2025 hat das Bundesamt für Cybersicherheit (BACS) über 63'000 Cybervorfälle registriert — ein neuer Rekord. Dabei sind KMU besonders gefährdet: Sie haben oft weder einen CISO noch ein dediziertes IT-Security-Team. Genau das macht sie zum bevorzugten Ziel. Die gute Nachricht: Sie brauchen kein Millionenbudget, um sich zu schützen.
1. Passwort-Hygiene einführen
Das klingt banal, ist aber nach wie vor die häufigste Einfallspforte für Angreifer. «123456» und «Firmenname2024» sind keine Passwörter — sie sind Einladungen.
✅ Sofort umsetzen
- Mindestens 12 Zeichen, Gross-/Kleinbuchstaben, Zahlen und Sonderzeichen
- Einen Passwort-Manager einführen (z. B. Bitwarden, 1Password oder KeePass)
- Niemals dasselbe Passwort für mehrere Dienste verwenden
- Passwörter von ausgetretenen Mitarbeitern sofort ändern
2. Zwei-Faktor-Authentifizierung (2FA) überall aktivieren
Selbst das beste Passwort nützt nichts, wenn es durch einen Datenleck publik wird. 2FA fügt eine zweite Sicherheitsstufe hinzu — meistens ein Code per App (z. B. Microsoft Authenticator oder Google Authenticator).
Aktivieren Sie 2FA mindestens für:
- E-Mail-Konten (Microsoft 365, Google Workspace)
- Cloud-Speicher (SharePoint, Dropbox, Google Drive)
- Buchhaltungssoftware und Bankzugänge
- Soziale Medien und CMS (WordPress, etc.)
Tipp: SMS-basierte 2FA ist besser als nichts, aber App-basierte Authentifizierung (TOTP) ist deutlich sicherer.
3. Phishing erkennen — Mitarbeiter schulen
Über 90 % aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-E-Mail. KI-generierte Phishing-Mails sind mittlerweile so überzeugend, dass selbst erfahrene Mitarbeiter darauf hereinfallen. Regelmässige Schulungen sind deshalb keine Option — sie sind Pflicht.
🚩 Typische Warnsignale einer Phishing-Mail
- Dringlichkeit: «Ihr Konto wird gesperrt», «Sofort handeln»
- Unbekannter Absender mit leicht abweichender Domain (z. B. @swiss-post.com statt @post.ch)
- Links, die auf eine andere URL zeigen als angezeigt
- Anhänge, die Sie nicht erwartet haben (.zip, .exe, .docm)
- Fehlende persönliche Anrede oder ungewöhnliche Sprache
Ein interaktives Cyber-Security-Training ist effektiver als jede PDF-Richtlinie. Mitarbeiter, die Phishing in einer sicheren Umgebung «erleben», erkennen echte Angriffe deutlich besser.
4. Software und Systeme aktuell halten
Veraltete Software ist wie eine offene Tür. Viele Angriffe nutzen bekannte Schwachstellen aus, für die es längst Patches gibt — die aber nie installiert wurden.
- Betriebssysteme (Windows, macOS): Automatische Updates aktivieren
- Browser: Chrome, Firefox, Edge immer auf dem neusten Stand
- Plugins/Erweiterungen: Alte oder ungenutzte Plugins entfernen
- Netzwerkgeräte: Router-Firmware regelmässig aktualisieren
- Geschäftssoftware: ERP, CRM, Buchhaltung — auch hier gilt: updaten
Praxistipp: Richten Sie einen fixen «Update-Tag» ein — z. B. jeden ersten Montag im Monat. So wird die Pflege zur Routine.
5. Backups — die Lebensversicherung für Ihre Daten
Ransomware verschlüsselt Ihre Dateien und verlangt Lösegeld. Wer ein aktuelles Backup hat, kann dem Angreifer den Mittelfinger zeigen. Wer keines hat, steht vor der Wahl: zahlen oder alles verlieren.
Die 3-2-1-Backup-Regel
- 3 Kopien Ihrer Daten
- 2 verschiedene Speichermedien (z. B. NAS + Cloud)
- 1 Kopie an einem externen Standort (Offsite-Backup)
Wichtig: Testen Sie die Wiederherstellung regelmässig. Ein Backup, das sich nicht wiederherstellen lässt, ist kein Backup.
6. Zugriffsrechte nach dem Minimum-Prinzip
Nicht jeder Mitarbeiter braucht Zugriff auf alles. Das Prinzip der geringsten Privilegien (Least Privilege) bedeutet: Jeder bekommt nur die Rechte, die er für seine Arbeit braucht — nicht mehr.
- Administratorrechte nur an die IT-Verantwortlichen vergeben
- Geteilte Zugänge (shared logins) abschaffen — jeder erhält ein eigenes Konto
- Zugriffsrechte bei Abteilungswechsel oder Austritt sofort anpassen
- Externe Dienstleister nur temporären Zugang geben
7. WLAN absichern
Viele KMU betreiben ihr Büro-WLAN mit dem Standardpasswort des Routers oder einem Passwort, das seit fünf Jahren nicht geändert wurde. Das ist ein Einfallstor, das sich in Minuten ausnutzen lässt.
- WPA3-Verschlüsselung aktivieren (mindestens WPA2)
- Ein separates Gäste-WLAN einrichten — Gäste und Kunden dürfen nicht im gleichen Netz wie Ihre Geschäftsdaten sein
- WLAN-Passwort regelmässig ändern
- Router-Admin-Passwort vom Standardwert ändern
8. Notfallplan erstellen
Was tun Sie, wenn morgen um 08:00 Uhr alle Bildschirme schwarz sind? Ein Notfallplan definiert, wer was tut, wenn ein Cyberangriff stattfindet. Ohne Plan herrscht Chaos — und Chaos kostet Geld und Daten.
📋 Ihr Notfallplan sollte enthalten
- Kontaktliste: Wer wird informiert? (IT-Partner, Geschäftsleitung, BACS)
- Sofortmassnahmen: Betroffene Systeme isolieren, Passwörter ändern
- Kommunikationsplan: Wer informiert Kunden, Lieferanten, Behörden?
- Wiederherstellung: Welche Systeme haben Priorität? Wo sind die Backups?
- Meldepflicht: Seit 2024 müssen kritische Infrastrukturen Cybervorfälle innert 24 Stunden dem BACS melden
Praxistipp: Drucken Sie den Notfallplan aus und hängen Sie ihn gut sichtbar auf. Bei einem Ransomware-Angriff haben Sie möglicherweise keinen Zugriff auf digitale Dokumente.
9. Cyber-Security-Schulung zur Pflicht machen
Technik allein schützt nicht. Der Faktor Mensch bleibt das grösste Risiko — und gleichzeitig die beste Verteidigung, wenn Mitarbeiter richtig geschult sind.
Eine gute Cyber-Security-Schulung deckt mindestens ab:
- Phishing und Social Engineering erkennen
- Sicherer Umgang mit Passwörtern und 2FA
- Verhalten bei verdächtigen E-Mails oder Anrufen
- Meldewege im Unternehmen («An wen wende ich mich?»)
- Datenschutz und nDSG-Grundlagen
Wichtig: Einmalige Schulungen bringen wenig. Wiederholung ist der Schlüssel. Am besten planen Sie jährliche Auffrischungen plus anlassbezogene Kurzschulungen bei neuen Bedrohungslagen.
Fazit
Cyber Security ist kein Luxus und kein IT-Thema — es ist eine Geschäftsgrundlage. Die 9 Massnahmen in diesem Artikel kosten wenig, brauchen keine Spezialkenntnisse und schützen Ihr KMU vor den häufigsten Angriffsszenarien. Fangen Sie heute an — nicht erst nach dem ersten Vorfall.
Möchten Sie Ihre Mitarbeiter schulen? Unser interaktiver Cyber-Security-Kurs vermittelt alle Grundlagen in 30 Minuten — praxisnah, auf Schweizer Recht abgestimmt, direkt im Browser. Kontaktieren Sie uns für eine Demo.