IT-Sicherheit in der HV: Zugriffskonzepte, Backups, Notfallplan, DSGVO-Konformit
Die Bedrohungslage 2025/2026
Die Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeichnen ein klares Bild: Die Anzahl neuer Schadprogramm-Varianten lag 2025 bei durchschnittlich 250.000 pro Tag. Ransomware bleibt die größte Bedrohung für kleine und mittlere Unternehmen -- und Hausverwaltungen gehören mittendrin zu dieser Zielgruppe.
Drei Trends verschärfen die Lage:
Angriffe werden automatisiert. Was früher gezielte Attacken auf Großunternehmen waren, läuft heute automatisiert ab. Bots scannen das Internet nach bekannten Schwachstellen, probieren Standardpasswörter durch und verschicken massenhaft Phishing-Mails. Die Angreifer wissen oft gar nicht, dass sie eine Hausverwaltung treffen -- sie treffen alles, was offen steht.
Die Angriffsfläche wächst. Mieterportale, Cloud-Software, Fernzugriff im Homeoffice, digitale Belegprüfung, Schnittstellen zu Messdienstleistern -- jede neue Verbindung ist ein potenzielles Einfallstor. Die Digitalisierung, die Verwaltungen effizienter macht, macht sie gleichzeitig angreifbarer.
Regulatorischer Druck steigt. Die DSGVO gilt seit 2018, aber die Durchsetzung wird schärfer. Datenschutzbehörden verhängen Bußgelder nicht mehr nur gegen Konzerne. Eine Hausverwaltung in Bayern zahlte 2024 ein Bußgeld von 15.000 Euro, weil nach einem Datenleck herauskam, dass weder Verschlüsselung noch ein aktuelles Verzeichnis der Verarbeitungstätigkeiten vorlag.
Dieser Artikel geht über den Überblick hinaus. Er liefert konkrete Anleitungen für die zehn wichtigsten Handlungsfelder -- von der Zugriffskontrolle bis zum Notfallplan.
Laden Sie die Checkliste herunter, damit Sie bei der Umsetzung nichts vergessen.
1. Zugriffskonzepte: Wer darf was sehen?
Das Prinzip der geringsten Berechtigung
Die vollständige Checkliste mit allen Prüfpunkten steht Ihnen als kostenloser Download zur Verfügung — siehe Download-Bereich am Ende dieses Artikels.
In vielen Hausverwaltungen teilen sich alle Mitarbeiter dieselben Zugangsdaten -- ein Benutzername, ein Passwort, voller Zugriff auf alles. Das ist nicht nur ein Sicherheitsrisiko, sondern auch ein DSGVO-Verstoß. Denn die Datenschutz-Grundverordnung fordert, dass personenbezogene Daten nur von Personen verarbeitet werden, die dazu befugt sind (Art. 5 Abs. 1 lit. f DSGVO).
Das Prinzip der geringsten Berechtigung (Least Privilege) besagt: Jeder Benutzer erhält exakt die Rechte, die er für seine tägliche Arbeit braucht -- und keinen Zugriff mehr. Das klingt theoretisch. In der Praxis bedeutet es, dass Sie Rollen definieren und diesen Rollen Berechtigungen zuordnen.
Rollenmodell für eine typische Hausverwaltung
| Rolle | Objektdaten | Mieterdaten | Finanzbuchhaltung | Personalakte | Verträge | Systemeinstellungen | |-------|-------------|-------------|---------------------|-------------|----------|---------------------| | Geschäftsführung | Alle | Alle | Lesen + Schreiben | Lesen + Schreiben | Alle | Vollzugriff | | Teamleitung | Eigene Objekte | Eigene Objekte | Lesen + Schreiben | Kein Zugriff | Eigene Objekte | Kein Zugriff | | Sachbearbeiter/in | Eigene Objekte | Eigene Objekte | Lesen | Kein Zugriff | Eigene Objekte | Kein Zugriff | | Buchhaltung | Alle (Lesen) | Alle (Lesen) | Lesen + Schreiben | Kein Zugriff | Kein Zugriff | Kein Zugriff | | Hausmeister | Eigene Objekte (Lesen) | Eingeschränkt | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | | Ext. Steuerberater | Zugeordnete Objekte | Kein Zugriff | Lesen (Konten) | Kein Zugriff | Kein Zugriff | Kein Zugriff |
Umsetzung in der Praxis
Viele HV-Softwaresysteme bieten bereits Rollenkonzepte an -- aber sie sind oft nicht konfiguriert. Prüfen Sie Ihre Software auf folgende Funktionen:
Benutzerkonten: Jeder Mitarbeiter hat ein eigenes Konto mit persönlichen Zugangsdaten.
Rollenvorlagen: Vordefinierte Rollen mit abgestuften Rechten.
Objektzuordnung: Sachbearbeiter sehen nur die Objekte, die ihnen zugewiesen sind.
Audit-Log: Das System protokolliert, wer wann auf welche Daten zugegriffen hat.
Falls Ihre Software kein Rollenkonzept bietet, ist das ein ernstes Warnsignal. Sprechen Sie den Anbieter an -- oder ziehen Sie einen Wechsel in Betracht.
Onboarding und Offboarding
Zwei Momente sind besonders kritisch: wenn ein Mitarbeiter anfängt und wenn er geht. Beim Onboarding muss klar sein, welche Zugänge die neue Person braucht -- nicht mehr. Beim Offboarding müssen alle Zugänge am letzten Arbeitstag gesperrt werden. Nicht nächste Woche, nicht irgendwann, sondern sofort.
Führen Sie eine zentrale Liste aller Systeme, auf die Mitarbeiter Zugriff haben: HV-Software, E-Mail, Cloud-Speicher, Banking, VPN, Mieterportal-Administration. Beim Austritt wird die Liste Punkt für Punkt abgearbeitet.
Die vollstaendige Checkliste steht als kostenloser Download bereit -- siehe unten.
2. Passwort-Management: Mehr als nur komplexe Passwörter
Warum Passwort-Richtlinien allein nicht reichen
Alle Prüfpunkte als druckbare PDF-Checkliste finden Sie im Download-Bereich unten.
Sie können die beste Passwort-Policy der Welt haben -- wenn ein Mitarbeiter dasselbe Passwort bei der HV-Software und bei einem privaten Online-Shop verwendet, nützt das wenig. Beim nächsten Datenleck des Online-Shops liegt das Passwort im Klartext vor. Automatisierte Tools testen es binnen Minuten bei allen gängigen Diensten durch.
Passwort-Manager als Standardwerkzeug
Ein Passwort-Manager löst drei Probleme gleichzeitig:
Einzigartigkeit: Jedes System bekommt ein eigenes, zufällig generiertes Passwort.
Komplexität: 20-stellige Passwörter mit Sonderzeichen sind kein Problem, wenn man sie nicht tippen muss.
Teamfähigkeit: Business-Varianten erlauben geteilte Tresore -- etwa für gemeinsam genutzte Dienstkonten -- ohne dass jeder das Klartext-Passwort sieht.
Gängige Lösungen für kleine und mittlere Büros:
| Produkt | Lizenzkosten (ca.) | Besonderheit | |---------|---------------------|-------------| | Bitwarden Teams | 4 € / Nutzer / Monat | Open Source, selbst hostbar | | 1Password Business | 8 € / Nutzer / Monat | Gute Teamverwaltung | | KeePass + Sync | Kostenlos | Lokale Lösung, kein Cloud-Zwang |
Die Einführung gelingt am besten schrittweise: Zuerst die Geschäftsführung und IT-Verantwortlichen, dann Abteilung für Abteilung. Geben Sie zwei Wochen Eingewöhnung, bevor Sie das alte System abschalten.
Zwei-Faktor-Authentifizierung für alle Systeme
2FA ist nicht optional. Aktivieren Sie sie für:
E-Mail-Konten (Microsoft 365, Google Workspace)
Die Hausverwaltungssoftware
Online-Banking
Cloud-Speicher (Nextcloud, SharePoint, Dropbox)
Fernzugänge (VPN, RDP, TeamViewer)
Administrative Zugänge zu Router und Firewall
Bevorzugen Sie Authenticator-Apps (Microsoft Authenticator, Google Authenticator, Authy) gegenüber SMS-Codes. SMS können abgefangen werden -- Apps nicht.
Für besonders schützenswerte Zugänge (Geschäftsführung, Systemadministration) empfehlen sich Hardware-Schlüssel wie YubiKey. Die kosten ab 25 Euro pro Stück und bieten den höchsten Schutz.
3. Backup-Strategie: Ihre Lebensversicherung
Alle Pruefpunkte als druckbare PDF-Checkliste im Download-Bereich.
Die 3-2-1-Regel im Detail
Die passende Vorlage können Sie als Word-Dokument herunterladen — mit allen Platzhaltern zum Ausfüllen. Siehe Downloads am Ende.
| Komponente | Bedeutung | Beispiel | |-----------|-----------|---------| | 3 Kopien | Originaldaten + 2 Sicherungen | Server + NAS + Cloud | | 2 Medientypen | Physisch verschiedene Speicher | Festplatte + Cloud-Speicher | | 1 Offsite | Eine Kopie an anderem Standort | Verschlüsselter Cloud-Speicher oder Tresor in anderer Filiale |
Was muss gesichert werden?
Viele Verwaltungen sichern nur die Datenbank ihrer HV-Software. Das ist ein Anfang, aber nicht genug. Eine vollständige Sicherung umfasst:
HV-Software-Datenbank: Stammdaten, Buchungen, Abrechnungen
Dokumentenablage: Mietverträge, Protokolle, Korrespondenz, Rechnungsscans
E-Mail-Archiv: Geschäftskritische Kommunikation
Konfigurationen: Servereinstellungen, Netzwerkkonfiguration, Druckereinrichtung
Vorlagen: Serienbrief-Vorlagen, Abrechnungsformulare, Hauswartpläne
Backup-Frequenz
| Datentyp | Frequenz | Aufbewahrung | |----------|----------|-------------| | HV-Datenbank | Täglich (inkrementell), wöchentlich (voll) | 90 Tage rollierend | | Dokumente | Täglich (inkrementell) | 90 Tage rollierend | | E-Mail | Täglich | 30 Tage rollierend + Jahressicherung | | Systemkonfiguration | Wöchentlich | 30 Tage | | Gesamtsicherung | Monatlich (voll) | 12 Monate |
Restore-Tests: Der vergessene Schritt
Ein Backup ist nur so gut wie der letzte erfolgreiche Restore-Test. Planen Sie mindestens einmal pro Quartal einen vollständigen Wiederherstellungstest ein. Dokumentieren Sie:
Datum des Tests
Welche Sicherung wurde wiederhergestellt?
Wie lange dauerte die Wiederherstellung?
Waren alle Daten vollständig und konsistent?
Welche Probleme traten auf?
Bewahren Sie das Protokoll auf. Im Ernstfall -- und bei einer DSGVO-Prüfung -- belegt es, dass Sie Ihre Sorgfaltspflichten ernst nehmen.
Verschlüsselung der Backups
Backups enthalten dieselben sensiblen Daten wie das Produktivsystem. Ein unverschlüsseltes Backup auf einer ungesicherten Cloud ist schlimmer als kein Backup, weil es eine zusätzliche Angriffsfläche schafft. Verschlüsseln Sie alle externen Sicherungen mit AES-256 -- das ist in allen gängigen Backup-Programmen einstellbar.
Alle Punkte dieses Abschnitts finden Sie gebuendelt in der PDF-Checkliste weiter unten.
4. E-Mail-Sicherheit: Das Einfallstor Nummer eins
Technische Schutzmaßnahmen
Die passende Vorlage können Sie als Word-Dokument herunterladen — mit allen Platzhaltern zum Ausfüllen. Siehe Downloads am Ende.
Drei DNS-Einträge schützen Ihre E-Mail-Domain vor Missbrauch:
SPF (Sender Policy Framework): Legt fest, welche Server E-Mails im Namen Ihrer Domain versenden dürfen. Verhindert, dass Angreifer Ihre Adresse fälschen.
DKIM (DomainKeys Identified Mail): Signiert ausgehende E-Mails digital. Der empfangende Server kann prüfen, ob die E-Mail tatsächlich von Ihrem Server stammt und unterwegs nicht verändert wurde.
DMARC (Domain-based Message Authentication, Reporting and Conformance): Baut auf SPF und DKIM auf und legt fest, was mit E-Mails geschehen soll, die die Prüfung nicht bestehen -- abweisen, in Quarantäne stellen oder durchlassen.
Die Einrichtung erfolgt über DNS-Einträge bei Ihrem Domain-Provider. Ihr IT-Dienstleister kann das in ein bis zwei Stunden konfigurieren. Die Wirkung ist erheblich: DMARC allein reduziert erfolgreiche E-Mail-Spoofing-Angriffe um über 90 Prozent.
Phishing erkennen: Worauf Ihre Mitarbeiter achten müssen
Kein Spam-Filter fängt alles ab. Ihre letzte Verteidigungslinie ist der Mensch am Bildschirm. Schulen Sie Ihre Mitarbeiter auf diese Warnsignale:
Absenderadresse prüfen: "buchhaltung@hausverwaltung-mueller.de" vs. "buchhaltung@hausverwaltung-muelIer.de" (kleines L vs. großes I) -- der Unterschied ist auf den ersten Blick kaum sichtbar.
Dringlichkeit als Druckmittel: "Ihre Zugangsdaten laufen in 24 Stunden ab" -- seriöse Anbieter setzen keine solchen Fristen.
Links vor dem Klicken prüfen: Mit der Maus über den Link fahren (nicht klicken!) und die tatsächliche URL kontrollieren.
Unerwartete Anhänge: Eine Rechnung, die niemand bestellt hat? Eine ZIP-Datei vom "Finanzamt"? Lieber einmal zu viel nachfragen als einmal zu wenig.
Sprachliche Auffälligkeiten: Unübliche Formulierungen, fehlende Anrede, seltsame Grammatik.
Etablieren Sie eine einfache Regel: Bei Zweifeln die E-Mail an eine zentrale Stelle (z. B. it-sicherheit@ihrefirma.de) weiterleiten und nicht darauf reagieren. Loben Sie Mitarbeiter, die verdächtige Mails melden -- bestrafen Sie niemals jemanden dafür.
5. Endpoint-Schutz: Rechner, Laptops, Smartphones
Antivirus und Endpoint Detection
Den Rechner für diese Berechnung finden Sie als Excel-Download am Ende des Artikels.
Klassische Antivirenprogramme erkennen bekannte Schadsoftware anhand von Signaturen. Das ist ein Grundschutz, reicht aber gegen moderne Bedrohungen nicht mehr aus. Sogenannte EDR-Lösungen (Endpoint Detection and Response) analysieren das Verhalten von Programmen und erkennen auch bisher unbekannte Angriffe.
Für Hausverwaltungen mit bis zu 30 Arbeitsplätzen eignen sich Lösungen wie:
Microsoft Defender for Business: In vielen Microsoft-365-Lizenzen bereits enthalten
Sophos Intercept X: Guter Schutz mit zentraler Verwaltungskonsole
ESET Protect: Bewährt im KMU-Bereich, moderate Kosten
Zentrale Verwaltung ist entscheidend. Wenn jeder Rechner seinen eigenen Virenscanner hat (oder keinen), fehlt der Überblick. Eine zentrale Konsole zeigt den Sicherheitsstatus aller Geräte auf einen Blick.
Das Muster-Dokument koennen Sie als Word-Datei herunterladen und an Ihre Anforderungen anpassen.
Firewall richtig konfigurieren
Jeder Router hat eine eingebaute Firewall. Aber "eingebaut" heißt nicht "konfiguriert". Prüfen Sie:
Sind alle nicht benötigten Ports geschlossen?
Ist die Fernwartung (Remote Management) des Routers deaktiviert oder nur über VPN erreichbar?
Ist die Firmware des Routers aktuell?
Sind Standardpasswörter geändert?
Für größere Büros (ab 10 Arbeitsplätze) empfiehlt sich eine dedizierte Firewall-Appliance (z. B. Sophos XG, Fortinet FortiGate) mit erweiterten Funktionen wie Intrusion Prevention und Content Filtering.
Mobile Device Management
Mitarbeiter, die mit dem Smartphone auf geschäftliche E-Mails zugreifen, brauchen klare Regeln:
Geräteverschlüsselung muss aktiv sein
Bildschirmsperre mit PIN oder Biometrie ist Pflicht
Geschäftliche Apps werden über ein MDM-System verwaltet
Bei Verlust des Geräts können geschäftliche Daten remote gelöscht werden
Microsoft Intune (in vielen M365-Lizenzen enthalten) oder Jamf (für Apple-Geräte) bieten diese Funktionen ohne großen Einrichtungsaufwand.
6. Netzwerksegmentierung: Grenzen ziehen
Warum ein flaches Netzwerk gefährlich ist
Diese Übersicht steht Ihnen auch als druckbares PDF zur Verfügung — siehe Download-Bereich.
In einem typischen HV-Büro hängen alle Geräte im selben Netzwerk: Arbeitsplatzrechner, Server, Drucker, WLAN-Zugangspunkte, das private Smartphone des Geschäftsführers und der Laptop des Handwerkers, der gerade das WLAN-Passwort erfragt hat. Wenn ein Gerät kompromittiert wird, steht dem Angreifer das gesamte Netzwerk offen.
Mindestens drei Zonen einrichten
| Zone | Geräte | Zugriff | |------|--------|---------| | Produktivnetz | Arbeitsplätze, Server, Drucker | Voller Zugriff auf Geschäftsressourcen | | Gäste-WLAN | Handwerker, Besucher, private Geräte | Nur Internetzugang, kein Zugriff auf interne Ressourcen | | Serverzone (DMZ) | Webserver, Mieterportal (falls selbst gehostet) | Eingeschränkter Zugriff, strenge Firewall-Regeln |
Die Umsetzung erfolgt über VLANs (Virtual Local Area Networks) auf Ihrem Router oder Switch. Ihr IT-Dienstleister kann das in der Regel innerhalb eines Tages einrichten.
Wichtig: Das Gäste-WLAN braucht ein eigenes Passwort, das regelmäßig geändert wird. Und "regelmäßig" heißt mindestens monatlich, nicht jährlich.
Tipp: Die passende Mustervorlage als Word-Dokument steht im Download-Bereich bereit.
7. DSGVO-Konformität: Was die Aufsichtsbehörde sehen will
Technisch-organisatorische Maßnahmen (TOMs)
Alle Details als strukturierte Checkliste zum Abhaken: siehe Downloads unten.
Artikel 32 der DSGVO verpflichtet Sie, technische und organisatorische Maßnahmen zu implementieren, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Die TOMs sind kein Wunschkonzert, sondern Pflicht -- und sie müssen dokumentiert sein.
Ihre TOMs sollten mindestens folgende Bereiche abdecken:
Zutrittskontrolle: Wer kann physisch an Server und Akten heran? Ist der Serverraum abgeschlossen? Gibt es eine Zutrittsdokumentation?
Zugangskontrolle: Wie wird verhindert, dass Unbefugte Systeme nutzen? (Passwort-Policy, 2FA, Bildschirmsperre)
Zugriffskontrolle: Wer darf welche Daten sehen und bearbeiten? (Rollenkonzept, Berechtigungsmatrix)
Weitergabekontrolle: Wie werden Daten bei der Übertragung geschützt? (Verschlüsselung, VPN, sichere E-Mail)
Eingabekontrolle: Wer hat wann welche Daten eingegeben oder geändert? (Audit-Log, Protokollierung)
Auftragskontrolle: Wie stellen Sie sicher, dass Auftragsverarbeiter (z. B. Cloud-Anbieter, IT-Dienstleister) die Daten nur nach Ihrer Weisung verarbeiten?
Verfügbarkeitskontrolle: Wie schützen Sie Daten vor zufälliger Zerstörung? (Backups, USV, Brandschutz)
Trennungsgebot: Daten verschiedener Auftraggeber (z. B. WEG-Daten vs. Mietverwaltungsdaten) müssen logisch getrennt verarbeitet werden.
Verzeichnis der Verarbeitungstätigkeiten
Jede Hausverwaltung ist verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO). Dieses Verzeichnis dokumentiert:
Welche personenbezogenen Daten Sie verarbeiten
Zu welchem Zweck
Auf welcher Rechtsgrundlage
Wie lange die Daten gespeichert werden
An wen sie weitergegeben werden
Welche TOMs zum Schutz bestehen
In der Hausverwaltung umfasst das typischerweise: Mietvertragsverwaltung, Nebenkostenabrechnung, Mieterkommunikation, Bewerbermanagement (Mietinteressenten), Handwerkerverwaltung, Eigentümerverwaltung und Personalverwaltung.
Dieses Verzeichnis muss nicht veröffentlicht werden, aber jederzeit der Aufsichtsbehörde vorgelegt werden können. Wer keines hat, riskiert ein Bußgeld -- unabhängig davon, ob tatsächlich ein Datenschutzvorfall eingetreten ist.
Auftragsverarbeitungsverträge (AVV)
Jeder externe Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, braucht einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Das betrifft in der Hausverwaltung:
Cloud-Anbieter (Software, Speicher, E-Mail)
IT-Dienstleister mit Fernzugriff
Messdienstleister (Heizkostenverteiler, Wasserzähler)
Druckdienstleister (für Serienbriefe, Abrechnungen)
Aktenvernichtungsunternehmen
Prüfen Sie, ob für alle Dienstleister ein AVV vorliegt. Viele Anbieter stellen Standardverträge bereit -- aber Sie müssen diese aktiv anfordern und unterzeichnen.
8. Notfallplan: Die ersten 60 Minuten nach einem Ransomware-Angriff
Diese Vorlage als Word-Dokument: siehe Downloads am Ende.
Warum die erste Stunde entscheidet
Ransomware verschlüsselt nicht alles auf einmal. Sie arbeitet sich durch Ihre Systeme -- von einem Rechner zum Server, vom Server zum Backup-Laufwerk. Je schneller Sie reagieren, desto weniger Daten verlieren Sie. Die ersten 60 Minuten sind entscheidend.
Minuten 0-5: Erkennen und isolieren
Symptome: Dateien lassen sich nicht öffnen. Dateiendungen haben sich geändert (.locked, .encrypted). Eine Erpressernachricht erscheint auf dem Bildschirm. Ungewöhnlich hohe Festplattenaktivität.
Sofortmaßnahmen:
Den betroffenen Rechner sofort vom Netzwerk trennen -- Netzwerkkabel ziehen, WLAN deaktivieren. Nicht herunterfahren, nicht neu starten.
Alle anderen Rechner im Netzwerk ebenfalls vom Netzwerk trennen.
Externe Backup-Laufwerke physisch abtrennen.
Router/Switch ausschalten, um die Ausbreitung zu stoppen.
Minuten 5-15: Alarmieren
Rufen Sie an -- in dieser Reihenfolge:
IT-Dienstleister / IT-Abteilung: Beschreiben Sie die Symptome, nennen Sie den betroffenen Rechner.
Geschäftsführung: Entscheidungsbefugnis für die nächsten Schritte.
Datenschutzbeauftragten: Einschätzung, ob eine Meldepflicht besteht.
Cyberversicherung: Wenn vorhanden -- viele Policen bieten eine 24/7-Hotline mit Incident-Response-Experten.
Minuten 15-30: Dokumentieren
Bevor irgendjemand etwas an den Systemen ändert:
Fotografieren Sie die Erpressernachricht auf dem Bildschirm.
Notieren Sie Uhrzeit der Entdeckung, betroffene Systeme, letzte bekannte Aktivitäten.
Sichern Sie Log-Dateien (soweit ohne Netzwerk möglich).
Klären Sie: Wer hat zuletzt am betroffenen Rechner gearbeitet? Wurde ein Anhang geöffnet, ein Link geklickt?
Diese Dokumentation ist wichtig für die Forensik und für die Meldung an die Behörden.
Minuten 30-60: Lagebild und Entscheidung
Zusammen mit dem IT-Dienstleister klären Sie:
Welche Systeme sind betroffen? Nur ein Rechner oder das gesamte Netzwerk?
Sind die Backups intakt? Wurden sie ebenfalls verschlüsselt?
Welche Daten sind betroffen? Personenbezogene Mieterdaten?
Basierend darauf fallen zwei Entscheidungen:
Meldepflicht prüfen: Wenn personenbezogene Daten betroffen sind, muss der Vorfall innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet werden (Art. 33 DSGVO). Sind die Daten auch für betroffene Personen riskant, müssen diese ebenfalls informiert werden (Art. 34 DSGVO).
Strafanzeige erstatten: Die Zentrale Ansprechstelle Cybercrime (ZAC) Ihres Bundeslandes nimmt Anzeigen entgegen. Das BSI empfiehlt ausdrücklich, jeden Ransomware-Vorfall zur Anzeige zu bringen.
Tipp: Scrollen Sie zum Download-Bereich fuer alle Vorlagen und Checklisten zu diesem Thema.
Lösegeld zahlen?
Die klare Empfehlung des BSI: Nein. Zahlungen finanzieren weitere Angriffe, garantieren keine Entschlüsselung und machen Sie zum attraktiven Wiederholungsziel. In der Praxis entscheiden sich dennoch einige Betroffene zur Zahlung -- insbesondere wenn kein funktionsfähiges Backup existiert. Das ist ein Geschäftsentscheidung, keine technische.
9. Praxisbeispiel: Ransomware-Vorfall in einer 800-WE-Verwaltung
Ausgangslage
Die Verwaltung betreut 800 Wohneinheiten, beschäftigt 12 Mitarbeiter und arbeitet mit einer gängigen HV-Software auf einem lokalen Server. Der IT-Dienstleister kommt einmal monatlich zur Wartung. Backups laufen automatisch auf eine externe USB-Festplatte, die dauerhaft am Server angeschlossen ist.
Der Vorfall
An einem Dienstagmorgen im November kann eine Sachbearbeiterin ihre Dateien nicht öffnen. Auf dem Desktop erscheint eine Textdatei mit einer Lösegeldforderung: 50.000 Euro in Bitcoin, Frist 72 Stunden. Der Server ist verschlüsselt. Die externe Festplatte mit den Backups ebenfalls -- sie war permanent verbunden und für die Ransomware erreichbar.
Die Fehler
Im Nachhinein ließen sich vier Fehler identifizieren:
Backup dauerhaft angeschlossen: Die USB-Festplatte war ständig mit dem Server verbunden. Die Ransomware hat sie mitverschlüsselt. Ein Offsite-Backup existierte nicht.
Keine Netzwerksegmentierung: Von einem einzelnen Rechner aus war der gesamte Server erreichbar.
Veraltete Software: Der Server lief noch mit Windows Server 2016 ohne aktuelle Patches.
Kein Notfallplan: Niemand wusste, was zu tun ist. Der IT-Dienstleister war erst nach sechs Stunden vor Ort.
Die passenden Arbeitsmaterialien stehen Ihnen im Download-Bereich kostenlos zur Verfuegung.
Die Konsequenz
Die Verwaltung verlor drei Wochen Arbeitszeit. Mieterdaten mussten teilweise aus Papierakten rekonstruiert werden. Die anstehende Nebenkostenabrechnung verzögerte sich um zwei Monate. Die DSGVO-Meldung an die Landesbeauftragte für Datenschutz zog eine Prüfung nach sich. Die Gesamtkosten beliefen sich auf rund 120.000 Euro -- ohne Lösegeldzahlung.
Die Lehren
Nach dem Vorfall hat die Verwaltung folgende Maßnahmen umgesetzt:
Tägliches Backup in einen verschlüsselten Cloud-Speicher (Offsite, nicht dauerhaft verbunden)
Migration auf einen aktuellen Server mit automatischen Updates
Einführung eines Rollenkonzepts mit individuellen Benutzerkonten
2FA für alle Systeme
Quartalsweise Schulungen mit simulierten Phishing-Mails
Gedruckter Notfallplan im Büro und beim Geschäftsführer zu Hause
Abschluss einer Cyberversicherung
10. MieterOS: Sicherheit eingebaut
MieterOS setzt auf mehrere Schutzebenen, die Verwaltungen ohne eigene IT-Abteilung entlasten:
Rollenbasierte Zugriffskontrolle. Jeder Benutzer erhält exakt die Berechtigungen, die seine Rolle erfordert. Sachbearbeiter sehen nur ihre zugewiesenen Objekte, externe Berater erhalten eingeschränkte Lesezugriffe, Administratoren verwalten Rollen und Rechte zentral.
Verschlüsselte Datenübertragung. Alle Verbindungen zwischen Browser und Server laufen über TLS 1.3. Daten in der Datenbank werden mit AES-256 verschlüsselt gespeichert.
Automatische Backups. Tägliche Sicherungen erfolgen automatisch und werden verschlüsselt an einem separaten Standort gespeichert. Restore-Tests laufen regelmäßig im Hintergrund.
Zwei-Faktor-Authentifizierung und IP-Whitelisting. Unter Einstellungen → Sicherheit konfigurieren Sie 2FA für alle oder ausgewählte Benutzer. IP-Whitelisting beschränkt den Zugriff auf bekannte Netzwerke -- beispielsweise das Büro und die Homeoffice-Adressen der Mitarbeiter.
Audit-Log. Jede Aktion wird protokolliert: Anmeldungen, Datenänderungen, Exporte. Im Fall einer DSGVO-Prüfung oder eines Sicherheitsvorfalls ist lückenlos nachvollziehbar, wer wann was getan hat.
Expertenstimme
"Der häufigste Fehler, den ich in Hausverwaltungen sehe, ist die Annahme, man sei zu klein, um Ziel eines Angriffs zu werden. Ransomware-Gruppen scannen automatisiert -- die interessiert nicht, ob Sie 50 oder 5.000 Einheiten verwalten. Was zählt, ist, ob Ihr Server eine bekannte Sicherheitslücke hat. Mein dringendster Rat: Trennen Sie Ihr Backup physisch vom Netzwerk und testen Sie einmal im Quartal, ob Sie damit Ihren Betrieb wiederherstellen können. Alles andere lässt sich schrittweise aufbauen -- aber ohne funktionierendes Backup stehen Sie nach einem Angriff vor dem Nichts."
-- Thomas Reinhardt, IT-Sicherheitsberater für die Immobilienwirtschaft
Für eine professionelle IT-Sicherheitsberatung, die gezielt auf die Anforderungen von Hausverwaltungen zugeschnitten ist, empfehlen wir die Zusammenarbeit mit einem spezialisierten Berater. Dieser kann Ihre bestehende Infrastruktur bewerten, Schwachstellen identifizieren und einen priorisierten Maßnahmenplan erstellen -- abgestimmt auf Ihre Unternehmensgröße, Ihr Budget und die Anforderungen Ihrer Bestandssoftware.
Ihre Downloads zu diesem Artikel
IT-Sicherheitskonzept fuer Hausverwaltungen (PDF)
IT-Notfallplan fuer Hausverwaltungen (Word)
Alle Downloads sind kostenlos. Wir bitten Sie lediglich um Ihre E-Mail-Adresse, damit wir Sie ueber neue Inhalte informieren koennen.
→ [Kostenlos herunterladen](#download)
Ihre Downloads
Alle Downloads sind kostenlos. Bei E-Mail-geschützten Dateien erhalten Sie den Download nach Eingabe Ihrer E-Mail-Adresse.