IT-Sicherheit: Die 10 wichtigsten Maßnahmen für Hausverwaltungen

IT-Sicherheit: Die 10 wichtigsten Maßnahmen für Hausverwaltungen

Warum gerade Hausverwaltungen im Visier stehen

Im Februar 2024 legte ein Ransomware-Angriff eine mittelgroße Hausverwaltung in Nordrhein-Westfalen für drei Wochen lahm. Mieterakten, Buchhaltungsdaten, Eigentümerabrechnungen -- alles verschlüsselt. Die Forderung: 80.000 Euro in Bitcoin. Der tatsächliche Schaden -- Betriebsunterbrechung, Datenrettung, Anwälte, Meldungen an die Datenschutzbehörde -- lag am Ende beim Vierfachen.

Das ist kein Einzelfall. Hausverwaltungen vereinen drei Eigenschaften, die sie für Angreifer attraktiv machen:

Sensible Daten in Menge. Bankverbindungen, Gehaltsnachweise, SCHUFA-Auskünfte, Ausweiskopien, Mietverträge. Eine Verwaltung mit 500 Wohneinheiten speichert personenbezogene Daten von über tausend Personen. Für Identitätsdiebstahl ist das ein Goldschatz.

Veraltete IT-Infrastruktur. Viele HV-Büros arbeiten mit gewachsenen Strukturen: ein lokaler Server, der seit 2018 kein Update gesehen hat, Passwörter auf Post-its am Bildschirm, ein gemeinsames E-Mail-Postfach für das gesamte Büro. Professionelle IT-Betreuung? Kommt einmal im Quartal.

Geringes Sicherheitsbewusstsein. IT-Sicherheit steht selten auf der Agenda von Geschäftsführerbesprechungen. Die Branche denkt in Mietverträgen und Nebenkostenabrechnungen, nicht in Firewalls und Zugriffsrechten. Genau das wissen Angreifer.

Die gute Nachricht: Sie müssen kein IT-Experte sein, um die gröbsten Lücken zu schließen. Die folgenden zehn Maßnahmen decken rund 80 Prozent der typischen Angriffsflächen ab -- und die meisten davon sind ohne großes Budget umsetzbar.

Die vollstaendige Checkliste steht als kostenloser Download bereit -- siehe unten.

Die 10 wichtigsten Maßnahmen im Überblick

1. Passwort-Policy durchsetzen

Die vollständige Checkliste mit allen Prüfpunkten steht Ihnen als kostenloser Download zur Verfügung — siehe Download-Bereich am Ende dieses Artikels.

"Sommer2024" ist kein Passwort. Trotzdem finden sich solche Kandidaten in jeder zweiten Verwaltung. Eine wirksame Passwort-Policy verlangt mindestens 12 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Noch wichtiger: Jedes System bekommt ein eigenes Passwort.

Das klingt nach Zumutung. Ist es auch -- ohne Passwort-Manager. Tools wie Bitwarden, 1Password oder KeePass speichern alle Zugangsdaten verschlüsselt und füllen Anmeldeformulare automatisch aus. Die Einführung dauert einen Nachmittag, die Wirkung hält dauerhaft.

Alle Punkte dieses Abschnitts finden Sie gebuendelt in der PDF-Checkliste weiter unten.

2. Zwei-Faktor-Authentifizierung aktivieren

Ein Passwort allein reicht nicht. Wenn es gestohlen wird -- per Phishing, Datenleck oder schlicht durch Abschauen --, steht dem Angreifer die Tür offen. Zwei-Faktor-Authentifizierung (2FA) fügt eine zweite Hürde hinzu: einen Code per App, einen Hardware-Schlüssel oder eine biometrische Bestätigung.

Aktivieren Sie 2FA mindestens für: E-Mail-Konten, die Hausverwaltungssoftware, Online-Banking, Cloud-Speicher und Fernzugänge (VPN, Remote Desktop). Die meisten Systeme unterstützen das bereits -- es muss nur eingeschaltet werden.

3. Backup-Strategie nach der 3-2-1-Regel

Die 3-2-1-Regel ist simpel und bewährt: Drei Kopien Ihrer Daten, auf zwei verschiedenen Medientypen, davon eine Kopie an einem anderen Standort. Konkret: Die Daten liegen auf dem Server, werden täglich auf eine externe Festplatte gesichert und zusätzlich in einen verschlüsselten Cloud-Speicher repliziert.

Entscheidend ist nicht nur das Sichern, sondern das Wiederherstellen. Testen Sie mindestens einmal im Quartal, ob sich eine vollständige Wiederherstellung durchführen lässt. Ein Backup, das beim Restore versagt, ist keines.

Die passenden Arbeitsmaterialien stehen Ihnen im Download-Bereich kostenlos zur Verfuegung.

4. Updates zeitnah einspielen

Jede Software hat Sicherheitslücken. Hersteller schließen sie mit Updates -- aber nur, wenn Sie diese auch installieren. Betriebssysteme, Hausverwaltungssoftware, Browser, PDF-Reader, Router-Firmware: Alles muss aktuell sein.

Richten Sie automatische Updates ein, wo es möglich ist. Für kritische Systeme wie den Server definieren Sie ein festes Wartungsfenster -- zum Beispiel jeden ersten Samstag im Monat. Ein ungepatchter Server ist eine offene Einladung.

5. E-Mail-Sicherheit ernst nehmen

Über 90 Prozent aller Cyberangriffe beginnen mit einer E-Mail. Eine gefälschte Rechnung vom Handwerker, eine angebliche Mahnung vom Energieversorger, ein Link zur "dringenden Passwortänderung" -- Phishing ist nach wie vor der häufigste Angriffsvektor.

Technische Maßnahmen wie SPF, DKIM und DMARC schützen Ihre Domain vor Missbrauch. Spam-Filter sortieren das Gröbste aus. Aber der letzte Schutzwall sind Ihre Mitarbeiter: Wer eine verdächtige E-Mail erkennt und meldet, statt zu klicken, verhindert den Vorfall.

Tipp: Scrollen Sie zum Download-Bereich fuer alle Vorlagen und Checklisten zu diesem Thema.

6. Zugriffsrechte nach dem Minimalprinzip

Nicht jeder Mitarbeiter braucht Zugriff auf alles. Die Sachbearbeiterin für Objekt A muss nicht die Mieterdaten von Objekt B sehen. Der Hausmeister braucht keinen Zugang zur Finanzbuchhaltung. Der externe Steuerberater sieht nur die Konten, die er prüft.

Rollenbasierte Zugriffskonzepte sorgen dafür, dass jeder genau die Rechte hat, die er für seine Arbeit benötigt -- und nicht mehr. Das begrenzt den Schaden, falls ein einzelnes Konto kompromittiert wird.

7. Verschlüsselung einsetzen

Daten auf Laptops, USB-Sticks und in der Cloud gehören verschlüsselt. Wenn ein Laptop gestohlen wird, sind unverschlüsselte Mieterdaten ein meldepflichtiger Datenschutzvorfall. Mit aktivierter Festplattenverschlüsselung (BitLocker unter Windows, FileVault unter macOS) ist der Laptop ein teures Stück Hardware, aber kein Datenleck.

Gleiches gilt für E-Mails mit sensiblen Anhängen. Versenden Sie Mietverträge oder Bonitätsauskünfte verschlüsselt -- mindestens als passwortgeschütztes PDF, besser per S/MIME oder PGP.

Alle Arbeitshilfen zu diesem Artikel finden Sie gebuendelt im Download-Bereich am Ende.

8. Mitarbeiter regelmäßig schulen

Technik schützt nur, wenn Menschen sie richtig nutzen. Einmal jährlich eine Sicherheitsschulung ist das Minimum. Inhalte: Phishing erkennen, sichere Passwörter nutzen, verdächtige Vorgänge melden, Datenträger richtig entsorgen.

Schulung heißt nicht PowerPoint-Vortrag. Wirksamer sind simulierte Phishing-Mails (mit anschließender Auswertung) und kurze Praxisübungen. Wer schon einmal auf einen simulierten Phishing-Link geklickt hat, vergisst die Lektion nicht so schnell.

9. Notfallplan erstellen und üben

Was tun Sie, wenn morgen früh alle Bildschirme schwarz sind? Wenn eine Ransomware-Nachricht erscheint? Wenn der Server brennt? Ohne Notfallplan herrscht Chaos, und Chaos macht teuer.

Ein Notfallplan beantwortet drei Fragen: Wen rufe ich an? (IT-Dienstleister, Datenschutzbeauftragter, Geschäftsführung, BSI) Was mache ich sofort? (Netzwerk trennen, Systeme isolieren, Beweise sichern) Wie kommuniziere ich? (Mieter, Eigentümer, Behörden)

Drucken Sie den Plan aus. Im Ernstfall funktioniert vielleicht kein Computer mehr.

10. Cyberversicherung prüfen

Selbst bei bester Vorsorge bleibt ein Restrisiko. Eine Cyberversicherung deckt Kosten für Forensik, Datenwiederherstellung, Betriebsunterbrechung, Rechtsberatung und ggf. Lösegeldzahlungen. Für Hausverwaltungen gibt es inzwischen spezialisierte Tarife.

Aber Vorsicht: Versicherer prüfen vor Vertragsschluss Ihre IT-Sicherheit. Wer keine Backups vorweisen kann und keine 2FA nutzt, bekommt entweder keinen Vertrag oder zahlt deutlich mehr. Die Versicherung ersetzt keine Prävention -- sie ergänzt sie.

Weiterführend

Dieser Artikel liefert den Überblick. Wer tiefer einsteigen will -- Zugriffskonzepte für verschiedene Rollen, Backup-Konfiguration Schritt für Schritt, DSGVO-konforme technisch-organisatorische Maßnahmen, einen konkreten Notfallplan für die ersten 60 Minuten nach einem Ransomware-Angriff --, dem empfehlen wir den Deep Dive: [IT-Sicherheit in der HV: Zugriffskonzepte, Backups, Notfallplan, DSGVO-Konformität](3-05b-it-sicherheit-deep-dive.md).

Alle Prüfpunkte als druckbare PDF-Checkliste finden Sie im Download-Bereich unten.

Für eine individuelle Bestandsaufnahme Ihrer IT-Sicherheit empfehlen wir die Beratung durch einen spezialisierten IT-Sicherheitsberater. Gerade die erste Analyse -- welche Systeme verwundbar sind, wo die größten Lücken klaffen und welche Maßnahmen Priorität haben -- verhindert erfahrungsgemäß kostspielige Fehlentscheidungen und stellt sicher, dass Ihre Investitionen in die Sicherheit dort ankommen, wo sie den größten Effekt erzielen.

Ihre Downloads zu diesem Artikel

• IT-Sicherheit Schnell-Check (PDF)

Alle Downloads sind kostenlos. Wir bitten Sie lediglich um Ihre E-Mail-Adresse, damit wir Sie ueber neue Inhalte informieren koennen.

→ [Kostenlos herunterladen](#download)