Prüfen Sie in rund 10 Minuten, wie gut Ihr Wohnungsunternehmen auf einen Cyber-Vorfall vorbereitet ist – von den Mieterdaten bis zur Mietabrechnung. Erkennen Sie Risiken, machen Sie Lücken sichtbar und priorisieren Sie die nächsten sinnvollen Schritte. Digital ausfüllbar, druckoptimiert und als PDF speicherbar.
Fünf praktische Bereiche zeigen, wo Ihr Wohnungsunternehmen gut aufgestellt ist und wo noch Lücken bestehen. So entsteht echte Cyber-Resilienz: Risiken früher erkennen, strukturierter reagieren und die nächsten Maßnahmen klar priorisieren.
| ✓ | # | Prüfpunkt | Warum wichtig? | Punkte 0 / 1 / 2 |
|---|---|---|---|---|
| 1.1 | MFA für E-Mail, Cloud & Fernzugriff aktiv Mehrfaktor-Authentifizierung ist für alle Cloud-Dienste, E-Mail-Konten und Remote-Zugänge aktiviert. |
80 % der Kontoübernahmen werden durch MFA verhindert, der wichtigste Einzelschutz. |
||
| 1.2 | Regelmäßige Updates & Patch-Management Betriebssysteme, Software und Firmware werden zeitnah aktualisiert (max. 2 Wochen nach Freigabe). |
60 % der Angriffe nutzen bekannte Schwachstellen, für die bereits Patches existieren. |
||
| 1.3 | Offline-Backups mit getesteter Wiederherstellung Regelmäßige Backups, offline gespeichert (nicht ständig erreichbar). Die Wiederherstellung wurde getestet. |
Bei Ransomware ist ein getestetes Backup oft der einzige Weg zurück, ganz ohne Lösegeld. |
||
| 1.4 | Zugriffe nach Bedarf begrenzt (Least Privilege) Mitarbeiter haben nur Zugriff auf benötigte Systeme und Daten. Admin-Rechte sind auf das Nötigste reduziert. |
Kompromittierte Accounts richten weniger Schaden an, wenn Zugriffsrechte begrenzt sind. |
||
| 1.5 | Dark-Web-Monitoring für die Unternehmensdomäne Es wird überwacht, ob Zugangsdaten Ihres Hauses (Mitarbeiter- und Verwaltungskonten) im Dark Web auftauchen. |
22 % aller Angriffe beginnen mit gestohlenen Zugangsdaten aus früheren Leaks (Verizon DBIR 2025). |
| ✓ | # | Prüfpunkt | Warum wichtig? | Punkte 0 / 1 / 2 |
|---|---|---|---|---|
| 2.1 | Regelmäßige Security-Awareness-Schulungen Alle Mitarbeiter werden mind. 2× jährlich zu aktuellen Bedrohungen geschult: Phishing, CEO Fraud, Deepfakes, sichere Passwörter. |
Der Mensch ist das Hauptziel. KI-Angriffe erfordern regelmäßig aktualisierte Schulungsinhalte. |
||
| 2.2 | Klarer Meldeprozess für verdächtige E-Mails & Anrufe Alle Mitarbeiter kennen den genauen Weg, wie und wo sie verdächtige Nachrichten oder Anrufe melden. Es gibt eine klare Anlaufstelle. |
Ohne Meldeprozess werden Angriffe oft nicht oder zu spät erkannt, wertvolle Zeit geht verloren. |
||
| 2.3 | Verifikationsprozess für Überweisungen & Zugangsdaten Klare Regel: keine Überweisung und keine Änderung einer Bankverbindung (z. B. von Handwerkern oder Dienstleistern) auf Basis einer einzelnen E-Mail oder eines Anrufs. Immer Rückruf auf die bekannte Nummer. |
Gefälschte Rechnungen mit geänderter IBAN sind in der Wohnungswirtschaft ein Hauptrisiko und verursachen jährlich Millionenschäden. |
||
| 2.4 | Mitarbeiter kennen KI-Deepfake-Risiken Mitarbeiter wissen, dass KI Stimmen und Videos täuschend echt klonen kann, und wie sie verdächtige Anfragen verifizieren. |
Deepfake-Angriffe stiegen Q1 2025 um 1.100 %. „Klingt wie der Chef" ist kein Beweis mehr. |
||
| 2.5 | Passwort-Policy & Passwort-Manager Starke Passwörter sind Pflicht, ein Passwort-Manager ist im Einsatz, keine Wiederverwendung. Bei Verdacht sofortige Änderung. |
Passwortangriffe treffen 21 % aller Unternehmen, mit Passwort-Manager praktisch eliminierbar. |
| ✓ | # | Prüfpunkt | Warum wichtig? | Punkte 0 / 1 / 2 |
|---|---|---|---|---|
| 3.1 | Schriftlicher Notfallplan, offline verfügbar Dokumentierter Notfallplan für Cyber-Vorfälle, auch gedruckt/offline vorhanden, nicht nur auf einem ggf. verschlüsselten Server. |
Beispiel Senftenberg (Wohnungsgesellschaft, 2025): Das komplette IT-Netz musste herunter – ohne Offline-Plan wird die Reaktion chaotisch. |
||
| 3.2 | Klare Rollen: Wer entscheidet, wer kommuniziert? Im Notfall ist definiert: Wer schaltet Systeme ab? Wer informiert Mieter, Aufsichtsrat/Vertreter & Behörden? Wer kommuniziert intern? Dokumentiert und bekannt. |
Ohne klare Rollen verliert man im Ernstfall 12–24 Stunden, der Schaden wächst exponentiell. |
||
| 3.3 | Externe Notfallkontakte bekannt & erreichbar Kontakte zu IT-Dienstleister, Cyberversicherung, CERT.at, Datenschutzbehörde und Polizei/Cybercrime-Meldestelle sind offline gespeichert. |
Im Notfall will man nicht googeln. Nummern müssen sofort griffbereit sein, auch ohne Internet. |
||
| 3.4 | Notfall-Kommunikationskanal für das Team Alternativer Kommunikationsweg, wenn E-Mail und interne Systeme ausfallen (z. B. Signal-/WhatsApp-Gruppe, Liste mit Privatnummern). |
Wenn E-Mail und IT weg sind (wie in Senftenberg), gelingt die Koordination nur über einen Backup-Kanal. |
||
| 3.5 | Notfallplan wurde mind. 1× geübt / simuliert Der Plan wurde in einer Übung getestet. Die Beteiligten kennen ihre Rollen und haben sie mind. einmal durchgespielt. |
Ein nie geübter Plan funktioniert im Ernstfall meist nicht. Üben senkt die Reaktionszeit um bis zu 70 %. |
| ✓ | # | Prüfpunkt | Warum wichtig? | Punkte 0 / 1 / 2 |
|---|---|---|---|---|
| 4.1 | Logging & Protokollierung kritischer Systeme Anmelde- und Zugriffsversuche auf kritische Systeme (z. B. Wohnungswirtschafts-/ERP-Software mit Mieter- und Objektdaten) werden protokolliert und regelmäßig geprüft. Anomalien werden erkannt. |
Angreifer sind im Schnitt 207 Tage im Netzwerk, bevor sie entdeckt werden. Logs helfen, früher zu reagieren. |
||
| 4.2 | DSGVO-Meldepflicht bei Datenpannen bekannt Die 72-Stunden-Meldepflicht (DSGVO) bei einer Panne mit Mieter- oder Mitarbeiterdaten ist bekannt. Die zuständige Ansprechstelle bei der österreichischen Datenschutzbehörde ist bekannt. |
Nicht gemeldete Vorfälle können Bußgelder bis 4 % des Jahresumsatzes nach sich ziehen. |
||
| 4.3 | Threat-Intelligence / Security-Newsletter abonniert Führung oder IT erhält regelmäßig Informationen zu aktuellen Bedrohungen (z. B. CERT.at, Herstellerwarnungen und seriöse Security-Newsletter). |
Wer aktuelle Bedrohungen kennt, handelt proaktiv statt reaktiv. |
||
| 4.4 | Rollen & Zugänge mind. 1×/Jahr überprüft Mind. jährliche Prüfung, wer welche Zugänge hat, besonders bei Mitarbeiterwechsel. Ausgeschiedene werden sofort deaktiviert. |
Veraltete Zugänge ehemaliger Mitarbeiter sind ein unterschätztes, leicht missbrauchbares Risiko. |
| ✓ | # | Prüfpunkt | Warum wichtig? | Punkte 0 / 1 / 2 |
|---|---|---|---|---|
| 5.1 | Dienstleister-Zugänge bekannt und kontrolliert Liste aller externen Dienstleister mit Systemzugang (z. B. Wohnungswirtschafts-Software, Messdienst, Steuerberater, IT, Hausmeister-Tools). Zugänge werden nach Projektende deaktiviert und regelmäßig geprüft. |
40 % der Angriffe kommen über Dienstleister – oft über den gemeinsamen IT-Dienstleister (wie 2021 bei der Wohnungsgesellschaft Schwerin). |
||
| 5.2 | Auftragsverarbeitung & DSGVO-Verträge (AVV) Für alle Dienstleister, die Mieter- oder Mitarbeiterdaten verarbeiten (z. B. Messdienst, Abrechnungs- und IT-Dienstleister), existieren aktuelle AVV nach DSGVO. |
Ohne AVV haften Sie für Datenpannen beim Dienstleister, auch ohne eigenes Verschulden. |
||
| 5.3 | Kritische Prozesse ohne IT durchführbar Kernprozesse der Hausverwaltung (Mietabrechnung, Nebenkostenabrechnung, Mieterkommunikation, Zahlungsläufe) lassen sich im Notfall analog oder mit minimaler IT fortführen. |
Senftenberg: wochenlanger IT-Ausfall. Ohne Notbetrieb steht die Hausverwaltung komplett still. |
||
| 5.4 | Cyberversicherung geprüft oder vorhanden Es wurde geprüft, ob eine Cyberversicherung sinnvoll und finanzierbar ist. Deckungssumme und Leistungen sind bekannt. |
Ø Ransomware-Schaden bei mittelständischen Unternehmen: 250.000–2 Mio. €. Ohne Versicherung oft existenzbedrohend. |
Tragen Sie bei jedem Prüfpunkt 0, 1 oder 2 ein. Kategorie-Punkte, Gesamtscore und Ampel werden automatisch berechnet.
Die Checkliste zeigt, wo Risiken und Lücken liegen. Im kostenlosen Erstgespräch ordnen wir Ihr Ergebnis ein und priorisieren die nächsten sinnvollen Schritte, realistisch und passend zu Ihrem Wohnungsunternehmen.
Online · Deutschland & Österreich
📅 Termin jetzt buchen