Das Internet ist 2026 das primäre Arbeitswerkzeug jedes Büromitarbeiters. Das bedeutet zugleich, dass die Sicherheit eines Unternehmens größtenteils vom Verhalten eines konkreten Menschen vor einem konkreten Bildschirm abhängt. Selbst die besten technischen Maßnahmen (Firewall, EDR, E-Mail-Sicherheit) versagen, wenn ein Mitarbeiter auf einen Phishing-Link klickt und dort seine Passwörter eingibt.

Dieser Artikel ist ein praktischer Leitfaden für Mitarbeiter und IT-Verantwortliche in DACH-KMU. Ohne technischen Jargon, nur konkrete Regeln und Situationen. Für den größeren Kontext der Cyberabwehr: Cybersicherheit der Unternehmensdaten.

Häufigste Bedrohungen beim Surfen im Internet

In DACH gemäß BSI- und A-SIT-Statistiken für 2025 dominieren:

  • Phishing (60 % aller Vorfälle beginnen mit einem Klick in einer E-Mail oder SMS)
  • Drive-by-Malware (Besuch einer infizierten Seite installiert Malware ohne explizite Einwilligung)
  • Credential Stuffing (Gestohlene Passwörter aus anderen Diensten werden im Unternehmens-E-Mail ausprobiert)
  • Browser-Erweiterungs-Missbrauch (Erweiterung mit Zugriff auf alle Seiten, die Daten exfiltriert)
  • Malvertising (Schädliche Werbung auf legitimen Seiten)

Sechs Regeln für sicheres Verhalten

1. Passwort-Manager + einzigartiges Passwort für jeden Dienst

Die häufigste Ursache für Unternehmensvorfälle in 2026 ist keine ausgeklügelte Attacke — es ist die Wiederverwendung von Passwörtern. Ein Mitarbeiter nutzt dasselbe Passwort für Outlook, Spotify und ein Hobbyform. Das Forum wird gehackt, das Passwort sickert durch, der Angreifer probiert es am Unternehmenskonto — Treffer.

Lösung: Unternehmens-Passwort-Manager wie 1Password, Bitwarden oder Dashlane. Generiert einzigartige 20+-Zeichen-Passwörter für jeden Dienst. Der Mitarbeiter merkt sich ein Master-Passwort, den Rest übernimmt der Manager.

Kosten: 4-8 EUR/Mitarbeiter/Monat. Amortisierung bereits beim ersten verhinderten Vorfall.

2. 2FA / Passkey auf allen kritischen Konten

Selbst bei einzigartigem Passwort kann ein Angreifer durch Phishing Zugang erhalten. Der zweite Faktor stoppt ihn. In der Reihenfolge der Stärke:

  1. Passkey (FIDO2/WebAuthn) — stärkste Absicherung, Phishing-resistent
  2. Hardware-Token (YubiKey, Titan Key)
  3. TOTP per App (Google Authenticator, Microsoft Authenticator, 1Password)
  4. Push-Benachrichtigung (Microsoft Authenticator, Duo)
  5. SMS OTP — schwächste, aber besser als nichts

Details im Artikel Zwei-Faktor-Authentifizierung.

3. Absender bei jeder Anfrage nach sensiblen Informationen überprüfen

In 2026 ist KI-generiertes Phishing auf den ersten Blick nicht von einer legitimen E-Mail zu unterscheiden. Die Regel „Verifiziern Sie über einen anderen Kanal”:

  • Zahlungsanforderung / Überweisung per E-Mail → anrufen Sie die Person unter der bekannten Nummer und bestätigen
  • Passwort-/Zugriffsanfrage → nicht per E-Mail, immer persönlich oder über den internen Chat
  • Hinzufügen eines neuen Bankkontos/Lieferanten → physisches Genehmigungsverfahren (Vorgesetzter, Vier-Augen-Prinzip)

Zum Schutz vor Business E-Mail Compromise (BEC) rettet diese Regel 10.000-50.000 EUR beim durchschnittlichen Vorfall.

4. Öffentliches WLAN immer über VPN

Öffentliche WLAN-Netzwerke (Flughafen, Café, Hotel) sind aus drei Gründen riskant:

  • Abhören — der WLAN-Anbieter oder ein anderer Nutzer im Netz kann mithören. HTTPS-Verschlüsselung mindert das Risiko, aber nicht vollständig.
  • Evil Twin — ein Angreifer erstellt ein WLAN mit demselben Namen (z. B. „Hotel Free Wi-Fi”) wie das legitime und fängt die Kommunikation ab.
  • Drive-by-Infektion — ein kompromittierter Router kann Malware in unverschlüsselte Seiten einschleusen.

Lösung:

  • Unternehmens-VPN (oder ZTNA) — Pflicht bei jeder externen Verbindung
  • Mobiler Hotspot (4G/5G vom Diensthandy) — sicherere Alternative als öffentliches WLAN
  • Regel „keine Unternehmenssysteme ohne VPN” — gilt auch für E-Mail, ERP, Online-Banking

5. Aktualisierter Browser + Erweiterungs-Audit

Der Browser ist die am stärksten exponierte Software im Unternehmen — er interagiert täglich mit tausenden Webseiten. Drei Maßnahmen:

  • Automatische Updates aktiviert — Chrome, Edge, Firefox, Safari aktualisieren sich selbst. Das Deaktivieren ist ein Sicherheits-Antipattern.
  • Erweiterungen auditieren — jede Erweiterung hat Zugriff auf die Seiten, die Sie besuchen. Eine kompromittierte Erweiterung = Datenexfiltration. Regel: max. 5 vertrauenswürdige Erweiterungen, keine fragwürdigen „kostenlosen PDF-Konverter”.
  • In separatem Profil arbeiten — Unternehmensprofil im Browser getrennt von privatem. Cookies, Passwörter, History vermischen sich nicht.

6. Verdächtige E-Mail / Vorfall intern melden

Wenn ein Mitarbeiter eine verdächtige E-Mail erhält oder auf etwas geklickt hat, ist das schlechteste Szenario, es zu verheimlichen. Der Angreifer hat dann Stunden oder Tage, bevor das Monitoring ihn erkennt.

Richten Sie einen internen Meldekanal ein:

  • #security-incident Slack/Teams-Kanal
  • security@firma.de E-Mail-Adresse
  • Telefonische Hotline für dringende Fälle

Richtlinie: Keine Sanktionen für Meldungen, auch nicht bei eigenen Fehlern. Belohnung für schnelle Meldung. Ohne diese Kultur bleiben Vorfälle verborgen.

Social Media und professionelle Präsentation

LinkedIn, Twitter (X), Facebook und Instagram sind legitime Arbeitswerkzeuge, aber auch Risikoquellen:

  • Daten aus LinkedIn sind ein Goldschatz für Angreifer, die Spear-Phishing vorbereiten — Name des Managers, Kollegen, Technologien, Projekte.
  • Geotaggte Urlaubsfotos = Signal, dass Sie nicht im Büro sind und schlechter auf Vorfälle reagieren können.
  • Teilen von Unternehmensinformationen (Screenshots, Screenshare-Videos) kann versehentlich sensible Informationen preisgeben.

Eine Social-Media-Richtlinie sollte definieren:

  • Was öffentlich nicht geteilt werden darf (Kunden, Projekte unter NDA, Finanzdaten)
  • Wie privates und berufliches Konto zu trennen sind
  • Reaktion auf PR-Krise (keine improvisierten Mitarbeiterreaktionen für das Unternehmen)

Mobile Geräte und BYOD

Unternehmensdaten leben 2026 zu einem großen Teil auf Mobiltelefonen — E-Mail, Slack, ERP-App. Sicherheitsminimum:

  • Sperrbildschirm mit Biometrie oder PIN mindestens 6-stellig
  • Festplattenverschlüsselung (Standard in iOS und modernem Android)
  • MDM (Mobile Device Management) — Microsoft Intune, Jamf — ermöglicht Remote-Wipe bei Verlust
  • Separate Unternehmensprofile auf privaten Geräten (BYOD)
  • Keine inoffiziellen App-Stores (Sideloading) — Quelle von 90 % der mobilen Malware

Zusammenfassung und Checkliste für Mitarbeiter

BereichMaßnahmeHäufigkeit
Passwort-ManagerInstalliert und aktivImmer
2FA / PasskeyAktiviert für E-Mail, ERP, BankingImmer
PhishingÜber anderen Kanal bei sensibler Anfrage verifizierenBei jeder Anfrage
WLANÖffentlich nur über VPNBei jedem externen Zugriff
BrowserAuto-Update aktiviertImmer
ErweiterungenAudit + Entfernen unnötigerVierteljährlich
VorfallsmeldungInterner Kanal sofortBei jeder Anomalie
MobiltelefonSperrbildschirm + MDMImmer
SchulungPhishing-Simulation + E-Learning4× jährlich

Diese Kombination von Maßnahmen bei einer Investition von 20-50 EUR/Mitarbeiter/Jahr für Schulung und Passwort-Manager reduziert erfolgreiche Angriffe um 80 % und mehr. Das ist der beste ROI in der gesamten Unternehmenssicherheit.

Wie Modulario sicheres Verhalten unterstützt

In Modulario sind technische Maßnahmen eingebaut, die einen Teil der Verantwortung vom Mitarbeiter nehmen:

  • 2FA / Passkey Pflicht für Administratoren, optional für alle
  • SSO über Azure AD / Google Workspace — ein Anmeldepunkt, leicht widerrufbar
  • Audit-Log jeder Aktion — Anomalien werden schnell erkannt
  • IP-Whitelisting für kritische Funktionen
  • Session-Timeout mit konfigurierbarer Frist
  • Erkennung anomaler Anmeldungen (neues Gerät, neue Geo-Lokation)

Details in der Sicherheitsdokumentation. Für die umfassendere Agenda der Unternehmenssicherheit: Cybersicherheit der Unternehmensdaten.

Häufige Fragen

Welche Fehler machen Mitarbeiter am häufigsten bei der Internetnutzung? Drei dominierende Fehler: Klicken auf Phishing-Links ohne Absenderprüfung, Wiederverwendung von Passwörtern über mehrere Dienste, Nutzung von öffentlichem WLAN ohne VPN. Schulungen und ein Passwort-Manager lösen 80 % der Vorfälle.

Wie erkenne ich eine Phishing-E-Mail? Sieben Merkmale: Unbekannter Absender/fremde Domain, Dringlichkeit oder Angst im Betreff, falsche Grammatik, URL weicht beim Hover vom Linktext ab, unerwartete Anhangformate, Anforderung sensibler Daten, Antwort-Adressen fremder Domain. Zwei oder mehr dieser Merkmale = sehr wahrscheinlich Phishing.

Ist öffentliches WLAN für die Unternehmensarbeit sicher? Ohne VPN nicht. Das Hauptproblem ist der „Evil Twin” — ein gefälschtes WLAN-Netzwerk mit gleichem Namen. Lösung: immer Unternehmens-VPN, mobiler Hotspot als sicherere Alternative.