Cybersecurity-Mythen, die KMU schaden
Der gefährlichste Satz in der IT-Sicherheit lautet: “Uns trifft es schon nicht.” Falsche Annahmen zur Cybersecurity sind die grösste Schwachstelle Schweizer KMU, gefährlicher als jede technische Lücke. Das NCSC verzeichnete 2024 über 63’000 gemeldete Cybervorfälle.
Dieser Leitfaden entlarvt die zehn gefährlichsten Mythen und zeigt auf, wie Sie Ihre Cybersecurity-Strategie auf realistischen Risikoeinschätzungen aufbauen können.
«Cybersicherheit ist Chefsache.» — Florian Schütz, Direktor Bundesamt für Cybersicherheit (BACS) (Quelle)
Mythos 1: “Wir sind zu klein für Cyberangriffe”
KMU sind nicht zu klein – sie sind das bevorzugte Ziel. Tatsächlich sind KMU proportional häufiger Opfer von Cyberangriffen als Grossunternehmen. Laut dem Verizon Data Breach Investigations Report entfallen rund 43% aller Datenschutzverletzungen auf kleine Unternehmen.
Der Grund ist einfach: KMU bieten oft ähnlich wertvolle Daten wie Grossunternehmen (Kundendaten, Finanzdaten, geistiges Eigentum), verfügen aber über schwächere Abwehrmechanismen. Moderne Cyberangriffe sind zudem weitgehend automatisiert. Bots scannen kontinuierlich das Internet nach Schwachstellen, unabhängig von der Unternehmensgrösse.
Ein weiterer Aspekt: KMU sind oft Teil der Lieferkette grösserer Unternehmen und dienen Angreifern als Einfallstor zu attraktiveren Zielen. 2022 wurde ein Schweizer Zulieferer mit 25 Mitarbeitenden Opfer eines gezielten Angriffs, weil Cyberkriminelle über sein System Zugang zu einem multinationalen Konzern suchten.
Realität: Jedes Unternehmen mit digitalen Assets und Internetverbindung ist ein potenzielles Ziel. Die Frage ist nicht, ob Sie interessant für Angreifer sind, sondern wie gut Sie geschützt sind.
Mythos 2: “Antivirus-Software reicht aus”
Herkömmliche Antivirus-Lösungen basieren auf Signaturerkennung, sie erkennen also nur bekannte Bedrohungen. Moderne Malware und insbesondere Zero-Day-Exploits umgehen diese Schutzmechanismen problemlos. Eine Studie von AV-Test Institut zeigt, dass signaturbasierte Lösungen nur etwa 50-70% der neuen Bedrohungen erkennen.
Ransomware-Gruppen entwickeln ihre Schadsoftware kontinuierlich weiter, testen sie gegen gängige Antivirus-Produkte und passen sie an, bis sie unerkannt bleiben. Der Schweizer Ransomware-Vorfall bei einem Basler KMU im Jahr 2023 passierte trotz aktueller Antivirus-Software, da die verwendete Ransomware-Variante erst nach dem Angriff in Virendatenbanken aufgenommen wurde.
Realität: Moderne Endpoint Detection and Response (EDR) Lösungen arbeiten verhaltensbasiert und erkennen verdächtige Aktivitäten auch ohne bekannte Signaturen. Ein mehrschichtiger Ansatz (Defense in Depth) mit verschiedenen Sicherheitsmechanismen ist unerlässlich. Erfahren Sie mehr über angemessene Budget-Planung für solche Lösungen.
Mythos 3: “Cybersecurity ist zu teuer”
Nicht Cybersecurity ist zu teuer, sondern ein Cyberangriff. Ein erfolgreicher Cyberangriff kostet Schweizer KMU durchschnittlich CHF 80’000 bis CHF 250’000, wobei die indirekten Kosten oft noch höher ausfallen. Ein schwerer Cyberangriff kann für KMU existenzbedrohend sein.
Die direkten Kosten umfassen: Lösegeld (falls bezahlt), IT-Forensik und Wiederherstellung, Geschäftsunterbrechung, rechtliche Beratung und mögliche Bussen bei Datenschutzverletzungen. Hinzu kommen Reputationsschäden, Kundenabwanderung und erhöhte Versicherungsprämien.
Dem gegenüber stehen die Investitionen in Cybersecurity: Für ein KMU mit 20-50 Mitarbeitenden bewegen sich angemessene Ausgaben typischerweise zwischen CHF 15.000 und CHF 40.000 pro Jahr. Dies entspricht etwa 5-7% des IT-Budgets und ist damit deutlich günstiger als die durchschnittlichen Schadenskosten.
Realität: Cybersecurity ist keine Kostenstelle, sondern eine Investition in Geschäftskontinuität und Wettbewerbsfähigkeit. Die Frage ist nicht, ob Sie sich Cybersecurity leisten können, sondern ob Sie sich deren Fehlen leisten können. Auch Red-Team-Tests und Penetrationstests sind längst nicht mehr nur Grossunternehmen vorbehalten (Anbieter wie RedTeam Partners bieten skalierbare Assessments, die auch für KMU-Budgets konzipiert sind.
Mythos 4: “Unsere Firewall schützt uns”
Firewalls sind wichtig, aber sie schützen primär vor Bedrohungen von außen. Die meisten modernen Angriffe nutzen jedoch legitime Kanäle wie E-Mail oder kompromittierte Webanwendungen, die durch Firewalls hindurchgelassen werden. Zudem sind Insider-Bedrohungen, ob böswillig oder fahrlässig, durch Perimeter-Sicherheit nicht zu verhindern.
Ein Beispiel aus der Praxis: Ein Luzerner KMU mit professioneller Firewall-Lösung wurde Opfer eines Phishing-Angriffs. Ein Mitarbeitender öffnete einen kompromittierten E-Mail-Anhang, der als Rechnung getarnt war. Die Malware etablierte eine verschlüsselte Verbindung nach außen, was für die Firewall wie legitimer HTTPS-Traffic aussah. Innerhalb von 48 Stunden waren alle internen Systeme kompromittiert.
Realität: Firewalls sind ein wichtiger Baustein, aber nur ein Element einer mehrstufigen Sicherheitsarchitektur. Intrusion Detection/Prevention Systeme, E-Mail-Security, Endpoint-Schutz und vor allem Mitarbeiter-Awareness sind ebenso kritisch.
Mythos 5: “Cloud-Dienste sind unsicher”
Diese Einschätzung stammt oft aus der Frühzeit des Cloud Computing und ist heute meist falsch. Professionelle Cloud-Anbieter wie Microsoft Azure, AWS oder Schweizer Anbieter wie Swisscom oder Infomaniak investieren massiv in Sicherheit und erreichen ein Niveau, das die meisten KMU intern nicht leisten könnten.
Cloud-Anbieter beschäftigen spezialisierte Sicherheitsteams, implementieren neueste Sicherheitstechnologien, führen regelmässige Audits durch und sind nach internationalen Standards zertifiziert. Zudem profitieren Kunden von automatischen Sicherheitsupdates und redundanten Rechenzentren.
Das grössere Risiko liegt oft in der fehlerhaften Konfiguration von Cloud-Diensten (Misconfiguration), nicht in der Unsicherheit der Plattform selbst. Öffentlich zugängliche S3-Buckets oder ungeschützte Datenbanken sind meist Resultat menschlicher Fehler, nicht technischer Mängel des Cloud-Anbieters.
Realität: Professionell genutzte Cloud-Dienste sind für die meisten KMU sicherer als selbst betriebene Infrastruktur. Entscheidend sind die korrekte Konfiguration, angemessene Zugriffskontrollen und das Verständnis des Shared Responsibility Modells, bei dem sowohl Anbieter als auch Kunde Sicherheitsverantwortung tragen.
Mythos 6: “IT-Sicherheit ist ein rein technisches Thema”
Dieser Mythos führt dazu, dass Cybersecurity in die IT-Abteilung delegiert und dort isoliert behandelt wird. Tatsächlich ist Cybersecurity ein Geschäftsrisiko, das auf Geschäftsleitungsebene verstanden und gesteuert werden muss.
Die meisten erfolgreichen Angriffe nutzen menschliche Schwächen aus. Social Engineering, Phishing und Credential Theft funktionieren, weil Mitarbeitende getäuscht werden, nicht weil Technologie versagt. Eine Analyse von Verizon zeigt, dass 82% aller Datenschutzverletzungen einen menschlichen Faktor involvieren.
Ausserdem sind viele wichtige Sicherheitsentscheidungen strategischer Natur: Welche Risiken sind akzeptabel? Wie viel soll investiert werden? Wie gehen wir mit Dritten um? Diese Fragen können nicht allein von der IT beantwortet werden.
Realität: Effektive Cybersecurity erfordert eine ganzheitliche Herangehensweise mit Einbindung der Geschäftsleitung, aller Abteilungen und externer Partner. Eine lebendige Sicherheitskultur, in der alle Mitarbeitenden Verantwortung übernehmen, ist entscheidend für den Erfolg.
Mythos 7: “Compliance bedeutet Sicherheit”
Viele Unternehmen glauben, dass die Einhaltung regulatorischer Anforderungen oder die ISO 27001-Zertifizierung automatisch ausreichende Sicherheit gewährleistet. Compliance-Standards definieren jedoch meist nur Mindestanforderungen und sind oft nicht auf dem neuesten Stand der Bedrohungslandschaft.
Ein Schweizer Finanzdienstleister war FINMA-konform und trotzdem Opfer eines Ransomware-Angriffs, weil die regulatorischen Anforderungen zwar Backups vorsahen, aber nicht deren Offline-Speicherung spezifizierten. Die Ransomware verschlüsselte auch die Backups, was die Wiederherstellung erheblich verzögerte.
Zudem fokussieren Compliance-Anforderungen oft auf dokumentierte Prozesse, nicht auf deren tatsächliche Wirksamkeit. Ein Security-Manual im Regal nützt wenig, wenn die darin beschriebenen Massnahmen nicht gelebt werden.
Realität: Compliance ist wichtig und bildet eine gute Basis, ersetzt aber keine risikobasierte Sicherheitsstrategie. Unternehmen sollten über die Mindestanforderungen hinausgehen und ihre Massnahmen kontinuierlich an die aktuelle Bedrohungslage anpassen. Erfahren Sie mehr über ISO 27001 und ihren tatsächlichen Nutzen.
Mythos 8: “Wir können Cybersecurity intern aufbauen”
Für die meisten KMU ist es unrealistisch, intern alle benötigten Cybersecurity-Kompetenzen aufzubauen. Das Feld ist zu breit und entwickelt sich zu schnell. Von Netzwerksicherheit über Threat Intelligence bis zu Incident Response sind unterschiedlichste Spezialisierungen erforderlich.
Der Fachkräftemangel im Cybersecurity-Bereich ist erheblich. Schweizweit fehlen laut ICT-Berufsbildung Schweiz über 3.000 Cybersecurity-Spezialisten. Selbst wenn ein KMU einen Spezialisten gewinnen könnte, wäre dieser oft überlastet, hätte keine Vertretung und würde möglicherweise nach kurzer Zeit zu einem Grossunternehmen wechseln.
Hinzu kommt: Cybersecurity ist kein 9-to-5-Job. Angriffe erfolgen rund um die Uhr, oft gezielt außerhalb der Geschäftszeiten. Eine einzelne Person oder ein kleines Team kann keine 24/7-Überwachung gewährleisten.
Realität: Die meisten KMU fahren mit einem hybriden Modell am besten: Grundkompetenzen intern, spezialisierte Expertise und 24/7-Überwachung extern über Managed Security Service Provider. Vergleichen Sie die Ansätze im Detail.
Mythos 9: “Nach einer Schulung sind wir sicher”
Awareness-Schulungen sind wichtig, aber eine einmalige Schulung reicht nicht aus. Erfahrungswerte zeigen, dass Mitarbeitende bereits 3-6 Monate nach einer Schulung wieder deutlich anfälliger für Phishing-Angriffe sind. Cyberkriminelle entwickeln ihre Taktiken kontinuierlich weiter, und neue Mitarbeitende kommen hinzu.
Zudem vermitteln viele Schulungen theoretisches Wissen, ohne praktische Handlungskompetenzen aufzubauen. Mitarbeitende wissen dann vielleicht, dass Phishing existiert, erkennen aber im Arbeitsalltag unter Zeitdruck eine raffinierte Phishing-Mail nicht.
Realität: Effektive Awareness ist ein kontinuierlicher Prozess mit regelmässigen, kurzen Schulungseinheiten, simulierten Phishing-Tests und einer Sicherheitskultur, die offene Kommunikation fördert. Mitarbeitende sollten ermutigt werden, verdächtige Aktivitäten zu melden, ohne Sanktionen befürchten zu müssen.
Mythos 10: “Backups sind unsere Versicherung”
Backups sind essentiell, aber moderne Ransomware ist darauf ausgelegt, auch Backups zu kompromittieren. Angreifer verweilen oft Wochen oder Monate unentdeckt im System und identifizieren alle Backup-Standorte, bevor sie zuschlagen. Sophisticated Ransomware-Gruppen verschlüsseln zuerst die Backups, dann die Produktivdaten.
Zudem schützen Backups nur vor Datenverlust, nicht vor Datendiebstahl. Moderne Angriffe kombinieren oft beides (Double Extortion): Daten werden verschlüsselt und exfiltriert. Selbst wenn Sie aus Backups wiederherstellen können, drohen die Angreifer mit Veröffentlichung sensibler Daten.
Ein weiteres Problem: Viele Unternehmen testen ihre Backups nicht regelmässig. Im Ernstfall stellt sich dann heraus, dass Backups unvollständig, beschädigt oder nicht aktuell sind.
Realität: Backups müssen nach der 3-2-1-Regel organisiert sein: Drei Kopien, zwei verschiedene Medien, eine Kopie offline oder offsite. Regelmässige Wiederherstellungstests sind unerlässlich. Backups allein sind keine ausreichende Sicherheitsstrategie, sondern Teil eines übergreifenden Sicherheitskonzepts.
Von Mythen zu faktenbasierter Strategie
Das Bundesamt für Cybersicherheit (BACS) empfiehlt einen risikobasierten Ansatz statt pauschaler Massnahmen. Die Überwindung dieser Mythen ist der erste Schritt zu einer wirksamen Cybersecurity-Strategie. Folgende Prinzipien sollten Ihre Entscheidungen leiten:
Risikobasierter Ansatz: Identifizieren Sie Ihre wertvollsten Assets und grössten Risiken. Investieren Sie dort, wo der potenzielle Schaden am höchsten ist.
Defense in Depth: Setzen Sie auf mehrere Sicherheitsschichten. Wenn eine Massnahme versagt, sollten andere greifen.
Kontinuierliche Verbesserung: Cybersecurity ist kein Projekt mit Enddatum, sondern ein fortlaufender Prozess. Bleiben Sie über aktuelle Bedrohungen informiert und passen Sie Ihre Massnahmen an.
Expertenrat einholen: Nutzen Sie externe Expertise für Bereiche, die Sie intern nicht abdecken können. Unsere Checkliste hilft bei der Partnerwahl.
Vorbereitung auf den Ernstfall: Trotz aller Prävention kann ein Vorfall eintreten. Ein durchdachter Incident Response Plan minimiert den Schaden. Entwickeln Sie Ihren Plan hier.
Selbsttest: Wie viele Mythen glauben Sie noch?
Reflektieren Sie ehrlich, welche dieser Mythen möglicherweise auch Ihre Entscheidungen beeinflusst haben. Die gute Nachricht: Das Erkennen von Fehleinschätzungen ist der erste Schritt zur Verbesserung.
Führen Sie eine Cybersecurity-Risikoanalyse durch, idealerweise mit externer Unterstützung. Ein frischer Blick von aussen kann blinde Flecken aufdecken, die intern nicht erkannt werden. Viele Schweizer Cybersecurity-Anbieter bieten kostenlose oder vergünstigte Erstanalysen an.
Mythen entlarven, richtig handeln
Mythen in der Cybersecurity sind nicht nur harmlose Missverständnisse, sie schaffen eine trügerische Sicherheit, die im Ernstfall katastrophale Folgen haben kann. Schweizer KMU, die ihre Sicherheitsstrategie auf realistischen Risikobewertungen und Fakten aufbauen, sind nicht nur besser geschützt, sondern auch wettbewerbsfähiger.
Die Bedrohungslandschaft wird sich weiter verschärfen, und neue Mythen werden entstehen. Kritisches Denken, kontinuierliches Lernen und die Bereitschaft, überkommene Annahmen zu hinterfragen, sind daher entscheidende Erfolgsfaktoren für langfristige Cyber-Resilienz.
Zurück zum Cybersecurity-Komplettguide
Geprüfte Cybersecurity-Partner auf Alpine Excellence helfen, Mythen durch faktenbasierte Sicherheitskonzepte zu ersetzen.