IT-Security für Selbstständige: die wichtigsten Maßnahmen, nach Wirkung sortiert
Als Selbstständiger bist Du alles in einem. Du bist Chef, Buchhaltung und eben auch die eigene IT-Abteilung. Niemand richtet Dir im Hintergrund eine sichere Umgebung ein. Das klingt erstmal nach viel, ist aber machbar, wenn Du an den richtigen Stellen anfängst.
Deshalb ist dieser Leitfaden nach Wirkung sortiert. Oben stehen die Maßnahmen, die am meisten bringen und am wenigsten kosten. Wenn Du nur die ersten Punkte umsetzt, hast Du schon einen Großteil des Risikos abgedeckt.
IT-Sicherheit für Selbstständige: die wichtigsten Basics zuerst
Mehr-Faktor-Authentifizierung (MFA) überall aktivieren
Wenn Du aus diesem ganzen Artikel nur eine Sache umsetzt, dann diese. MFA bedeutet, dass zum Passwort ein zweiter Faktor kommt, meist ein Code aus einer App auf Deinem Handy. Selbst wenn ein Angreifer Dein Passwort kennt, kommt er ohne diesen zweiten Faktor nicht rein.
Die allermeisten Kontoübernahmen, die ich in der Praxis sehe, wären mit aktiver MFA nicht passiert. Aktiviere sie überall, wo es geht, also bei E-Mail, Microsoft 365, Bank, Shops und Social Media. Nutze dafür eine Authenticator-App statt SMS, denn SMS lässt sich unter Umständen umleiten.
Passwörter: Länge schlägt Komplexität, und nutze einen Passwortmanager
Viele nutzen überall dasselbe Passwort. Privat ist das schon riskant, geschäftlich ist es fahrlässig, denn jetzt geht es nicht mehr nur um Deine Daten, sondern auch um die Deiner Kunden.
Es gibt zwei einfache Regeln. Die erste lautet, für jeden Dienst ein eigenes Passwort zu verwenden. Wird ein Anbieter gehackt, ist dann nur dieser eine Zugang betroffen und nicht gleich Dein ganzes digitales Leben.
Die zweite Regel lautet, Passwörter lang zu machen, denn Länge schlägt Komplexität. Zur Veranschaulichung ein Rechenbeispiel. Ein vierstelliges Passwort aus Groß- und Kleinbuchstaben sowie Ziffern (also 62 mögliche Zeichen) ergibt circa 15 Millionen Kombinationen. Kann ein Angreifer nach einem Datendiebstahl offline raten, schafft er je nach Verfahren Milliarden Versuche pro Sekunde, ein solches Passwort hält also nur den Bruchteil einer Sekunde. Bei acht Zeichen sind es schon circa 218 Billionen Kombinationen, bei 16 Zeichen eine Zahl mit rund 28 Nullen. Wie schnell ein Passwort wirklich fällt, hängt vom Verfahren des Anbieters ab (Stichworte Hashing und Salting), aber die Richtung ist klar. Jedes zusätzliche Zeichen hilft überproportional.
Viele lange und einzigartige Passwörter kann sich kein Mensch merken. Deshalb führt an einem Passwortmanager kein Weg vorbei. Der merkt sich alles für Dich, Du brauchst Dir nur noch ein einziges starkes Master-Passwort zu merken. Das ist die praktischste Sicherheitsmaßnahme überhaupt.
Updates zeitnah einspielen
Angreifer nutzen bekannte Sicherheitslücken aus, für die es längst Updates gibt. Wer zeitnah aktualisiert, schließt genau diese Türen.
Stell automatische Updates für Betriebssystem und Programme ein, wo es geht, und spiel wichtige Sicherheitsupdates zügig ein. Im KI-Zeitalter empfiehlt es sich, spätestens sieben Tage nach einem Update wieder auf der neuesten Version zu sein.
Oft kommen solche Update-Fenster genau dann, wenn man das Programm gerade braucht. Stell Dir jedes Mal die Frage, ob Du das Tool wirklich so dringend brauchst, dass Du dafür das Risiko einer Systemübernahme eingehen willst.
Backups nach der 3-2-1-1-0-Regel
Ein Backup ist Deine Lebensversicherung, besonders gegen Angriffe, die Deine Daten verschlüsseln. Diese Angriffe nennen sich Ransomware, und Du erkennst sie häufig daran, dass Deine Dateien plötzlich neue Dateiendungen tragen, Erpresserschreiben auftauchen oder Dein Desktop-Hintergrund verändert wird. Was im akuten Fall zu tun ist, findest Du in unserem Leitfaden für die ersten 60 Minuten nach einem Ransomware-Angriff.
Eine bewährte und gegenüber der klassischen 3-2-1-Regel erweiterte Faustregel ist 3-2-1-1-0. Sie bedeutet drei Kopien Deiner Daten, auf zwei verschiedenen Medien, davon eine an einem anderen Ort, eine davon offline oder unveränderbar (damit sie nicht mitverschlüsselt werden kann), und null Fehler bei der Wiederherstellung. Der letzte Punkt heißt, dass Du getestet hast, ob sich das Backup auch wirklich zurückspielen lässt. Genau der wird am häufigsten vergessen, dabei ist ein ungetestetes Backup im Ernstfall wertlos.
Wie eine robuste Backup-Strategie im Detail aussieht und was professionelle Datenwiederherstellung kostet, liest Du in unserem Artikel Data Recovery für KMU.
Trenne Privates von Geschäftlichem
Private und geschäftliche Konten trennen
Überall muss man sich registrieren, ob Amazon, eBay oder sonst wo. Über die Jahre sammelt sich eine Menge an. Behalte im Kopf, dass Du eigentlich zwei Personen bist, die Privatperson und die Geschäftsperson. Nutze deshalb getrennte Konten. So vermischt sich nichts, und ein Problem im Privaten schwappt nicht ins Geschäftliche über.
Dedizierte Administrator-Konten
Der Administrator darf installieren, einstellen und ändern. Ein normaler Benutzer darf das nicht, und das ist gut so. Windows fragt bei administrativen Aufgaben gezielt nach diesen hohen Rechten. Wenn Du mit einem Administratorkonto arbeitest, läuft diese Freigabe im Hintergrund. Arbeitest Du dagegen mit einem normalen Benutzerkonto, musst Du sie mit den Login-Daten des Administrators explizit erlauben.
Arbeite im Alltag deshalb mit einem normalen Benutzerkonto und nicht als Administrator. Ein Angreifer möchte im Ernstfall genau das tun, was ein Administrator kann, also Software installieren, Daten verändern und sich festsetzen. Erwischt er Dich, während Du nur als normaler Benutzer unterwegs bist, kann er auch nur das, was ein normaler Benutzer darf. Das begrenzt den Schaden erheblich.
Dedizierte Geräte, wenn möglich
Es ist verlockend, den privaten Laptop auch geschäftlich zu nutzen und nichts einrichten zu müssen. Man muss nicht zwei Geräte mitnehmen und hat seine gewohnte Arbeitsumgebung. Das Problem besteht darin, dass Du auf dem privaten Gerät eher Risiken eingehst, die Du auf dem dienstlichen nicht eingehen solltest, etwa unbekannte Software installieren oder fragwürdige Seiten besuchen.
Auf einem dienstlichen Gerät ist nur das installiert, was Du wirklich brauchst. Hier wird nicht gezockt, keine Filme geschaut, keine Klamotten geshoppt.
Es muss dabei nicht das teuerste Gerät auf dem Markt sein. Gerade für einfache Office-Aufgaben oder das Schreiben von Rechnungen reichen oft auch gebrauchte Geräte.
Datenschutz: Warum private Konten für Kundendaten nicht ausreichen
Auftragsverarbeitungsvertrag (AVV): Was Selbstständige wissen müssen
In Europa regelt die Datenschutz-Grundverordnung (DSGVO), wie personenbezogene Daten verarbeitet werden dürfen. Ein zentraler Baustein ist der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Er besagt vereinfacht, dass ihr eine vertragliche Vereinbarung braucht, wenn ein externer Dienstleister in Deinem Auftrag personenbezogene Daten verarbeitet. Als Selbstständiger stehst Du hier in der Verantwortung, wenn Du Partner einsetzt, die in Deinem Namen mit Daten umgehen.
Betroffen sind praktisch alle Daten, mit denen sich eine Person identifizieren lässt. Dazu gehören Vor- und Nachname, Geburtsdatum und Adresse, aber auch technischere Angaben wie die IP-Adresse der Besucher Deiner Webseite.
Merk Dir daher, dass Du für die Verarbeitung solcher Daten nur Dienste nutzen darfst, die einen AVV mit Dir abschließen. Und genau hier liegt das Problem vieler privater Konten.
Warum kostenlose E-Mail-Konten für die Selbstständigkeit riskant sind
Zur Selbstständigkeit gehört mindestens eine, oft mehrere E-Mail-Adressen. Von kostenlosen Adressen wie Gmail, GMX oder Web.de in der Gratis-Variante rate ich für die geschäftliche Nutzung ab. Der Grund steht meist in den Nutzungsbedingungen. Die private Nutzung ist erlaubt, die geschäftliche aber nur in kostenpflichtigen Business-Tarifen. Für die privaten Varianten bekommst Du in der Regel keinen AVV, und ohne den lässt sich die geschäftliche Verarbeitung von Kundendaten nicht sauber absichern.
Das ist kein Detailproblem, das man durch Sorgfalt ausgleichen könnte. Fehlt die vertragliche Grundlage, lässt sich das Konto für diesen Zweck grundsätzlich nicht datenschutzkonform machen. Der Wechsel auf einen Business-Tarif ist also keine Komfortfrage, sondern die Voraussetzung, um überhaupt rechtssicher zu arbeiten.
Kostengünstige Alternativen
Es gibt viele Optionen für kleines Geld.
Am einfachsten ist oft ein Microsoft-365-Business-Konto. Schon in den kleinsten Lizenzen ist eine E-Mail-Adresse mit ausreichend Speicher enthalten. Ein Vorteil ist, dass Funktionspostfächer nichts extra kosten. Neben Deiner Adresse max.mustermann@example.com kannst Du etwa verwaltung@ und rechnung@ kostenfrei als Gruppenpostfach anlegen. Du musst allerdings Deine eigene Domain mitbringen. Die gibt es je nach Endung schon für wenige Cent im Monat. Ich persönliche nutze bei .de Domains netcup als Registrar. Für internationale Domains ist Cloudflare oft am günstigsten, ein gutes Vergleichsportal ist tld-list.
Wenn Du von US-Konzernen Abstand nehmen möchtest, kannst Du bei vielen Anbietern Webspace buchen. Oft ist E-Mail-Speicher dabei, und der Preis enthält meist eine oder mehrere Domains. Bekannte Anbieter sind zum Beispiel Strato, netcup oder All-inkl.
Möchtest Du gar keine eigene Domain, bieten sich Anbieter wie Posteo an. Dort bekommst Du ab etwa 1 Euro im Monat eine datenschutzfreundliche E-Mail-Adresse. Das eignet sich zum Beispiel für Berufsgruppen mit besonders sensiblen Daten wie Psychotherapeuten.
Microsoft 365 Business statt privatem Konto
Das Microsoft 365 Family-Abo ist praktisch und günstig, für die geschäftliche Verarbeitung von Kundendaten reicht es aber nicht, weil der AVV fehlt. Für die Selbstständigkeit brauchst Du eines der Business-Abos. Die gibt es in verschiedenen Varianten mit unterschiedlichem Umfang, mal mit Office nur im Web, mal mit den Desktop-Apps, mal mit Teams. Wähle die Variante, die zu Deinem Bedarf passt. Wenn du dir hier unsicher bist, es gibt IT-Dienstleister welche meist als Systemhaus am Markt aktiv sind
Virenschutz für Selbstständige: Antivirus, EDR und MDR erklärt
Dein dienstliches Gerät musst Du anständig schützen. Ein kostenloser Virenscanner von früher reicht heute oft nicht mehr, weil sich sowohl die Schutzsysteme als auch die Angreifer massiv weiterentwickelt haben.
Ein Hinweis vorweg. Vom Einsatz von Kaspersky-Virenschutz hat das BSI 2022 öffentlich abgeraten. Das solltest Du bei der Auswahl berücksichtigen.
Es lohnt sich, die Begriffe zu kennen, die Dir hierbei begegnen werden.
Klassischer Virenschutz erkennt Schädlinge vor allem anhand bekannter Signaturen. Der in Windows integrierte Microsoft Defender Antivirus (kostenlos, im System enthalten) gehört hierher. Er bietet einen Basisschutz, aber er ist genau das, eine Basis. Wichtig zu wissen ist, dass dieser eingebaute Defender nicht dasselbe ist wie Microsoft Defender for Endpoint, die lizenzpflichtige EDR-Lösung. Die ist zum Beispiel in Microsoft 365 Business Basic gar nicht enthalten, sondern erst in höheren Plänen oder als Zusatzlizenz.
EDR (Endpoint Detection and Response) ist die Weiterentwicklung. Es achtet zusätzlich auf verdächtiges Verhalten und kann auf dem Gerät reagieren.
XDR (Extended Detection and Response) bezieht noch mehr Datenquellen ein und analysiert sie laufend, um schon bei kleinsten Auffälligkeiten Alarm zu schlagen.
Bei EDR und XDR gilt aber, dass auf die Alarme auch jemand reagieren muss, und das erfordert technisches Wissen. Genau da kommt MDR ins Spiel.
MDR (Managed Detection and Response) ist kein Werkzeug, sondern ein Dienst. Hier sitzen Analysten (so wie ich in meinem Hauptberuf) und prüfen tagtäglich die Alarme ihrer Kunden. Bei größeren Vorfällen melden sie sich und besprechen das weitere Vorgehen.
Und jetzt die ehrliche Einordnung. Auf den kostenlosen Basis-Virenschutz allein würde ich mich als jemand, der geschäftlich Kundendaten verarbeitet, nicht verlassen. In meinem Hauptberuf sehe ich täglich, was durch reinen Signaturschutz durchrutschen kann und wie Angriffe heute funktionieren. Die gute Nachricht ist aber, dass echter, betreuter Schutz längst nicht mehr nur etwas für große Unternehmen ist. MDR-Angebote, bei denen echte Analysten die Alarme für Dich im Blick behalten, gibt es je nach Anbieter teilweise bereits ab unter 10 Euro im Monat pro Gerät (Stand 2026, je nach Anbieter und Bezugsweg). Für den Schutz Deiner geschäftlichen Existenz ist das gut angelegtes Geld, und Du musst die Alarme nicht selbst rund um die Uhr im Blick haben.
Netzwerk im Homeoffice trennen: der Fritzbox-Gastzugang
Viele Selbstständige arbeiten aus dem Homeoffice. Oft hängt dort alles an einer Fritzbox, vom Handy der Kinder über die Spielekonsole bis zum smarten Kühlschrank und der vernetzten Glühbirne. Du weißt selten, was diese Geräte den ganzen Tag im Internet treiben oder ob alle Mitnutzer sich sicher verhalten. Ist ein einzelnes Gerät verseucht, ist es für Angreifer oft leicht, sich im selben Netz weiterzubewegen.
Ein einfacher erster Schritt mit Bordmitteln ist der Gastzugang. Viele Fritzboxen lassen sich so einstellen, dass ein LAN-Anschluss als Gastzugang dient. Schließt Du Dein Arbeitsgerät dort an, trennt die Fritzbox es vom übrigen Heimnetz. Das ist keine vollwertige Netzwerksegmentierung und kein Rundumschutz, aber deutlich besser, als alles im selben Netz zu betreiben.
Diese Trennung kann im Alltag zu Reibung führen, etwa wenn ein Drucker auch privat genutzt werden soll. Für eine saubere, weitergehende Trennung lohnt sich die Unterstützung eines IT-Systemhauses.
Fazit: In der richtigen Reihenfolge anfangen
Du musst nicht alles auf einmal umsetzen. Fang oben an, aktiviere MFA, richte einen Passwortmanager ein und bring Updates und Backups in Ordnung. Damit deckst Du bereits einen Großteil des Risikos ab. Danach trennst Du Privates von Geschäftlichem und bringst Deinen Datenschutz auf eine saubere Grundlage. Der Rest ist Feinschliff.
Und falls doch einmal etwas passiert, liest Du in unserem Artikel Was ist ein Sicherheitsvorfall?, woran Du einen echten Vorfall erkennst und wie Du dann richtig reagierst. Im akuten Notfall erreichst Du uns über den roten Notfall-Button oben rechts.