12 Min.
File-Server im Rack mit blauer LED-Beleuchtung — sicher betrieben in einem KMU-Serverraum

File-Server-Sicherheit für KMU 2026: Berechtigungen, Audit, Backup, Migration

Jens Hagel
Jens Hagel in IT-Insights
Inhalt in Kürze
  • Berechtigungen sind die wichtigste Stellschraube: 8 von 10 Datenpannen, die wir bei Audits sehen, beruhen auf zu weit gefassten Rechten — nicht auf High-Tech-Hacks.
  • Ransomware trifft File-Server zuerst: Ohne Offline-Backup, EDR und Audit-Logs sind 2-12 Wochen Stillstand realistisch. Bitkom 2025: 266,6 Mrd. EUR Schaden in Deutschland (+29 % YoY).
  • NTFS-Audit + zentrale Auswertung sind Pflicht: Wer nicht weiß, wer wann auf welche Datei zugegriffen hat, kann weder DSGVO-Pflichten erfüllen noch Ransomware früh erkennen.
  • SharePoint/OneDrive ist 2026 für 80 % der KMU der bessere Weg. Versionierung, Ransomware-Recovery und MFA sind Standard, kein Eigenbau.

Ihr File-Server ist die Schatzkammer Ihres Unternehmens. Verträge, Personalakten, Konstruktionsdaten, Buchhaltung — alles, was Ihre Firma ausmacht, liegt dort. Und genau deshalb ist er das erste Ziel jedes Angreifers. Ransomware-Gruppen verschlüsseln zuerst die Datei-Freigaben. Innentäter kopieren am Monatsende ihre Lieblingsdaten. Datenschützer fragen, wer eigentlich auf das HR-Verzeichnis zugreifen darf. Und in den meisten KMU lautet die ehrliche Antwort: Wir wissen es nicht.

Wir betreuen als IT-Dienstleister in Hamburg seit über 20 Jahren mittelständische Betriebe — und kennen das Muster. Dieser Leitfaden ist die Checkliste, die wir bei jedem neuen Mandanten in den ersten zwei Wochen durchgehen. Praxisnah, ohne Marketing-Geräusch, mit klaren Maßnahmen für die nächsten 90 Tage.

Warum File-Server-Sicherheit 2026 wichtiger ist als je zuvor

Drei Entwicklungen haben den File-Server vom unauffälligen Datengrab zum kritischen Risiko gemacht:

80 % aller Cyberangriffe zielen laut BSI-Lagebericht 2025 auf KMU
266,6 Mrd. Euro Gesamtschaden durch Cyberangriffe in Deutschland 2025 (Bitkom, +29 % YoY)
9 von 10 KMU-Umgebungen, die wir auditieren, haben Domain-Admin-Rechte für Standardnutzer

Erstens: Ransomware ist industrialisiert. KI-gesteuerte Massenangriffe scannen automatisiert offene SMB-Ports, RDP-Zugänge und veraltete Server. Ob Ihre Firma 5 oder 500 Mitarbeiter hat, interessiert die Angreifer nicht.

Zweitens: Die DSGVO ist erwachsen geworden. Aufsichtsbehörden in Hamburg, Bremen und Schleswig-Holstein verhängen mittlerweile auch bei KMU sechsstellige Bußgelder, wenn TOM nach Art. 32 nicht dokumentiert sind oder die 72-Stunden-Meldepflicht verletzt wurde.

Drittens: Hybride Arbeit hat den Perimeter aufgelöst. Ihre Mitarbeiter greifen aus dem Home-Office, vom Kunden, aus dem Café auf den File-Server zu — meist per VPN, manchmal per Cloud-Sync, oft über zu weit öffnende Berechtigungen.

„Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft — bis der Ernstfall kommt und nichts wiederherstellbar ist. Deshalb testen wir Backups regelmäßig."

Jens HagelJens HagelGeschäftsführer, hagel IT-Services GmbH

Die häufigsten Schwachstellen — was wir bei Audits wirklich finden

Bevor wir über Maßnahmen sprechen: Die Wahrheit über den Zustand typischer KMU-File-Server in Norddeutschland 2026.

Top 7 Schwachstellen aus 200+ KMU-Audits
  1. Berechtigungs-Wildwuchs: Direkte Userrechte statt AD-Gruppen, „Authentifizierte Benutzer" mit Vollzugriff auf C-Level-Verzeichnisse, ehemalige Mitarbeiter noch in ACLs.
  2. Shadow Domain Admins: Standardnutzer mit Domain-Admin-Rechten — meist „weil es mal schnell gehen musste".
  3. Keine MFA für Admin-Konten: Domain-Admin-Passwörter, die seit Jahren unverändert sind.
  4. SMBv1 noch aktiv: Auf alten Windows-Servern oder Druckern — Einfallstor für EternalBlue, Hauptursache der WannaCry-Welle 2017.
  5. Audit-Logs deaktiviert oder nicht ausgewertet: Wer wann was gelöscht oder kopiert hat — unbekannt.
  6. Backups nicht offline: NAS-Backups im selben Netz, von Ransomware mitverschlüsselt.
  7. Keine Verschlüsselung: BitLocker auf dem Server-Volume nicht aktiviert. Bei Diebstahl oder Aussonderung: alle Daten lesbar.

Keine dieser Schwachstellen ist exotisch. Keine erfordert Zero-Day-Wissen, um sie auszunutzen. Und keine kostet mehr als ein paar Tage Engineering-Zeit, um sie zu schließen — wenn man weiß, wo man anfangen muss.

Berechtigungen richtig setzen — das AGDLP-Prinzip

Microsoft und Sicherheits-Experten wie tenfold sind sich einig: NTFS-Berechtigungen scheitern in der Praxis nicht am Konzept, sondern an der Disziplin. Das AGDLP-Prinzip (Account → Global Group → Domain Local Group → Permission) ist seit 20 Jahren Stand der Technik — und in 70 % der KMU-Umgebungen, die wir übernehmen, nicht umgesetzt.

Vorhängeschloss mit Schlüssel und Kette als Symbol für Zugriffskontrolle und File-Server-Berechtigungen

Berechtigungs-Tabelle: So sieht eine saubere Struktur aus

VerzeichnisDomain-Local-GruppeGlobale Gruppe (Mitglieder)NTFS-Recht
\\server\BuchhaltungDL_Buchhaltung_ModifyGG_BuchhaltungModify
\\server\BuchhaltungDL_Buchhaltung_ReadGG_GF, GG_SteuerberaterRead
\\server\HRDL_HR_ModifyGG_HRModify
\\server\HRDL_HR_ReadGG_GFRead
\\server\VertriebDL_Vertrieb_ModifyGG_VertriebModify
\\server\KonstruktionDL_Konstruktion_ModifyGG_KonstruktionModify
\\server\PublicDL_Public_ModifyGG_AlleMitarbeiterModify

Die Regeln dahinter sind banal — und genau deshalb wirksam:

  • Keine Userrechte direkt auf Ordnern. Immer über Gruppen.
  • Eine Domain-Local-Gruppe pro Recht pro Ordner. (Modify, Read, ggf. Full)
  • Globale Gruppen entsprechen Rollen (Buchhaltung, HR, Vertrieb), nie Personen.
  • Vererbung aktiv lassen. Spezialberechtigungen auf Unterordnern sind die Hauptursache für Audit-Hölle.
  • Quartalsweise Access Review: Wer ist in welcher Gruppe — passt das noch zur aktuellen Rolle?

In der Praxis nutzen wir Rechte- und Rollenverwaltung, Microsoft Entra Privileged Identity Management oder Tools wie tenfold, AccessEnum von Sysinternals und PowerShell-Skripte (Get-Acl, Get-NTFSAccess), um die Realität sichtbar zu machen. Wer keine Inventarisierung hat, kann nicht aufräumen.

Audit-Logs aktivieren und sinnvoll auswerten

Audit ohne Auswertung ist Kosmetik. Trotzdem ist der erste Schritt, überhaupt Logs zu erzeugen. Auf einem Windows-File-Server aktivieren Sie über Group Policy mindestens diese Audit-Subkategorien:

  1. Object Access (File System) — Erfolg + Fehler: Erfasst jeden Datei-Zugriff. Wichtig: Auf den Verzeichnissen muss zusätzlich eine SACL (System Access Control List) gesetzt werden — sonst loggt der Server nichts.
  2. Account Logon Events — Erfolg + Fehler: Zeigt erfolgreiche und fehlgeschlagene Anmeldungen. Mehrere Fehlversuche aus dem gleichen Subnetz innerhalb von Minuten = Brute-Force-Indikator.
  3. Privilege Use + Policy Change: Erfasst, wer Admin-Rechte nutzt und wer Sicherheitsrichtlinien ändert. Pflicht für DSGVO-Nachweise.
  4. Account Management: Erstellung, Änderung, Löschung von Benutzerkonten und Gruppenmitgliedschaften. Hier sehen Sie, wenn jemand zur Domain-Admins-Gruppe hinzugefügt wurde.
  5. Zentrale Sammlung via Windows Event Forwarding oder SIEM: Lokale Logs rotieren nach Tagen. Forwarding an einen zentralen Collector (Wazuh, Microsoft Sentinel, Elastic) gibt Ihnen 90+ Tage Forensik-Tiefe.
  6. Use Cases definieren und alarmieren: Beispiele: Mehr als 100 Datei-Löschungen pro Minute (Ransomware-Indikator), Zugriffe nach 22 Uhr außerhalb von Wartungsfenstern, Änderungen an Domain-Admin-Gruppen, Massen-Downloads aus HR/Geschäftsleitung.

Tools wie ManageEngine DataSecurity Plus, Lepide oder die Microsoft-Bordmittel mit PowerShell und Defender for Cloud Apps helfen bei der Auswertung. Wir empfehlen KMU mit weniger als 100 Mitarbeitern: Microsoft Defender for Endpoint + Sentinel-Lite — kosteneffizient, in M365 E5 / Business Premium teils enthalten.

Unsicher, wie Ihr File-Server gerade dasteht?

Wir auditieren ihn in 4-8 Stunden — Berechtigungen, Patches, Backup, Audit-Konfiguration. Sie bekommen einen 12-seitigen Bericht mit konkreten Maßnahmen, priorisiert nach Risiko.

15-Min-Erstgespräch buchen →

Verschlüsselung — von BitLocker bis Datei-Ebene

Verschlüsselung schützt vor zwei Szenarien: physischem Diebstahl (Server, Festplatten, Backup-Medien) und unbefugtem Zugriff durch Personen mit Hardware-Zugang (Putzkraft, Techniker, Aussonderung).

Verschlüsselungs-EbeneSchutz vorEmpfohlen für
BitLocker (Volume)Diebstahl, Aussonderung, unbefugtes BootenJeder Server, jedes Backup-Medium
EFS (Datei-Ebene Windows)Zugriff anderer User auf demselben SystemEinzelne sensible Dateien (selten)
AD-RMS / Azure Information ProtectionWeitergabe nach externKlassifizierte Dokumente, M&A-Daten
TLS / SMB-EncryptionMitlesen im NetzPflicht — auf Server und Clients aktivieren
VeraCrypt-ContainerSpezial-Fälle, Mobile DatenEher selten in KMU

Pflichtprogramm für jeden File-Server: BitLocker auf System- und Daten-Volumes, SMB-Encryption für alle Freigaben mit personenbezogenen Daten, TLS 1.2+ erzwingen. Die Datenbankverschlüsselung gilt analog für SQL-Server, die hinter dem File-Server liegen.

Ransomware-Schutz — die mehrschichtige Verteidigung

Ransomware ist 2026 das größte operative Risiko für mittelständische Datei-Infrastrukturen. Das BSI hat im aktuellen Maßnahmenkatalog Ransomware klare Empfehlungen veröffentlicht. Praxis-Layer in der Reihenfolge ihrer Wirksamkeit:

  • Schicht 1 — Perimeter: RDP nie direkt aus dem Internet. VPN mit MFA. Mailgateway mit Sandbox-Analyse (Microsoft Defender for Office 365 oder vergleichbar).
  • Schicht 2 — Identität: MFA für alle Administratoren (Pflicht), idealerweise für alle Nutzer. Domain-Admin-Konten nur auf separaten Tier-0-Workstations verwenden, niemals für Mail/Surfen.
  • Schicht 3 — Endpoint: EDR statt klassischem Antivirus (Microsoft Defender for Endpoint, SentinelOne, CrowdStrike). ASR-Regeln gegen Office-Makros aktivieren. AppLocker oder WDAC, wo machbar.
  • Schicht 4 — Netzwerk: SMBv1 abschalten (auf jedem System, auch Druckern). VLAN-Segmentierung — Server, Clients und IoT in getrennten Netzen. Honeypot-Verzeichnisse mit Canary-Files zur Früherkennung.
  • Schicht 5 — Backup: 3-2-1-Regel (3 Kopien, 2 Medien, 1 offline). Immutable Backups in Cloud (Azure, AWS, Wasabi) oder Tape. Regelmäßige Restore-Tests — quartalsweise minimum.
  • Schicht 6 — Mensch: Phishing-Simulationen alle 60-90 Tage, kurze Mikro-Schulungen statt jährlicher 90-Min-Pflichtveranstaltungen.

„Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos."

Jens HagelJens HagelGeschäftsführer, hagel IT-Services GmbH

Mehr zum Thema: Cybersecurity-Leistungen aus Hamburg und unser ausführlicher Beitrag zu Ransomware: Was tun statt Lösegeld zahlen.

Backup-Strategie — die letzte Verteidigungslinie

Wenn alles andere versagt, entscheidet das Backup, ob Ihre Firma weiterlebt. Ein Hamburger Sanitärbetrieb, den wir nach einem Ransomware-Vorfall übernommen haben, war drei Monate komplett offline — alles verschlüsselt, kein funktionierendes Backup. Heute mit unserem 3-2-1-Konzept: Recovery-Time unter 4 Stunden, getestet quartalsweise.

Die 3-2-1-1-0-Regel (Stand 2026)
  • 3 Kopien Ihrer Daten
  • 2 verschiedene Medien (z. B. Disk + Tape)
  • 1 Kopie offsite (geografisch getrennt)
  • 1 Kopie offline oder immutable (gegen Ransomware-Verschlüsselung geschützt)
  • 0 Fehler beim Restore-Test

In der Praxis kombinieren wir bei KMU meist Veeam Backup & Replication (lokal auf NAS oder dediziertem Backup-Server) mit Veeam Cloud Connect oder Wasabi/Azure Blob (immutable, offsite). Mehr Details: Backup-Lösung für Unternehmen.

Migration auf SharePoint/OneDrive — wann und wie

Für 80 % der KMU, die wir 2026 betreuen, ist die ehrliche Antwort auf „Wie sichern wir den File-Server am besten ab?” — „Sie schaffen ihn ab.” SharePoint Online und OneDrive for Business lösen viele der oben beschriebenen Probleme out-of-the-box:

SharePoint/OneDrive vs. klassischer File-Server
  • Versionierung automatisch — jede Änderung 90 Tage rückholbar, kein Eigenbau nötig
  • Ransomware-Recovery — Microsoft restored kompromittierte Dateien als Service
  • MFA out-of-the-box — keine zusätzliche VPN- und RDP-Geräuschkulisse
  • Mobile Sync — Mitarbeiter arbeiten ohne VPN von überall
  • Berechtigungen über M365-Gruppen — zentrale Steuerung mit Lifecycle
  • Audit-Log integriert — Microsoft Purview, 90-365 Tage je nach Lizenz
  • Compliance-Ready — Data Loss Prevention, Information Protection, Retention Labels

Wir migrieren typischerweise in dieser Reihenfolge: 1) Inventar + Cleanup (oft 30-50 % der Daten sind 5+ Jahre nicht angefasst worden, da hilft Löschen mehr als Migrieren). 2) Pilotgruppe (5-10 Mitarbeiter, 2 Wochen). 3) Wellen-Migration nach Abteilungen. 4) Speziallösungen klären — CAD, ERP, Branchen-DMS bleiben oft auf einem reduzierten File-Server, weil Sync- oder Latenz-Anforderungen es verlangen.

Mehr zum Thema: Fileserver oder SharePoint? Vergleich für KMU 2026 und Modern Workplace Microsoft 365 Hamburg.

Compliance — DSGVO, NIS-2, ISO 27001

Drei rechtliche Rahmen treffen 2026 jeden mittelständischen File-Server-Betrieb in Deutschland:

RahmenWer ist betroffenPflichten für den File-Server
DSGVO (gilt seit 2018)Jedes Unternehmen mit personenbezogenen DatenTOM nach Art. 32, Verzeichnis von Verarbeitungstätigkeiten, Löschkonzept, 72h-Meldepflicht
NIS-2 (Umsetzung Q2 2026)Mittlere und große Unternehmen ab 50 MA / 10 Mio. EURRisikomanagement, Incident-Reporting, Lieferkettensicherheit, Geschäftsführungs-Haftung
ISO 27001 (freiwillig)Wer mit Konzernen arbeitet, oft Pflicht in AusschreibungenAsset-Management, Access Control, Cryptography, Operations Security

Für die meisten Hamburger KMU mit 20-150 Mitarbeitern ist DSGVO-Pflicht und NIS-2 entweder direkt oder über die Lieferkette relevant. Praktischer Einstieg: unsere NIS-2 Beratung Hamburg für die rechtliche Einordnung und DSGVO-Audit-Vorbereitung.

90-Tage-Plan — so sichern Sie Ihren File-Server konkret ab

Wenn Sie heute mit der Absicherung anfangen, sollten Sie nach 90 Tagen sichtbar messbar besser dastehen. Unser Standard-Fahrplan:

  1. Woche 1-2 — Inventar und Quick Wins: Berechtigungs-Audit (PowerShell, AccessEnum), Patch-Stand prüfen, SMBv1 deaktivieren, MFA für Admin-Konten erzwingen. Backup-Status verifizieren mit echtem Restore-Test.
  2. Woche 3-6 — Berechtigungen aufräumen: Direkte Userrechte durch Gruppen ersetzen (AGDLP). Domain-Admin-Mitgliedschaften auf 1-2 Konten reduzieren. Tier-0-Konzept einführen — Admin-Workstations getrennt von User-Workstations.
  3. Woche 7-9 — Audit, EDR, Verschlüsselung: Audit-Policy via GPO ausrollen, SIEM oder Defender Sentinel anbinden, EDR auf allen Servern und Clients aktivieren. BitLocker auf Server-Volumes, SMB-Encryption für sensible Freigaben.
  4. Woche 10-12 — Backup-Optimierung und Notfall-Plan: 3-2-1-1-0-Backup einrichten, Immutable-Cloud-Layer hinzufügen, Restore-Test durchführen, Incident-Response-Plan dokumentieren, Mitarbeiter über neue Sicherheitsrichtlinien informieren.

Was hagel IT für Hamburger KMU konkret macht

„Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage."

Bernd Kühn, Geschäftsführer, Sanitärbetrieb, 20-25 Mitarbeiter

Wir betreuen über 200 mittelständische Unternehmen in Hamburg und Norddeutschland mit unserem Managed-IT-Konzept. Für File-Server-Sicherheit konkret:

  • Initial-Audit — 4-8 Stunden, 12-seitiger Bericht mit priorisierten Maßnahmen
  • Berechtigungs-Cleanup — AGDLP-Modell, dokumentiert in Confluence/SharePoint
  • 24/7-Monitoring — Defender for Endpoint + Sentinel, Alarmierung bei Anomalien
  • Backup-Betrieb — Veeam mit Cloud-Layer, quartalsweiser Restore-Test, monatlicher Reporting-Termin
  • Migration zu SharePoint/OneDrive — wenn das die richtige Antwort ist (oft ist sie es)
  • Festpreis ab 50 EUR pro Arbeitsplatz/Monat — keine Stundenzettel, keine Überraschungen

Wie steht Ihr File-Server wirklich da?

15 Minuten, kostenlos, ehrlich. Wir besprechen Berechtigungen, Backup, Patch-Stand und sagen Ihnen, wo das größte Risiko liegt.

Erstgespräch buchen →

Fazit

File-Server-Sicherheit ist 2026 keine Frage von Tools, sondern von Disziplin. Die Schwachstellen, die wir bei Audits finden, sind seit 15 Jahren dieselben: zu weit gefasste Rechte, fehlende MFA, ungetestete Backups, abgeschaltete Audit-Logs. Wer diese sechs bis acht Maßnahmen konsequent umsetzt — und sie quartalsweise nachzieht — schließt mehr als 90 % der realistischen Angriffsvektoren. Für viele KMU ist die ehrlichste Antwort der Umzug auf SharePoint und OneDrive: weil Microsoft mit Lebenszyklus, Versionierung und Ransomware-Recovery operative Probleme löst, die ein eigener File-Server nur mit großem Eigenaufwand schafft.

Wenn Sie wissen wollen, wie Ihr File-Server konkret dasteht — ohne Verkaufsdruck, ohne Standard-Präsentation — buchen Sie 15 Minuten über unser Erstgespräch oder rufen Sie an: 040 244 222 0. Wir sind in der Spaldingstraße, mitten in Hamburg, und betreuen Kunden zwischen Kiel, Hamburg, Bremen und Lübeck.

Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Thorsten Eckel

„Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Case Study Hamburg: Von heterogener IT zur sicheren Kanzlei-Umgebung in 30 Tagen
Fallstudie · Rechtsanwaltskanzlei
Case Study Hamburg: Von heterogener IT zur sicheren Kanzlei-Umgebung in 30 Tagen
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Kostenlos & unverbindlich

IT-Herausforderungen? Wir helfen.

Sprechen Sie mit unseren Experten — 15 Minuten, kostenlos, kein Vertriebsdruck.

Häufig gestellte Fragen

Ein gut gehärteter Windows-File-Server ist grundsätzlich sicher — wenn Sie das Prinzip der geringsten Rechte konsequent umsetzen, Audit-Logs aktivieren, regelmäßig patchen und ein getestetes Offline-Backup haben. Das Problem: In 9 von 10 KMU-Umgebungen, die wir übernehmen, finden wir Domain-Admin-Rechte für Standardnutzer, gewachsene NTFS-Berechtigungen ohne Dokumentation und Backups, die seit Monaten nicht restoreable getestet wurden. Technisch sicher ist machbar — operativ scheitert es an Disziplin.

Sechs Schritte in dieser Reihenfolge: 1) Inventar aller Freigaben und Berechtigungen erstellen (PowerShell/AccessEnum). 2) Domain-Admin-Konten reduzieren und auf separate Tier-0-Workstations verlegen. 3) MFA für alle administrativen Zugänge erzwingen. 4) Audit-Policy für Datei-Zugriffe und Berechtigungsänderungen aktivieren. 5) Offline-Backup nach 3-2-1-Regel mit Restore-Test. 6) AppLocker oder Defender ASR-Regeln gegen Ransomware-Encoder.

Beide. Die Best Practice nach Microsoft und tenfold lautet: Freigabe-Berechtigungen offen lassen (Authentifizierte Benutzer = Vollzugriff) und die eigentliche Steuerung über NTFS abbilden. Vergeben Sie NTFS-Rechte ausschließlich an Active-Directory-Gruppen (AGDLP-Prinzip), nie an einzelne Nutzer. Direkte Userrechte sind die Hauptursache für Berechtigungs-Wildwuchs nach 3-5 Jahren Betrieb.

Mehrschichtig: EDR statt klassischer AV (z. B. Microsoft Defender for Endpoint), AppLocker/WDAC gegen unsignierten Code, ASR-Regeln gegen Office-Makros, abgeschaltete SMBv1, Honeypot-Dateien zur Früherkennung. Die wichtigste Maßnahme bleibt aber das Backup: Mindestens eine Kopie offline (Tape, abgekoppelte USB, immutable Cloud) ist die einzige Garantie, dass Sie ohne Lösegeld weiterarbeiten können.

Pflicht: Object Access (Datei-Zugriff Erfolg+Fehler), Account Logon Events, Privilege Use, Policy Change, Account Management. Audit-Policy über Group Policy ausrollen, Logs zentral via Windows Event Forwarding oder SIEM sammeln (sonst verschwinden sie nach Tagen). Wichtig: Audit ohne Auswertung ist nutzlos — definieren Sie konkrete Use Cases (z. B. Massen-Löschungen, Zugriffe außerhalb der Arbeitszeit) und alarmieren Sie automatisiert.

Wenn drei Bedingungen zutreffen: 1) Microsoft 365 ist bereits im Einsatz. 2) Die Zusammenarbeit ist hybrid (Home-Office, Außendienst, Kunden). 3) Niemand will mehr VPN, Drive-Mapping und Backup-Server pflegen. SharePoint/OneDrive bringt Versionierung, Ransomware-Recovery, Mobile-Sync und Berechtigungen über Microsoft 365 Groups out-of-the-box. Wir migrieren typischerweise 80–90 % der Daten in 2-4 Wochen. Speziallösungen (CAD, ERP, Branchen-DMS) bleiben oft auf einem reduzierten File-Server.

Initial-Audit + Härtung in einer typischen KMU-Umgebung (20-50 Mitarbeiter, 1-2 File-Server): 8-16 Stunden, ca. 1.500-3.000 EUR einmalig. Laufend abgedeckt im Managed-IT-Festpreis ab 50 EUR pro Arbeitsplatz/Monat — inkl. Patching, Backup, Monitoring, MFA, EDR. Wer auf SharePoint migriert, spart langfristig die Server-Hardware (3-5k pro 5 Jahre) und Backup-Lizenzen.

Drei Kernpflichten: 1) Verzeichnis von Verarbeitungstätigkeiten — alle Datenkategorien auf dem Server dokumentieren. 2) Technisch-organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO — Verschlüsselung, Zugriffskontrolle, Logging, Backup. 3) Löschkonzept — wie lange dürfen welche Daten liegen, wer prüft das. Bei Sicherheitsvorfall mit personenbezogenen Daten: 72-Stunden-Meldepflicht an die Aufsichtsbehörde. Bußgelder bis zu 4 % des Jahresumsatzes oder 20 Mio. EUR.