ideaDIGITAL — Header v17 (Pilot)
Digitale Sicherheit — ideaDIGITAL

Nicht das Ziel.
Trotzdem geschützt.

Kleine und mittelständische Betriebe sind selten das geplante Ziel von Cyberangriffen. Sie sind aber, statistisch gesehen, das einfachste Opfer. Wir richten das ein, was dazwischenliegt: drei Schichten, die in Ruhe ihre Arbeit machen — damit Ihr Geschäft die Welt weiter unbemerkt von Phishing, Spam und Datenverlust durchläuft.

Im Webseite-Service ab 59 € netto / Monat bereits inklusive. Diese Seite erklärt, was darin steckt — und warum kein einzelner Punkt davon Ihnen extra in Rechnung gestellt wird.
Zur Webseite-Leistung Sechs Bausteine ansehen
Realitätscheck

„Die Frage ist nicht, ob Unternehmen angegriffen werden,
sondern wann — und ob sie die Angriffe abwehren können."

— Dr. Ralf Wintergerst, Bitkom-Präsident, September 2025

87%
aller Unternehmen betroffen

In den letzten zwölf Monaten erlebten 87 % aller deutschen Unternehmen Datendiebstahl, Spionage oder Sabotage.

Quelle: Bitkom Wirtschaftsschutz 2025
80%
der Vorfälle treffen KMU

Rund 80 % der beim BSI gemeldeten Vorfälle betrafen kleine und mittlere Unternehmen — meist über Phishing oder Ransomware.

Quelle: BSI Lagebericht 2025
84%
aller Angriffe per Phishing

84 % aller erfolgreichen Cyberangriffe beginnen mit Phishing — meist einer einzelnen falschen E-Mail an die richtige Person.

Quelle: TÜV Cybersecurity-Studie 2025

Das ist keine Panikmache. Es ist die schlichte Lage. Und sie hat einen Vorteil: Wer nicht das Ziel ist, sondern nur Beifang, kann sich mit überschaubarem Aufwand sehr wirkungsvoll schützen. Genau das ist unser Job.

Unser Ansatz

Drei Schichten,
die zusammenwirken.

Sicherheit funktioniert wie eine Zwiebel — und wie eine Zwiebel hat sie keinen Sinn, wenn nur eine Schale da ist. Wir bauen alle drei für Sie auf. Jede einzeln eingerichtet, gemeinsam wirksam.

01 Eingehende Bedrohungen

Was draußen bleibt,
muss niemand abwehren.

Die erste Schicht filtert, was reinkommen will. Mails werden auf Phishing geprüft, gefälschte Absender geblockt, die Webseite gegen Brute-Force-Versuche gehärtet. Das passiert technisch und vollautomatisch — ohne dass jemand bei Ihnen aktiv werden muss.

  • DMARC, SPF und DKIM korrekt eingerichtet
  • Spam-Filter auf Mailserver-Ebene
  • WordPress-Login mit 2FA und Brute-Force-Block
  • Login-URL maskiert, nicht öffentlich erratbar
02 Schaden begrenzen

Wenn doch was durchkommt,
ist es nicht das Ende.

Die zweite Schicht greift, wenn die erste umgangen wurde. Sie sorgt dafür, dass ein Vorfall kein Drama wird, sondern eine Verzögerung. Backups, Notfallplan, klare Wiederanlauf-Prozedur. Niemand muss bei null anfangen.

  • Tägliches Backup nach 3-2-1-Regel
  • Wiederanlauf in unter 4 Stunden
  • Notfall-Plan auf einer A4-Seite
  • Klare Kommunikationskette im Ernstfall
03 Menschen, die mitarbeiten

Technik schützt nicht
vor falschen Klicks.

Die dritte Schicht ist die wichtigste — und gleichzeitig die, die am häufigsten vergessen wird. 84 % aller erfolgreichen Angriffe nutzen den Menschen, nicht die Technik. Wir machen Ihr Team so wachsam, dass es ein gefälschtes Logo erkennt, bevor es klickt.

  • Zwei-Faktor-Authentifizierung für alle Konten
  • Passwort-Manager eingerichtet und erklärt
  • Quartals-Briefing mit aktuellen Phishing-Beispielen
  • Pflicht-Check: kompromittierte E-Mail-Adressen
Sechs konkrete Bausteine

Was genau wir einrichten —
und warum es wirkt.

Sechs Bausteine, in zwei mal drei Spalten. Jeder ein eigenständiger Schutzmechanismus, alle zusammen das vollständige Bild. Jeder Baustein einmal eingerichtet, dann läuft er. Keine vagen „Beratungsleistungen", sondern konkrete Dinge, von denen Sie sehen, dass sie da sind.

Baustein 01 · Eingang

Spam & Phishing-Härtung

Wir richten DMARC, SPF und DKIM für Ihre Domain ein. Das sind drei technische Standards, die Mailservern sagen: „Diese E-Mail kommt wirklich von uns, alles andere ist Fälschung."

Ergebnis: Niemand kann sich mehr als Sie ausgeben. Phishing-Mails, die scheinbar von info@ihre-firma.de kommen, landen bei Empfängern direkt im Spam-Ordner oder werden gar nicht erst zugestellt.

Fakt: 41 % aller Bankinstitute weltweit haben noch keinen DMARC-Schutz. Bei deutschen Mittelständlern ist die Quote deutlich höher. Quelle: PowerDMARC Statistiken 2026
Ratgeber: Phishing erkennen
Baustein 02 · Eingang

Webseiten-Härtung

Die Standard-Login-URL einer WordPress-Seite ist /wp-admin. Das wissen alle Angreifer. Bei Ihnen heißt sie etwas anderes — nur Sie und wir kennen den Pfad.

Dazu: Brute-Force-Block (drei falsche Logins, dann 24-Stunden-Sperre der IP), Zwei-Faktor-Authentifizierung für alle Admin-Zugänge, und eine Web Application Firewall, die typische Angriffsmuster automatisch erkennt und abweist.

Fakt: Webseiten ohne Login-Maskierung werden im Schnitt 27-mal pro Tag automatisiert angegriffen — oft, ohne dass es jemand merkt. Quelle: BSI-Berichte zu WordPress-Angriffsvektoren
Mehr zur laufenden Wartung
Baustein 03 · Schaden begrenzen

Backup-Konzept (3-2-1)

Die 3-2-1-Regel ist seit Jahrzehnten der Goldstandard: 3 Kopien Ihrer Daten, auf 2 verschiedenen Medien, davon 1 außer Haus. So überleben Ihre Daten auch einen Brand, einen Diebstahl, einen verschlüsselten Server.

Bei uns konkret: tägliches Backup Ihrer Webseite und Datenbank, gespeichert beim deutschen Hoster (webgo) UND zusätzlich verschlüsselt in einer zweiten Cloud. Wiederherstellung in unter 4 Stunden möglich.

Fakt: 34 % aller Unternehmen waren in den letzten zwölf Monaten von Ransomware betroffen — ohne intaktes Backup wäre das oft das Aus. Quelle: Bitkom Wirtschaftsschutz 2025
Unsere Hosting-Partner
Baustein 04 · Schaden begrenzen

Notfall-Plan auf A4

Im Ernstfall ist niemand bei klarem Kopf. Deshalb gibt es bei uns für jeden Auftraggeber einen Notfall-Plan auf einer A4-Seite. Wer ruft wen an, welches Passwort liegt wo, welche Anbieter sind zu informieren, in welcher Reihenfolge.

Ausgedruckt, im Aktenordner. Nicht im Cloud-Tool, das im Ernstfall vielleicht gerade nicht erreichbar ist. Jährlich gemeinsam aktualisiert.

Fakt: Die durchschnittliche Erkennungszeit einer Cyber-Kompromittierung liegt bei 207 Tagen — ein Notfall-Plan halbiert die Schadensdauer im Schnitt. Quelle: IBM Cost of a Data Breach Report 2025
Baustein 05 · Menschen

Account-Sicherheit & 2FA

Ein einziges geklautes Passwort ist heute der häufigste Einstieg in Firmennetze. Lösung: Zwei-Faktor-Authentifizierung für alle wichtigen Konten — Mail, Cloud, Bank, WordPress-Admin.

Wir richten Ihnen einen Passwort-Manager ein (1Password oder Bitwarden), erklären die Bedienung in 30 Minuten, und prüfen einmalig per haveibeenpwned.com, ob Ihre E-Mail-Adressen schon einmal in geleakten Datensätzen aufgetaucht sind.

Fakt: 18,6 Millionen deutsche Konten waren 2025 in Datenlecks betroffen — Deutschland liegt weltweit auf Platz 4. Quelle: Surfshark / All About Security 2025
Baustein 06 · Menschen

Quartals-Awareness

Einmal im Quartal verschicken wir Ihnen einen 1-Pager mit aktuellen Phishing-Beispielen aus Ihrer Branche — konkret, mit Screenshots, mit Erklärungen, was die Indizien sind. Kein Schulungs-Marathon, sondern ein vier-Minuten-Lesetest für Ihr Team.

So bleiben die Reflexe scharf. Wer einmal pro Quartal einen aktuellen Trick gesehen hat, fällt seltener auf die nächste Welle herein.

Fakt: Bei Phishing-Tests klicken im Schnitt 3,4 % der Mitarbeitenden auf gefährliche Links. Bei zehn Personen reicht ein Klick, um ein ganzes Netzwerk zu kompromittieren. Quelle: APWG Phishing Trends 2025/2026
Die Lage in Zahlen

Acht Zahlen,
die Sie kennen sollten.

Wir empfehlen niemandem etwas auf Bauchgefühl. Hier die Zahlen, auf die wir uns berufen — alle aus dem Jahr 2025, alle aus offiziellen oder belegten Quellen.

289 Mrd. €

Gesamtschaden für die deutsche Wirtschaft durch Datendiebstahl, Spionage und Sabotage 2025 — ein Plus von 8 % gegenüber 2024.

Bitkom 2025
119

Neue Sicherheitslücken pro Tag im Berichtszeitraum Juli 2024 bis Juni 2025 — ein Anstieg von 24 %.

BSI Lagebericht 2025
59%

der Unternehmen halten Cyberangriffe für existenzbedrohend. 2022 waren es noch unter 10 %.

Bitkom 2025
56%

der Basisanforderungen an IT-Sicherheit erfüllen KMU im Durchschnitt — oft, ohne es zu wissen.

BSI Lagebericht 2025
34%

der Unternehmen waren 2025 von Ransomware betroffen — Erpressungssoftware bleibt die teuerste Angriffsform.

Bitkom 2025
4,9 Mio. €

durchschnittliche Schadenssumme eines erfolgreichen Phishing-Angriffs auf ein Unternehmen.

IBM 2025
4,8 Mio.

Phishing-Angriffe registrierte die Anti-Phishing Working Group 2024 weltweit — Rekord seit Aufzeichnungsbeginn.

APWG 2025
15%

der von Ransomware betroffenen Unternehmen haben Lösegeld bezahlt — das BSI rät dringend davon ab.

Bitkom 2025
Ehrliche Abgrenzung

Was wir Ihnen
ausdrücklich nicht anbieten.

Sicherheit ist ein riesiges Feld. Wir sind eine KMU-Webagentur, keine Cyber-Boutique. Ehrlich gesagt: Wenn Sie einen 24/7-Security-Operations-Center brauchen, sind wir die Falschen. Hier ist klar, wofür wir nicht zuständig sind — und wem wir Sie dann empfehlen.

Keine 24/7-Hotline im Cyber-Notfall

Wir sind nicht 24/7 erreichbar. Wenn um 3:00 Uhr nachts Ihre Server brennen, brauchen Sie einen Incident-Response-Dienst — nicht uns. Wir nennen Ihnen aber zwei Anbieter, mit denen wir im Ernstfall zusammenarbeiten.

Keine Penetrationstests

Pen-Tests sind eine Disziplin für Spezialisten, oft mit BSI-Zertifizierung. Wenn Ihre Branche das vorschreibt (z. B. KRITIS, Banken, Healthcare), vermitteln wir Sie an entsprechende Anbieter weiter.

Keine ISO-27001-Beratung

Eine ISO-27001-Zertifizierung ist ein mehrmonatiges Projekt mit eigenem Auditor und externen Beratern. Bei uns sind die Grundlagen aufgebaut — nicht das Zertifikat dazu.

Keine forensische Schadensaufklärung

Wenn ein Angriff schon stattgefunden hat und Sie wissen wollen, was genau passiert ist — das ist IT-Forensik. Wir können den Wiederanlauf, aber nicht die Spurensuche im Rechtssinne.

Was wir liefern, ist die solide Grundlage. Genau das, was 90 % der KMU-Vorfälle verhindern würde. Wenn Sie zu den 10 % mit erhöhtem Risiko gehören (öffentliche Hand, Healthcare, kritische Infrastruktur), sagen wir Ihnen das beim Erstgespräch — und vermitteln weiter.

Beispiel

Der Notfall-Plan,
den jeder Auftraggeber bekommt.

Eine A4-Seite. Ausgedruckt, im Aktenordner, einmal jährlich aktualisiert. Sie ist bewusst nicht digital — weil im Ernstfall vielleicht genau die Systeme nicht erreichbar sind, in denen ein digitaler Plan liegen würde.

Drei Abschnitte: Wer wird wann angerufen, welche Zugänge müssen sofort gesperrt werden, und welche Anbieter sind zu informieren (Steuerberater, Versicherung, Datenschutzbeauftragte, ggf. Aufsichtsbehörde).

Wir erstellen den Plan gemeinsam mit Ihnen beim Einrichten. Sie ergänzen die Telefonnummern, wir bringen die Struktur und die Reihenfolge. Im Ernstfall ist nichts zu überlegen — nur abzuarbeiten.

Verwandte Themen

Wenn Sie tiefer
einsteigen möchten.

Sicherheit hängt mit anderen Themen zusammen, die wir betreuen. Hier sind drei Pfade in benachbarte Bereiche — und in unseren Ratgeber, wenn Sie selbst etwas nachlesen wollen.

Leistung Wartung & Pflege

Hier sehen Sie, was technisch im laufenden Betrieb passiert — Updates, Backups, Performance-Monitoring. Sicherheit ist die andere Seite derselben Medaille.

Zur Wartungs-Seite Leistung Webseite erstellen lassen

Im Webseite-Paket sind beide Bereiche — Wartung und Digitale Sicherheit — bereits enthalten. Der monatliche Service-Preis deckt alles ab.

Zum Webseite-Paket Partner Unsere Sicherheits-Partner

Borlabs Cookie (Hamburg), webgo (Hamburg) und eRecht24 (Berlin) sind die drei Säulen unseres Sicherheits-Stacks — alle aus Deutschland.

Zur Partner-Seite Ratgeber Phishing erkennen — die fünf häufigsten Indizien

Wie erkenne ich eine gefälschte E-Mail? Mit Screenshots aus aktuellen Phishing-Wellen und einer Checkliste, die Sie an Ihr Team weitergeben können.

Zum Ratgeber Ratgeber Passwörter und 2FA für Nicht-Techniker

Warum „Sommer2025!" kein gutes Passwort ist, was ein Passwort-Manager wirklich kann, und wie 2FA Sie auch dann schützt, wenn Ihr Passwort schon im Internet kursiert.

Zum Ratgeber Ratgeber Backups, die im Ernstfall funktionieren

Die 3-2-1-Regel ausführlich erklärt, plus eine simple Anleitung, wie Sie testen können, ob Ihr Backup im Ernstfall tatsächlich wiederherstellbar ist.

Zum Ratgeber
Häufige Fragen

Was Auftraggeber
uns am häufigsten fragen.

Sind wir als kleine Firma überhaupt gefährdet?

Ja — und zwar mehr, als die meisten Geschäftsführer denken. Die wichtigste Zahl: 80 % aller beim BSI gemeldeten Cybervorfälle 2025 betrafen KMU, nicht Großunternehmen. Der Grund ist simpel: Angreifer sind keine Romantiker. Sie greifen das einfachste Ziel an, nicht das spektakulärste.

Ein typischer Phishing-Angriff kostet den Angreifer praktisch nichts. Wenn er bei 1.000 Versuchen drei Mal Erfolg hat, lohnt es sich für ihn schon. Und unter den 1.000 Versuchen sind viele Mittelständler, weil dort die Schutzmechanismen oft schwächer sind als bei Großkonzernen.

Das ist die schlechte Nachricht. Die gute: Schon kleine, konsequente Schutzmaßnahmen reichen meist aus, um aus der „einfachen Ziel"-Gruppe rauszufallen.

Was kostet die digitale Sicherheit zusätzlich?

Nichts. Genau wie Wartung & Pflege ist die Digitale Sicherheit im monatlichen Webseite-Service ab 59 € netto bereits enthalten. Wir trennen das nicht künstlich auf, weil die beiden Themen technisch ineinander greifen.

Was extra kosten würde: ein dedizierter Penetrationstest, eine ISO-27001-Zertifizierung, eine forensische Schadensaufklärung im Ernstfall. Diese Leistungen bieten wir aber gar nicht selbst an — wir vermitteln dann an Spezialisten weiter. Siehe oben.

Müssen wir oder unsere Mitarbeiter etwas dafür tun?

Sehr wenig. Konkret: Sie und Ihr Team müssen Zwei-Faktor-Authentifizierung für die wichtigsten Konten nutzen, und Sie müssen den Passwort-Manager verwenden, den wir einrichten. Beides erklären wir bei der Einrichtung — das dauert pro Person etwa 20 Minuten.

Quartalsweise schicken wir Ihnen den 1-Pager mit aktuellen Phishing-Beispielen. Lesen ist die einzige Tätigkeit, die wir Ihrem Team zumuten. Maximal vier Minuten alle drei Monate.

Was passiert, wenn es trotzdem zu einem Vorfall kommt?

Sie schauen in Ihren Notfall-Plan (siehe oben) und rufen die erste Nummer an. Das sind in der Regel wir. Wir bringen die Webseite sofort offline, sperren die Zugänge, starten den Backup-Rückspielprozess. Wiederanlauf in der Regel unter 4 Stunden.

Was wir nicht tun: 24/7-Notfall-Bereitschaft. Wenn ein Angriff samstags um 22 Uhr passiert, sehen wir das erst am Sonntagmorgen. Das ist eine ehrliche Limitation — wer eine echte Round-the-Clock-Bereitschaft braucht, muss zu einem spezialisierten Incident-Response-Dienst gehen. Wir vermitteln dann.

Im typischen KMU-Fall reicht aber unsere Reaktionszeit von wenigen Stunden — weil moderne Ransomware ohnehin Minuten bis Stunden braucht, um Schaden anzurichten, nicht Sekunden.

Wir haben schon einen IT-Dienstleister. Kollidiert das?

In den allermeisten Fällen nicht. Wir kümmern uns um die Sicherheit Ihrer Online-Präsenz — Webseite, Domains, Mail-Authentifizierung. Ihr IT-Dienstleister kümmert sich um die Sicherheit Ihrer internen IT — Server, Workstations, lokale Netzwerke.

Wir arbeiten gerne mit bestehenden IT-Dienstleistern zusammen. Sagen Sie uns einfach beim Erstgespräch, wer dort Ansprechpartner ist, dann stimmen wir die Schnittstellen ab. Doppelarbeit gibt es bei sauberer Absprache praktisch nicht.

Bekommen wir Berichte oder Audits?

Auf Anfrage gerne, einmal im Quartal: ein 1-bis-2-seitiger Status-Bericht mit aktuellen Daten — Anzahl abgewehrter Login-Versuche, Backup-Status, geplante Updates, aktuelle Phishing-Trends in Ihrer Branche. Wenn Sie ihn nicht wollen, schicken wir auch keinen. Manche Auftraggeber wollen Ruhe, andere Daten. Beides ist okay.

Wir machen aber bewusst keine formellen Audits nach ISO 27001 oder ähnlichen Standards. Wenn Sie das brauchen, vermitteln wir an einen entsprechenden Auditor weiter.

Webseite und Sicherheit

Eins.
Untrennbar.

Sicherheit ist kein Zusatz, sondern Teil der Webseite, die wir bauen. Sie bestellen die Webseite, wir liefern sie inklusive aller hier beschriebenen Schutzschichten — ohne extra Rechnung, ohne Zusatzpaket, ohne Bündelzwang.

Zur Webseite-Leistung Erstgespräch vereinbaren