Das Problem
Warum klassische Sicherheit nicht mehr reicht
Jahrelang galt die Regel: Wer im Firmennetz ist, darf arbeiten. Wer draußen ist, muss sich einloggen.
Diese Zeit ist vorbei. Mitarbeiter arbeiten im Homeoffice, greifen mit privaten Geräten auf Firmendaten zu, nutzen Cloud-Dienste, klicken auf Links in E-Mails. Ein Großteil der erfolgreichen Angriffe beginnt nicht damit, dass jemand die Firewall durchbricht — sondern damit, dass ein Mitarbeiter unbewusst einem Angreifer die Tür öffnet.
Die moderne Antwort darauf heißt Zero Trust: Niemand bekommt mehr automatisches Vertrauen, nur weil er sich in einem bestimmten Netz befindet. Jede Anfrage wird überprüft, jeder Zugriff ist dokumentiert, jedes Gerät muss sich identifizieren.
Die moderne Antwort darauf heißt Zero Trust: Niemand bekommt mehr automatisches Vertrauen, nur weil er sich in einem bestimmten Netz befindet. Jede Anfrage wird überprüft, jeder Zugriff ist dokumentiert, jedes Gerät muss sich identifizieren.
Angriffe in Österreich 2026
Es trifft auch Sie
Die Nachrichtenlage der letzten zwölf Monate in Österreich lässt wenig Interpretationsspielraum.
Ein Wiener Anwaltsbüro verlor über eine manipulierte Rechnung rund 80.000 Euro. Ein Steuerberater in Graz konnte wochenlang nicht arbeiten, weil seine Buchhaltungsdaten verschlüsselt wurden — und das Backup war mitverschlüsselt, weil es im selben Netz lag. Ein niederösterreichisches Bauunternehmen wurde Opfer einer gefälschten E-Mail des Geschäftsführers und überwies 45.000 Euro an einen angeblichen Lieferanten in Tschechien.
Diese Fälle haben zwei Dinge gemeinsam: Die Unternehmen hatten eine Firewall. Und sie dachten, sie seien zu klein, um angegriffen zu werden. Beides stimmte nicht.
Cyberangriffe sind heute zum Großteil automatisiert. Die Angreifer wissen vorher nicht, ob sie einen Weltkonzern oder eine Zweipersonenfirma erwischen — sie scannen das halbe Internet und schlagen zu, wo der Zugang am leichtesten ist. Die Frage ist nicht, ob Sie jemals betroffen sein werden. Die Frage ist, ob Sie darauf vorbereitet sind.
Diese Fälle haben zwei Dinge gemeinsam: Die Unternehmen hatten eine Firewall. Und sie dachten, sie seien zu klein, um angegriffen zu werden. Beides stimmte nicht.
Cyberangriffe sind heute zum Großteil automatisiert. Die Angreifer wissen vorher nicht, ob sie einen Weltkonzern oder eine Zweipersonenfirma erwischen — sie scannen das halbe Internet und schlagen zu, wo der Zugang am leichtesten ist. Die Frage ist nicht, ob Sie jemals betroffen sein werden. Die Frage ist, ob Sie darauf vorbereitet sind.
Was Haftpflicht nicht abdeckt
Der Blick auf die Versicherungspolice
Wer nach einem Cyberangriff bei der eigenen Haftpflichtversicherung anruft, erlebt oft eine unangenehme Überraschung.
Cyber-Schäden sind in den meisten klassischen Gewerbepolicen ausgeschlossen oder nur mit sehr niedrigen Summen abgedeckt. Wer eine spezialisierte Cyber-Versicherung abschließen möchte, muss in der Regel detailliert nachweisen, welche Schutzmaßnahmen im Unternehmen bereits umgesetzt sind — ansonsten wird entweder die Prämie erheblich höher, oder der Vertrag kommt gar nicht zustande.
Zu diesen Schutzmaßnahmen gehören heute fast durchgängig Elemente aus dem Zero-Trust-Baukasten: Mehr-Faktor-Authentifizierung für alle Nutzer, dokumentierte Zugriffskontrolle, Trennung sensibler Systeme, regelmäßige Awareness-Schulungen für Mitarbeiter. Wer das nachweislich umgesetzt hat, zahlt niedrigere Prämien. Wer nicht, zahlt im Schadensfall selbst.
Unser Kurs ist so aufgebaut, dass Sie nach Abschluss genau diese Punkte dokumentiert und umgesetzt haben.
Zu diesen Schutzmaßnahmen gehören heute fast durchgängig Elemente aus dem Zero-Trust-Baukasten: Mehr-Faktor-Authentifizierung für alle Nutzer, dokumentierte Zugriffskontrolle, Trennung sensibler Systeme, regelmäßige Awareness-Schulungen für Mitarbeiter. Wer das nachweislich umgesetzt hat, zahlt niedrigere Prämien. Wer nicht, zahlt im Schadensfall selbst.
Unser Kurs ist so aufgebaut, dass Sie nach Abschluss genau diese Punkte dokumentiert und umgesetzt haben.
Das Prinzip
Die neue Regel: Niemandem automatisch trauen
Zero Trust ist keine Technologie, sondern eine Haltung.
Die Kernidee lässt sich in einem Satz zusammenfassen: Statt zu glauben, dass jeder im Firmennetz vertrauenswürdig ist, behandeln wir jede einzelne Anfrage, als käme sie von einem Unbekannten — und prüfen, ob sie berechtigt ist.
Klingt nach Verdächtigung? Im Alltag ist es das Gegenteil. Ein gut umgesetztes Zero-Trust-System läuft für berechtigte Nutzer unauffällig im Hintergrund. Die Anmeldung ist oft sogar einfacher als vorher — ein einziger YubiKey-Touch ersetzt das Passwort. Erst wenn wirklich etwas Ungewöhnliches passiert, wird nachgefragt.
Der Unterschied zum klassischen Ansatz: Ein Angreifer, der irgendwie ins Netz gekommen ist, kann sich nicht mehr frei bewegen. Jeder seiner Schritte erzeugt eine neue Anfrage, die einzeln überprüft wird. Die Zeit, in der ein einziger erfolgreicher Login einem Eindringling Tage oder Wochen gibt, ist vorbei.
Klingt nach Verdächtigung? Im Alltag ist es das Gegenteil. Ein gut umgesetztes Zero-Trust-System läuft für berechtigte Nutzer unauffällig im Hintergrund. Die Anmeldung ist oft sogar einfacher als vorher — ein einziger YubiKey-Touch ersetzt das Passwort. Erst wenn wirklich etwas Ungewöhnliches passiert, wird nachgefragt.
Der Unterschied zum klassischen Ansatz: Ein Angreifer, der irgendwie ins Netz gekommen ist, kann sich nicht mehr frei bewegen. Jeder seiner Schritte erzeugt eine neue Anfrage, die einzeln überprüft wird. Die Zeit, in der ein einziger erfolgreicher Login einem Eindringling Tage oder Wochen gibt, ist vorbei.
Kein blindes Vertrauen
Drei Fragen bei jedem Zugriff
Jedes Mal, wenn jemand in einem Zero-Trust-System auf etwas zugreifen möchte, stellt das System drei Fragen.
Die erste: Wer bist du wirklich? Das beantworten wir nicht mit einem Passwort — das könnte gestohlen sein — sondern mit einem Hardware-Schlüssel, den nur der echte Nutzer physisch besitzt.
Die zweite Frage: Ist dein Gerät in Ordnung? Ein Laptop, der seit Monaten keine Sicherheitsupdates bekommen hat, bekommt nicht denselben Zugriff wie ein aktuelles System. Das ist kein Misstrauen gegenüber dem Mitarbeiter, sondern eine realistische Einschätzung, dass ein kompromittiertes Gerät auch bei redlicher Absicht gefährlich wäre.
Die dritte Frage: Willst du etwas Ungewöhnliches? Wenn jemand plötzlich um drei Uhr nachts auf Daten zugreift, die sonst nur tagsüber gebraucht werden, oder von einem anderen Land aus, als es sonst üblich ist — dann darf das System zögern und nachfragen. Nicht blockieren, aber überprüfen. Das ist der Unterschied zwischen einem Schloss und einem Portier.
Die zweite Frage: Ist dein Gerät in Ordnung? Ein Laptop, der seit Monaten keine Sicherheitsupdates bekommen hat, bekommt nicht denselben Zugriff wie ein aktuelles System. Das ist kein Misstrauen gegenüber dem Mitarbeiter, sondern eine realistische Einschätzung, dass ein kompromittiertes Gerät auch bei redlicher Absicht gefährlich wäre.
Die dritte Frage: Willst du etwas Ungewöhnliches? Wenn jemand plötzlich um drei Uhr nachts auf Daten zugreift, die sonst nur tagsüber gebraucht werden, oder von einem anderen Land aus, als es sonst üblich ist — dann darf das System zögern und nachfragen. Nicht blockieren, aber überprüfen. Das ist der Unterschied zwischen einem Schloss und einem Portier.
Least Privilege im Alltag
Jeder bekommt genau, was er braucht — nicht mehr
Das Prinzip der minimalen Berechtigung klingt bürokratisch, ist aber in Wahrheit sehr einfach.
Statt einem Mitarbeiter pauschal Zugriff auf alle Kundendaten zu geben, bekommt er Zugriff auf die Daten, die er für seine aktuelle Aufgabe braucht. Nicht weniger, nicht mehr.
In einem Steuerberatungsbüro bedeutet das konkret: Der Mitarbeiter, der für Mandant A arbeitet, sieht die Daten von Mandant A — nicht die von Mandant B. Nicht weil wir ihm misstrauen, sondern weil es den Schaden begrenzt, falls sein Account jemals kompromittiert wird. Und falls er einmal die Daten von Mandant B braucht, kann er sie bekommen — das System protokolliert nur, dass er es tatsächlich getan hat.
Dieses Prinzip ist kein technischer Selbstzweck, sondern direkt die Erfüllung der DSGVO-Anforderung, dass Zugriffe nachvollziehbar und angemessen beschränkt sein müssen. Wer das dokumentiert hat, kann bei einer Prüfung entspannt bleiben.
In einem Steuerberatungsbüro bedeutet das konkret: Der Mitarbeiter, der für Mandant A arbeitet, sieht die Daten von Mandant A — nicht die von Mandant B. Nicht weil wir ihm misstrauen, sondern weil es den Schaden begrenzt, falls sein Account jemals kompromittiert wird. Und falls er einmal die Daten von Mandant B braucht, kann er sie bekommen — das System protokolliert nur, dass er es tatsächlich getan hat.
Dieses Prinzip ist kein technischer Selbstzweck, sondern direkt die Erfüllung der DSGVO-Anforderung, dass Zugriffe nachvollziehbar und angemessen beschränkt sein müssen. Wer das dokumentiert hat, kann bei einer Prüfung entspannt bleiben.
Die Werkzeuge
Hardware-Schlüssel und private Netze
Die gute Nachricht: Zero Trust erfordert keine jahrelangen Umstellungsprojekte.
Mit zwei Werkzeugen lassen sich die wichtigsten Prinzipien schon heute in jedem KMU umsetzen.
Das erste Werkzeug ist ein Hardware-Sicherheitsschlüssel — ein kleines Stück Hardware, das am USB- oder NFC-Port anliegt und bei jedem Login kurz berührt wird. Damit ist sichergestellt, dass nicht nur das Passwort stimmt, sondern der echte Nutzer physisch anwesend ist. Selbst ein gestohlenes Passwort nützt dem Angreifer dann nichts mehr.
Das zweite Werkzeug ist ein verschlüsseltes privates Netzwerk, das alle Mitarbeiter unabhängig von ihrem Standort sicher miteinander verbindet. Homeoffice, Außendienst, Dienstreise — der Zugriff auf Firmensysteme funktioniert überall gleich, und Angreifer aus dem öffentlichen Internet kommen nicht an die sensiblen Systeme heran.
Das erste Werkzeug ist ein Hardware-Sicherheitsschlüssel — ein kleines Stück Hardware, das am USB- oder NFC-Port anliegt und bei jedem Login kurz berührt wird. Damit ist sichergestellt, dass nicht nur das Passwort stimmt, sondern der echte Nutzer physisch anwesend ist. Selbst ein gestohlenes Passwort nützt dem Angreifer dann nichts mehr.
Das zweite Werkzeug ist ein verschlüsseltes privates Netzwerk, das alle Mitarbeiter unabhängig von ihrem Standort sicher miteinander verbindet. Homeoffice, Außendienst, Dienstreise — der Zugriff auf Firmensysteme funktioniert überall gleich, und Angreifer aus dem öffentlichen Internet kommen nicht an die sensiblen Systeme heran.
YubiKey & FIDO2
Der Schlüssel, den niemand stehlen kann
Ein YubiKey sieht aus wie ein kleiner USB-Stick, ist aber im Grunde ein sehr spezialisierter Computer.
Er speichert kryptografische Schlüssel, die das Gerät niemals verlassen. Wenn Sie sich bei einem geschützten Dienst anmelden, berührt der Schlüssel den Dienst und beweist auf mathematisch nachprüfbare Weise, dass er der echte ist.
Das klingt abstrakt, ist im Alltag aber unauffällig. Sie öffnen Ihren Laptop, berühren kurz den Schlüssel am USB-Port oder halten ihn ans Handy, und fertig. Keine Passwörter tippen, keine Codes eintippen, keine SMS warten. Schneller als die alte Methode und unvergleichlich sicherer.
Wenn Sie den YubiKey verlieren, ist das kein Drama. Jeder Nutzer bekommt standardmäßig zwei — einen am Schlüsselbund, einen im Safe. Geht einer verloren, sperren Sie ihn in zwei Minuten und setzen den Ersatz ein. Gestohlen nützt er dem Dieb nichts — er ist auf Ihre digitale Identität gebunden und anderswo wertlos.
Unser Kurs liefert jedem Teilnehmer zwei YubiKeys mit. Sie lernen an Ihren eigenen, richtig eingerichteten Geräten, nicht an fiktiven Beispielen.
Das klingt abstrakt, ist im Alltag aber unauffällig. Sie öffnen Ihren Laptop, berühren kurz den Schlüssel am USB-Port oder halten ihn ans Handy, und fertig. Keine Passwörter tippen, keine Codes eintippen, keine SMS warten. Schneller als die alte Methode und unvergleichlich sicherer.
Wenn Sie den YubiKey verlieren, ist das kein Drama. Jeder Nutzer bekommt standardmäßig zwei — einen am Schlüsselbund, einen im Safe. Geht einer verloren, sperren Sie ihn in zwei Minuten und setzen den Ersatz ein. Gestohlen nützt er dem Dieb nichts — er ist auf Ihre digitale Identität gebunden und anderswo wertlos.
Unser Kurs liefert jedem Teilnehmer zwei YubiKeys mit. Sie lernen an Ihren eigenen, richtig eingerichteten Geräten, nicht an fiktiven Beispielen.
Verschlüsselte Netze
Ihr Büro ist überall — sicher
Moderne Arbeit findet nicht mehr nur am Schreibtisch im Firmenbüro statt.
Mitarbeiter arbeiten vom Heimbüro aus, am Flughafen, im Kaffeehaus, bei Kunden. Jeder dieser Orte nutzt ein anderes Internet, und in vielen Fällen ist dieses Internet nicht vertrauenswürdig.
Ein verschlüsseltes privates Netzwerk löst das elegant. Alle Mitarbeiter und alle Firmenserver sind Teil desselben verschlüsselten Netzes, egal wo sie gerade physisch sind. Der Zugriff auf Firmensysteme funktioniert vom Heimoffice genauso wie vom Schreibtisch — und für Außenstehende ist dieses Netz unsichtbar.
Im Kurs zeigen wir, wie Sie ein solches Netz für Ihr Unternehmen aufsetzen. Der Aufwand ist deutlich geringer, als man annehmen würde — moderne Werkzeuge erledigen die komplizierten Teile automatisch. Was bleibt, ist eine Konfiguration, die jeder IT-versierte Mitarbeiter Ihres Unternehmens nachvollziehen und bei Bedarf anpassen kann.
Ein verschlüsseltes privates Netzwerk löst das elegant. Alle Mitarbeiter und alle Firmenserver sind Teil desselben verschlüsselten Netzes, egal wo sie gerade physisch sind. Der Zugriff auf Firmensysteme funktioniert vom Heimoffice genauso wie vom Schreibtisch — und für Außenstehende ist dieses Netz unsichtbar.
Im Kurs zeigen wir, wie Sie ein solches Netz für Ihr Unternehmen aufsetzen. Der Aufwand ist deutlich geringer, als man annehmen würde — moderne Werkzeuge erledigen die komplizierten Teile automatisch. Was bleibt, ist eine Konfiguration, die jeder IT-versierte Mitarbeiter Ihres Unternehmens nachvollziehen und bei Bedarf anpassen kann.
Unser Kurs
Ein Tag. Zehn Personen. Alles dabei.
Wir schulen Ihr Unternehmen kompakt an einem einzigen Tag.
Maximal zehn Teilnehmer — weil alles darüber hinaus den persönlichen Austausch verdünnt, der den Unterschied macht zwischen einem Seminar und einer nützlichen Schulung.
Der Kurs ist so konzipiert, dass Sie nicht mit abstrakten Folien konfrontiert werden, sondern mit Ihren eigenen realen Geräten arbeiten. Am Ende des Tages haben die Teilnehmer ihre YubiKeys eingerichtet, kennen die Notfallprozeduren und haben ein verschlüsseltes Firmennetz aktiv getestet. Kein Kurszertifikat, das in der Schublade verstaubt — sondern ein Unternehmen, das am nächsten Tag sicherer arbeitet als am Tag zuvor.
Der Kurs findet bei Ihnen vor Ort statt — oder bei uns in Wien, je nach Ihren Wünschen.
Der Kurs ist so konzipiert, dass Sie nicht mit abstrakten Folien konfrontiert werden, sondern mit Ihren eigenen realen Geräten arbeiten. Am Ende des Tages haben die Teilnehmer ihre YubiKeys eingerichtet, kennen die Notfallprozeduren und haben ein verschlüsseltes Firmennetz aktiv getestet. Kein Kurszertifikat, das in der Schublade verstaubt — sondern ein Unternehmen, das am nächsten Tag sicherer arbeitet als am Tag zuvor.
Der Kurs findet bei Ihnen vor Ort statt — oder bei uns in Wien, je nach Ihren Wünschen.
Was Sie lernen
Vom Prinzip zum Alltag — an einem Tag
Der Tag teilt sich in drei Phasen: Warum, Wie, Was-wenn.
Der Vormittag beginnt mit dem Warum. Welche Bedrohungen gibt es konkret, welche haben in den letzten Monaten in Österreich Unternehmen wie Ihres getroffen, und welche Muster ziehen sich durch erfolgreiche Angriffe. Das ist kein Schockprogramm, sondern eine nüchterne Lagebeurteilung.
Im Hauptteil des Vormittags richten alle Teilnehmer gemeinsam ihre YubiKeys ein. Jeder bekommt zwei Schlüssel, einen Hauptschlüssel und einen Notfallschlüssel. Wir konfigurieren sie an den tatsächlichen Diensten, die Sie im Alltag nutzen — Microsoft 365, Google Workspace, Online-Banking, soweit möglich. Bis zur Mittagspause sind alle Teilnehmer mit funktionierenden Hardware-Schlüsseln ausgestattet.
Der Nachmittag widmet sich dem verschlüsselten Firmennetz. Wir installieren gemeinsam die Software auf allen Geräten, richten die Verbindungen ein, testen Zugriffe aus simuliertem Homeoffice und erklären die Verwaltung. Am Ende des Tages haben Sie ein funktionierendes System, kein Konzept.
Den Abschluss bildet ein kurzer Abschnitt über Notfallpläne — was tun, wenn ein Schlüssel verloren geht, wenn ein Mitarbeiter das Unternehmen verlässt, wenn ein Gerät kompromittiert scheint. Praxis, keine Theorie.
Im Hauptteil des Vormittags richten alle Teilnehmer gemeinsam ihre YubiKeys ein. Jeder bekommt zwei Schlüssel, einen Hauptschlüssel und einen Notfallschlüssel. Wir konfigurieren sie an den tatsächlichen Diensten, die Sie im Alltag nutzen — Microsoft 365, Google Workspace, Online-Banking, soweit möglich. Bis zur Mittagspause sind alle Teilnehmer mit funktionierenden Hardware-Schlüsseln ausgestattet.
Der Nachmittag widmet sich dem verschlüsselten Firmennetz. Wir installieren gemeinsam die Software auf allen Geräten, richten die Verbindungen ein, testen Zugriffe aus simuliertem Homeoffice und erklären die Verwaltung. Am Ende des Tages haben Sie ein funktionierendes System, kein Konzept.
Den Abschluss bildet ein kurzer Abschnitt über Notfallpläne — was tun, wenn ein Schlüssel verloren geht, wenn ein Mitarbeiter das Unternehmen verlässt, wenn ein Gerät kompromittiert scheint. Praxis, keine Theorie.
Ablauf und Termine
So vereinbaren wir den Termin
Der Ablauf ist schlank.
In einem Vorgespräch — meist 30 Minuten telefonisch oder per Videocall — klären wir Ihre konkrete IT-Landschaft. Welche Dienste nutzen Ihre Mitarbeiter täglich, welche Geräte sind im Einsatz, gibt es bereits Teile einer Sicherheitsinfrastruktur. Aus diesen Informationen erstellen wir einen angepassten Kursplan — damit am Kurstag jede Minute auf Ihre Realität passt und nicht auf eine generische Vorlage.
Nach dem Vorgespräch legen wir gemeinsam einen Termin fest. Üblicherweise bieten wir zwei bis drei Terminvorschläge innerhalb der nächsten vier Wochen.
Kontaktieren Sie uns für ein unverbindliches Vorgespräch. Der einfachste Weg ist, einen Termin direkt online zu buchen — im Meetergo-Kalender finden Sie Zeitfenster, die bereits für solche Vorgespräche reserviert sind.
Bis zum Schulungstag haben Sie Zugang zu einer kurzen Vorbereitungsmail mit wenigen Minuten Lektüre. Das ist alles, was Sie im Vorfeld tun müssen — der Rest passiert am Kurstag.
Nach dem Vorgespräch legen wir gemeinsam einen Termin fest. Üblicherweise bieten wir zwei bis drei Terminvorschläge innerhalb der nächsten vier Wochen.
Kontaktieren Sie uns für ein unverbindliches Vorgespräch. Der einfachste Weg ist, einen Termin direkt online zu buchen — im Meetergo-Kalender finden Sie Zeitfenster, die bereits für solche Vorgespräche reserviert sind.
Bis zum Schulungstag haben Sie Zugang zu einer kurzen Vorbereitungsmail mit wenigen Minuten Lektüre. Das ist alles, was Sie im Vorfeld tun müssen — der Rest passiert am Kurstag.