IT-Sicherheit ohne IT-Abteilung: So funktioniert das in kleinen Unternehmen 

Ein Dienstagmorgen in einer Steuerkanzlei in Graz. Die Kanzleileitung öffnet den Laptop und alle Dokumente haben eine unbekannte Dateiendung. Eine Lösegeldforderung auf Englisch am Bildschirm, das E-Mail-System tot, die Klientendaten verschlüsselt. Eine eigene IT-Abteilung gibt es nicht, nur einen externen Dienstleister, der einmal im Monat vorbeikommt. In den nächsten 72 Stunden entscheidet sich, ob der Betrieb weiterläuft oder ob Klientenaufträge an Mitbewerber abwandern. Genau dieses Szenario ist für österreichische Klein- und Mittelbetriebe kein Einzelfall mehr. Die Frage ist nicht, ob ein Angriff kommt, sondern wie vorbereitet Sie sind, wenn es passiert. Dieser Leitfaden zeigt, wie Sie IT-Sicherheit ohne IT-Abteilung in einem kleinen Unternehmen seriös organisieren, welche Basismaßnahmen zählen, wie Sie einen externen IT-Partner sinnvoll steuern und welche rechtlichen Pflichten auch Betriebe mit zehn Mitarbeitenden treffen. 

Warum IT-Sicherheit auch ohne eigene Abteilung ein Thema ist 

Die Bedrohungslage in Österreich ist messbar geworden. Laut der KPMG-Cybersecurity-Studie 2025, die gemeinsam mit dem Kompetenzzentrum Sicheres Österreich erstellt und bei 1.391 heimischen Unternehmen erhoben wurde, ist jeder siebente Cyberangriff in Österreich erfolgreich. Phishing und Schadsoftware dominieren mit je 81 Prozent das Angriffsspektrum. Besonders bitter: Vom Klick auf eine Phishing-E-Mail bis zum tatsächlich erfolgreichen Angriff vergehen laut der Studie im Schnitt nur 72 Minuten. 

Auf die Breite der Wirtschaft wirkt sich das direkt aus. Check-Point-Daten, die von Austria Innovativ ausgewertet wurden, weisen für das zweite Quartal 2025 rund 1.717 wöchentliche Cyberangriffe pro österreichischer Organisation aus. Im ersten Quartal 2025 lag der Anstieg der Angriffe auf heimische Unternehmen bei 69 Prozent gegenüber dem Vorjahresquartal, deutlich stärker als der globale Durchschnitt. 

Kleine Betriebe sind dabei keine Ausnahme, sondern ein bevorzugtes Ziel. Das Kompetenzzentrum Sicheres Österreich betont, dass in Wien rund 58 Prozent der Unternehmen Ein-Personen-Unternehmen sind und 78 Prozent der Wiener KMU ein bis neun Mitarbeitende beschäftigen. Eigene IT-Fachkräfte leisten sich diese Betriebe in aller Regel nicht. Genau das macht sie für automatisierte Angriffe attraktiv, denn die Schwachstellen sind dort oft bekannt und unverändert. 

Wer übernimmt die Verantwortung, wenn es keine IT-Abteilung gibt 

Die Verantwortung für IT-Sicherheit lässt sich in einem kleinen Unternehmen nicht vollständig auslagern. Auch ohne eigene IT-Abteilung bleibt die Geschäftsführung haftungsrechtlich und operativ in der Pflicht. Praktikabel ist eine Aufteilung in drei Rollen, die jedes KMU ohne größeren Aufwand besetzen kann. 

Die interne Ansprechperson 

Benennen Sie intern eine Person, die IT-Themen koordiniert, auch wenn sie selbst keine Technikerin oder kein Techniker ist. Das kann die Bürokoordinatorin in einer Anwaltskanzlei in Linz sein oder der Werkstattleiter eines Autohauses in Klagenfurt. Diese Person sammelt Auffälligkeiten, hält den Kontakt zum IT-Dienstleister und sorgt dafür, dass Entscheidungen nicht im Alltag untergehen. 

Der externe IT-Dienstleister 

Das operative Geschäft übernimmt ein IT-Unternehmen, häufig als Managed Service. Dieser Partner betreut Server, Cloud-Dienste, Endgeräte und das Sicherheits-Monitoring. Wichtig ist ein schriftlicher Vertrag mit klaren Reaktionszeiten, denn ein Dienstleister, der nur bei Anruf reagiert, ist im Ernstfall zu langsam.  

Die Geschäftsführung 

Die Eigentümerin oder der Geschäftsführer gibt die Richtung vor, genehmigt Budgets und verlangt regelmäßig Berichte. In einem Tiroler Produktionsbetrieb mit 25 Mitarbeitenden reicht dafür ein kurzes Monatsgespräch mit dem IT-Partner, in dem zwei Fragen beantwortet werden: Was ist letzten Monat passiert, und welche Risiken offenen wir gerade? Diese Dreiteilung schafft Klarheit, ohne ein großes Organigramm aufzubauen. 

Die sechs Basismaßnahmen, die wirklich zählen 

Viele erfolgreiche Angriffe scheitern an sehr einfachen Schutzmechanismen. Die Wirtschaftskammer Österreich empfiehlt in ihren Basismaßnahmen für Informationssicherheit einen pragmatischen Mindeststandard, der auch ohne eigene IT-Abteilung umsetzbar ist. In der Praxis kristallisieren sich sechs Punkte als entscheidend heraus. 

Multi-Faktor-Authentifizierung für alle Konten 

Multi-Faktor-Authentifizierung (MFA) bedeutet, dass zum Passwort ein zweiter Nachweis kommt, üblicherweise eine Bestätigung am Smartphone. MFA stoppt den allergrößten Teil aller Konto-Übernahmen, auch wenn das Passwort gestohlen wurde. In einer Microsoft-365-Umgebung lässt sich das über die Security Defaults mit wenigen Klicks für alle Nutzerinnen und Nutzer aktivieren. 

Verschlüsselte und getestete Backups 

Backups sind der letzte Schutzwall gegen Ransomware. Die bewährte 3-2-1-Regel lautet: drei Kopien der Daten auf zwei unterschiedlichen Medien, davon eine außer Haus. Noch wichtiger als die Sicherung selbst ist der regelmäßige Wiederherstellungstest. Laut der FH Salzburg in ihrer Zusammenfassung der KPMG-Studie 2025 zählen fehlende Backups und unzureichende Recovery-Konzepte nach wie vor zu den häufigsten Schwachstellen. 

Automatische Updates auf allen Geräten 

Unzureichendes Patch-Management ist laut KPMG und KSÖ für einen relevanten Anteil der erfolgreichen Angriffe mitverantwortlich. Updates auf Windows, macOS, Smartphones, Routern, Drucker-Firmware und Fachanwendungen sollten automatisch laufen. Manuelle Updates werden im Alltag eines kleinen Betriebs zuverlässig vergessen. 

Ein Passwortmanager für das Team 

Eltern- und Kinderpasswörter, Postits am Bildschirm, immer dieselbe Kombination aus Vorname und Geburtsjahr: Das sind klassische Muster in Betrieben ohne IT-Abteilung. Ein unternehmensweiter Passwortmanager beendet diese Praxis, ohne die Belegschaft zu überfordern. Die Mitarbeitenden merken sich ein einziges Masterpasswort, der Manager generiert lange, einzigartige Passwörter für alle Dienste. 

Aktueller Endgeräteschutz 

Antivirensoftware alleine reicht längst nicht mehr. Moderne Endgeräteschutz-Lösungen, häufig als EDR (Endpoint Detection and Response) bezeichnet, erkennen verdächtiges Verhalten und schlagen Alarm. Für Unternehmen mit Microsoft 365 Business Premium ist Microsoft Defender for Business bereits enthalten. Alternativen gibt es von etablierten Herstellern, die Auswahl sollte der IT-Dienstleister begleiten. 

Regelmäßige Kurzschulungen 

Die KPMG-Studie 2025 hält fest, dass 62 Prozent der Cyberangriffe durch Mitarbeitende identifiziert wurden, noch vor technischen Systemen. Genau das zeigt, warum Awareness keine Pflichtübung ist, sondern eine der wirksamsten Sicherheitsmaßnahmen. Alle drei bis sechs Monate eine 20-minütige Schulung zu Phishing, verdächtigen Anhängen und Deepfake-Anrufen reicht oft aus, um das Risiko deutlich zu senken. 

Cloud-Plattformen als Sicherheitsgewinn für kleine Betriebe 

Eine Cloud-Plattform wie Microsoft 365 oder Google Workspace verschiebt einen großen Teil der technischen Grundsicherung zum Anbieter. Für Unternehmen ohne eigene IT-Abteilung ist das in den meisten Fällen ein Gewinn, solange die Konfiguration stimmt. 

Besonders interessant ist Microsoft 365 Business Premium für klassische KMU mit 5 bis 300 Mitarbeitenden. Wie die Microsoft-Dokumentation beschreibt, enthält der Plan Multi-Faktor-Authentifizierung, bedingten Zugriff, Gerätemanagement über Intune, Microsoft Defender for Business und Werkzeuge zur Informationsklassifizierung. Eine Arztpraxis in Salzburg oder eine Steuerkanzlei in Wien erreicht damit ein Sicherheitsniveau, das früher großen Konzernen vorbehalten war. 

Wichtig ist die saubere Einrichtung. Die Lizenz alleine schützt niemanden. Erst wenn MFA aktiviert, Geräte über Intune eingebunden und bedingte Zugriffsregeln konfiguriert sind, entfaltet die Plattform ihre Schutzwirkung. Diese Einrichtung sollte ein erfahrener Microsoft-Partner übernehmen. Ein zusätzlicher Cloud-to-Cloud-Backup-Dienst ist außerdem empfehlenswert, denn Microsoft sichert die eigenen Dienste gegen technische Ausfälle, nicht gegen versehentliches Löschen oder Ransomware in Ihren Dokumenten. 

Den richtigen IT-Partner finden und steuern 

Ohne eigene IT-Abteilung ist der externe Dienstleister Ihr wichtigster Sicherheitsbaustein. Umso wichtiger ist die Auswahl. Rechnen Sie damit, dass dieser Partner Sie über Jahre begleitet. 

Beginnen Sie mit einem klaren Anforderungsprofil. Ein Installationsbetrieb im Mühlviertel mit 15 Mitarbeitenden hat andere Bedürfnisse als eine Zahnarztpraxis in Innsbruck mit Patientendaten, die unter das Gesundheitstelematikgesetz fallen. Fragen Sie konkret nach Referenzen aus derselben Branche und nach Zertifikaten wie dem Accredited NIS Expert der FV UBIT, die eine nachweisbare Qualifikation belegen. 

Achten Sie beim Vertrag auf drei Punkte. Erstens die Reaktionszeit im Ernstfall, idealerweise mit einer garantierten Rückmeldung binnen zwei Stunden zu definierten Betriebszeiten. Zweitens die regelmäßige Berichterstattung, damit Sie sehen, was passiert und nicht nur bei Problemen hören. Drittens die Dokumentation der Systeme: Wenn Sie den Dienstleister wechseln müssen, brauchen Sie eine saubere Übergabe ohne Wissensmonopol. 

Hüten Sie sich vor Angeboten, bei denen alles im Kopf einer einzigen Person sitzt. Ein seriöser Partner arbeitet im Team, nutzt dokumentierte Prozesse und kann zumindest grob erklären, was er tut und warum. Wenn die Gespräche von Fachbegriffen dominiert sind, die Sie nicht verstehen, und niemand sich die Zeit nimmt, Ihnen die Zusammenhänge verständlich zu machen, sind Sie beim falschen Anbieter. 

Rechtliche Pflichten, die auch kleine Betriebe treffen 

Viele Geschäftsführungen gehen davon aus, dass Regulatorik nur große Konzerne betrifft. Das ist ein Irrtum, der im Ernstfall teuer wird. 

Die Datenschutzgrundverordnung (DSGVO) gilt für jeden Betrieb, der personenbezogene Daten verarbeitet, also praktisch für jedes Unternehmen. Kommt es zu einem Cyberangriff mit Zugriff auf Kunden- oder Mitarbeiterdaten, sind Sie verpflichtet, den Vorfall binnen 72 Stunden an die österreichische Datenschutzbehörde zu melden. Die DSB stellt dafür ein Online-Formular bereit. Bei Verstößen gegen die Meldepflicht drohen laut DSGVO Geldbußen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. 

Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) tritt in Österreich am 1. Oktober 2026 in Kraft. Wie die Wirtschaftskammer in ihrer NISG-Übersicht erläutert, erfasst das Gesetz direkt rund 4.000 Unternehmen ab mittlerer Größe aus 18 festgelegten Sektoren. Kleine Unternehmen mit weniger als 50 Mitarbeitenden und höchstens 10 Millionen Euro Umsatz fallen in der Regel nicht darunter, mit wenigen Ausnahmen etwa im Bereich Vertrauensdienste oder digitale Infrastruktur. 

Der indirekte Weg ist aber wichtig. Wie die Prüfstelle CIS Certification im ITWelt-Interview Anfang 2026 warnt, sind in Österreich über die Lieferkette schätzungsweise 50.000 weitere Unternehmen betroffen. Wenn Sie als kleiner Zulieferer oder IT-Dienstleister für ein NISG-pflichtiges Unternehmen arbeiten, werden Sie vertraglich zu Sicherheitsnachweisen verpflichtet. Multi-Faktor-Authentifizierung, Backup-Nachweise und Incident-Response-Prozesse werden damit zum Geschäftsthema, auch ohne direkte gesetzliche Betroffenheit. 

Wenn es passiert: Notfallplan und erste Hilfe 

Der beste Schutz verhindert nicht jeden Angriff. Ein Notfallplan entscheidet darüber, ob ein Vorfall zwei Stunden dauert oder zwei Wochen. 

Legen Sie ein physisches, ausgedrucktes Krisenhandbuch im Büro ab. Digital gespeicherte Notfallpläne sind wertlos, wenn die Systeme verschlüsselt sind. Ins Handbuch gehören die Telefonnummer des IT-Dienstleisters, der Datenschutzbeauftragten oder des externen Datenschutzberaters, der Versicherung und der wichtigsten Klientinnen und Klienten oder Lieferanten, die im Ernstfall informiert werden müssen. 

Die Wirtschaftskammer Österreich betreibt mit der Cyber-Security-Hotline unter 0800 888 133 rund um die Uhr eine kostenlose Erstberatung für Mitglieder. Dort erhalten Sie die ersten kritischen Handlungsanweisungen, etwa zur sofortigen Trennung betroffener Systeme vom Netzwerk, und bei Bedarf die Vermittlung eines spezialisierten IT-Security-Unternehmens. 

Wenn es brennt, gilt für die ersten Minuten: Ruhe bewahren, nichts vorschnell abschalten, keine Lösegeldforderung eigenständig verhandeln. Informieren Sie den IT-Dienstleister, dokumentieren Sie, was Sie sehen, und schalten Sie keine Backups ein, bevor die Ursache bekannt ist. Ein Ransomware-Angriff kann Backup-Systeme mit infiziert haben, und eine voreilige Wiederherstellung macht das Problem größer. 

Förderungen und kostenfreie Unterstützung in Österreich 

Die gute Nachricht: Sie müssen den Aufbau Ihrer IT-Sicherheit nicht allein finanzieren. Das Förderprogramm KMU.DIGITAL des Bundesministeriums für Wirtschaft, Energie und Tourismus startete im Jänner 2026 in eine neue Runde. Geförderte Bereiche sind unter anderem IT- und Cybersecurity-Beratung sowie die Umsetzung konkreter Sicherheitsmaßnahmen. Der maximale Beratungszuschuss beträgt bis zu 3.000 Euro, zusätzlich sind bis zu 6.000 Euro Umsetzungsförderung möglich, wie die Wirtschaftskammer in ihrer Programmübersicht beschreibt. 

Ergänzend stellt die WKO über it-safe.at Checklisten, Leitfäden und kostenlose Tools für das Mitarbeitertraining bereit. Für Betriebe, die einen ersten strukturierten Überblick brauchen, bieten einzelne Landeskammern zudem kostenfreie Cybersecurity-Quickchecks an. Kombiniert mit der Förderung wird daraus ein Einstieg, bei dem auch ein Fünf-Personen-Betrieb seriöse Sicherheit aufbauen kann, ohne die Liquidität zu gefährden. 

Häufige Fragen 

Wer ist für die IT-Sicherheit verantwortlich, wenn es keine eigene IT-Abteilung gibt? 

Die Gesamtverantwortung liegt bei der Geschäftsführung und kann nicht vollständig an einen externen Dienstleister ausgelagert werden. In der Praxis benennt man eine interne Ansprechperson, die den IT-Partner steuert, und ein IT-Dienstleistungsunternehmen, das die operative Umsetzung übernimmt. Die Geschäftsführung setzt die Rahmenbedingungen, gibt Budgets frei und lässt sich regelmäßig Berichte liefern. 

Was kostet IT-Sicherheit für ein kleines Unternehmen? 

Für einen Betrieb mit 10 bis 20 Mitarbeitenden liegt das typische Budget für Lizenzen, externe Betreuung und Basissicherheit häufig zwischen 100 und 300 Euro pro Arbeitsplatz und Monat. Das hängt stark von Branche, Datensensibilität und gewähltem Servicelevel ab. Über KMU.DIGITAL lassen sich Beratungs- und Umsetzungskosten mit bis zu 9.000 Euro bezuschussen. 

Muss ich einen Cyberangriff melden, wenn ich keine IT-Abteilung habe? 

Ja. Wenn personenbezogene Daten betroffen sind, müssen Sie den Vorfall binnen 72 Stunden an die österreichische Datenschutzbehörde melden, unabhängig davon, wer Ihre IT betreut. Die Verantwortung liegt beim Unternehmen, nicht beim externen Dienstleister. Ihr IT-Partner sollte Sie dabei unterstützen, den Vorfall technisch zu dokumentieren. 

Bin ich als kleines Unternehmen ohne IT-Abteilung von NIS2 betroffen? 

Direkt betrifft das NISG 2026 in Österreich nur Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz in bestimmten Sektoren. Kleinere Betriebe können aber indirekt betroffen sein, wenn sie als Lieferant oder Dienstleister für ein NISG-pflichtiges Unternehmen arbeiten. In diesem Fall werden vertraglich Sicherheitsnachweise verlangt. 

Welche Basismaßnahmen sollte jedes kleine Unternehmen umgesetzt haben? 

Multi-Faktor-Authentifizierung für alle Konten, verschlüsselte und getestete Backups, automatische Updates auf allen Geräten, ein Passwortmanager für das Team, ein aktueller Endgeräteschutz und regelmäßige Kurzschulungen für die Mitarbeitenden zum Thema Phishing. Diese sechs Punkte verhindern laut Analysen heimischer Behörden und Studienhäuser den Großteil der erfolgreichen Angriffe auf kleine Unternehmen. 

Bringt Microsoft 365 Business Premium einen echten Sicherheitsgewinn? 

Ja, vor allem für Unternehmen ohne eigene IT-Abteilung. Business Premium enthält ab Werk Multi-Faktor-Authentifizierung, Endgeräteschutz mit Microsoft Defender for Business, Gerätemanagement über Intune und bedingten Zugriff. Damit lässt sich ein Sicherheitsniveau erreichen, das ohne eine solche Plattform schnell teuer wird. Die Konfiguration sollte ein erfahrener IT-Dienstleister übernehmen, denn die Lizenz alleine schützt nicht. 

Fazit 

IT-Sicherheit ohne eigene IT-Abteilung ist keine Notlösung, sondern für die meisten österreichischen KMU der realistische Weg. Entscheidend ist das richtige Zusammenspiel aus drei Elementen: einer Geschäftsführung, die Verantwortung nicht an den Dienstleister abschiebt, einem externen IT-Partner mit klaren Reaktionszeiten und dokumentierten Prozessen, und einer Belegschaft, die Phishing und Social Engineering erkennen gelernt hat. 

Die Basismaßnahmen sind weder teuer noch kompliziert. Multi-Faktor-Authentifizierung, getestete Backups, konsequente Updates, ein Passwortmanager, moderner Endgeräteschutz und regelmäßige Schulungen verhindern den Großteil der erfolgreichen Angriffe. Cloud-Plattformen wie Microsoft 365 Business Premium beschleunigen den Aufbau, und Förderungen wie KMU.DIGITAL machen auch für Kleinstbetriebe den Einstieg finanziell leistbar. 

Beginnen Sie mit einem ehrlichen Status-Quo-Gespräch. Holen Sie sich eine externe Standortbestimmung, ideal über eine geförderte Beratung, und setzen Sie die Basismaßnahmen innerhalb der nächsten drei Monate um. Warten Sie nicht, bis der erste Vorfall die Entscheidung für Sie trifft. 

Mit unserem kostenlosen IT-Check unterstützen wir Sie gerne dabei.