Viele KMU glauben, Cybersecurity erfordere teure Enterprise-Lösungen. Das stimmt nicht: 80% aller erfolgreichen Cyberangriffe lassen sich durch grundlegende Security-Hygiene verhindern. MFA, Passwort-Manager, aktuelle Software und getestete Backups reichen oft aus. Gemäss dem NCSC-Halbjahresbericht sind schwache Passwörter und fehlende Multi-Faktor-Authentifizierung die häufigsten Einfallstore bei Schweizer KMU.

Was ist Security-Hygiene?

Grundlegende, regelmässig durchgeführte Sicherheitspraktiken, die das Risiko von Cyberangriffen minimieren. Kernprinzipien: Konsistenz, Prävention, Einfachheit, gemeinsame Verantwortung.

Wichtig: Fortgeschrittene Massnahmen (SIEM, EDR, Zero Trust) sind wertlos ohne solide Hygiene-Grundlagen. Kein SIEM schützt vor schwachen Passwörtern.

1. Passwort-Management

Best Practices

Länge vor Komplexität: Mindestens 12 Zeichen (besser 16+). Lange Phrasen schlagen kurze, komplexe Kombinationen.

Einzigartigkeit: Jedes System ein eigenes Passwort. Keine Wiederverwendung.

Keine Zwangsänderungen: Nur bei Kompromittierung ändern. Zwangsänderungen führen zu vorhersehbaren Mustern.

Passwort-Manager für KMU

  • 1Password Business: CHF 8-12/Nutzer/Monat, Team-Management, Audit-Logs
  • Bitwarden: CHF 3-5/Nutzer/Monat, Open Source, selbst hostbar
  • Keeper Security: CHF 10-15/Nutzer/Monat, Zero-Knowledge-Architektur

Rollout: Pilotgruppe (IT/Management) zuerst, dann alle Mitarbeitenden mit Schulung (30-45 Min.). Setup: 4-8 Stunden IT.

2. Multi-Faktor-Authentifizierung (MFA)

MFA ist die wirksamste Einzelmassnahme gegen Cyberangriffe. Das Bundesamt für Cybersicherheit (BACS) stuft MFA als Pflichtmassnahme für jedes Unternehmen ein: Ohne MFA ist ein Grossteil der automatisierten Angriffe erfolgreich.

MFA-Methoden nach Sicherheitsstufe

SMS-Codes (schwächste Form): Besser als nichts, aber anfällig für SIM-Swapping.

Authenticator-Apps (empfohlen): Microsoft Authenticator, Authy, 2FAS. Offline-fähig, kostenlos, optimale Balance für KMU.

Hardware-Tokens (höchste Sicherheit): YubiKey (CHF 50-100), Phishing-resistent. Ideal für Admin-Accounts.

Rollout-Strategie

  1. Woche 1-2: E-Mail, Admin-Zugriffe, Finanz-Tools (Hardware-Token für IT-Admins)
  2. Woche 3-4: Cloud-Dienste, CRM, ERP (Authenticator-App)
  3. Woche 5-6: Alle weiteren Accounts

Bei Handy-Verlust: Backup-Codes im Passwort-Manager speichern, Backup-Gerät registrieren, IT-Helpdesk kann nach Identitätsverifikation zurücksetzen.

3. Software-Updates

Warum veraltete Software gefährlich ist

Sobald eine Lücke öffentlich wird, existieren oft binnen Stunden Exploit-Tools. Angreifer scannen automatisiert nach verwundbaren Systemen.

Update-Strategie

Vollautomatisch (Standard): Windows-Workstations, macOS, Browser, Microsoft 365, Mobile Geräte.

Halb-automatisch (Test vor Rollout): Server, geschäftskritische Anwendungen, ERP/CRM. Kritische Sicherheitsupdates priorisieren.

Manuell (nur Ausnahmen): Legacy-Systeme, Spezialhardware. Monatlich prüfen, dokumentieren.

End-of-Life-Software

Nicht patchbare Software (Windows 7, PHP 7.x etc.) ist dauerhaft verwundbar. Migration empfohlen. Falls nicht möglich: Isolation vom Internet, zusätzliche Netzwerk-Segmentierung.

Inventur führen: EOL-Migrationen 12-18 Monate im Voraus planen.

4. Backup-Strategie

Die 3-2-1-1-0-Regel

  • 3 Kopien der Daten
  • 2 verschiedene Medien
  • 1 Offsite-Kopie
  • 1 unveränderbare/immutable Kopie (Ransomware-Schutz)
  • 0 Fehler bei Wiederherstellungstests

Was muss gebackupt werden?

Täglich: Datenbanken, Fileserver, E-Mails, Konfigurationen Wöchentlich: System-Images, VMs, Websites Nicht vergessen: Office 365/Google Workspace, Passwort-Manager

Empfohlenes Schema

Sonntag: Vollbackup. Montag-Samstag: Inkrementell. Retention: 4 Wochen täglich, 12 Monate monatlich.

Backup-Lösungen

Hybrid-Ansatz empfohlen: Lokales NAS (CHF 500-2’000) + Cloud-Backup (Acronis, Backblaze). Kosten für 20-Personen-KMU: CHF 200-400/Monat.

Backup-Testing

  • Quartalsweise: Zufällige Dateien wiederherstellen, Integrität prüfen
  • Jährlich: Vollständiger Disaster-Recovery-Test
  • Dokumentierte Restore-Prozeduren pflegen
  • Monitoring bei fehlgeschlagenen Backups

5. Zugangskontrollen

Least Privilege

Jeder Nutzer erhält nur minimal notwendige Rechte. Reduziert Schadenbegrenzung bei Kompromittierung, mindert Insider-Risiko.

Rollen-basierte Zugriffskontrolle (RBAC)

Rollen statt individuelle Rechte: Marketing-Team, Geschäftsführung, IT-Administrator etc. Umsetzung via Azure AD-Gruppen, Google Workspace, Active Directory.

Privilegierte Accounts

  • Trennung von Admin- und Alltags-Accounts
  • Hardware-MFA für Admin-Accounts
  • Logging aller Admin-Aktionen

Offboarding-Checkliste

Am letzten Tag: Account deaktivieren, Passwörter geteilter Accounts ändern, MFA entfernen, Hardware zurücknehmen, VPN deaktivieren. Innerhalb 1 Woche: E-Mail-Weiterleitung, Datenübergabe. Nach 30 Tagen: Account löschen, Lizenzen freigeben.

6. Mitarbeiter-Awareness

Häufige Angriffsvektoren

Phishing: Betrügerische E-Mails mit gefälschten Login-Seiten oder schädlichen Anhängen. Erkennungsmerkmale: Dringlichkeit, ungewöhnliche Absender, verdächtige Links.

CEO-Fraud: Angreifer gibt sich als CEO aus, fordert dringende Überweisung. Schutz: Vier-Augen-Prinzip ab CHF 5’000, telefonische Rückbestätigung.

Awareness-Programm aufbauen

  1. Initialschulung (2-3h): Angriffsmethoden, Richtlinien, Meldeprozess
  2. Quartalsweise Auffrischungen (30 Min.): Neue Bedrohungen, Lessons Learned
  3. Phishing-Simulationen: Regelmässig, als Training, nicht als Bestrafung
  4. Reporting-Kultur: Einfacher Meldeprozess, positives Feedback für Melder

Tools: KnowBe4 (CHF 20-30/User/Jahr), Microsoft Defender Attack Simulation, GoPhish (Open Source).

7. Praktische Implementierung

Quick Wins (Woche 1-2)

  1. MFA für E-Mail-Accounts aktivieren
  2. Passwort-Manager einführen (IT-Team + GL)
  3. Automatische Updates aktivieren
  4. Backup-Status prüfen (Restore-Test!)

Kosten: CHF 0-500 | Wirkung: Eliminiert 50-60% der Angriffsrisiken

Mittelpriorität (Monat 1-2)

  1. Passwort-Manager für alle ausrollen
  2. MFA für alle kritischen Systeme
  3. Backup-Strategie überarbeiten (3-2-1-Regel)
  4. Initiale Awareness-Schulung
  5. Zugriffsrechte überprüfen

Kosten: CHF 1’000-3’000 | Wirkung: 70-80% Risikoreduktion

Langfristig (Monat 3-6)

  1. Hardware-Tokens für Admin-Accounts
  2. Patch-Management-Tool
  3. Phishing-Tests starten
  4. Incident-Response-Plan dokumentieren

Budget für 20-Personen-KMU

Jahr 1: ca. CHF 4’800 (Passwort-Manager, YubiKeys, Schulung, NAS) Ab Jahr 2: ca. CHF 4’000/Jahr (Lizenzen, Cloud-Backup, Phishing-Simulation)

= CHF 16 pro Mitarbeitenden/Monat. Zum Vergleich: Ransomware-Angriff kostet CHF 50’000-150’000.

Was diese Massnahmen konkret bringen

80% der Angriffe lassen sich mit grundlegenden Massnahmen verhindern, für CHF 16 pro Mitarbeitenden und Monat. MFA, Passwort-Manager und funktionierende Backups können innerhalb von zwei Wochen implementiert werden und eliminieren die Hälfte aller Risiken. Ein Ransomware-Angriff kostet Schweizer KMU gemäss NCSC durchschnittlich CHF 50’000-150’000. Security-Hygiene ist nicht glamourös, aber sie macht den Unterschied zwischen kleinem Vorfall und existenzbedrohender Krise.

Sobald die Grundlagen stehen, empfiehlt sich als nächster Schritt ein professioneller Penetrationstest, um verbleibende Schwachstellen systematisch aufzudecken. Spezialisierte Anbieter wie RedTeam Partners können gezielt prüfen, ob Ihre Hygiene-Massnahmen auch realen Angriffen standhalten.

Transparenz-Hinweis: Dieser Artikel wurde mit Unterstützung von KI-Tools erstellt und redaktionell überarbeitet. Die genannten Tools und Anbieter dienen als Beispiele, Alpine Excellence erhält keine Provisionen für deren Nennung.