Sommer-Checkliste für den Mittelstand: sicher in die Urlaubszeit

Die Urlaubszeit ist genau der Moment, auf den Betrüger hoffen – halbleere Büros inklusive. Mit dieser praktischen Checkliste geht Ihr Unternehmen sicher in den Sommer.

Sommer ist Urlaubszeit – und genau dann geht es schief. Nicht weil Hacker besonders fleißig sind (obwohl das auch stimmt), sondern weil die Menschen, die normalerweise auf die Bremse treten, gerade nicht da sind. Die Buchhalterin ist auf Kreta, der Geschäftsführer auf einem Berg in Österreich, und der Praktikant darf „mal kurz in die E-Mails schauen". Bevor man sich versieht, liegt eine dringende Rechnung mit einer neuen IBAN bereit – und niemand ist mehr da, um „kurz anzurufen und nachzufragen".

Ein paar einfache Absprachen, bevor das Büro im Juli und August halbleer zurückbleibt, ersparen eine Menge Ärger. Im Folgenden eine praktische Liste – kein dicker Leitfaden, sondern einfach die Dinge, die wirklich den Unterschied machen.

1. Legt im Voraus fest, wer was genehmigen darf

Der Klassiker: Der Kassenverantwortliche ist im Urlaub, es kommt eine Rechnung rein, die „wirklich heute" bezahlt werden muss, und jemand anderes überweist – „denn es kann doch nicht warten". Neun von zehn Mal ist das in Ordnung. Das zehnte Mal ist es Betrug.

Legt vor der Urlaubszeit schriftlich fest:

• Wer darf bis zu welchem Betrag genehmigen, wenn die zuständige Person weg ist?
• Wer schaut bei Zahlungen ab einem bestimmten Betrag mit?
• Welche Zahlungen warten einfach bis nach dem Urlaub? (Spoiler: mehr als ihr denkt.)

Bei jeder neuen oder geänderten IBAN gilt: Anrufen – und zwar unter einer Nummer aus eurer eigenen Verwaltung, nicht aus der E-Mail. Immer. Auch im August.

2. Abwesenheitsnotiz einschalten – aber nichts verraten

Eine Abwesenheitsnotiz ist praktisch für Kunden – und eine Goldgrube für Betrüger. „Ich bin bis zum 14. August abwesend. In dringenden Fällen wenden Sie sich bitte an Jan (jan@firma.de, 0171-12345678)" verrät einem Betrüger genau, wie lange er Zeit hat und wen er in eurem Namen anschreiben kann.

Haltet es kurz: „Ich bin bis Mitte August nur eingeschränkt erreichbar. Für dringende Anliegen: info@firma.de." Keine genauen Daten, keine privaten Handynummern, keine Namen von Vertretern, die sich leicht imitieren lassen.

3. Macht vor dem Urlaub einen Mini-Zugriffscheck

Das Letzte, was ihr wollt, ist, dass ein ehemaliger Mitarbeiter – oder ein vergessenes Praktikantenkonto – noch irgendwo Zugriff hat, während niemand hinschaut. Eine halbe Stunde Arbeit beugt vielem vor:

• Geht die Benutzer in eurer Mail-Umgebung (z. B. Microsoft 365) durch. Ist jemand dabei, der dort nicht mehr sein sollte?
• Prüft, wer Admin-Rechte hat. Stimmt diese Liste noch?
• Schaut nach, welche externen Parteien (Steuerberater, Marketingagentur, Freelancer) Zugriff auf welche Systeme haben.

Findet ihr etwas, das nicht mehr stimmt? Deaktiviert es. Ein Konto, das ihr im September wieder aktiviert, kostet fünf Minuten; ein gehacktes Konto kostet eine Woche.

4. Zwei-Faktor-Authentifizierung für alle wichtigen Konten aktivieren

Das habt ihr natürlich längst gemacht. Aber prüft es kurz. E-Mail, Buchhaltungssoftware, Bank, Domain-Registrar, euer Website-CMS. Ein einziges Konto ohne 2FA reicht, um den ganzen Sommer zu verderben.

Vergeudet die Backup-Codes nicht. Wenn das Handy des Geschäftsführers auf Ibiza ins Meer fällt, wollt ihr nicht feststellen, dass die Wiederherstellungscodes ebenfalls auf diesem Handy gespeichert waren. Druckt sie aus oder speichert sie in eurem Passwort-Manager in einer separaten Kategorie.

5. Wer behält die E-Mails im Blick?

Nicht um alles zu beantworten – sondern um zu erkennen, ob etwas nicht stimmt. Ein seltsamer Login-Versuch, eine Anfrage zum Zurücksetzen von Passwörtern, ein Lieferant, der „mal schnell" eine andere Kontonummer durchgibt. Legt fest, dass eine Person pro Woche die Haupt-Postfächer auf verdächtige Vorgänge prüft.

Und schaut auch in eure SPF/DKIM/DMARC-Berichte, wenn ihr diese erhaltet. Der Sommer ist eine beliebte Zeit, um unter eurem Domain-Namen Phishing-Mails zu versenden – schlicht weil die Entdeckungswahrscheinlichkeit geringer ist.

6. Backups: nicht nur laufen lassen, sondern auch prüfen

Ein Backup, das jede Nacht brav läuft, aber noch nie wiederhergestellt wurde, ist kein Backup – das ist eine Datei. Testet vor dem Urlaub, ob ihr tatsächlich eine Datei wiederherstellen könnt. Fünf Minuten Arbeit, und ihr wisst sicher, dass ihr nicht in der ersten Augustwoche mit einem Ransomware-Vorfall und einem unbrauchbaren Backup dasitzt.

7. Eine „Wen rufst du an"-Liste auf Papier erstellen

Klingt altmodisch, ist es auch. Aber wenn alles ausgefallen ist – E-Mail, Telefonsystem, Laptop – ist ein ausgedrucktes A4-Blatt mit den Telefonnummern eures IT-Dienstleisters, eures Hosting-Anbieters, eures Steuerberaters und eurer Bank Gold wert. Hängt es im Büro auf, und gebt eine Kopie an diejenigen mit, die im August vor Ort bleiben.

Kurz zusammengefasst

Der Sommer ist kein Security-Ereignis für sich, aber eine Zeit, in der die üblichen Sicherheitsmechanismen fehlen. Die vier Punkte, die den größten Unterschied machen:

1. Vier-Augen-Prinzip bei Zahlungen – besonders bei neuen IBANs.
2. Eine Abwesenheitsnotiz, die nichts verrät.
3. Ein schneller Check, wer Zugriff auf was hat.
4. 2FA und Backup-Codes für die wichtigen Konten.

Möchtet ihr vor der Urlaubszeit prüfen lassen, ob euer Zugriffsüberblick stimmt – wer hat noch wo welche Rechte, und sollte das überhaupt so sein? Unser Zugriffs-Check macht genau das. Und wenn ein neuer Lieferant mit einer anderen Kontonummer auftaucht: kurz über den IBAN-Check, bevor ihr etwas überweist.