IT-Fachbegriffe verständlich erklärt

Active Directory (AD) ist der Verzeichnisdienst von Microsoft, der in nahezu jedem Windows-Unternehmensnetzwerk das zentrale Rückgrat für Identitäts- und Zugriffsverwaltung bildet. Alle Benutzerkonten, Computerobjekte, Drucker und Sicherheitsgruppen werden in einer hierarchischen Datenbankstruktur (Domain) verwaltet. Über Gruppenrichtlinien (GPOs) können IT-Administratoren sicherheitsrelevante Einstellungen unternehmensweit erzwingen: Passwortmindestlänge, Bildschirmsperre, USB-Gerätesperrung, Softwareverteilung — alles aus einer Konsole, ohne jeden Rechner einzeln anfassen zu müssen. Single Sign-On (SSO) erlaubt Mitarbeitenden, sich einmal anzumelden und danach auf alle verbundenen Systeme zuzugreifen.

Für KMU ab rund zehn Arbeitsplätzen ist Active Directory der natürliche nächste Schritt: Individuelle lokale Benutzerkonten auf jedem PC werden unkontrollierbar, sobald Mitarbeitende wechseln oder Passwörter zurückgesetzt werden müssen. Mit AD lässt sich ein ausgeschiedener Mitarbeitender mit einem einzigen Klick sperren — alle Zugänge sofort. Die moderne Weiterentwicklung Entra ID (vormals Azure AD) erweitert das klassische AD in die Cloud und ermöglicht Single Sign-On für SaaS-Anwendungen. Im Kontext von NIS2 und IT-Sicherheitsaudits ist eine sauber konfigurierte AD-Struktur mit restriktiven GPOs und regelmäßiger Berechtigungsrevision eine Grundvoraussetzung.

Eine Application Programming Interface (API) ist ein standardisierter Kommunikationsvertrag zwischen zwei Softwaresystemen. Das anfragende System (Client) sendet eine definierte Anfrage an einen Endpunkt, das angefragte System (Server) antwortet mit Daten oder bestätigt eine Aktion — ohne dass der Client wissen muss, wie das Zielsystem intern funktioniert. Die dominierende API-Architektur heute ist REST (Representational State Transfer) über HTTP/HTTPS mit JSON als Datenformat. Neuere Standards wie GraphQL erlauben flexiblere Abfragen. Für Echtzeit-Kommunikation kommen WebSockets oder gRPC zum Einsatz.

APIs sind das unsichtbare Rückgrat moderner Geschäftsprozesse: Wenn Ihre Webseite Bestellungen an das ERP schickt, Ihre Buchhaltungssoftware Rechnungen automatisch per E-Mail versendet oder ein KI-Agent auf Ihre Kundendatenbank zugreift — dahinter steckt jeweils eine API-Integration. Für KMU sind APIs der Hebel, um Insellösungen zu verbinden und manuelle Datenübertragungen zu eliminieren. Automatisierungsplattformen wie n8n nutzen API-Verbindungen zu über 400 Diensten ohne Programmieraufwand. Sicherheitshinweis: APIs müssen durch Authentifizierung (API-Keys, OAuth 2.0) und Rate-Limiting abgesichert werden — ungesicherte APIs sind ein häufiges Angriffsziel.

Die 3-2-1-Backup-Regel ist das Mindeststandard-Konzept professioneller Datensicherung: 3 Kopien der Daten (Produktivdaten + zwei Backups), auf 2 verschiedenen Medientypen gespeichert (z. B. NAS + externe Festplatte oder Band), davon 1 Kopie an einem externen Standort oder in der Cloud. Diese Streuung schützt vor allen häufigen Schadensszenarien gleichzeitig: Hardware-Ausfall (durch Redundanz), Ransomware (durch externe Kopie, die nicht im lokalen Netzwerk erreichbar ist), Feuer oder Wasserschaden (durch externen Standort).

Für KMU ist die kritischste Frage nicht ob Backups existieren, sondern ob sie funktionieren. Laut BSI werden bei einem Großteil der Ransomware-Angriffe auch die Backup-Systeme verschlüsselt — weil die Backups im selben Netzwerk ohne Zugangstrennung (Air Gap) betrieben wurden. Immutable Backups (unveränderliche Sicherungen), die nicht überschrieben werden können, sind der wirksamste Schutz. Mindestens einmal jährlich sollte ein vollständiger Restore-Test durchgeführt werden — denn ein nie getestetes Backup ist kein Backup. RPO (Recovery Point Objective: wie viele Datenverlust ist akzeptabel?) und RTO (Recovery Time Objective: wie schnell muss der Betrieb laufen?) müssen vor einem Vorfall festgelegt sein.

Das Bundesamt für Sicherheit in der Informationstechnik ist die zentrale Cybersicherheitsbehörde Deutschlands. Gegründet 1991, entwickelt das BSI IT-Sicherheitsstandards, gibt Handlungsempfehlungen für Unternehmen und Behörden heraus und warnt aktiv vor aktuellen Bedrohungen. Der BSI IT-Grundschutz ist das bekannteste Werk: Ein strukturiertes Regelwerk mit hunderten konkreter Sicherheitsmaßnahmen, das Unternehmen als Leitfaden für den systematischen Aufbau ihrer IT-Sicherheit nutzen können — von der Infrastruktur bis zur Notfallplanung.

Für KMU besonders relevant: der jährliche „Lagebericht zur IT-Sicherheit in Deutschland" gibt einen realistischen Überblick über aktuelle Bedrohungslage und ist kostenlos abrufbar. Das BSI-Basisschutz-Profil bietet einen vereinfachten Einstieg in strukturierte IT-Sicherheit speziell für kleinere Unternehmen. Warnmeldungen zu kritischen Sicherheitslücken (CVEs) können als E-Mail-Alert abonniert werden — ein Pflicht-Abo für jeden IT-Verantwortlichen. Im Kontext von Pentests ist BSI-Konformität ein gefordertes Qualitätsmerkmal: Ein BSI-konformer Prüfbericht folgt dem IT-Grundschutz-Kompendium und enthält alle vorgeschriebenen Prüfschritte und Bewertungsskalen. Koreva orientiert sich bei jedem IT-Sicherheitscheck an den aktuellen BSI-Empfehlungen und gibt konkrete, priorisierte Handlungsempfehlungen entsprechend BSI-Grundschutz-Anforderungen.

Business Continuity Management (BCM) bezeichnet die systematische Planung und Umsetzung von Maßnahmen, die sicherstellen, dass ein Unternehmen auch nach einem schwerwiegenden IT-Ausfall, Ransomware-Angriff, Brand oder sonstigen Katastrophenereignis seine kritischen Geschäftsprozesse aufrechterhalten oder schnell wieder aufnehmen kann. Kern jedes BCM-Konzepts sind zwei Kennzahlen: RTO (Recovery Time Objective) — wie lange darf ein System maximal ausgefallen sein, bevor es existenzbedrohend wird? — und RPO (Recovery Point Objective) — wie viele Datenverlust ist akzeptabel (Stunden/Tage)?

Ein Business-Continuity-Plan dokumentiert für jedes kritische System, wer im Ernstfall was tut, welche Ausweichprozesse greifen und wie die Kommunikation intern sowie mit Kunden und Behörden läuft. Für NIS2-pflichtige Unternehmen ist ein nachweisbares BCM-Konzept verpflichtend. Entscheidend: Notfallpläne werden im Regal wertlos — nur regelmäßige Übungen (Tabletop Exercises, technische Restore-Tests) zeigen, ob Konzept und Realität übereinstimmen. Koreva unterstützt bei der Erstellung, Überprüfung und Übung von IT-Notfallplänen für KMU — von der ersten Risikoanalyse über die Definition von RTO/RPO bis zur Dokumentation und Testdurchführung eines kompletten Notfallszenarios.

CVE steht für Common Vulnerabilities and Exposures — eine öffentliche Datenbank, in der bekannte Sicherheitslücken in Software und Hardware mit einer eindeutigen Kennzeichnung (z. B. CVE-2024-12345) erfasst werden. Verwaltet wird sie vom MITRE-Consortium, finanziert vom US-amerikanischen CISA. Parallel dazu existiert die NVD (National Vulnerability Database), die jede CVE-Eintragung um einen CVSS-Score (Common Vulnerability Scoring System, Skala 0–10) ergänzt — ein standardisiertes Maß für den Schweregrad einer Lücke. CVSS 9.0–10.0 gilt als kritisch und erfordert sofortigen Handlungsbedarf.

Für Unternehmen ist die CVE-Datenbank der wichtigste Input für das Patch-Management: Welche Lücken in welchen Produkten sind bekannt? Welche werden aktiv ausgenutzt (exploited in the wild)? BSI und CISA pflegen Listen besonders dringlicher CVEs, die priorisiert geschlossen werden müssen. Im Rahmen eines Pentests prüfen Sicherheitsforscher systematisch, welche CVEs in der geprüften Infrastruktur vorhanden und ausnutzbar sind. Ein ungepatchtes System mit einer kritischen CVE ist eine offene Einladung für Angreifer — laut BSI werden über 80 % der erfolgreichen Angriffe über bekannte, bereits gepatchte Schwachstellen ermöglicht.

Ein Cyberangriff ist jeder gezielte, unbefugte Eingriff in IT-Systeme, Netzwerke oder Daten mit dem Ziel, Schaden anzurichten, Daten zu stehlen, Lösegeld zu erpressen oder den Geschäftsbetrieb zu unterbrechen. Die häufigsten Angriffsformen: Ransomware (Verschlüsselung und Lösegelderpressung), Phishing (Identitätsdiebstahl über gefälschte E-Mails), DDoS-Angriffe (Überlastung von Webservern), Supply-Chain-Angriffe (Kompromittierung von Software-Lieferketten) und Insider-Bedrohungen (böswillige oder fahrlässige Mitarbeitende). Moderne Angreifergruppen, oft staatlich unterstützt oder kriminell organisiert, kombinieren mehrere Techniken und warten Wochen oder Monate im Netzwerk, bevor sie zuschlagen.

KMU sind besonders exponiert: Sie verfügen über wertvolle Daten und Gelder, haben aber selten ein eigenes Sicherheitsteam. Laut Allianz-Bericht verursacht ein erfolgreicher Cyberangriff einem mittelständischen Unternehmen durchschnittlich 170.000 € Schaden — oft existenzbedrohend. Die häufigsten Einfallstore: ungepatchte Software (bekannte CVEs), schwache oder wiederverwendete Passwörter, fehlende MFA und Social Engineering. Präventionsmaßnahmen mit dem besten Kosten-Nutzen-Verhältnis: MFA überall aktivieren, regelmäßige Patches einspielen, Mitarbeitende schulen und eine Cyberversicherung als letztes Sicherheitsnetz abschließen. Cyberangriffe sind kein Thema für "irgendwann" — sie treffen KMU täglich, und die Frage ist nicht ob, sondern wann.

Cloud Computing bezeichnet die Bereitstellung von IT-Infrastruktur, Speicher, Software oder Rechenleistung über das Internet durch externe Rechenzentren. Statt eigene Server zu betreiben, mieten Unternehmen Ressourcen bei Anbietern wie AWS, Microsoft Azure oder Google Cloud — bedarfsgerecht skalierbar, ohne Vorab-Investition in Hardware. Man unterscheidet drei Servicemodelle: Infrastructure as a Service (IaaS) bietet rohe Rechenpower und Speicher, Platform as a Service (PaaS) liefert vorkonfigurierte Entwicklungsumgebungen, Software as a Service (SaaS) umfasst fertige Anwendungen wie Microsoft 365 oder Salesforce.

Für KMU in Deutschland ist DSGVO-Konformität das entscheidende Kriterium: Personenbezogene Daten müssen in EU-Rechenzentren verarbeitet werden, und ein Auftragsverarbeitungsvertrag (AVV) mit dem Cloud-Anbieter ist gesetzlich vorgeschrieben. Viele US-Anbieter unterliegen dem CLOUD Act — US-Behörden können auf Daten zugreifen, auch wenn sie in Europa gespeichert sind. Für vertrauliche Daten aus Kanzleien, Arztpraxen oder der Produktion empfiehlt sich deshalb eine selbst gehostete Alternative (On-Premise oder Nextcloud), die volle Datensouveränität garantiert. Die Entscheidung Cloud vs. On-Premise ist keine ideologische, sondern eine betriebswirtschaftliche und rechtliche.

Die Datenschutz-Grundverordnung (DSGVO, englisch GDPR) ist seit Mai 2018 die verbindliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten in der EU. Sie gilt für jedes Unternehmen, das Daten von EU-Bürgern verarbeitet — unabhängig davon, wo das Unternehmen selbst sitzt. Personenbezogene Daten umfassen alles, was eine natürliche Person direkt oder indirekt identifizierbar macht: Name, E-Mail, IP-Adresse, Standortdaten, Cookies, biometrische Merkmale. Die DSGVO definiert Rechtmäßigkeitsgrundsätze (Einwilligung, Vertrag, berechtigtes Interesse), Betroffenenrechte (Auskunft, Löschung, Portabilität) und Pflichten für Verantwortliche.

Für KMU im Alltag bedeutet DSGVO konkret: Auftragsverarbeitungsverträge (AVV) mit jedem Dienstleister, der Kundendaten verarbeitet (Cloud-Anbieter, CRM, E-Mail-Marketing); ein Verzeichnis der Verarbeitungstätigkeiten; Datenschutzerklärung auf der Website; sichere Datenübertragung und Löschkonzepte. Bei der Nutzung von Cloud-Diensten US-amerikanischer Anbieter muss die Rechtsgrundlage der Datenübertragung in Drittstaaten geprüft werden. Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen. Lokale IT-Lösungen (Nextcloud, On-Premise-Server) reduzieren DSGVO-Risiken erheblich, da keine Daten das Unternehmensnetzwerk verlassen und der US CLOUD Act keine Wirkung entfalten kann.

Endpoint Security bezeichnet die Gesamtheit aller Schutzmaßnahmen für einzelne Endgeräte im Unternehmensnetzwerk — PCs, Laptops, Smartphones, Tablets und Server. Der klassische Virenschutz mit signaturbasierten Erkennung reicht seit Jahren nicht mehr aus: Moderne Malware nutzt polymorphe Techniken, dateilose Angriffe (Fileless Malware) und legitime System-Tools (Living-off-the-Land), um traditionelle Antivirenprogramme zu umgehen. Zeitgemäßer Endpoint-Schutz basiert auf EDR (Endpoint Detection and Response), das Verhaltensmuster statt bekannter Signaturen analysiert und in Echtzeit reagiert.

Für KMU ist Endpoint Security das kritischste Sicherheitslayer, weil Endgeräte die häufigste Eintrittspforte für Angreifer sind — über Phishing-E-Mails, kompromittierte Downloads oder unsichere Homeoffice-Verbindungen. Zusätzlich zu EDR gehören zur vollständigen Endpoint-Security: Festplattenverschlüsselung (BitLocker/FileVault) für gestohlene Geräte, Mobile Device Management (MDM) für Smartphones, Patch-Management für alle installierten Anwendungen sowie Application-Allowlisting in besonders sensiblen Umgebungen. Ein unternehmensweites Endpoint-Management über Plattformen wie Microsoft Intune oder Jamf gibt IT-Teams zentralen Überblick und ermöglicht Remote-Wipe bei Geräteverlust. Regelmäßige Schwachstellen-Scans stellen sicher, dass kein Endgerät mit einer bekannten, ungepatchten CVE im Netz verbleibt.

Endpoint Detection & Response ist eine Sicherheitslösung der neueren Generation, die deutlich über klassischen Virenschutz hinausgeht. Während traditionelle Antivirenprogramme bekannte Schadcode-Signaturen abgleichen, analysiert EDR das Verhalten von Prozessen, Dateizugriffen und Netzwerkkommunikation in Echtzeit — und erkennt dadurch auch unbekannte Angriffe (Zero-Day-Exploits) anhand verdächtiger Verhaltensmuster. Im Ernstfall reagiert EDR automatisch: Es isoliert befallene Endgeräte sofort vom Netzwerk, stoppt schädliche Prozesse und erstellt eine vollständige Angriffs-Timeline für die forensische Nachanalyse.

Für KMU ist EDR besonders kritisch, weil Angreifer nach dem ersten Eindringen oft tagelang unentdeckt im Netzwerk agieren (durchschnittlich 200 Tage), bevor sie Ransomware aktivieren. EDR schließt genau dieses Zeitfenster. Die mittlere Reaktionszeit (MTTR) sinkt von Wochen auf Minuten. Bekannte EDR-Plattformen sind CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint und das Open-Source-basierte Wazuh. Im Rahmen eines IT-Sicherheitschecks prüfen wir, ob Ihre Endgeräte mit einer zeitgemäßen EDR-Lösung geschützt sind — und nicht nur mit einem klassischen Antivirenprogramm, das modernen Angriffen praktisch hilflos gegenübersteht und keine Verhaltensanalyse bietet.

Eine Firewall ist das erste Sicherheitstor eines Unternehmensnetzwerks: Sie kontrolliert, welcher Datenverkehr das Netzwerk betreten oder verlassen darf, und blockiert unerwünschte Verbindungen anhand definierter Regeln. Klassische Paketfilter-Firewalls arbeiteten nur auf Netzwerkebene (IP-Adressen und Ports). Moderne Next-Generation-Firewalls (NGFW) analysieren Datenverkehr auf Anwendungsebene (Deep Packet Inspection), erkennen Angriffsmuster (IDS/IPS), entschlüsseln und prüfen SSL-Verbindungen und ordnen Verbindungen einzelnen Benutzern statt nur IP-Adressen zu. Führende NGFW-Hersteller: Fortinet, Palo Alto Networks, Check Point und das Open-Source-basierte OPNsense/pfSense.

Für KMU gilt: Eine Firewall allein schützt nicht ausreichend — sie ist ein notwendiges, aber nicht hinreichendes Sicherheitselement. Entscheidend ist die korrekte Konfiguration: Viele Standard-Installationen erlauben zu viel ausgehenden Traffic (Egress-Filtering wird oft vergessen) und blockieren zu wenig. Empfehlenswert ist ein strukturiertes Regelwerk nach dem Prinzip "Default Deny" — nur explizit erlaubter Traffic passiert. Besonders relevant: Netzwerksegmentierung durch VLANs in Kombination mit Firewall-Regeln zwischen Segmenten, sodass Schadsoftware nicht seitlich durch das gesamte Netz wandern kann (Lateral Movement). Regelmäßige Firewall-Audits sollten zum IT-Standardbetrieb gehören.

Hochverfügbarkeit (kurz HA, von englisch High Availability) bezeichnet die Fähigkeit eines IT-Systems, auch bei Teilausfällen einzelner Komponenten unterbrechungsfrei weiterzulaufen. Das Ziel ist eine Verfügbarkeit von mindestens 99,9 % — das entspricht maximal 8,76 Stunden ungeplanter Ausfall pro Jahr. Kritische Produktivsysteme sollen oft 99,99 % (max. 52 Minuten/Jahr) oder mehr erreichen. Hochverfügbarkeit wird durch Redundanz realisiert: Server, Netzwerke und Stromversorgungen werden mehrfach ausgelegt, sodass beim Ausfall einer Komponente eine andere automatisch übernimmt (Failover). In virtualisierten Umgebungen mit Proxmox oder VMware ermöglicht Live-Migration, eine laufende virtuelle Maschine im Betrieb auf einen anderen Host zu verschieben — für den Endnutzer vollständig unsichtbar.

Typische HA-Architekturen für KMU umfassen einen Zwei-Knoten-Server-Cluster für ERP-Systeme, redundante Netzwerkanbindungen über unterschiedliche Carrier sowie USV-Anlagen mit Generatoranbindung. Die Entscheidung für HA sollte von einer Risikoanalyse begleitet werden: Welche Systeme verursachen bei Ausfall echten Geschäftsschaden in Euro pro Stunde? Nur dort lohnt der Mehraufwand. Die Kombination aus Hochverfügbarkeit und regelmäßig getesteten Backups bildet das Rückgrat eines professionellen Business-Continuity-Konzepts — und ist Voraussetzung für anspruchsvolle SLA-Vereinbarungen.

Ein Hypervisor (auch Virtual Machine Monitor, VMM) ist die Softwareschicht, die mehrere virtuelle Maschinen (VMs) auf einer gemeinsamen physischen Hardware gleichzeitig betreibt. Jede VM agiert vollständig isoliert — mit eigenem Betriebssystem, eigenem Speicher und eigenen Netzwerkschnittstellen — obwohl alle dieselbe physische CPU, denselben RAM und dieselben Festplatten teilen. Man unterscheidet zwei Typen: Typ-1-Hypervisoren (Bare-Metal) laufen direkt auf der Hardware ohne darunterliegendes Betriebssystem, sind effizienter und stabiler. Standard in professionellen Umgebungen: VMware ESXi, Microsoft Hyper-V und das quelloffene Proxmox VE. Typ-2-Hypervisoren laufen als Anwendung auf einem vorhandenen Betriebssystem (z. B. VirtualBox) und eignen sich nur für Entwicklungsumgebungen.

Der Einsatz eines Hypervisors bringt KMU drei wesentliche Vorteile: Erstens Hardwarekonsolidierung — weniger physische Server, deutlich geringere Strom- und Kühlkosten. Zweitens vereinfachte Datensicherung durch VM-Snapshots: Ein konsistenter Systemzustand lässt sich in Sekunden sichern oder wiederherstellen. Drittens erhöhte Ausfallsicherheit durch Live-Migration und Hochverfügbarkeit. Eine typische KMU-Umgebung konsolidiert 5–10 physische Server auf einem oder zwei leistungsfähigen Hostsystemen — mit deutlich niedrigeren Betriebskosten und mehr Flexibilität.

Incident Response (IR) bezeichnet den strukturierten Prozess, mit dem Unternehmen auf IT-Sicherheitsvorfälle reagieren — von der ersten Erkennung bis zur vollständigen Wiederherstellung und Nachanalyse. Das Incident-Response-Framework des NIST definiert sechs Phasen: (1) Vorbereitung — IR-Plan erstellen, Rollen und Eskalationswege definieren, Tooling bereitstellen. (2) Identifikation — Vorfall erkennen und klassifizieren. (3) Eindämmung — befallene Systeme isolieren, Ausbreitung stoppen. (4) Beseitigung — Schadsoftware entfernen, Backdoors schließen. (5) Wiederherstellung — saubere Systeme wiederherstellen, Normalbetrieb aufnehmen. (6) Nachanalyse — Root Cause analysieren, Lessons Learned dokumentieren.

Der entscheidende Faktor bei einem Sicherheitsvorfall ist Zeit: Jede Stunde, in der ein Angreifer unentdeckt im Netzwerk agiert, potenziert den Schaden. Unternehmen ohne vorbereiteten IR-Plan verlieren im Ernstfall wertvolle Stunden mit organisatorischem Chaos statt technischer Reaktion. Besonders kritisch: Beweissicherung für spätere forensische Analyse und behördliche Meldepflichten (NIS2 schreibt Meldung kritischer Vorfälle innerhalb von 24 Stunden vor). Für KMU empfiehlt sich ein vorbereiteter Retainer-Vertrag mit einem spezialisierten IR-Dienstleister — damit im Ernstfall sofort Experten zur Verfügung stehen, ohne erst Angebote einzuholen.

IT-Forensik (digitale Forensik) ist die methodische Untersuchung digitaler Systeme nach einem Sicherheitsvorfall. Ziele sind: den Angriffsvektor zu rekonstruieren (Wie kam der Angreifer rein?), das Ausmaß der Kompromittierung zu bestimmen (Welche Systeme und Daten sind betroffen?), die Angriffszeitlinie zu dokumentieren und gerichtsverwertbare Beweise zu sichern. Forensiker arbeiten nach strengen Grundsätzen: Beweise dürfen nicht verändert werden (Chain of Custody), Systemabbilder (forensische Images) werden bit-genau erstellt und kryptografisch signiert, um die Integrität nachzuweisen.

Im KMU-Kontext wird IT-Forensik meistens nach drei Ereignissen benötigt: Ransomware-Angriffen (um sicherzustellen, dass kein Angreifer mehr im System verbleibt), Datenpannen (um den DSGVO-Meldepflicht-relevanten Umfang zu bestimmen) und internen Vorfällen (Datendiebstahl durch Mitarbeitende). Wichtig: Systeme nach einem Vorfall nicht einfach neu aufsetzen, ohne vorher forensisch zu sichern — wertvolle Beweise gehen verloren, und die eigentliche Ursache bleibt unbekannt. Eine zu frühe Bereinigung kann auch rechtliche Konsequenzen haben, wenn Datenschutzverletzungen nicht vollständig dokumentiert werden können. Die DSGVO verlangt in Art. 33 die Meldung von Datenpannen innerhalb von 72 Stunden.

ISO/IEC 27001 ist der international führende Standard für Informationssicherheits-Management-Systeme (ISMS). Er definiert einen strukturierten Rahmen aus Richtlinien, Prozessen und Kontrollen, mit dem Organisationen Informationssicherheitsrisiken systematisch identifizieren, bewerten und behandeln. Eine ISO-27001-Zertifizierung ist weltweit anerkannter Nachweis, dass ein Unternehmen Informationssicherheit ernstnimmt und dokumentiert umsetzt. Der Standard umfasst 93 Kontrollen in vier Kategorien: organisatorische, personenbezogene, physische und technologische Maßnahmen. Die Implementierung folgt dem PDCA-Zyklus: Scope definieren, Risikoanalyse durchführen, Maßnahmen umsetzen, Wirksamkeit messen, kontinuierlich verbessern.

Für KMU in Deutschland ist ISO 27001 aus drei Gründen zunehmend relevant: Erstens fordern immer mehr Großunternehmen und Behörden eine ISO-27001-Zertifizierung als Lieferantenbedingung. Zweitens bildet der Standard eine solide Basis für die Erfüllung der NIS2-Anforderungen — wer ISO 27001 implementiert, hat NIS2-Compliance weitgehend abgedeckt. Drittens reduziert ein nachweisbar implementiertes ISMS die Cyberversicherungsprämien spürbar. Die Erstzertifizierung erfolgt durch akkreditierte externe Auditoren und dauert typischerweise 12–18 Monate; danach jährliche Überwachungsaudits. Koreva begleitet KMU bei der Gap-Analyse, Maßnahmenplanung und Dokumentation auf dem Weg zur ISO-27001-Zertifizierung — von der ersten Risikobeurteilung bis zur Auditbegleitung.

Ein KI-Agent ist eine KI-Software, die nicht nur auf einzelne Anfragen antwortet, sondern eigenständig mehrschrittige Aufgaben ausführt: Sie plant die notwendigen Schritte, nutzt Werkzeuge (APIs, Datenbanken, Web-Suche), überprüft Zwischenergebnisse und passt ihre Strategie an. Ein Agent kann E-Mails lesen und beantworten, Kalendereinträge anlegen, CRM-Datensätze aktualisieren und Berichte erstellen — ohne menschliche Interaktion bei jedem Einzelschritt. Multi-Agenten-Systeme lassen mehrere spezialisierte Agenten zusammenarbeiten: Ein Recherche-Agent sammelt Informationen, ein Analyse-Agent bewertet sie, ein Kommunikations-Agent fasst zusammen.

Für KMU eröffnen KI-Agenten enorme Automatisierungspotenziale: Erstanfragen qualifizieren und beantworten, Angebote vorbereiten, Rechnungen prüfen, Supporttickets klassifizieren und lösen, interne Wissensabfragen beantworten. Kritisch bei der Implementierung: KI-Agenten dürfen nur auf Systeme zugreifen, für die sie berechtigt sind — das Prinzip der minimalen Rechte gilt hier genauso wie für menschliche Nutzer. Für DSGVO-konforme Unternehmensumgebungen empfiehlt sich der Betrieb auf lokalen LLMs (On-Premise), damit keine Unternehmensdaten an externe KI-Anbieter übertragen werden. Plattformen wie n8n mit AI-Agent-Integration ermöglichen dies ohne umfangreiche Entwicklungsarbeit.

Künstliche Intelligenz (KI) bezeichnet Computerprogramme und -systeme, die kognitive Aufgaben übernehmen, die traditionell menschliche Intelligenz erfordern: Textverstehen und -generieren, Bildanalyse, Spracherkennung, Mustererkennung und Entscheidungsfindung. Im Unternehmenskontext unterscheidet man schmale KI (Narrow AI) — auf spezifische Aufgaben spezialisierte Systeme — von allgemeiner KI (AGI), die noch Zukunftsmusik ist. Die aktuell bedeutsamste Klasse für KMU sind generative KI-Systeme auf Basis von Large Language Models (LLMs): ChatGPT, Claude, Gemini und lokal betreibbare Modelle wie Llama oder Mistral. Sie automatisieren textbasierte Aufgaben — E-Mail-Entwürfe, Dokumentenzusammenfassungen, Code-Generierung, interne Wissenssuche — mit einer Qualität, die vor wenigen Jahren unmöglich schien.

Kritisch zu unterscheiden: Cloud-KI-Dienste wie ChatGPT senden alle eingegebenen Prompts und Dokumente an US-Server — problematisch für vertrauliche Daten, Patientenakten oder Mandanteninformationen (Berufsgeheimnis, DSGVO). Lokale KI-Lösungen (On-Premise LLM) laufen vollständig auf Ihrer eigenen Hardware: Kein Prompt, kein Dokument verlässt Ihr Netzwerk. Sie sind DSGVO-konform by design, unterliegen nicht dem US CLOUD Act und verursachen keine monatlichen Lizenzkosten. Der ROI einer gut implementierten lokalen KI-Lösung ist für viele KMU bereits nach wenigen Monaten positiv.

KRITIS steht für Kritische Infrastrukturen — Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Folgen für die öffentliche Versorgung, Sicherheit oder Ordnung hätte. Das BSI-Gesetz und die KRITIS-Verordnung definieren neun Sektoren: Energie (Strom, Gas, Öl), Wasser (Versorgung und Entsorgung), Ernährung, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Finanzen und Versicherungen, Siedlungsabfallentsorgung sowie Staat und Verwaltung. Als KRITIS-Betreiber gilt, wer eine definierte Schwellenwertgrenze überschreitet (z. B. Energieversorger mit über 500.000 versorgten Personen).

KRITIS-pflichtige Unternehmen müssen erhöhte IT-Sicherheitsanforderungen erfüllen: Meldepflicht erheblicher IT-Störungen an das BSI innerhalb von 72 Stunden, Nachweis angemessener technischer und organisatorischer Maßnahmen (TOM), Registrierung beim BSI sowie alle zwei Jahre eine Sicherheitsprüfung durch qualifizierte Prüforganisationen. Mit dem KRITIS-Dachgesetz (KRITIS-DachG) und NIS2 wurden die Anforderungen 2024 deutlich verschärft und auf mehr Unternehmen ausgeweitet. Auch Zulieferer und IT-Dienstleister kritischer Infrastrukturen geraten zunehmend in den Fokus regulatorischer Anforderungen — die Supply Chain wird Teil des Sicherheitskonzepts. Unternehmen, die unsicher sind, ob sie als KRITIS-Betreiber gelten, sollten dies proaktiv mit einem spezialisierten Berater klären.

Ein Large Language Model (LLM) ist ein KI-Sprachmodell, das auf riesigen Textmengen trainiert wurde und dadurch Sprache versteht und erzeugt, die kaum von menschlichem Text zu unterscheiden ist. Bekannte LLMs sind GPT-4 (OpenAI), Claude (Anthropic), Gemini (Google) und Open-Source-Modelle wie Llama (Meta), Mistral oder Phi (Microsoft). LLMs werden trainiert, indem Milliarden von Textdokumenten verarbeitet und statistische Muster gelernt werden — vereinfacht: Das Modell lernt, welches Wort welchem anderen wahrscheinlich folgt. Das Ergebnis sind Systeme, die Fragen beantworten, Texte zusammenfassen, Code schreiben, Dokumente analysieren und in natürlicher Sprache interagieren können.

Für Unternehmen bieten LLMs enormes Automatisierungspotenzial: Angebotsentwürfe, Protokollzusammenfassungen, Wissensdatenbanksuche, Vertragsanalyse — all das lässt sich mit LLM-basierten Systemen automatisieren. Der entscheidende Unterschied liegt im Deployment: Cloud-LLMs (ChatGPT, Copilot) senden alle Daten zu externen Servern. Lokal betriebene LLMs (Llama, Mistral, Phi auf eigener GPU-Hardware) verarbeiten alles intern — datenschutzrechtlich sauber, ohne monatliche Lizenzkosten, ohne Vendor-Lock-in und ohne US-CLOUD-Act-Risiko. Für Kanzleien, Arztpraxen, KRITIS-Betreiber und Unternehmen mit vertraulichen Daten ist das lokal betriebene LLM die einzige DSGVO-konforme Option.

Multi-Faktor-Authentifizierung (MFA) ist die effektivste Einzelmaßnahme gegen Kontoübernahmen: Selbst wenn ein Passwort durch Phishing, Datenleck oder Brute-Force kompromittiert wurde, benötigt ein Angreifer zusätzlich einen zweiten Faktor, der typischerweise nur dem legitimen Nutzer zugänglich ist. Die drei Faktorfamilien: Wissen (Passwort, PIN), Besitz (Smartphone-App, Hardware-Token wie YubiKey) und Sein (Biometrie: Fingerabdruck, Gesicht). Zeitbasierte Einmalcodes (TOTP) über Apps wie Authy oder Microsoft Authenticator sind der heute übliche Standard. Hardware-Token (FIDO2/Passkeys) bieten noch höhere Phishing-Resistenz.

Laut Microsoft werden durch MFA über 99 % aller passwortbasierten Kontoangriffe verhindert. Für Unternehmen bedeutet das: MFA auf allen externen Zugängen ist die wichtigste Priorität — E-Mail (Microsoft 365, Google Workspace), VPN, Remote Desktop, Cloud-Konsolen und Administrations-Interfaces. Besonders kritisch: E-Mail-Konten ohne MFA ermöglichen Angreifern, Passwort-Reset-Mails abzufangen und damit auf alle verknüpften Dienste zuzugreifen. NIS2 und ISO 27001 fordern MFA für privilegierte Konten explizit. Die Einführung von MFA im gesamten Unternehmen ist technisch unkompliziert und in wenigen Stunden umsetzbar — das Aufwand-Nutzen-Verhältnis ist kaum zu überbieten.

NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit, die seit Oktober 2024 in deutsches Recht umgesetzt ist und erheblich mehr Unternehmen als ihr Vorgänger NIS1 verpflichtet. NIS2 unterscheidet "wesentliche Einrichtungen" (essential entities) und "wichtige Einrichtungen" (important entities) in 18 Sektoren — darunter Energie, Verkehr, Gesundheit, Digitale Infrastruktur, Abfallwirtschaft und verarbeitendes Gewerbe. Grob gilt: Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in einem der genannten Sektoren sind potenziell betroffen.

Die konkreten Pflichten für betroffene Unternehmen: Risikoanalysen und Sicherheitskonzepte, Incident-Response-Planung, Business Continuity Management, Supply-Chain-Sicherheit (auch Lieferanten müssen Sicherheitsanforderungen erfüllen), Meldepflicht erheblicher Vorfälle (24h Early Warning, 72h Vollmeldung), Sicherheitsschulungen für Mitarbeitende und MFA. Geschäftsführer haften persönlich bei Nichterfüllung. Sanktionen: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen. Wichtig: NIS2 zieht Drittstaatenunternehmen in die Pflicht, wenn sie Dienste für EU-Einrichtungen erbringen. Wer ISO 27001 implementiert hat, erfüllt den größten Teil der NIS2-Anforderungen bereits.

n8n (ausgesprochen "n-eight-n", Kurzform für "node") ist eine Open-Source-Automatisierungsplattform, die über 400 verschiedene Apps, Dienste und APIs ohne Programmierung miteinander verbindet. Vergleichbar mit Zapier oder Make, aber mit dem entscheidenden Vorteil: n8n kann vollständig auf Ihren eigenen Servern betrieben werden — ohne Cloud-Abhängigkeit und ohne monatliche Nutzungsgebühren pro Workflow. n8n-Workflows sind visuelle Diagramme aus Nodes und Verbindungen: Wenn eine neue E-Mail eingeht, Daten in eine Tabelle schreiben. Wenn ein Formular ausgefüllt wird, eine Rechnung ausstellen und im CRM erfassen. Wenn eine Bestellung eingeht, Lagerbestand prüfen und Lieferanten benachrichtigen.

Für KMU besonders attraktiv: n8n unterstützt KI-Agenten und lässt sich mit lokal betriebenen LLMs (Llama, Mistral) kombinieren — für vollständig DSGVO-konforme KI-Automatisierung, bei der keine Daten das Unternehmensnetzwerk verlassen. Der Self-Hosted-Betrieb auf einem verwalteten Server kostet einen Bruchteil von proprietären Alternativen und gibt volle Kontrolle über Automatisierungslogik und Daten. Typische Einsatzszenarien: ERP-Anbindungen, Rechnungsverarbeitung, Kunden-Onboarding-Prozesse, Ticket-Routing und KI-gestützte Dokumentenverarbeitung. Da n8n Open Source ist, entsteht kein Vendor-Lock-in und der vollständige Quellcode kann geprüft werden.

Open-Source-Software ist Software, deren Quellcode öffentlich zugänglich, einsehbar und unter einer Open-Source-Lizenz frei verwendbar ist. Bekannteste Beispiele: Linux (Betriebssystem), LibreOffice (Office-Suite), PostgreSQL (Datenbank), WordPress (CMS), Nextcloud (File-Sharing), Proxmox (Virtualisierung) und n8n (Automatisierung). Open Source ist nicht automatisch "kostenlos" — Enterprise-Support, Hosting und Anpassungen kosten Geld — aber die Lizenzgebühren für die Software selbst entfallen. Ein weiterer Vorteil: Weil der Code öffentlich ist, kann jeder Sicherheitsexperte ihn prüfen. Sicherheitslücken werden dadurch oft schneller gefunden und behoben als in proprietärer Software.

Für KMU sind Open-Source-Alternativen in drei Szenarien besonders attraktiv: erstens als Ersatz teurer proprietärer Software (z. B. Nextcloud statt SharePoint, Grafana statt teuren BI-Tools), zweitens für Datenschutz-kritische Anwendungen, bei denen der Betrieb auf eigener Infrastruktur möglich ist (keine versteckten Telemetrie-Funktionen), und drittens im KI-Bereich: Open-Source-LLMs wie Llama (Meta), Mistral oder Phi (Microsoft) können vollständig auf eigener Hardware betrieben werden — ohne Cloud-Abhängigkeit und ohne Datenweitergabe an externe Anbieter. Die Community-Entwicklung macht Open-Source-Projekte oft innovativer als kommerzielle Konkurrenten.

On-Premise (auch "On-Premises" oder kurz "on-prem") bezeichnet den Betrieb von Software, Servern und Datenbanken in der eigenen Infrastruktur des Unternehmens — im Gegensatz zur Nutzung externer Cloud-Dienste. Die Hardware steht physisch im eigenen Serverraum oder Rechenzentrum, immer unter direkter Kontrolle des Unternehmens. Der wesentliche Vorteil: volle Datensouveränität. Keine Daten verlassen das Unternehmensnetzwerk, kein US CLOUD Act, keine DSGVO-Probleme durch Datenübertragung in Drittstaaten. Für Anwälte (Berufsgeheimnis), Ärzte (Patientendaten nach DSGVO), KRITIS-Betreiber und Unternehmen mit sensiblen Kundendaten ist On-Premise oft die einzig vertretbare Option.

Nachteile: höhere Anfangsinvestitionen für Hardware, eigene Verantwortung für Wartung, Updates und Hochverfügbarkeit. Bei nicht professionell gehandhabter Administration können die Gesamtbetriebskosten (TCO) über die Nutzungsdauer höher liegen als bei Cloud-Alternativen. Hybride Ansätze — unkritische Prozesse in der Cloud, sensible Daten On-Premise — sind für viele KMU der pragmatische Mittelweg. Nextcloud beispielsweise lässt sich vollständig On-Premise betreiben und bietet dieselbe Benutzerfreundlichkeit wie Dropbox oder Google Drive, ohne deren Datenschutzprobleme. Ebenso lassen sich lokale LLMs vollständig on-premise deployen — für DSGVO-konforme KI ohne Cloud-Abhängigkeit.

OSINT (Open Source Intelligence) bezeichnet die systematische Sammlung und Analyse von Informationen aus öffentlich zugänglichen Quellen — Webseiten, soziale Netzwerke, Domainregistrierungsdaten (WHOIS), öffentliche Zertifikatsdatenbanken (crt.sh), Jobausschreibungen, Code-Repositories (GitHub), Suchmaschinen und spezialisierte Datenbanken wie Shodan (für im Internet exponierte Geräte). OSINT ist ein legaler und ethisch einwandfreier Prozess, der ausschließlich öffentlich zugängliche Quellen nutzt — aber die daraus gewonnenen Erkenntnisse können für Angreifer wie Verteidiger gleichermaßen wertvoll sein.

Im Penetrationstest ist OSINT die unverzichtbare Reconnaissance-Phase: Welche Subdomains und IP-Adressen gehören zum Unternehmen? Welche Dienste laufen auf welchen Ports? Welche E-Mail-Adressen und Mitarbeiterdaten sind öffentlich auffindbar und könnten für Spear-Phishing genutzt werden? Welche technischen Details hat das Unternehmen in Stellenanzeigen verraten (z. B. "Erfahrung mit Cisco ASA Firewalls gesucht")? Das Erschreckende: Erfahrene Angreifer sammeln über OSINT in wenigen Stunden ein detailliertes Bild der Angriffsfläche eines Unternehmens — ohne auch nur einen Packet zu senden. Der erste Schritt zur Verteidigung ist, die eigene externe Angriffsfläche selbst zu kennen.

Die OWASP Top 10 sind eine von der Open Web Application Security Project Foundation (OWASP) alle drei bis vier Jahre aktualisierte Rangliste der zehn kritischsten Sicherheitsrisiken für Webanwendungen. Sie basiert auf realen Angriffsdaten aus Millionen von Anwendungsaudits. Die aktuelle Version (2021) umfasst: A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection (SQL, LDAP, Command Injection), A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable and Outdated Components, A07 Identification and Authentication Failures, A08 Software and Data Integrity Failures, A09 Security Logging and Monitoring Failures, A10 Server-Side Request Forgery (SSRF).

Für Unternehmen, die eigene Webanwendungen, Kundenportale oder APIs betreiben, sind die OWASP Top 10 der Maßstab für jeden Web-Sicherheitstest. SQL-Injection zum Beispiel — auf Platz 3 — ermöglicht einem Angreifer, durch manipulierte Datenbankabfragen sämtliche Kundendaten zu exfiltrieren oder Anmeldedaten zu umgehen. Broken Access Control (Platz 1) deckt Fälle ab, in denen Nutzer auf Datensätze anderer Nutzer oder administrative Funktionen zugreifen können. Ein professioneller Pentest nach OWASP-Standard prüft systematisch alle zehn Risikoklassen und gibt konkrete Remediation-Empfehlungen. Für Eigenentwicklungen empfiehlt sich das OWASP Testing Guide als Entwickler-Checkliste.

Patch Management ist der strukturierte Prozess zur Identifikation, Bewertung, Priorisierung, Verteilung und Verifikation von Software-Updates (Patches) in einer IT-Infrastruktur. Patches schließen bekannte Sicherheitslücken (CVEs) in Betriebssystemen, Anwendungen, Firmware und Treibern. Laut BSI-Bericht werden über 80 % der erfolgreichen Cyberangriffe über bekannte, bereits gepatchte Schwachstellen ermöglicht — das bedeutet: Viele Opfer hätten den Angriff durch rechtzeitiges Patchen verhindern können. Die WannaCry-Ransomware-Welle 2017 und der Log4Shell-Exploit 2021 illustrieren, wie schnell ungepatchte Systeme massenhaft kompromittiert werden.

Ein professioneller Patch-Management-Prozess für KMU umfasst: regelmäßiges Scanning der Infrastruktur auf bekannte Schwachstellen (Vulnerability Scanning), Bewertung nach CVSS-Score und tatsächlicher Ausnutzbarkeit, Testumgebung für kritische Patches vor Produktivanwendung, definierte Patch-Zyklen (z. B. kritische Patches innerhalb 48h, hohe innerhalb 7 Tage, mittlere innerhalb 30 Tage) und vollständige Dokumentation für Compliance-Nachweise. Werkzeuge wie WSUS (Microsoft), Ivanti Patch oder Greenbone Vulnerability Manager automatisieren Scanning und Verteilung. Auch End-of-Life-Software (Software, für die keine Updates mehr erscheinen) ist ein kritisches Risiko — sie muss ersetzt oder durch Kompensationsmaßnahmen abgeschirmt werden.

Ein Penetrationstest (kurz Pentest) ist ein autorisierter, kontrollierter Angriff auf ein IT-System, Netzwerk, eine Webanwendung oder physische Infrastruktur — durchgeführt von zertifizierten Sicherheitsexperten im Auftrag des Eigentümers. Ziel ist es, Sicherheitslücken zu finden und zu dokumentieren, bevor echte Angreifer sie ausnutzen. Pentests unterscheiden sich nach Informationsstand: Blackbox (Tester kennt das Zielsystem nicht — simuliert einen externen Angreifer), Greybox (teilweise Informationen — realistischste Simulation) und Whitebox (vollständige Systeminformationen — für gründlichste Code- und Konfigurationsanalyse). Nach dem Test erhält der Auftraggeber einen detaillierten Bericht mit Schweregrad-Bewertung (CVSS) und konkreten Remediation-Empfehlungen.

Für KMU ist ein Pentest aus drei Gründen relevant: erstens zur realistischen Einschätzung der eigenen Sicherheitslage ("Wie weit käme ein echter Angreifer?"), zweitens als Nachweis gegenüber Versicherungen (viele Cyberversicherungen fordern regelmäßige Sicherheitstests), Kunden und Behörden, und drittens als Pflichtanforderung unter NIS2 und für KRITIS-Betreiber. Die Kosten variieren stark: Ein Netzwerk-Pentest für ein KMU beginnt ab etwa 3.000–8.000 €, ein umfangreicher Web-Anwendungstest kann 10.000–25.000 € kosten. Der ROI ist fast immer positiv — eine gefundene und behobene kritische Lücke verhindert potenziell sechsstellige Schäden. Pentest-Frequenz: mindestens jährlich oder nach größeren Systemänderungen.

Phishing bezeichnet den Versuch, durch täuschend echte Nachrichten (E-Mail, SMS, Messenger, gefälschte Webseiten) sensible Informationen zu stehlen oder Schadsoftware zu installieren. Klassisches Phishing (Massenversand) spricht eine breite Zielgruppe an. Spear-Phishing richtet sich gezielt an Einzelpersonen oder Unternehmen — die Angreifer recherchieren vorher über OSINT Informationen zum Ziel und passen die Nachricht täuschend echt an. Business Email Compromise (BEC) ist eine hochentwickelte Phishing-Variante: Angreifer geben sich als Geschäftsführer aus und weisen den Finanzbereich an, Zahlungen zu leisten — mit durchschnittlichen Schäden im sechsstelligen Bereich.

Moderne KI-generierte Phishing-Mails sind kaum noch von echter Unternehmenskommunikation zu unterscheiden: kein schlechtes Deutsch, kein verdächtiger Absender — stattdessen kontextrelevante Inhalte, die auf öffentlich verfügbaren Informationen basieren. Die wirksamsten Schutzmaßnahmen: MFA auf allen Konten (damit gestohlene Passwörter allein nicht reichen), technische E-Mail-Sicherheit (SPF, DKIM, DMARC), regelmäßige Phishing-Simulationen zur Mitarbeitersensibilisierung und klare Prozesse für verdächtige Zahlungsanweisungen (Vier-Augen-Prinzip, Rückrufpflicht bei Änderung von Bankverbindungen). Die menschliche Firewall — informierte, wachsame Mitarbeitende — ist nach wie vor der entscheidende letzte Schutzwall.

Privilege Escalation (Rechteerhöhung) beschreibt die Angriffstechnik, bei der ein Angreifer nach dem initialen Zugang zu einem System versucht, seine Zugriffsrechte auf ein höheres Level zu erhöhen — typischerweise von einem normalen Benutzerkonto zu lokalem Administrator, Domain-Admin oder SYSTEM/Root-Rechten. Es gibt zwei Varianten: Vertikale Privilege Escalation (von niedriger auf höhere Berechtigungsstufe) und horizontale Privilege Escalation (Zugriff auf Ressourcen anderer Benutzer mit gleichem Berechtigungsniveau). Angreifer nutzen dafür Schwachstellen in ungepatchten Diensten, fehlerhafte Konfigurationen (z. B. unsichere Datei-Berechtigungen), gespeicherte Anmeldedaten oder Kerberoasting-Angriffe gegen Active Directory.

Für Unternehmen ist Privilege Escalation aus einem Grund kritisch: Ein Angreifer mit Benutzerrechten kann begrenzt Schaden anrichten. Ein Angreifer mit Domain-Admin-Rechten kann das gesamte Unternehmensnetzwerk verschlüsseln, alle Backups löschen und sämtliche Anmeldedaten extrahieren. Die wichtigsten Gegenmaßnahmen: Prinzip der minimalen Rechte (kein Benutzer hat mehr Rechte als für seine Aufgabe notwendig), privilegierte Konten nur für administrative Tätigkeiten nutzen (kein E-Mail mit Admin-Konto), PAM-Lösungen (Privileged Access Management) für strukturierte Verwaltung privilegierter Konten, regelmäßige Berechtigungsreviews und zeitlich begrenzte Admin-Zugänge (Just-in-Time-Access).

Ransomware ist die aktuell gefährlichste und verbreitetste Schadsoftware-Kategorie für Unternehmen: Nach dem Eindringen in ein Netzwerk verschlüsselt sie systematisch alle erreichbaren Dateien — Dateiserver, Datenbanken, Backups, Cloud-Synchronisationen — und fordert ein Lösegeld für den Entschlüsselungsschlüssel. Moderne Ransomware-Gruppen betreiben ihr Geschäft professionell wie Unternehmen: "Ransomware as a Service" (RaaS) ermöglicht es wenig technisch versierten Kriminellen, Ransomware-Kampagnen zu starten, während die Entwickler eine Provision erhalten. "Double Extortion" bedeutet, dass Angreifer vor der Verschlüsselung Daten exfiltrieren und mit deren Veröffentlichung drohen — selbst ein funktionierendes Backup schützt dann nicht mehr vollständig vor dem Schaden.

Die häufigsten Eintrittsvektoren: Phishing-E-Mails mit Schadanhängen, ungepatchte Schwachstellen in VPN-Gateways oder RDP-Zugängen, kompromittierte Zugangsdaten und Supply-Chain-Angriffe. Nach dem initialen Zugang warten viele Angreifer Wochen bis Monate im Netzwerk und bereiten den Angriff vor. Schutzmaßnahmen mit höchster Priorität: MFA auf allen externen Zugängen, zeitnahes Patching, EDR-Lösung auf allen Endgeräten, Netzwerksegmentierung (VLAN), isolierte Offline-Backups (Immutable Backups) und ein getesteter Incident-Response-Plan. Lösegeld zahlen ist keine Lösung: nur etwa 60 % der Zahlenden erhalten funktionierende Entschlüsselungsschlüssel, und der Ruf als "zahlungswilliges Ziel" zieht weitere Angriffe an.

Retrieval-Augmented Generation (RAG) ist eine KI-Technik, bei der ein Sprachmodell (LLM) nicht nur auf sein Trainingswissen zurückgreift, sondern in Echtzeit relevante Dokumente aus einer eigenen Wissensdatenbank abruft und in die Antwortgenerierung einbezieht. Vereinfacht: Das Modell "liest" zuerst relevante Teile Ihrer Dokumente, bevor es antwortet. Das löst ein fundamentales Problem klassischer LLMs: Diese kennen nur Informationen bis zu ihrem Trainingsdatum und haben kein Wissen über unternehmensspezifische Dokumente, Verträge, Handbücher oder Produktkataloge. Ein RAG-System durchsucht Ihre Dokumentenbasis (Vektordatenbank) nach semantisch ähnlichen Inhalten und übergibt diese als Kontext an das Modell.

Typische Unternehmensanwendungen: interne Wissensdatenbank ("Frag unser Handbuch"), Vertragsanalyse, Kundenservice-Bot auf Basis Ihrer FAQ-Daten, automatische Beantwortung von Standardanfragen auf Basis vergangener Korrespondenz. In Kombination mit einem lokal betriebenen LLM (On-Premise) verlässt kein einziges Dokument das Unternehmensnetzwerk — die RAG-Pipeline läuft vollständig intern, DSGVO-konform und ohne monatliche API-Kosten. Der ROI einer gut implementierten RAG-Lösung zeigt sich meist schon nach wenigen Wochen durch deutlich reduzierte Suchzeiten und Auskunftsprozesse.

Return on Investment (ROI) ist eine betriebswirtschaftliche Kennzahl, die das Verhältnis zwischen dem Nettogewinn einer Investition und ihren Gesamtkosten ausdrückt: ROI = (Gewinn − Kosten) / Kosten × 100. Ein ROI von 200 % bedeutet, dass aus einem investierten Euro zwei Euro Gewinn entstanden sind. Im IT-Kontext wird ROI genutzt, um den wirtschaftlichen Nutzen von IT-Projekten zu rechtfertigen und zu vergleichen: Ein Automatisierungsprojekt, das 8 Stunden manueller Arbeit pro Woche einspart, erbringt bei 40 €/h Personalkosten einen jährlichen Nutzen von über 16.000 € — dem Projektbudget gegenübergestellt ergibt sich ein konkreter ROI, der die Investitionsentscheidung rationell begründet.

IT-Investitionen haben oft auch indirekten ROI, der schwerer zu quantifizieren ist: vermiedene Sicherheitsvorfälle (ein erfolgreicher Ransomware-Angriff kostet KMU im Durchschnitt 170.000 €), verbesserte Compliance (Vermeidung von Bußgeldern), reduzierte Mitarbeiterfluktuation durch bessere Tools, oder gesteigerte Kundenzufriedenheit durch schnellere Prozesse. Ein seriöser IT-Dienstleister rechnet den ROI eines Projekts vor Beginn durch — realistisch und ohne Phantasiezahlen. Bei Koreva ist die ROI-Rechnung fester Bestandteil jedes KI- und Automatisierungsprojekts: Wenn ein Pilot keinen sinnvollen ROI hätte, sagen wir das.

Robotic Process Automation (RPA) bezeichnet den Einsatz von Software-Robotern, die repetitive, regelbasierte Prozesse automatisieren — indem sie genauso wie ein Mensch mit Benutzeroberflächen interagieren: Klicken, Tippen, Copy-Paste, Formulare ausfüllen, Daten zwischen Systemen übertragen. Im Gegensatz zu klassischer API-Integration arbeitet RPA auf der GUI-Ebene und erfordert keine Programmierschnittstelle — ideal für ältere Legacy-Software oder Webportale ohne offene API. Klassische RPA-Anwendungsfälle: Rechnungen aus E-Mails extrahieren und in ERP-Systeme übertragen, monatliche Reports aus mehreren Quellen zusammenstellen, Kundendaten zwischen CRM und anderen Systemen synchronisieren.

Für KMU gilt: RPA ersetzt keine schlecht konzipierten Prozesse — es automatisiert sie nur schneller. Vor jeder RPA-Implementierung steht deshalb die Prozessoptimierung. Eine Kombination aus RPA und KI (Intelligent Process Automation, IPA) ermöglicht auch das Verarbeiten unstrukturierter Eingaben wie Freitext-E-Mails oder gescannter Dokumente. Für neue Integrationen ist n8n oder Make oft die kostengünstigere und wartungsärmere Alternative zu klassischem RPA, da diese über direkte API-Verbindungen arbeiten statt über GUI-Simulation und damit stabiler gegenüber UI-Änderungen der Zielsoftware sind.

Software as a Service (SaaS) ist das dominierende Software-Liefermodell der Gegenwart: Statt Software einmalig zu kaufen und lokal zu installieren, abonnieren Unternehmen sie als Cloud-Dienst und zahlen pro Nutzer und Monat. Vorteile: keine Installationsaufwände, automatische Updates, Gerätunabhängigkeit (überall nutzbar), schnelle Bereitstellung neuer Funktionen und keine initiale Kapitalinvestition. Bekannte SaaS-Produkte: Microsoft 365, Google Workspace, Salesforce, HubSpot, Slack, Zoom, Jira. Das SaaS-Modell verlagert Infrastrukturverantwortung zum Anbieter — Updates, Verfügbarkeit und Sicherheit der Plattform liegen beim Anbieter.

Für KMU in Deutschland sind zwei kritische Aspekte zu beachten: erstens DSGVO-Konformität — viele populäre SaaS-Dienste stammen von US-Anbietern, die dem CLOUD Act unterliegen und Daten an US-Behörden herausgeben können. Ein Auftragsverarbeitungsvertrag (AVV) ist verpflichtend, Datenspeicherung in EU-Rechenzentren muss vertraglich gesichert sein. Zweitens TCO: SaaS wirkt günstig (10–30 €/Nutzer/Monat), aber 20 Nutzer × 24 €/Monat × 5 Jahre = 28.800 €. Eine selbst gehostete Open-Source-Alternative wie Nextcloud kann günstiger und DSGVO-konformer sein. Die Entscheidung sollte immer auf Basis einer vollständigen TCO-Berechnung und Datenschutz-Folgenabschätzung getroffen werden.

Security Information and Event Management (SIEM) ist eine Sicherheitsplattform, die Log-Daten aus allen IT-Systemen eines Unternehmens — Firewalls, Server, Endgeräte, Anwendungen, Cloud-Dienste — in Echtzeit zentral sammelt, normalisiert, korreliert und auf Anzeichen von Sicherheitsvorfällen analysiert. Die Kernaufgabe: Anomalien und Angriffsmuster zu erkennen, die in einzelnen Systemen unsichtbar wären. Beispiel: Ein einzelner fehlgeschlagener Login ist harmlos. 50 fehlgeschlagene Logins von verschiedenen IPs innerhalb einer Minute, gefolgt von einem erfolgreichen Login aus einem unbekannten Land — das ist ein Brute-Force-Angriff. Ein SIEM erkennt dieses Muster sofort und löst einen Alert aus. Diese Korrelation über Systemgrenzen hinweg ist manuell nicht leistbar.

SIEM ist ein unverzichtbares Werkzeug für Security Operations Center (SOC) und wird für NIS2-pflichtige Unternehmen zunehmend als Nachweisanforderung verlangt. Bekannte Produkte: Splunk, IBM QRadar, Microsoft Sentinel (Cloud-nativ) und der Open-Source-Stack Wazuh mit OpenSearch. Für KMU ohne eigenes SOC empfiehlt sich ein Managed SIEM as a Service, bei dem ein externer Anbieter Monitoring, Alert-Triage und Incident Response übernimmt — zu einem Bruchteil der Kosten eines eigenen 24/7-Teams.

Ein Service Level Agreement (SLA) ist ein verbindlicher Vertragsbestandteil zwischen einem IT-Dienstleister und seinem Kunden, der messbare Qualitäts- und Verfügbarkeitsparameter sowie die Konsequenzen bei Nichteinhaltung festlegt. SLAs definieren konkret, was der Dienstleister garantiert. Typische Parameter: Verfügbarkeit (z. B. 99,5 % im Monatsdurchschnitt — entspricht max. 3,65 Stunden Ausfall/Monat), Reaktionszeit bei kritischen Störungen (z. B. 2 Stunden), Lösungszeit (z. B. 8 Geschäftsstunden), Wartungsfenster (z. B. Sonntag 2–6 Uhr) und Backup-Frequenz. Bei Unterschreitung der SLA-Parameter folgen typischerweise Gutschriften oder vertraglich vereinbarte Konsequenzen.

Für KMU beim Abschluss von Managed-Services- oder Cloud-Verträgen gilt: SLAs unbedingt genau lesen. Wichtige Fragen: Was gilt als "Verfügbarkeit" — nur Server erreichbar, oder auch Ihre Kernanwendung lauffähig? Gilt die SLA 24/7 oder nur während Geschäftszeiten? Was passiert bei Unterschreitung — automatische Gutschriften oder müssen Sie aktiv klagen? Was sind Ausnahmetatbestände (Force Majeure, DDoS)? Ein SLA ohne messbare Parameter und automatische Konsequenzen ist nur eine Absichtserklärung, keine Garantie. Koreva legt SLA-Parameter transparent im Vertrag fest und kommuniziert proaktiv, wenn Abweichungen drohen.

Ein Security Operations Center (SOC) ist eine dedizierte Einheit — intern oder als externer Dienst — die IT-Systeme und Netzwerke eines Unternehmens rund um die Uhr (24/7/365) auf Sicherheitsbedrohungen überwacht, analysiert und bei Vorfällen aktiv reagiert. Das SOC-Team kombiniert Menschen, Prozesse und Technologien: SIEM-Plattformen für Log-Analyse, EDR-Lösungen für Endpunkt-Überwachung, Threat-Intelligence-Feeds für aktuelle Bedrohungsinformationen. Ein SOC arbeitet nach definierten Eskalationsstufen: Tier-1-Analysten qualifizieren eingehende Alerts vor, Tier-2 führt tiefergehende Analysen bei bestätigten Vorfällen durch, Tier-3 übernimmt komplexe Forensik und Incident Response.

Ziel des SOC ist es, die mittlere Erkennungszeit (MTTD) und Reaktionszeit (MTTR) auf ein Minimum zu reduzieren — jede Stunde, in der ein Angreifer unentdeckt im Netz agiert, erhöht den potenziellen Schaden exponentiell. Für die meisten KMU ist ein eigenes SOC wirtschaftlich nicht darstellbar. Die Alternative: Managed SOC as a Service oder MDR (Managed Detection and Response), bei dem ein externer Sicherheitsanbieter diese Funktion für mehrere Kunden übernimmt — kostengünstiger und mit breiterer Bedrohungserfahrung durch die kollektive Sichtbarkeit über viele Mandanten.

Social Engineering bezeichnet die Manipulation von Menschen durch psychologische Tricks, um sie zur Preisgabe vertraulicher Informationen, zur Ausführung schädlicher Aktionen oder zur Umgehung von Sicherheitskontrollen zu bewegen. Im Gegensatz zu technischen Angriffen zielt Social Engineering auf die menschliche Psyche: Vertrauen, Autorität, Dringlichkeit, Hilfsbereitschaft oder Angst werden instrumentalisiert. Verbreitete Techniken: Phishing und Spear-Phishing (E-Mail/SMS), Vishing (Telefon-Manipulation), Pretexting (erfundene Szenarien — "Ich bin der neue IT-Support, ich brauche Ihr Passwort"), Baiting (infizierte USB-Sticks) und Tailgating (physisches Einschleichen in Büros).

Social Engineering ist für viele Angreifer der einfachste Angriffsweg — denn Menschen zu täuschen ist oft einfacher als technische Schutzmaßnahmen zu überwinden. Selbst in Unternehmen mit perfekter technischer Sicherheitskonfiguration reicht eine einzige getäuschte Person, um Angreifern Zugang zu verschaffen. Wirksame Gegenmaßnahmen: regelmäßige Mitarbeiterschulungen mit realistischen Beispielen (keine einmaligen Pflichtveranstaltungen), Phishing-Simulationen zur Messung der Awareness, klare Prozesse (Passwörter werden niemals telefonisch weitergegeben, Überweisungsänderungen erfordern Rückruf auf bekannte Nummer) und eine Unternehmenskultur, in der Mitarbeitende verdächtige Situationen melden können, ohne Angst vor negativen Konsequenzen.

Threat Intelligence (TI) bezeichnet strukturiertes, kontextreiches Wissen über aktuelle und potenzielle Cyberbedrohungen — Angreifer-Gruppen (Threat Actors), ihre Motivationen, Taktiken, Techniken und Prozeduren (TTPs nach dem MITRE ATT&CK-Framework), verwendete Schadprogramme und Indikatoren für eine Kompromittierung (IOCs: IP-Adressen, Domains, Datei-Hashes). Threat Intelligence wird kategorisiert in strategische TI (Hochebene-Trends für Management und Budgetplanung), taktische TI (TTPs für Sicherheitsteams) und operative/technische TI (IOCs für Firewalls, SIEM und EDR-Systeme zur automatisierten Blockierung).

Für KMU ist Threat Intelligence vor allem über zwei Kanäle zugänglich: öffentliche Quellen wie BSI-Warnmeldungen, CISA Known Exploited Vulnerabilities Catalog, AlienVault OTX und Abuse.ch; sowie als Teil von Managed Security Services, bei denen kommerzielle TI-Feeds automatisch in SIEM- und Firewall-Regelwerke einfließen. Der praktische Nutzen: Wenn eine Angreifer-Gruppe aktiv KMU in einem bestimmten Sektor angreift und ihre IOCs bekannt sind, können diese präventiv in Sicherheitssystemen hinterlegt werden, bevor das eigene Unternehmen betroffen ist. Threat Intelligence macht Sicherheit proaktiv statt reaktiv — Schutzmaßnahmen werden auf Basis realer Bedrohungslage priorisiert, nicht auf Basis hypothetischer Szenarien.

Total Cost of Ownership (TCO) bezeichnet die Gesamtkosten, die mit einer IT-Investition über ihre gesamte Nutzungsdauer entstehen — nicht nur die Anschaffungskosten, sondern alle direkten und indirekten Folgekosten über typischerweise 3–7 Jahre. Dieser vollständige Kostenblick ist entscheidend für fundierte IT-Entscheidungen. Direkte TCO-Komponenten: Anschaffung und Lizenzkosten, Installation und Konfiguration, laufende Lizenzgebühren (bei SaaS-Modellen: monatlich × Benutzeranzahl × Vertragslaufzeit), Support- und Wartungskosten, Hardware-Erneuerung alle 5–7 Jahre, Schulungsaufwand. Indirekte Komponenten: Ausfallzeiten und deren Produktivitätsverlust, Migrationskosten beim Wechsel, Sicherheitsrisiken durch veraltete Software, Vendor-Lock-in-Effekte.

Ein konkretes Beispiel: Ein Cloud-Dienst für 50 €/Monat klingt günstig — 50 € × 12 × 5 Jahre × 20 Nutzer = 60.000 € TCO. Eine selbst betriebene Open-Source-Alternative mit 15.000 € Setup-Kosten und 3.000 € jährlicher Administrationspauschale kommt auf 30.000 € — halb so teuer. Für KMU lohnt sich eine TCO-Berechnung vor jeder größeren IT-Entscheidung: Cloud vs. On-Premise, proprietäre vs. Open-Source-Lösung, Kauf vs. Leasing, Managed Service vs. Eigenbetrieb. Seriöse IT-Berater rechnen TCO transparent durch — inklusive der Kosten, die gegen ihre eigene Empfehlung sprechen könnten.

Virtualisierung ist die Technologie, mit der eine physische Hardware-Ressource (Server, Speicher, Netzwerk) in mehrere isolierte virtuelle Instanzen aufgeteilt wird. Eine physische Maschine mit einem Hypervisor (VMware ESXi, Microsoft Hyper-V, Proxmox VE) kann gleichzeitig zehn oder mehr virtuelle Maschinen (VMs) betreiben — jede mit eigenem Betriebssystem, eigenen Anwendungen und eigenem Netzwerkstack, vollständig voneinander isoliert. Server-Virtualisierung ist seit Anfang der 2010er-Jahre Standard in professionellen Rechenzentren und spart durch Hardware-Konsolidierung erhebliche Kosten.

Für KMU bringt Virtualisierung drei wesentliche Vorteile: erstens Hardwarekonsolidierung — statt fünf physischer Server mit niedriger Auslastung betreibt man einen leistungsfähigen Host mit fünf VMs, was Strom-, Kühlungs- und Wartungskosten senkt. Zweitens vereinfachtes Backup: VM-Snapshots sichern den gesamten Systemzustand in Sekunden und können auf andere Hardware restored werden. Drittens Hochverfügbarkeit: VM-Cluster (Proxmox Cluster, VMware vSphere HA) ermöglichen automatisches Failover — fällt ein Host aus, starten die VMs auf einem anderen Node automatisch neu. Desktop-Virtualisierung (VDI) ermöglicht Homeoffice-Mitarbeitenden sicheren Zugriff auf zentral verwaltete Arbeitsumgebungen.

Ein VLAN (Virtual Local Area Network) segmentiert ein physisches Netzwerk logisch in mehrere voneinander isolierte Bereiche — ohne zusätzliche physische Hardware. Auf einem einzigen physischen Switch können so separate Netzwerke für verschiedene Zwecke koexistieren: Büro-Netzwerk für Mitarbeitende, Server-Netzwerk für kritische Systeme, Gäste-WLAN für Besucher, IoT-Netzwerk für Drucker und smarte Geräte, Management-Netzwerk für Netzwerkgeräte-Administration. Die Isolierung wird durch VLAN-Tags im Ethernet-Frame realisiert (IEEE 802.1Q), Switches und Router kennen die VLAN-Zugehörigkeit jedes Ports.

Der entscheidende Sicherheitsvorteil von VLANs liegt in der Eindämmung lateraler Bewegung (Lateral Movement): Wenn Schadsoftware ein Gerät im Gäste-Netzwerk infiziert, kann sie nicht ohne weiteres auf Dateiserver oder ERP-Systeme im Server-Netz zugreifen — die Firewall zwischen den VLANs blockiert unerlaubten Verkehr. Für die Umsetzung bei KMU empfehlen sich managed Switches (z. B. Cisco, HPE Aruba, Ubiquiti UniFi) und eine Firewall, die Routing zwischen VLANs mit restriktiven Regeln kontrolliert. Eine minimale Segmentierung — Büro-Netz getrennt von Server-Netz und Gäste-WLAN isoliert — erhöht die Sicherheit deutlich und ist mit moderatem Aufwand umsetzbar. VLANs sind zudem Voraussetzung für Zero-Trust-Netzwerkarchitekturen.

Ein Virtual Private Network (VPN) erstellt einen verschlüsselten Datentunnel über ein unsicheres Netzwerk (Internet, öffentliches WLAN) und ermöglicht so sichere Kommunikation, als befänden sich alle Geräte im selben privaten Netzwerk. Im Unternehmenseinsatz gibt es zwei Hauptszenarien: Site-to-Site-VPN verbindet zwei Standorte dauerhaft (z. B. Hauptbüro und Filiale), Remote-Access-VPN ermöglicht Mitarbeitenden sicheren Fernzugriff auf das Unternehmensnetzwerk. Gängige VPN-Protokolle: IPsec/IKEv2, OpenVPN und das moderne WireGuard (deutlich performanter bei vergleichbarer Sicherheit).

Für Homeoffice-Sicherheit ist ein Unternehmens-VPN unverzichtbar: Es verhindert, dass Mitarbeitende im Homeoffice unverschlüsselt auf interne Systeme zugreifen und schützt vor Man-in-the-Middle-Angriffen in öffentlichen WLANs. Jedoch haben VPNs eine kritische Schwachstelle: VPN-Gateways sind aus dem Internet erreichbar und damit ein bevorzugtes Angriffsziel — mehrere kritische CVEs in Fortinet, Pulse Secure und Citrix VPN wurden intensiv ausgenutzt. Daher: VPN-Gateways müssen zeitnah gepatcht werden, und der Zugang sollte durch MFA abgesichert sein. Das Zero-Trust-Modell geht noch weiter: Statt einem pauschalen Netzwerkzugang nach VPN-Login wird jede Anwendung und jede Ressource einzeln authentifiziert und autorisiert.

Zero-Trust ist ein modernes IT-Sicherheitskonzept, das das traditionelle Perimeter-basierte Sicherheitsmodell ("alles innerhalb des Firmennetzwerks ist vertrauenswürdig") aufgibt. Das Grundprinzip: "Never trust, always verify" — jeder Zugriffsversuch wird kontinuierlich authentifiziert, autorisiert und validiert, unabhängig davon, ob er vom Büro, Homeoffice, Cloud-Umgebung oder innerhalb des Firmennetzwerks kommt. Kernelemente eines Zero-Trust-Frameworks: starke Identitätsverifikation (MFA), geringstmögliche Zugriffsrechte (Least Privilege), Netzwerksegmentierung (Mikrosegmentierung), kontinuierliches Monitoring aller Zugriffsaktivitäten und Verschlüsselung aller Daten in Transit und at Rest.

Zero-Trust ist keine einzelne Technologie, sondern eine Architekturstrategie, die aus mehreren Bausteinen besteht. Praktische Umsetzungsschritte für KMU: MFA überall aktivieren (erster und wichtigster Schritt), Netzwerksegmentierung mit VLANs, privilegierte Konten mit PAM-Lösungen verwalten, Gerätezustand beim Zugriff prüfen (Conditional Access — ist das Gerät gepatcht und verschlüsselt?), und Zugriffsprotokollierung für alle kritischen Systeme. Zero Trust ist besonders relevant für dezentrale Teams, Cloud-Nutzung und wenn Zulieferer oder Partner Zugang zu internen Systemen benötigen. Die wichtigste Erkenntnis: Das Firmennetzwerk ist kein sicherer Ort mehr — Sicherheit muss an der Identität und am Gerät ansetzen, nicht am Netzwerkperimeter.