- Bedeutung
- Grundlegende Sicherheits-Routinen im Alltag
- Beispiele
- Updates, Patches, MFA, sichere Passwörter
- Bezug zu NIS2
- Ausdrücklich genannt
- Wirkung
- Senkt einen Großteil der Risiken mit wenig Aufwand
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist Cyberhygiene?
Cyberhygiene meint die einfachen, regelmäßigen technischen und organisatorischen Gewohnheiten, die das Sicherheitsniveau dauerhaft hochhalten – ähnlich wie Händewaschen in der Medizin. Der Begriff betont bewusst die Routine: Nicht ein einzelnes teures Werkzeug entscheidet über die Sicherheit, sondern die Verlässlichkeit, mit der grundlegende Maßnahmen immer wieder ausgeführt werden. Cyberhygiene ist damit der praktische, alltägliche Unterbau eines ISMS und richtet sich stärker an Systeme und Prozesse als an das reine Sicherheitsbewusstsein der Menschen, das die Awareness behandelt.
Die wichtigsten Routinen
- Updates und Patches schnell und priorisiert einspielen
- MFA und starke, einzigartige Passwörter
- Regelmäßige, getestete Backups (auch die Wiederherstellung üben)
- Asset- und Rechte-Übersicht aktuell halten, nicht benötigte Konten entfernen
- Schulungen und Awareness als flankierende Maßnahme
Warum sie so wirksam ist
Viele erfolgreiche Angriffe nutzen einfache, längst bekannte Lücken aus – ein nicht eingespieltes Update, ein fehlender zweiter Faktor, ein vergessenes Standardpasswort. Gute Cyberhygiene schließt genau diese Einfallstore und senkt mit überschaubarem Aufwand einen großen Teil der Risiken, lange bevor teure Spezialwerkzeuge nötig werden.
Cyberhygiene und NIS2
NIS2 nennt grundlegende Cyberhygiene-Praktiken in Artikel 21 ausdrücklich als erforderliche Maßnahme. Sie sind das Fundament, auf dem anspruchsvollere Controls aufbauen. Etwa: Bei einem regionalen Klinikbetreiber, der als wesentliche Einrichtung unter NIS2 fällt, verhindert ein konsequenter monatlicher Patch-Zyklus in Kombination mit MFA für alle Fernzugänge, dass eine bekannte VPN-Schwachstelle ausgenutzt wird. Solche Routinen sind nicht nur wirksam, sondern auch nachweispflichtig: Bei wesentlichen Einrichtungen drohen bei groben Versäumnissen Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.
Häufige Fragen
Was versteht man unter Cyberhygiene?
Cyberhygiene bezeichnet grundlegende, regelmäßig wiederholte technische und organisatorische Sicherheitsmaßnahmen wie zeitnahes Patchen, das Einspielen von Updates, Multi-Faktor-Authentifizierung, starke und einzigartige Passwörter sowie getestete Backups. Sie bilden das Fundament, auf dem anspruchsvollere Schutzmaßnahmen und Controls aufbauen. Der Begriff betont bewusst die Routine: Entscheidend ist nicht ein einzelnes teures Werkzeug, sondern die Verlässlichkeit, mit der diese Basismaßnahmen immer wieder ausgeführt werden.
Ist Cyberhygiene Teil von NIS2?
Ja, die seit dem 06.12.2025 in Kraft befindliche NIS2-Umsetzung nennt grundlegende Cyberhygiene-Praktiken in Artikel 21 ausdrücklich als erforderliche Risikomanagementmaßnahme. Betroffene Einrichtungen müssen sie nachweisbar umsetzen und dokumentieren. Bei groben Versäumnissen drohen wesentlichen Einrichtungen Bußgelder von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis zu 7 Mio. Euro oder 1,4 Prozent.
Warum ist Cyberhygiene so wirksam?
Cyberhygiene ist deshalb so wirksam, weil viele erfolgreiche Angriffe bekannte, längst dokumentierte Schwachstellen und einfache Versäumnisse ausnutzen – etwa ein nicht eingespieltes Update, einen fehlenden zweiten Faktor oder ein vergessenes Standardpasswort. Konsequente, regelmäßig ausgeführte Routinen schließen genau diese Einfallstore und senken mit überschaubarem Aufwand einen großen Teil der Risiken, lange bevor teure Spezialwerkzeuge nötig werden.
Weiterführende Quelle: BSI IT-Grundschutz – Bausteine und Basismaßnahmen