Cybersecurity für Schweizer KMU: Worauf achten?

Q: Wann braucht Ihr Unternehmen einen Penetrationstest?

Schweizer KMU sind zunehmend Ziel von Cyberangriffen. Welche Sicherheitsmassnahmen sind unverzichtbar, was kostet professionelle Absicherung und wann braucht ein Unternehmen einen Penetrationstest? Im Abschnitt "Wann braucht Ihr Unternehmen einen Penetrationstest?" erläutern wir die wichtigsten Aspekte für IT- und Tech-Dienstleistungen in der Schweiz. Der vollständige Leitfaden bietet detaillierte Informationen zu Kosten, Qualitätskriterien und Auswahlprozessen.

Über 30’000 gemeldete Cybervorfälle verzeichnete die Schweiz 2025, so das Nationale Zentrum für Cybersicherheit (NCSC). KMU trifft es besonders hart: Sie investieren oft weniger in IT-Sicherheit als Grossunternehmen, stellen aber für Angreifer gleichzeitig attraktive Ziele dar.

Die häufigsten Bedrohungen für Schweizer KMU

Ransomware

Ransomware verschlüsselt Unternehmensdaten und fordert Lösegeld für die Entschlüsselung. Für KMU kann ein solcher Angriff existenzbedrohend sein, da selbst bei Zahlung keine Garantie für die Wiederherstellung besteht.

Die Mehrheit aller Cyberangriffe beginnt mit einer Phishing-E-Mail. Mitarbeitende werden dazu verleitet, Zugangsdaten preiszugeben oder Schadsoftware zu installieren. Social Engineering nutzt menschliches Vertrauen aus, nicht technische Schwachstellen.

Kompromittierung von Geschäfts-E-Mails

Bei dieser Methode geben sich Angreifer als Geschäftspartner oder Vorgesetzte aus und veranlassen betrügerische Überweisungen. Schweizer KMU verlieren so jährlich Millionen.

Supply-Chain-Angriffe

Angreifer kompromittieren nicht das Unternehmen direkt, sondern einen Zulieferer oder Softwareanbieter. Der Zugang zum eigentlichen Ziel erfolgt dann über die bestehende Vertrauensbeziehung.

Grundlegende Sicherheitsmassnahmen

Bevor Sie in teure Sicherheitslösungen investieren, sollten diese Grundlagen stimmen:

1. Updates und Patches zeitnah einspielen

Die meisten erfolgreichen Angriffe nutzen bekannte Schwachstellen aus, für die bereits Patches verfügbar sind. Ein systematisches Patch-Management ist die wirksamste Einzelmassnahme.

2. Multi-Faktor-Authentifizierung (MFA)

MFA für alle Unternehmenszugänge, insbesondere E-Mail, VPN und Cloud-Dienste, reduziert das Risiko kompromittierter Zugangsdaten massiv.

3. Regelmässige Backups nach der 3-2-1-Regel

3 Kopien Ihrer Daten
auf 2 verschiedenen Medientypen
davon 1 Kopie an einem externen Standort

Testen Sie die Wiederherstellung regelmässig. Ein Backup, das nicht funktioniert, ist wertlos.

4. Mitarbeiterschulung

Technische Massnahmen allein genügen nicht. Schulen Sie Ihre Mitarbeitenden regelmässig zu Phishing-Erkennung, sicherem Umgang mit Passwörtern und dem Melden verdächtiger Aktivitäten.

5. Netzwerksegmentierung

Trennen Sie kritische Systeme voneinander. Wenn ein Angreifer in ein System eindringt, sollte er nicht automatisch Zugang zum gesamten Netzwerk erhalten.

Wann braucht Ihr Unternehmen einen Penetrationstest?

Ein Penetrationstest (Pentest) simuliert einen realen Cyberangriff auf Ihre IT-Infrastruktur. Er ist sinnvoll, wenn:

Sie regulatorische Anforderungen erfüllen müssen (Finanzsektor, Gesundheitswesen)
Sie sensible Kundendaten verarbeiten
Sie eine neue Anwendung oder Infrastruktur produktiv schalten
Sie Ihre aktuelle Sicherheitslage objektiv bewerten wollen
Ihr letzter Pentest über 12 Monate zurückliegt

Penetrationstest vs. Schwachstellenscan

Ein häufiges Missverständnis: Ein automatisierter Schwachstellenscan ist kein Penetrationstest. Der Scan erkennt bekannte Schwachstellen. Ein Pentest geht weiter, er simuliert das Vorgehen eines Angreifers und testet, ob Schwachstellen tatsächlich ausnutzbar sind.

Was kostet ein Penetrationstest?

Die Kosten hängen vom Umfang ab. Einen detaillierten Kostenüberblick finden Sie in unserem Ratgeber: Was kostet ein Penetrationstest in der Schweiz?

Compliance und gesetzliche Anforderungen

Revidiertes Datenschutzgesetz (revDSG)

Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz. Es verlangt unter anderem:

Angemessene technische und organisatorische Massnahmen zum Schutz personenbezogener Daten
Meldung von Datenschutzverletzungen an den EDÖB innerhalb von 72 Stunden
Dokumentation der Datenbearbeitungstätigkeiten

Branchenspezifische Anforderungen

Je nach Branche gelten zusätzliche Vorgaben:

Finanzsektor: FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz»
Gesundheitswesen: Besondere Schutzmassnahmen für Patientendaten
Kritische Infrastrukturen: Informationssicherheitsgesetz (ISG)

Notfallplan erstellen

Jedes KMU sollte einen Incident-Response-Plan haben:

Erkennung: Wie erkennen Sie einen Sicherheitsvorfall?
Eindämmung: Wie isolieren Sie betroffene Systeme?
Kommunikation: Wer wird informiert (intern, Kunden, Behörden)?
Wiederherstellung: Wie stellen Sie den Betrieb wieder her?
Nachbereitung: Was lernen Sie aus dem Vorfall?

Dokumentieren Sie den Plan und üben Sie ihn mindestens einmal jährlich.

Empfohlene nächste Schritte

Führen Sie eine Bestandsaufnahme Ihrer aktuellen IT-Sicherheitsmassnahmen durch
Priorisieren Sie die grundlegenden Massnahmen (Updates, MFA, Backups)
Bewerten Sie, ob ein Penetrationstest für Ihr Unternehmen sinnvoll ist
Erstellen Sie einen Notfallplan für Cybervorfälle
Planen Sie regelmässige Mitarbeiterschulungen ein

Transparenzhinweis

RedTeam Partners trägt das Alpine Excellence Siegel in der Kategorie Tech Excellence. Dieser Artikel wurde unabhängig verfasst und basiert auf allgemein verfügbaren Informationen und Empfehlungen des NCSC.