Sicherheit.
Backup, Endpoint, Mail-Security, Monitoring - und die Compliance-Pflicht
Sicherheit, die im Alltag funktioniert - nicht nur auf Folien. Wir setzen das um, was Versicherer fordern, NIS2 vorschreibt, und was nach einem echten Vorfall wirklich gegriffen hätte.
Themen in dieser Säule.
| Nr | Thema | Typ |
|---|---|---|
| 01 | Backup · 3-2-1, versioniert, getestet - und wirklich wiederherstellbar | TOPIC |
| 02 | Endpoint Security · Patching, EDR, MDM - jedes Gerät abgesichert und verwaltet | TOPIC |
| 03 | Monitoring · Uptime, Logs, Alerts - Probleme sehen, bevor Kunden sie melden | TOPIC |
Details.
Was Sicherheit bei CAVORT bedeutet
Sicherheit ist kein Produkt, das man einmal kauft und dann fertig ist. Sie ist ein laufender Prozess, der in Ihre Betriebs-Realität passen muss. Wir bauen Sicherheit, die im Alltag nicht stört und die im Ernstfall trägt.
Backup
Ein Backup ist nichts wert, wenn Sie es nicht wiederherstellen können. Wir folgen der 3-2-1-Regel:
- 3 Kopien Ihrer Daten
- 2 verschiedene Speichermedien
- 1 Kopie außer Haus (im Idealfall immutable / unveränderbar)
Typisches Setup:
- Veeam für Windows/Linux/VM-Backup, oft auf einem Hetzner-Storage-Server
- Proxmox Backup Server für die Proxmox-Umgebung, deduplikation-basiert
- Cold Storage oder S3-Compatible mit Object-Lock für immutable Copy
- Microsoft 365 Backup (Veeam oder Dropsuite) - Microsoft backup-et Sie nicht, das müssen Sie selbst tun
Wichtiger als die Tools: Wiederherstellungs-Tests. Wir testen quartalsweise zufällige Files und jährlich Voll-Szenarien im Test-Netz.
Endpoint Security
Patching ist die unsexy-ste und wichtigste Einzelmaßnahme. Wir automatisieren das über Intune, Tactical RMM oder WSUS, je nach Ökosystem. Dazu EDR - meist Microsoft Defender for Endpoint für Microsoft-Kunden, CrowdStrike oder SentinelOne wo es sein muss.
Standard-Stack für ein Notebook:
- Festplattenverschlüsselung (BitLocker / FileVault)
- Automatische OS-Patches, Anwendungs-Updates
- EDR mit zentralem Dashboard
- USB-Kontrolle (je nach Branche)
- Screen-Lock bei Inaktivität
- MDM für Remote-Wipe bei Verlust
Mail-Security
80% aller Angriffe starten via Mail. Wir härten Mail mit:
- DMARC-Enforcement (von none → reject, mit Aggregate-Reports)
- DKIM-Rotation alle 6 Monate
- SPF strikt
- Proofpoint oder Microsoft Defender for Office 365 gegen Phishing und Spear-Phishing
- Attachment-Sandboxing für gefährliche Dateiformate
- Anti-Impersonation und Brand-Spoofing-Schutz
Monitoring
Ohne Monitoring merken Sie Probleme erst, wenn Kundschaft anruft. Wir setzen Uptime Kuma, Grafana, Sentry und Hyperscaler-native Tools ein, um:
- HTTP/HTTPS-Endpoints zu prüfen
- Server-Health (CPU, RAM, Disk, Netzwerk) zu tracken
- Log-Anomalien zu erkennen
- Application-Errors in Web-Apps zu fangen
- Zertifikats-Ablauf rechtzeitig zu melden
Alerts kommen per Mail, Matrix-Chat oder Telefon (letzteres nur für echte Notfälle, z.B. Totalausfall).
NIS2 und Compliance
NIS2 ist seit Umsetzung Pflicht für “wichtige” und “besonders wichtige” Einrichtungen. Wir begleiten:
- Anwendbarkeitsprüfung (betrifft Sie das?)
- Risikomanagement-Konzept
- Incident-Response-Plan
- Technische und organisatorische Maßnahmen (TOMs)
- Monitoring und Meldewege
- Jährliche Überprüfung
Wir sind keine Juristen - wir machen die IT-Seite. Juristisches Review ziehen wir über Partner-Kanzleien hinzu.
Sicherheit - häufige Fragen.
[01] Brauchen wir wirklich NIS2-Vorbereitung? [+]
Wenn Sie in Deutschland ein "wichtiges" oder "besonders wichtiges" Unternehmen sind (siehe BSI-Liste der betroffenen Sektoren und Schwellenwerte), sogar verpflichtend. Aber auch wenn nicht: Ihre Cyber-Versicherung wird vermutlich in 2026/2027 einen vergleichbaren Baseline-Schutz fordern, bevor sie im Schadensfall zahlt. Wir raten - wenn die Firma 50+ Mitarbeiter und relevant digitale Wertschöpfung hat, sollten Sie ein NIS2-ähnliches Maßnahmen-Paket haben.
[02] Was kostet eine Backup-Strategie? [+]
Für einen 50-Mitarbeiter-Mittelständler rechnen wir typisch mit 300-700 € pro Monat (Storage, Software-Lizenz, Monitoring, getestete Wiederherstellungen). Einmal-Setup kommt drauf, je nach Ausgangslage 5-15 Tage Projektarbeit. Viel billiger geht, ist aber meist "Backup-Theater" - Sicherungen, die im Ernstfall nicht greifen.
[03] Wie oft testen Sie Wiederherstellungen? [+]
Mindestens einmal pro Quartal für kritische Systeme. Einmal pro Jahr einen kompletten Notfall-Wiederanlauf im Test-Netz. Das ist der Punkt, an dem Backup-Strategien wirklich getestet werden - die Anzahl Backups ist irrelevant, wenn die Restore-Kette kaputt ist.
[04] Endpoint-Schutz - reicht Windows Defender? [+]
Für die meisten Mittelständler: ja, plus Microsoft Defender for Endpoint als Upgrade. Wir setzen Drittanbieter (CrowdStrike, SentinelOne) nur ein, wenn Compliance-Anforderungen es fordern oder die Größenordnung es rechtfertigt. Wichtig ist weniger die Marke - wichtig ist, dass jemand die Alerts anschaut.
[05] Was ist wichtiger, Backup oder EDR? [+]
Backup. Immer. Wenn Sie zwischen beiden wählen müssten, bauen Sie erst ein wirklich funktionierendes Backup-System. EDR ohne Backup schützt gegen aktuelle Angriffe, aber wenn es doch mal durchkommt, sind Sie verloren. Backup ohne EDR ist langsamer, aber überlebensfähig.
[06] Machen Sie auch Phishing-Awareness-Training? [+]
Ja, wir arbeiten mit Partnern wie "KnowBe4" oder bauen kleine eigene Kampagnen. Technik-Schutz ohne Menschen-Training ist wertlos - die meisten Vorfälle starten mit einer geklickten E-Mail.
[07] Können Sie nach einem Vorfall helfen? [+]
Ja, wir machen Incident Response - aber wir sind kein Forensik-Spezialist-Anbieter. Für die IT-Seite (Wiederanlauf, Sanierung, temporäre Systeme) sind wir gut aufgestellt. Für die rechtliche und forensische Seite ziehen wir Partner hinzu.