1 2 3Fragen 4

20 kurze Fragen — pro Frage Ja, Nein oder Unsicher. Tippen Sie auf „Hilfe / Hinweis“ für Erklärungen.

Sicherheit

  • Nutzen Sie einen Passwort-Manager für Ihre Mitarbeiter?

    Hilfe / Hinweis
    Z. B. BitWarden, LastPass, 1Password. Fragen Sie einen IT-Admin oder schauen Sie in Ihre IT-Tools.

  • Müssen sich Mitarbeiter beim Login zusätzlich zum Passwort mit einem zweiten Schritt bestätigen (z. B. Code aufs Handy)?

    Hilfe / Hinweis
    Im Fachjargon „2-Faktor-Authentifizierung” oder „MFA”. Beim Login kommt nach dem Passwort ein Code per SMS, App (z. B. Google Authenticator) oder Push-Bestätigung. Wenn das bei E-Mail UND VPN UND wichtigen Logins greift → Ja. Wenn nur teilweise → Unsicher.

  • Werden Ihre Systeme regelmäßig aktualisiert (Windows, Software, etc.)?

    Hilfe / Hinweis
    Updates: Prüfen Sie, ob bei Ihnen regelmäßig Updates installiert werden (z. B. Windows Update läuft monatlich).

  • Haben Sie einen Virenscanner / Antivirus aktiv?

    Hilfe / Hinweis
    Antivirus: Windows Defender, McAfee, Norton, Kaspersky, etc. Prüfen Sie unter Windows-Sicherheit oder fragen Sie Ihren IT-Admin.

  • Führen Sie regelmäßig Sicherheits-Trainings durch?

    Hilfe / Hinweis
    Trainings: Workshops zu Phishing, sichere Passwörter, Datenschutz. Fragen Sie nach, ob das angeboten wird.

  • Hatten Sie in den letzten 12 Monaten einen IT-Vorfall (Hack, Datenverlust, Ausfall, Ransomware)?

    Hilfe / Hinweis
    Auch ein verlorener Laptop, ein Phishing-Klick mit Folgen, oder ein Server-Ausfall mit Datenwiederherstellung zählt — nicht nur große Cyberangriffe.

Backups & Disaster Recovery

  • Haben Ihre Daten (Server, PCs) regelmäßig Backups?

    Hilfe / Hinweis
    Prüfen Sie, ob tägliche/wöchentliche Sicherungen laufen. Fragen Sie Ihren IT-Admin: „Wie oft machen wir Backups?“

  • Werden Ihre Backups regelmäßig getestet (also wiederhergestellt)?

    Hilfe / Hinweis
    Backup-Test: „Haben wir schon mal ein Backup zurückgespielt?“ Wenn ja = gut. Wenn nein = Problem.

  • Liegt mindestens eine Kopie Ihrer Daten außerhalb des Büros (z. B. in einer Cloud oder auf einer Platte zu Hause/im Banktresor)?

    Hilfe / Hinweis
    Worst-Case-Test: Wenn ein Wasserschaden, Brand oder Diebstahl alle Geräte im Büro trifft — sind die Backups dann WEG oder noch WOANDERS gesichert? Microsoft 365 / Google Workspace allein zählt nicht als Backup, das ist nur der Live-Speicher.

  • Wissen Sie genau, was passiert, wenn morgen früh KEIN Computer im Büro mehr funktioniert?

    Hilfe / Hinweis
    Im Fachjargon „Disaster-Recovery-Plan”. Stellen Sie sich vor: Cyber-Angriff, Brand oder Server kaputt — wer macht was, in welcher Reihenfolge, mit welchen Telefonnummern? Wenn Sie klare Antworten haben → Ja. Wenn Sie improvisieren müssten → Nein.

  • Wissen Sie konkret in Stunden oder Tagen, wie lange es dauern würde, bis Sie nach einem Totalausfall wieder arbeiten könnten?

    Hilfe / Hinweis
    Im Fachjargon „RTO” (Recovery Time Objective). Stellen Sie sich vor: morgen früh geht KEIN Computer. Wann ist die Buchhaltung wieder online? Eine konkrete Zahl ist gut, auch wenn's eine Woche ist. „Weiß nicht” ist ehrlicher als ein erfundenes „2 Stunden” — beides → Unsicher.

Compliance & Datenschutz

  • Haben Sie eine Liste, in der drinsteht, welche Daten von Mitarbeitern, Kunden und Lieferanten Sie verarbeiten?

    Hilfe / Hinweis
    Im DSGVO-Sprech „Verzeichnis von Verarbeitungstätigkeiten” (VVT) — Pflicht ab dem ersten Mitarbeiter, der personenbezogene Daten anfasst (also fast immer). Eine Excel-Tabelle reicht. Hauptsache, sie existiert und ist einigermaßen aktuell. Wenn nichts existiert → Nein.

  • Haben Sie Dokumentation für Ihre IT-Prozesse?

    Hilfe / Hinweis
    Dokumentation: aufgeschriebene Prozesse? Z. B. „So werden Nutzer angelegt“, „So werden Daten gelöscht“.

  • Schaut jemand regelmäßig nach, wer welche Zugriffe hat — und entzieht alte Rechte, die nicht mehr gebraucht werden?

    Hilfe / Hinweis
    Im Fachjargon „Access Review”. Beispiel: Wenn ein Mitarbeiter die Abteilung wechselt — werden die alten Berechtigungen sauber entzogen? Oder häuft jeder mit der Zeit immer mehr Zugriffe an? 1-2× im Jahr durchsehen reicht. Wenn das nie passiert → Nein.

  • Haben Sie mit JEDEM Anbieter, der Ihre Daten verarbeitet (Cloud, IT-Dienstleister, Lohnbuchhaltung), einen unterschriebenen Datenschutz-Vertrag?

    Hilfe / Hinweis
    Im DSGVO-Sprech „AVV” oder „Auftragsverarbeitungsvertrag” (Art. 28). Microsoft, Google, Ihr IT-Dienstleister, der Steuerberater, Lohnbuchhaltung — alle, die personenbezogene Daten von Ihnen verarbeiten, brauchen einen. Wenn Sie Cloud-Tools ohne unterschriebenen Vertrag nutzen → Nein.

  • Haben Sie eine Cyber-Versicherung?

    Hilfe / Hinweis
    Cyber-Versicherung deckt Ransomware-Lösegelder, Wiederherstellungskosten und Datenschutz-Bußgelder. Versicherer verlangen meist MFA + Backup-Nachweise als Voraussetzung.

IT-Infrastruktur

  • Haben Sie zentrale Monitoring-Systeme (überwacht Ihre IT-Systeme proaktiv)?

    Hilfe / Hinweis
    Monitoring: „Merken wir Probleme vorher oder erst wenn etwas kaputt ist?“ Monitoring = Probleme werden erkannt, bevor sie kritisch werden.

  • Bekommen Ihre Computer und Server automatisch Sicherheits-Updates — ohne dass jemand manuell etwas anstoßen muss?

    Hilfe / Hinweis
    Im Fachjargon „Patch-Management”. Manche Updates installiert Windows von selbst (gut). Andere muss ein IT-Admin manuell anstoßen — und werden vergessen. Wenn ein Tool oder Dienstleister automatisch ausrollt → Ja. Wenn nur Windows-Update läuft, der Rest wird ignoriert → Nein.

  • Nutzen Sie eine zentrale E-Mail-Lösung (z. B. Microsoft 365, Google Workspace) mit Spam-/Phishing-Schutz?

    Hilfe / Hinweis
    Microsoft 365 + Defender, Google Workspace, oder ein eigener Exchange/Postfix-Server. Wenn Sie Ihre E-Mails über einen dieser Anbieter haben → Ja.

  • Wissen Sie, wer Ihre Firewall wartet und wann sie zuletzt aktualisiert wurde?

    Hilfe / Hinweis
    Wenn jemand klar benennbar dafür zuständig ist (interner IT-Admin, externer MSP, Hersteller-Support) → Ja. Wenn niemand das verbindlich sagen kann → Unsicher.

  • Können Mitarbeiter sicher von zu Hause oder unterwegs auf Ihre Firmen-Daten zugreifen?

    Hilfe / Hinweis
    Im Fachjargon „VPN”. Eine geschützte Verbindung sorgt dafür, dass die Mitarbeiterin im Café/Hotel/Home-Office arbeiten kann, ohne dass jemand mitliest. Wenn Sie das nutzen (z. B. OpenVPN, WireGuard, Microsoft 365) → Ja. Wenn Daten per ungeschütztem WLAN ausgetauscht werden → Nein.

Benutzer & Zugriff

  • Hat jeder Mitarbeiter nur Zugriff auf die Daten und Tools, die er für seine Arbeit wirklich braucht?

    Hilfe / Hinweis
    Im Fachjargon „Least Privilege”. Beispiel: Hat jeder Praktikant Zugriff auf die Buchhaltung und die Personalakten? Oder nur die HR-Person und die Geschäftsleitung? Wenn Rechte sauber pro Rolle vergeben sind → Ja. Wenn alle (fast) alles sehen → Nein.

  • Werden Nutzer-Accounts gelöscht, wenn ein Mitarbeiter geht?

    Hilfe / Hinweis
    Account Offboarding: Wenn jemand kündigt, werden seine Logins sofort deaktiviert? Oder bleibt der Zugang noch tagelang offen?

  • Werden alle Mitarbeiter-Logins an einer zentralen Stelle verwaltet — oder hat jedes Tool seinen eigenen Login-Bereich?

    Hilfe / Hinweis
    Im Fachjargon „Active Directory” oder „Single Sign-On”. Bei einem neuen Mitarbeiter: Muss man in 10 verschiedenen Tools manuell ein Konto anlegen? Oder reicht 1 Konto, das automatisch in alle Tools weiterleitet? Wenn zentral → Ja. Wenn jedes Tool eigenes Konto hat → Nein.

Über Sie

Damit wir den Bericht senden + ggf. einen Termin anbieten können.