Die Basis-Routine (für alle)

Diese Routine dauert ca. 30 Minuten pro Woche – und bringt Stabilität, Überblick und Sicherheit in den Alltag.

1. Updates prüfen und ausführen (10 Min/Woche)

• Betriebssystem (Windows/macOS)
• Office-Programme (z. B. Microsoft 365)
• Internetbrowser (Chrome, Firefox, Edge)
• Virenschutz / Defender / Firewall

Wichtig:

Auch bei automatischen Updates 1x pro Woche kurz reinschauen. Es kann sein, dass ein Update bereitsteht – aber nicht installiert wird, solange der Rechner nicht neu gestartet wird.

2. Backup kurz kontrollieren (5 Min/Woche)

• Läuft das Backup wirklich?
• Ist es aktuell? (z. B. „Letzte Sicherung: gestern 19:43 Uhr“)
• Sind alle wichtigen Ordner/Dateien enthalten?

Wenn Du ein Cloud-Backup nutzt (z. B. OneDrive): Schau nach, ob die wichtigsten Ordner synchronisiert wurden. Wenn Du ein externes Laufwerk nutzt: Ist es angeschlossen?

3. Support-Anlaufstellen sichtbar machen (5 Min)

• Wer hilft intern bei IT-Problemen?
• Wie erreichst Du den Support von PLUS UND PLUS?
• Hängt ein Zettel mit den wichtigsten Kontakten am Arbeitsplatz oder im Teamraum?

Ein laminiertes A5-Blatt mit Support-Mail, Telefonnummer und zwei Beispielanliegen wirkt Wunder – gerade, wenn mal Stress aufkommt.

4. Kleine Reminder – für digitale Hygiene (wöchentlich)

• Papierkorb leeren
• E-Mail-Anhänge löschen, die Du nicht mehr brauchst
• Veraltete Kopien oder Downloads durchsehen
• Kurz überlegen: Ist mein Passwort für das Microsoft-Konto stark und sicher?

Ein kleines Post-it am Monitor kann genügen:„Montag = Kurz-Check“.

5. Monatlich: 30-Minuten-Aufräumrunde

• Welche Tools oder Apps nutzen wir nicht mehr?
• Sind die richtigen Leute in den richtigen Gruppen (z. B. SharePoint, Teams)?
• Haben wir Dateien doppelt gespeichert oder verwaiste Ordner?
• Gibt es Themen, bei denen wir uns ständig fragen: „Wie machen wir das nochmal?“
  → aufschreiben, klären.

Diese Runde lohnt sich besonders, wenn neue Leute ins Team kommen oder jemand das Team verlässt 

Und wenn es doch mal etwas mehr sein darf…

Diese IT-Routine deckt viel ab – aber nicht alles.

Sicherheitslücken entstehen oft da, wo niemand mehr hinschaut:

• Wer hat worauf Zugriff – auch noch nach dem Austritt?
• Gibt es noch alte Freigabelinks, die öffentlich zugänglich sind?
• Reicht OneDrive als Backup wirklich aus, wenn es mal brennt?

Das sind wichtige Fragen – und wir helfen Dir gern, sie in Ruhe und mit Augenmass zu klären.

Nicht mit Angst, sondern mit Lösungen, die zu Euch passen.

Was fehlt in der bisherigen Routine – aus Sicht der IT-Sicherheit?

1. Keine regelmässige Rechteprüfung auf Benutzer- & Gruppenebene

Warum das wichtig ist:

• Oft haben Mitarbeitende zu viele Berechtigungen,
  z. B. auf ganze SharePoint-Bibliotheken, Kalender, E-Mail-Postfächer.

• Ohne jährlichen Abgleich entstehen stille Risiken,
  z. B. durch ehemalige Praktikant:innen mit aktivem Zugang.

Ergänzung:

• Mind. 1x pro Quartal: Nutzer- und Gruppenrechte gemeinsam mit einem Admin durchgehen.

2. Keine Überwachung verdächtiger Aktivitäten (Audit Logs)

Warum das wichtig ist:

• Wenn jemand extern ins Konto einbricht oder intern absichtlich Daten verändert,
  merkt es meist niemand.

• Microsoft 365 bietet hier mit Security Logs & Benachrichtigungen bereits viele Werkzeuge.

Ergänzung:

• Aktivierung der Unified Audit Logs
• Benachrichtigung bei Anmeldungen von ungewöhnlichen Orten
• Integration in Microsoft Defender oder Drittanbieter-SIEM bei komplexeren Strukturen

3. Kein definierter Plan für den Fall eines Sicherheitsvorfalls

Warum das wichtig ist:

• Viele Organisationen wissen nicht, was zu tun ist, wenn z. B. Ransomware zuschlägt oder eine Mail mit Schadsoftware geöffnet wurde. Dann wird wertvolle Zeit vergeudet.

Ergänzung:

• Sofortmassnahmenplan (A4, sichtbar und intern verteilt)
• Notfallkontakte, Zugriffssperre, Kommunikationsstrategie
• Übungssimulation 1x jährlich

4. Kein regelmässiger Software-Inventar-Check

Warum das wichtig ist:

• Veraltete Tools oder nicht mehr gepflegte Programme (z. B. alte PDF-Viewer oder Browsererweiterungen) sind Sicherheitslücken. Niemand patcht ein Tool, das keiner mehr nutzt.

Ergänzung:

• 1x pro Quartal: Liste installierter Programme durchgehen
• Mindestens: Systeme auf EOL-Status prüfen (z. B. Windows 10 Support-Ende beachten)

5. Fehlende Kontrolle externer Freigaben in OneDrive/SharePoint

Warum das wichtig ist:

• Freigabelinks, die „für alle mit dem Link“ aktiv sind – oft über Monate hinweg – sind ein massives Risiko. Besonders bei sensiblen Daten.

Ergänzung:

• Regelmässige Überprüfung aktiver Freigaben
• Nutzung von Ablaufdaten + gezielten Berechtigungen
• Admin-Review: „Welche Dateien sind extern geteilt?“ (Bericht verfügbar in M365)

6. Kein echtes, versionsgetrenntes Backup

Warum das wichtig ist:

• OneDrive/SharePoint sind Synchronisierungsdienste, kein vollwertiges Backup. Gelöschte oder verschlüsselte Daten werden mitgesynct – auch im „Papierkorb“ ist irgendwann Schluss.

Ergänzung:

• Einsatz einer echten Backup-Lösung für Microsoft 365 (z. B. Datatrust Backup)
• Backupregel: mind. 1x täglich, mehrere Versionen, Speicher ausserhalb von M365

7. Kein Rollenkonzept / Trennung zwischen normalen Nutzern und Admins

Warum das wichtig ist:

• Wenn alle Adminrechte haben oder Admin-Zugänge gemeinsam genutzt werden, steigt das Risiko von Fehlkonfiguration und Missbrauch enorm.

Ergänzung:

• Maximal 2–3 Admin-Konten (namentlich vergeben)
• Kein Admin-Konto als regulärer Login
• Protokollierte Admin-Aktivitäten (Audit aktiviert)

Was die bestehende Routine kann – und was ergänzt werden muss