· Rexoma Team · IT-Sicherheit · 6 min read
Fehlkonfigurationen: Die unterschätzte Datenleck-Ursache in KMU
Viele Datenlecks entstehen nicht durch Hacker-Genies, sondern durch einen falsch gesetzten Haken. So finden und beheben KMU Fehlkonfigurationen in Cloud und Servern.
Ein aktueller Fall zeigt es wieder: Bei einem Datenleck rund um Nextcloud-Instanzen lagen Unternehmensdaten offen im Netz – nicht wegen einer Schwachstelle in der Software, sondern wegen einer Fehlkonfiguration beim Betrieb. Genau das ist der typische Verlauf: Die meisten Datenpannen in kleinen und mittleren Unternehmen entstehen nicht durch ausgeklügelte Angriffe, sondern durch falsch gesetzte Einstellungen. Für KMU in Dresden und Sachsen ist das eine gute und eine schlechte Nachricht zugleich – gut, weil sich das Problem ohne teure Spezialtechnik lösen lässt, schlecht, weil es fast jeden betrifft.
Warum Fehlkonfigurationen so gefährlich sind
Eine Fehlkonfiguration ist keine Sicherheitslücke im klassischen Sinn. Die Software funktioniert exakt so, wie sie eingestellt wurde – nur wurde sie eben falsch eingestellt. Ein Cloud-Ordner, der versehentlich öffentlich freigegeben ist. Ein Admin-Interface, das ohne Not aus dem Internet erreichbar ist. Eine Datenbank, die ohne Passwort auf dem Standardport lauscht. Ein Backup-Verzeichnis, das der Webserver mit ausliefert.
Das Tückische: Es gibt keinen Patch, der das behebt. Schwachstellenscanner und automatische Updates greifen hier oft ins Leere, weil technisch alles „aktuell” ist. Angreifer müssen nicht einmal gezielt vorgehen – Suchmaschinen wie Shodan oder Censys durchforsten das Internet permanent nach offenen Diensten, ungeschützten Datenbanken und exponierten Konfigurationsdateien. Wer falsch konfiguriert ist, wird gefunden. Die Frage ist nur, von wem zuerst.
Nicht umsonst führt die OWASP-Organisation „Security Misconfiguration” seit Jahren in ihren Top 10 der häufigsten Sicherheitsrisiken für Webanwendungen.
Die häufigsten Fehlkonfigurationen in KMU
1. Öffentliche Freigaben in Cloud-Speichern
Nextcloud, Microsoft 365, Google Workspace – überall lassen sich Ordner und Dateien per Link teilen. Praktisch für die Zusammenarbeit, riskant ohne Regeln: Ein Freigabelink ohne Passwort und Ablaufdatum ist faktisch öffentlich. Wird er weitergeleitet, indexiert oder erraten, liegen Angebote, Personalunterlagen oder Kundendaten offen.
2. Aus dem Internet erreichbare Admin-Oberflächen
Router-Webinterfaces, NAS-Login-Seiten, Datenbank-Verwaltungen wie phpMyAdmin, Hypervisor-Konsolen: All das gehört nicht ins offene Internet. Trotzdem finden sich solche Oberflächen zu Tausenden online – oft noch mit Standard-Zugangsdaten. Der richtige Weg führt über ein VPN wie WireGuard oder zumindest über strikte IP-Beschränkungen.
3. Standard-Passwörter und Standard-Einstellungen
Viele Geräte und Anwendungen kommen mit Werkseinstellungen, die auf Komfort statt Sicherheit ausgelegt sind: bekannte Admin-Passwörter, aktivierte Gastzugänge, offene SNMP-Community-Strings, eingeschaltete Fernwartungsdienste. Wer nach der Installation nicht bewusst härtet, betreibt das System im unsichersten anzunehmenden Zustand.
4. Zu weit gefasste Berechtigungen
„Jeder darf alles” ist die bequemste Konfiguration – und die gefährlichste. Dateifreigaben, auf die die ganze Firma Schreibzugriff hat, Dienstkonten mit Domain-Admin-Rechten, API-Schlüssel mit Vollzugriff: Im Ernstfall vergrößert jede überflüssige Berechtigung den Schaden, den ein kompromittiertes Konto anrichten kann.
5. Vergessene Test- und Altsysteme
Der Testserver von vor zwei Jahren, die alte Website-Kopie unter einer Subdomain, der ausgemusterte Exchange-Server, der „nur noch übergangsweise” läuft: Systeme, die niemand mehr pflegt, sammeln Fehlkonfigurationen und ungepatche Lücken gleichermaßen. Ein sauberes IT-Asset-Management ist deshalb die Grundlage jeder Konfigurationskontrolle.
6. Fehlende Verschlüsselung und offene Ports
Interne Dienste, die unverschlüsselt über HTTP laufen, Mailserver ohne erzwungenes TLS, Firewalls mit „Any-Any”-Regeln, die irgendwann zum Testen angelegt und nie entfernt wurden – jede dieser Einstellungen ist für sich unscheinbar und in der Summe ein offenes Scheunentor.
Warum gerade KMU betroffen sind
In großen Unternehmen prüfen eigene Security-Teams Konfigurationen gegen definierte Standards. In einem Betrieb mit 20 oder 50 Mitarbeitern richtet dagegen oft ein einzelner IT-Verantwortlicher – oder ein externer Dienstleister unter Zeitdruck – Systeme ein. Es funktioniert, der Alltag ruft, und die Frage „ist das auch sicher konfiguriert?” stellt niemand mehr. Ostdeutsche KMU trifft das besonders, weil qualifiziertes IT-Personal knapp ist und viele Betriebe historisch gewachsene Infrastrukturen betreiben, die nie systematisch überprüft wurden.
Dazu kommt der Faktor Selbst-Hosting: Wer Nextcloud, FreePBX oder andere Dienste auf eigenen Servern betreibt, gewinnt Datensouveränität – übernimmt aber auch die volle Verantwortung für die Konfiguration. Der aktuelle Nextcloud-Fall zeigt: Die Software kann noch so sicher sein, ein Betriebsfehler hebelt alles aus.
So finden und beheben KMU Fehlkonfigurationen – Schritt für Schritt
Schritt 1: Angriffsfläche von außen ermitteln
Prüfen Sie, was von Ihrem Unternehmen aus dem Internet erreichbar ist: Welche Domains, Subdomains und IP-Adressen gehören Ihnen? Welche Ports sind offen, welche Dienste antworten? Ein externer Portscan (etwa mit nmap auf die eigenen Adressen) und ein Blick in Shodan auf die eigene IP liefern oft ernüchternde Ergebnisse. Alles, was dort auftaucht und nicht zwingend öffentlich sein muss, kommt hinter VPN oder Firewall.
Schritt 2: Cloud-Freigaben inventarisieren
Lassen Sie sich in Nextcloud, Microsoft 365 oder Google Workspace alle aktiven öffentlichen Freigaben auflisten. Setzen Sie Richtlinien durch: Freigabelinks nur mit Passwort und Ablaufdatum, keine anonymen Uploads, regelmäßige Bereinigung. Nextcloud bringt dafür eigene Admin-Einstellungen mit, die diese Regeln technisch erzwingen.
Schritt 3: Standards definieren und Systeme härten
Für gängige Systeme existieren erprobte Härtungsleitfäden – etwa die CIS Benchmarks oder die Empfehlungen des BSI. Daraus lässt sich ein eigener Mindeststandard ableiten: keine Standard-Passwörter, Admin-Zugänge nur intern oder per VPN, Verschlüsselung erzwungen, unnötige Dienste deaktiviert, Berechtigungen nach dem Least-Privilege-Prinzip.
Schritt 4: Konfigurationen dokumentieren und Änderungen kontrollieren
Fehlkonfigurationen entstehen oft durch schnelle, undokumentierte Änderungen („mach mal eben Port 3389 auf”). Ein einfaches Änderungsprotokoll und die Regel, dass temporäre Ausnahmen ein Ablaufdatum bekommen, verhindern, dass aus dem Provisorium ein Dauerzustand wird.
Schritt 5: Regelmäßig extern prüfen lassen
Die eigene Konfiguration prüft man am schlechtesten selbst – Betriebsblindheit ist real. Ein IT-Sicherheitsaudit von außen, kombiniert mit einem Schwachstellenscan, deckt in der Regel binnen weniger Tage die kritischsten Fehlkonfigurationen auf. Einmal jährlich sowie nach größeren Umbauten ist ein realistischer Rhythmus für KMU.
Fazit: Konfiguration ist Chefsache der IT-Sicherheit
Fehlkonfigurationen sind die stillen Verursacher vieler Datenlecks – und gleichzeitig das Sicherheitsproblem mit dem besten Kosten-Nutzen-Verhältnis bei der Behebung. Wer seine Angriffsfläche kennt, Freigaben kontrolliert, nach Standards härtet und regelmäßig extern prüfen lässt, eliminiert einen Großteil der realen Risiken ohne eine einzige neue Software-Anschaffung.
Sie suchen Unterstützung in Dresden? Rexoma hilft KMU dabei, Fehlkonfigurationen in Cloud, Servern und Netzwerk aufzuspüren und zu beheben – vom IT-Sicherheitsaudit über die sichere Nextcloud-Konfiguration bis zur gehärteten OPNsense-Firewall. Melden Sie sich für eine unverbindliche Erstberatung.
FAQ: Häufige Fragen zu Fehlkonfigurationen
Was ist der Unterschied zwischen einer Fehlkonfiguration und einer Sicherheitslücke?
Eine Sicherheitslücke ist ein Fehler in der Software selbst, den der Hersteller per Update beheben muss. Eine Fehlkonfiguration ist eine unsichere Einstellung beim Betrieb – die Software arbeitet korrekt, wurde aber riskant eingerichtet. Updates helfen dagegen nicht; nur eine Überprüfung der Konfiguration schafft Abhilfe.
Wie finde ich heraus, ob mein Unternehmen von außen angreifbar ist?
Ermitteln Sie zunächst alle eigenen Domains und IP-Adressen und prüfen Sie mit einem Portscan, welche Dienste erreichbar sind. Suchdienste wie Shodan zeigen zusätzlich, was Dritte über Ihre Infrastruktur sehen. Für eine belastbare Einschätzung empfiehlt sich ein professioneller externer Sicherheitscheck.
Ist eine selbst gehostete Nextcloud unsicherer als eine Cloud-Lösung?
Nein – richtig konfiguriert ist eine eigene Nextcloud eine sehr sichere und datenschutzfreundliche Lösung. Entscheidend ist der Betrieb: aktuelle Updates, erzwungene Freigabe-Richtlinien, Zwei-Faktor-Authentifizierung und ein gehärteter Server. Die bekannten Vorfälle gehen fast immer auf Betriebsfehler zurück, nicht auf die Software.
Wie oft sollten KMU ihre Konfigurationen überprüfen?
Als Faustregel: ein umfassender Check einmal pro Jahr, zusätzlich nach jeder größeren Änderung an der Infrastruktur (neuer Server, neue Cloud-Dienste, Umzug, Anbieterwechsel). Kritische Punkte wie öffentliche Cloud-Freigaben und offene Ports sollten häufiger, etwa quartalsweise, kontrolliert werden.
Was kostet die Behebung von Fehlkonfigurationen?
Meist deutlich weniger als die Folgen eines Datenlecks. Viele Korrekturen – Freigaben einschränken, Admin-Zugänge hinter ein VPN legen, Standard-Passwörter ändern – erfordern nur Arbeitszeit und keine neuen Anschaffungen. Der größte Aufwand liegt im systematischen Aufspüren, und genau dabei hilft ein externes Audit.
Rexoma IT