokumentation. Informationen über verwendete Systeme, Konfigurationen oder Zugangsdaten befinden sich – wenn überhaupt – verstreut auf verschiedenen Geräten, in alten E-Mails oder nur im Gedächtnis einzelner Personen. Wird ein externer Dienstleister hinzugezogen oder scheidet ein langjähriger Mitarbeiter aus, herrscht oft völlige Intransparenz.

Typischerweise fehlen:

• Netzwerkübersichten (z. B. IP-Adressbereiche, Switchport-Zuordnung, VLANs),
• Zugangsdaten für Server, Router, Cloudkonten und Admin-Konten,
• vollständige Lizenznachweise und Installationsprotokolle,
• Informationen zu eingesetzten Tools, Backup-Zielen, Zeitplänen oder Wiederherstellungsskripten,
• dokumentierte Änderungen an Systemen, Updates oder Umstellungen.

Ursachen

• IT-Strukturen haben sich organisch und reaktiv entwickelt,
• es gibt keinen Verantwortlichen für Dokumentation oder Systempflege,
• keine Zeit oder kein Bewusstsein für Dokumentationspflichten,
• Dienstleisterwechsel ohne strukturierte Übergabe.

Konsequenzen

• Verzögerungen bei Fehlerbehebungen, weil grundlegende Zusammenhänge unklar sind,
• erschwerte oder unmögliche Migrationen von Systemen,
• Abhängigkeit von Einzelpersonen, was Risiken im Krankheits- oder Kündigungsfall verstärkt,
• mangelnde Nachvollziehbarkeit für externe Prüfer (z. B. bei Datenschutz oder Betriebsprüfungen).

Lösung: Strukturierte IT-Dokumentation als Betriebsgrundlage

Eine vollständige, zentral gepflegte IT-Dokumentation sollte enthalten:

• eine aktuelle Geräte- und Softwareübersicht mit Seriennummern, Nutzungszweck und Standort,
• alle relevanten Zugangsdaten – verschlüsselt und rollenbasiert abrufbar (z. B. über KeePass oder Bitwarden Teams),
• Netzwerktopologie (Layer-2- und Layer-3-Pläne), IP-Adressvergabe, DHCP/Static-Mapping, VPN-Struktur,
• dokumentierte Backup-Zeitpläne, Monitoring-Systeme, Alarmwege,
• Softwarelizenzen, Supportverträge, Updates und EOL-Termine,
• Notfallpläne (Disaster Recovery Playbooks) mit Kontaktpersonen und Entscheidungswegen.

Die Pflege dieser Dokumentation sollte als dauerhafte Aufgabe verstanden und mindestens quartalsweise aktualisiert werden. Nur so bleibt das betriebliche Wissen dauerhaft verfügbar und nutzbar.

Das unterschätzte Rückgrat

Ein leistungsfähiges, sicheres und strukturiertes Netzwerk bildet die Basis für alle digitalen Geschäftsprozesse. In der Realität vieler kleiner Unternehmen zeigt sich jedoch das Gegenteil: Netzwerke sind unübersichtlich, unsegmentiert, überlastet oder veraltet. Router aus dem Privatkundenbereich werden als zentrale Firewall eingesetzt, Switches ohne Managementfunktionen in Kaskaden verbunden und WLAN-Passwörter über Jahre nicht geändert.

Typische Probleme:

• DHCP-Fehler durch doppelte Adressen,
• Verbindungsabbrüche bei Videoanrufen oder Remote-Desktop-Sitzungen,
• nicht dokumentierte Geräte mit vollem Netzwerkkontakt,
• keine Trennung zwischen interner Infrastruktur, Gast-WLAN und IoT-Komponenten.

Ursachen

• Netzwerke wurden nicht geplant, sondern „entstanden“,
• fehlendes Verständnis für technische Konzepte wie VLAN, QoS oder SNMP,
• keine regelmäßige Wartung oder Firmware-Aktualisierung von Netzwerkkomponenten,
• günstige, nicht skalierbare Hardwarelösungen ohne zentrale Steuerung.

Reale Auswirkungen

• erhebliche Produktivitätsverluste bei instabilen Verbindungen,
• hohe Störanfälligkeit bei gleichzeitigem Zugriff mehrerer Nutzer,
• fehlende Kontrollmöglichkeiten für Admins,
• hohe Angriffsfläche durch unkontrollierte Geräte und veraltete Firmware.

Lösung: Professionelles, segmentiertes Netzwerkdesign

Ein stabiles Unternehmensnetzwerk benötigt:

• verwaltete Switches mit Portkontrolle, VLAN-Zuweisung und SNMP-Monitoring,
• segmentierte Netze für Bürogeräte, Server, IoT und Gastzugänge – klar getrennt durch VLANs,
• einen professionellen Router mit Firewall, IDS/IPS, VPN und Protokollierung (z. B. LANCOM, Sophos, Ubiquiti Edge),
• einheitliche Namenskonventionen, Gerätekennzeichnung und Netzdokumentation,
• optional: zentrales WLAN-Management mit definierter Roaming-Strategie und Bandbreitenpriorisierung.

So lassen sich sowohl interne Prozesse stabilisieren als auch externe Angriffsvektoren nachhaltig reduzieren.

Irrglaube: „Die Cloud macht das schon“

Viele Unternehmen nutzen Microsoft 365, Google Workspace oder Dropbox, ohne die Systeme richtig konfiguriert zu haben. Die Plattform wird in Betrieb genommen, aber essenzielle Sicherheits-, Protokollierungs- und Verwaltungsfunktionen bleiben deaktiviert oder unbekannt. Auch Berechtigungen werden häufig nicht zentral über Gruppen gesteuert, sondern manuell und unübersichtlich auf Benutzerebene vergeben.

Typische Fehlkonfigurationen:

• keine Multi-Faktor-Authentifizierung,
• öffentliche Freigaben von internen Dateien über „Link teilen“ – ohne Ablaufdatum,
• fehlende Backup-Strategie trotz Cloudspeicherung,
• keine Aktivitätsprotokolle oder Alerting bei verdächtigen Anmeldungen,
• keine Begrenzung auf bestimmte Länder/IP-Bereiche oder Geräteklassen.

Ursachen

• Cloudprodukte werden „nebenbei“ eingeführt – ohne Konzept,
• kein Verantwortlicher für die Plattformadministration,
• fehlende Schulung der Nutzer und Admins,
• falsches Vertrauen in die Voreinstellungen des Anbieters.

Folgen

• sensible Informationen gelangen ungewollt nach außen,
• Admin-Konten werden durch Credential-Stuffing übernommen,
• gelöschte Dateien oder Mails lassen sich nicht wiederherstellen,
• gesetzliche Vorgaben (z. B. Datenschutz nach Art. 32 DSGVO) werden verletzt.

Lösung: Sichere Cloudkonfiguration mit strategischer Verantwortung

Ein professioneller Cloudbetrieb basiert auf:

• dem Grundsatz „Zero Trust“ – keine Berechtigungen ohne explizite Zuweisung,
• Einrichtung eines globalen Administratorenkontos mit Notfallwiederherstellung und MFA,
• Konfiguration von Audit-Logs, Conditional Access Policies, Zugriffsbeschränkungen nach Gerät, IP und Standort,
• Integration in ein Backup-System für Microsoft 365 oder Google Workspace,
• strukturierte Benutzer-, Gruppen- und Rollenverwaltung,
• verbindliche Richtlinien für die interne und externe Dateifreigabe.

Cloudsysteme sind mächtig und sicher – aber nur dann, wenn sie bewusst betrieben und regelmäßig kontrolliert werden.

Realität im hybriden Arbeitsalltag

Ob aus Bequemlichkeit, aus Mobilitätsgründen oder mangels Alternativen: In vielen kleinen Unternehmen ist der Zugriff auf Unternehmensdaten von privaten Geräten aus gängige Praxis. Dabei werden keine Sicherheitsstandards durchgesetzt, keine Geräte registriert und keine Einschränkungen definiert. Mitarbeitende nutzen ungeschützte Laptops, Tablets oder Smartphones für geschäftskritische Aufgaben.

Typische Risiken:

• keine Gerätekontrolle bei Verlust oder Diebstahl,
• keine Verschlüsselung, keine PIN- oder Biometrie-Anforderung,
• keine Trennung zwischen privaten und geschäftlichen Daten,
• Zugriff auf sensible Daten aus öffentlichen Netzwerken ohne VPN,
• keine Möglichkeit zum Remote-Wipe bei Kompromittierung.

Ursachen

• kein Gerätebudget, keine Geräteverwaltung,
• falsche Vorstellung: „Cloud = Zugriff von überall = sicher“,
• fehlende MDM-Strategie (Mobile Device Management),
• kein Bewusstsein für die Verantwortung von Geräteträgern.

Lösung: BYOD-Richtlinie mit klarer Technikgrundlage

Für BYOD (Bring Your Own Device) braucht es:

• eine verbindliche Betriebsvereinbarung zur privaten Gerätenutzung,
• technische Absicherung durch Mobile Device Management (z. B. Intune, Jamf, MobileIron),
• Containerisierung: geschäftliche Daten laufen isoliert auf dem Gerät,
• Zwang zur Nutzung von VPN, Zertifikaten und Remote-Wipe-Funktion,
• Mindestanforderungen an Betriebssystem, Virenschutz und Gerätestatus (z. B. Jailbreak-Verbot),
• klare Regelung: wer ist wann für Daten auf dem Gerät verantwortlich?

Alternativ kann das Unternehmen auch kontrollierte Endgeräte zur Verfügung stellen und BYOD vollständig ausschließen – insbesondere bei Zugriff auf personenbezogene oder sensible Informationen.

Das strukturelle Grundproblem

Viele der zuvor genannten Probleme haben eine gemeinsame Ursache: Die IT wird im Unternehmen nicht als strategischer Bestandteil des Geschäftsmodells verstanden. Sie ist Mittel zum Zweck – aber nicht Teil der Planung. Investitionen erfolgen reaktiv, Zuständigkeiten sind unklar, Entscheidungen werden aufgeschoben, bis es zu spät ist.

Die IT „funktioniert“, solange niemand fragt – und wird erst dann sichtbar, wenn etwas nicht mehr geht.

Typische Symptome

• Budget wird nur im Notfall bewilligt – nicht für Prävention,
• Geschäftsführung versteht technische Risiken nicht (z. B. „Warum brauchen wir neue Laptops, die alten tun’s doch noch?“),
• keine gemeinsame Sprache zwischen Admins und Management,
• keine IT-Roadmap oder verbindliche Zieldefinition.

Folgen

• keine strategische Planung, sondern Reparaturbetrieb,
• zunehmender Technologierückstand (Technical Debt),
• Überforderung interner Zuständiger oder externer Dienstleister,
• steigende Kosten bei gleichzeitig sinkender Systemqualität.

Lösung: IT strategisch verankern

Auch kleine Unternehmen brauchen eine IT-Strategie. Dazu gehören:

• regelmäßige IT-Planungsmeetings mit Geschäftsführung und operativen Verantwortlichen,
• Übersetzung technischer Risiken in betriebswirtschaftlich nachvollziehbare Sprache,
• Priorisierung von Investitionen in Sicherheit, Infrastruktur, Schulung und Support,
• Dokumentation einer kurz-, mittel- und langfristigen IT-Roadmap,
• feste Ansprechpartner, Budgets und Entscheidungswege,
• Einbindung externer IT-Berater mit strategischem Know-how, nicht nur als „Feuerwehr“.