Cyber-Sicherheits-Checkliste 2026 · Preemity · Praxischeck zum Ausfüllen, Speichern & Ausdrucken
Preemity
Selbstcheck für Wohnungsunternehmen
23 Prüfpunkte · ca. 10 Minuten
Preemity Cyber-Resilienz-Selbstcheck

Cyber-Sicherheits-Checkliste 2026

Prüfen Sie in rund 10 Minuten, wie gut Ihr Wohnungsunternehmen auf einen Cyber-Vorfall vorbereitet ist – von den Mieterdaten bis zur Mietabrechnung. Erkennen Sie Risiken, machen Sie Lücken sichtbar und priorisieren Sie die nächsten sinnvollen Schritte. Digital ausfüllbar, druckoptimiert und als PDF speicherbar.

23 Prüfpunkte 5 Praxisbereiche Schritt für Schritt Für Vorstand & Geschäftsführung Klare Priorisierung Keine Speicherung · bleibt in Ihrem Browser
Das prüfen Sie mit dieser Checkliste

Fünf praktische Bereiche zeigen, wo Ihr Wohnungsunternehmen gut aufgestellt ist und wo noch Lücken bestehen. So entsteht echte Cyber-Resilienz: Risiken früher erkennen, strukturierter reagieren und die nächsten Maßnahmen klar priorisieren.

1 · VorbeugenTechnik & Zugang: MFA, Zugriffsschutz, Offline-Backups, Patch-Management und Dark-Web-Monitoring.
2 · Vorbeugen & PrüfenAwareness & Menschen: Schulungen, Phishing- und Deepfake-Erkennung sowie Verifikationsprozesse.
3 · ReagierenCyber-Notfallsystem: Incident Response, klare Rollen, Notfallkontakte und Offline-Betrieb.
4 · ErkennenFrühwarnung & Monitoring: Angriffserkennung, Logging, Meldepflichten und Zugangs-Reviews.
5 · Verbessern Dienstleister-Zugänge, AVV/DSGVO, Notbetrieb der Hausverwaltung und Cyberversicherung.

Unternehmensdaten

So funktioniert die Checkliste

1
Jeden Prüfpunkt bewerten: 2 = vollständig erfüllt, 1 = teilweise, 0 = nicht erfüllt. Punkte rechts eintragen, Kontrollkästchen abhaken.
2
Punkte je Kategorie addieren und in das Auswertungsfeld am Ende jeder Kategorie eintragen.
3
Alle Kategorien addieren → Gesamtscore auf der Auswertungsseite eintragen und mit der Ampelskala vergleichen.
🔴 Kritisch
0 – 18
Sofortige Maßnahmen nötig. Erhebliches Risiko für den Ausfall der Hausverwaltung.
🟡 Handlungsbedarf
19 – 35
Wichtige Lücken erkennbar. Priorisierte Verbesserung empfohlen.
🟢 Gut aufgestellt
36 – 46
Solide Grundlage. Regelmäßige Überprüfung sichert den Standard.
Preemity · Cyber-Sicherheits-Checkliste 2026 Seite 1
Preemity
Bewertung je Punkt: 0 / 1 / 2
🔐
Kategorie 1: Vorbeugen, Technik & Zugang
MFA, Zugriffsschutz, Backups, Patches, Dark-Web-Monitoring
Max. 10 Punkte
# Prüfpunkt Warum wichtig? Punkte
0 / 1 / 2
1.1
MFA für E-Mail, Cloud & Fernzugriff aktiv
Mehrfaktor-Authentifizierung ist für alle Cloud-Dienste, E-Mail-Konten und Remote-Zugänge aktiviert.
80 % der Kontoübernahmen werden durch MFA verhindert, der wichtigste Einzelschutz.
1.2
Regelmäßige Updates & Patch-Management
Betriebssysteme, Software und Firmware werden zeitnah aktualisiert (max. 2 Wochen nach Freigabe).
60 % der Angriffe nutzen bekannte Schwachstellen, für die bereits Patches existieren.
1.3
Offline-Backups mit getesteter Wiederherstellung
Regelmäßige Backups, offline gespeichert (nicht ständig erreichbar). Die Wiederherstellung wurde getestet.
Bei Ransomware ist ein getestetes Backup oft der einzige Weg zurück, ganz ohne Lösegeld.
1.4
Zugriffe nach Bedarf begrenzt (Least Privilege)
Mitarbeiter haben nur Zugriff auf benötigte Systeme und Daten. Admin-Rechte sind auf das Nötigste reduziert.
Kompromittierte Accounts richten weniger Schaden an, wenn Zugriffsrechte begrenzt sind.
1.5
Dark-Web-Monitoring für die Unternehmensdomäne
Es wird überwacht, ob Zugangsdaten Ihres Hauses (Mitarbeiter- und Verwaltungskonten) im Dark Web auftauchen.
22 % aller Angriffe beginnen mit gestohlenen Zugangsdaten aus früheren Leaks (Verizon DBIR 2025).
Punkte Kategorie 1Max. 10 Punkte
Größte LückeWelcher Punkt fehlt am meisten?
Nächste MaßnahmeWas tue ich als nächstes?
🧠
Kategorie 2: Vorbeugen & Prüfen, Awareness & Menschen
Schulungen, Phishing-Erkennung, Verifikationsprozesse
Max. 10 Punkte
# Prüfpunkt Warum wichtig? Punkte
0 / 1 / 2
2.1
Regelmäßige Security-Awareness-Schulungen
Alle Mitarbeiter werden mind. 2× jährlich zu aktuellen Bedrohungen geschult: Phishing, CEO Fraud, Deepfakes, sichere Passwörter.
Der Mensch ist das Hauptziel. KI-Angriffe erfordern regelmäßig aktualisierte Schulungsinhalte.
2.2
Klarer Meldeprozess für verdächtige E-Mails & Anrufe
Alle Mitarbeiter kennen den genauen Weg, wie und wo sie verdächtige Nachrichten oder Anrufe melden. Es gibt eine klare Anlaufstelle.
Ohne Meldeprozess werden Angriffe oft nicht oder zu spät erkannt, wertvolle Zeit geht verloren.
2.3
Verifikationsprozess für Überweisungen & Zugangsdaten
Klare Regel: keine Überweisung und keine Änderung einer Bankverbindung (z. B. von Handwerkern oder Dienstleistern) auf Basis einer einzelnen E-Mail oder eines Anrufs. Immer Rückruf auf die bekannte Nummer.
Gefälschte Rechnungen mit geänderter IBAN sind in der Wohnungswirtschaft ein Hauptrisiko und verursachen jährlich Millionenschäden.
2.4
Mitarbeiter kennen KI-Deepfake-Risiken
Mitarbeiter wissen, dass KI Stimmen und Videos täuschend echt klonen kann, und wie sie verdächtige Anfragen verifizieren.
Deepfake-Angriffe stiegen Q1 2025 um 1.100 %. „Klingt wie der Chef" ist kein Beweis mehr.
2.5
Passwort-Policy & Passwort-Manager
Starke Passwörter sind Pflicht, ein Passwort-Manager ist im Einsatz, keine Wiederverwendung. Bei Verdacht sofortige Änderung.
Passwortangriffe treffen 21 % aller Unternehmen, mit Passwort-Manager praktisch eliminierbar.
Punkte Kategorie 2Max. 10 Punkte
Größte LückeWelcher Punkt fehlt am meisten?
Nächste MaßnahmeWas tue ich als nächstes?
Preemity · Cyber-Sicherheits-Checkliste 2026 Seite 2
Preemity
Bewertung je Punkt: 0 / 1 / 2
🚨
Kategorie 3: Reagieren, Cyber-Notfallsystem
Incident Response, Rollen, Kommunikation, Offline-Betrieb
Max. 10 Punkte
# Prüfpunkt Warum wichtig? Punkte
0 / 1 / 2
3.1
Schriftlicher Notfallplan, offline verfügbar
Dokumentierter Notfallplan für Cyber-Vorfälle, auch gedruckt/offline vorhanden, nicht nur auf einem ggf. verschlüsselten Server.
Beispiel Senftenberg (Wohnungsgesellschaft, 2025): Das komplette IT-Netz musste herunter – ohne Offline-Plan wird die Reaktion chaotisch.
3.2
Klare Rollen: Wer entscheidet, wer kommuniziert?
Im Notfall ist definiert: Wer schaltet Systeme ab? Wer informiert Mieter, Aufsichtsrat/Vertreter & Behörden? Wer kommuniziert intern? Dokumentiert und bekannt.
Ohne klare Rollen verliert man im Ernstfall 12–24 Stunden, der Schaden wächst exponentiell.
3.3
Externe Notfallkontakte bekannt & erreichbar
Kontakte zu IT-Dienstleister, Cyberversicherung, CERT-Stellen (z. B. CERT-Bund/BSI) und Behörden (Polizei, Landesdatenschutzbehörde) sind offline gespeichert.
Im Notfall will man nicht googeln. Nummern müssen sofort griffbereit sein, auch ohne Internet.
3.4
Notfall-Kommunikationskanal für das Team
Alternativer Kommunikationsweg, wenn E-Mail und interne Systeme ausfallen (z. B. Signal-/WhatsApp-Gruppe, Liste mit Privatnummern).
Wenn E-Mail und IT weg sind (wie in Senftenberg), gelingt die Koordination nur über einen Backup-Kanal.
3.5
Notfallplan wurde mind. 1× geübt / simuliert
Der Plan wurde in einer Übung getestet. Die Beteiligten kennen ihre Rollen und haben sie mind. einmal durchgespielt.
Ein nie geübter Plan funktioniert im Ernstfall meist nicht. Üben senkt die Reaktionszeit um bis zu 70 %.
Punkte Kategorie 3Max. 10 Punkte
Größte LückeWelcher Punkt fehlt am meisten?
Nächste MaßnahmeWas tue ich als nächstes?
👁️
Kategorie 4: Erkennen, Frühwarnung & Monitoring
Angriffserkennung, Logging, Meldepflichten, Zugangs-Reviews
Max. 8 Punkte
# Prüfpunkt Warum wichtig? Punkte
0 / 1 / 2
4.1
Logging & Protokollierung kritischer Systeme
Anmelde- und Zugriffsversuche auf kritische Systeme (z. B. Wohnungswirtschafts-/ERP-Software mit Mieter- und Objektdaten) werden protokolliert und regelmäßig geprüft. Anomalien werden erkannt.
Angreifer sind im Schnitt 207 Tage im Netzwerk, bevor sie entdeckt werden. Logs helfen, früher zu reagieren.
4.2
DSGVO-Meldepflicht bei Datenpannen bekannt
Die 72-Stunden-Meldepflicht (DSGVO) bei einer Panne mit Mieter- oder Mitarbeiterdaten ist bekannt. Der Ansprechpartner bei der zuständigen Landesdatenschutzbehörde ist identifiziert.
Nicht gemeldete Vorfälle können Bußgelder bis 4 % des Jahresumsatzes nach sich ziehen.
4.3
Threat-Intelligence / Security-Newsletter abonniert
Führung oder IT erhält regelmäßig Informationen zu aktuellen Bedrohungen (z. B. BSI-Lagewarnungen, CERT-Bund).
Wer aktuelle Bedrohungen kennt, handelt proaktiv statt reaktiv.
4.4
Rollen & Zugänge mind. 1×/Jahr überprüft
Mind. jährliche Prüfung, wer welche Zugänge hat, besonders bei Mitarbeiterwechsel. Ausgeschiedene werden sofort deaktiviert.
Veraltete Zugänge ehemaliger Mitarbeiter sind ein unterschätztes, leicht missbrauchbares Risiko.
Punkte Kategorie 4Max. 8 Punkte
Größte LückeWelcher Punkt fehlt am meisten?
Nächste MaßnahmeWas tue ich als nächstes?
Preemity · Cyber-Sicherheits-Checkliste 2026 Seite 3
Preemity
Auswertung & Priorisierung
⚙️
Kategorie 5: Verbessern, Hausverwaltung & Dienstleister
Dienstleister-Zugänge, AVV, Notbetrieb der Hausverwaltung, Cyberversicherung
Max. 8 Punkte
# Prüfpunkt Warum wichtig? Punkte
0 / 1 / 2
5.1
Dienstleister-Zugänge bekannt und kontrolliert
Liste aller externen Dienstleister mit Systemzugang (z. B. Wohnungswirtschafts-Software, Messdienst, Steuerberater, IT, Hausmeister-Tools). Zugänge werden nach Projektende deaktiviert und regelmäßig geprüft.
40 % der Angriffe kommen über Dienstleister – oft über den gemeinsamen IT-Dienstleister (wie 2021 bei der Wohnungsgesellschaft Schwerin).
5.2
Auftragsverarbeitung & DSGVO-Verträge (AVV)
Für alle Dienstleister, die Mieter- oder Mitarbeiterdaten verarbeiten (z. B. Messdienst, Abrechnungs- und IT-Dienstleister), existieren aktuelle AVV nach DSGVO.
Ohne AVV haften Sie für Datenpannen beim Dienstleister, auch ohne eigenes Verschulden.
5.3
Kritische Prozesse ohne IT durchführbar
Kernprozesse der Hausverwaltung (Mietabrechnung, Nebenkostenabrechnung, Mieterkommunikation, Zahlungsläufe) lassen sich im Notfall analog oder mit minimaler IT fortführen.
Senftenberg: wochenlanger IT-Ausfall. Ohne Notbetrieb steht die Hausverwaltung komplett still.
5.4
Cyberversicherung geprüft oder vorhanden
Es wurde geprüft, ob eine Cyberversicherung sinnvoll und finanzierbar ist. Deckungssumme und Leistungen sind bekannt.
Ø Ransomware-Schaden bei mittelständischen Unternehmen: 250.000–2 Mio. €. Ohne Versicherung oft existenzbedrohend.
Punkte Kategorie 5Max. 8 Punkte
Größte LückeWelcher Punkt fehlt am meisten?
Nächste MaßnahmeWas tue ich als nächstes?

Gesamtauswertung

Tragen Sie bei jedem Prüfpunkt 0, 1 oder 2 ein. Kategorie-Punkte, Gesamtscore und Ampel werden automatisch berechnet.

Kat. 1
Technik
max. 10
Kat. 2
Awareness
max. 10
Kat. 3
Reagieren
max. 10
Kat. 4
Frühwarnung
max. 8
Kat. 5
Hausverw.
max. 8
/
46
Ampelskala
Rot 0–18 · Gelb 19–35 · Grün 36–46

Notizen & Priorisierungen

Preemity · Cyber-Sicherheits-Checkliste 2026 Seite 4
Preemity
Ihre nächsten Schritte
Und jetzt: Was sind Ihre nächsten Schritte?

Die Checkliste zeigt, wo Risiken und Lücken liegen. Im kostenlosen Erstgespräch ordnen wir Ihr Ergebnis ein und priorisieren die nächsten sinnvollen Schritte, realistisch und passend zu Ihrem Wohnungsunternehmen.

Was Sie im Erstgespräch erwartet

  • 1Wir besprechen Ihre Ergebnisse und erklären, was die Lücken in der Praxis bedeuten.
  • 2Sie erhalten eine klare Priorisierung: Was ist wirklich kritisch, was kann warten?
  • 3Wir zeigen die drei Maßnahmen mit dem größten Sicherheitsgewinn, ganz ohne unnötige Komplexität.
  • 4Awareness-Plan: Wie schulen Sie Ihr Team praxisnah zu Phishing, Deepfakes und CEO Fraud?
  • 5Wir skizzieren den sinnvollsten nächsten Schritt, etwa Training, Phishingtest, Frühwarnung, Notfallsystem oder Einsatzcheck, passend zu Ihrem Score.

Kostenloses Erstgespräch

Online · Deutschland & Österreich

📅 Termin jetzt buchen
calendly.com/preemity/ersteinschaetzung-handlungsfaehigkeit
Thomas Schartner, MSc
Cyber-Resilienz für die Wohnungswirtschaft: Awareness & Notfallplanung
Wohnungswirtschaft Früherkennung Umsetzungsnah
Preemity · Cyber-Sicherheits-Checkliste 2026 Seite 5