Ein gestohlener Laptop ohne Festplattenverschlüsselung. Ein Entwickler, der die Produktionsdatenbank lokal lädt. Ein fehlendes 2FA bei einem kritischen Dienst. Die meisten Sicherheitsvorfälle entstehen nicht durch raffinierte Angriffe, sondern durch vernachlässigte Grundlagen. Diese 14 Regeln bilden das absolute Minimum.

Geräte und Zugang absichern

1. Festplatten verschlüsseln

FileVault für Apple-Hardware, BitLocker für Windows oder eine andere Lösung, die Daten auf einer ausgeschalteten Festplatte unlesbar macht.

2. Computer auf Reisen ausschalten

Festplattenverschlüsselung funktioniert nur bei vollständig ausgeschaltetem Gerät, nicht im Ruhezustand. Besonders auf Reisen relevant, wenn ein Diebstahlrisiko besteht.

3. Zwei-Faktor-Authentifizierung (2FA) überall aktivieren

Wir verwenden Google Workspace mit integrierter 2FA. Die Regel: Anmeldung über das Google-Konto, wenn der externe Dienst es zulässt. Sonst: eindeutiges Passwort und 2FA sofort nach dem Einloggen aktivieren.

4. Software regelmässig aktualisieren

Betriebssystem, Antivirenprogramm, alle Anwendungen. Alte Versionen haben bekannte Schwachstellen, die leicht ausgenutzt werden können. Updates nie aufschieben.

5. Bildschirm sperren

Computer so einstellen, dass er bei jedem Abdunkeln nach einem Passwort fragt. Noch besser: manuell sperren, sobald Sie den Platz verlassen.

6. Telefon schützen

Das Telefon ist eine 2FA-Komponente. Langes Passwort, Gesichtserkennung oder Fingerabdruck verwenden.

Daten und Konten schützen

7. Nur Arbeitskonten für die Arbeit nutzen

Keine privaten Cloud-Dienste für berufliche Zwecke, auch nicht bei Google. Google Workspace hat andere Sicherheitsrichtlinien als private Konten. Das gilt für Dokumente, E-Mail und Kalender.

8. Externe Laufwerke verschlüsseln

Alle externen Laufwerke mit Unternehmensdaten müssen verschlüsselt und passwortgeschützt sein.

9. Passwort-Manager verwenden

Apple-Schlüsselbund, 1Password oder eine ähnliche Lösung. Individuelle Passwörter für jeden Dienst, ohne sie sich merken zu müssen.

10. Passwörter generieren lassen

Wenn kein Google-Login möglich ist: Passwort im Manager generieren. Einzigartig, komplex, und Sie müssen es sich nicht merken.

11. VPN bei öffentlichem WLAN

Öffentliche Netzwerke sind unsicher. VPN schützt die Verbindung. ExpressVPN und NordVPN funktionieren beide gut, es gibt viele Alternativen.

Bewusstsein und Prozesse

12. Vorsicht mit Unternehmensdaten

Auch scheinbar unwichtige Daten können für Phishing oder Spoofing missbraucht werden.

13. Software aktuell halten

Alle Programme, inklusive Betriebssystem. Regelmässig und ohne Verzögerung.

14. Keine Produktionsdatenbank in der lokalen Umgebung

Es mag einfacher erscheinen, die Produktionsdatenbank für lokale Entwicklung zu laden. Aber die Risiken sind erheblich: Datenschutzverletzungen, versehentliche Änderungen an Echtdaten und Compliance-Probleme.

Praktische Umsetzung: Der USEO-Ansatz

Diese Checkliste ist bei uns nicht nur Theorie. Drei Massnahmen machen den Unterschied zwischen “Regeln, die existieren” und “Regeln, die gelebt werden”:

  • Automatisierte Compliance-Checks. Wir prüfen per MDM (Mobile Device Management), ob Festplattenverschlüsselung aktiv und Software aktuell ist. Kein manuelles Nachfragen nötig.
  • Seed-Daten statt Produktionsdumps. Für lokale Entwicklung haben alle Projekte Seed-Skripte, die realistische Testdaten generieren. Das eliminiert die Versuchung, die Produktionsdatenbank zu laden.
  • Onboarding-Checkliste als Pull Request. Jeder neue Mitarbeiter durchläuft einen dokumentierten Sicherheits-Onboarding-Prozess. Erst wenn alle Punkte abgehakt sind, erhält er Zugang zu Kundenprojekten.