Cybersecurity für KMU in der Schweiz
Cyberangriffe treffen nicht nur Großkonzerne. Gerade kleine und mittlere Unternehmen (KMU) sind ein bevorzugtes Ziel von Cyberkriminellen – weil sie oft weniger gut geschützt sind als große Organisationen, aber dennoch sensible Daten verarbeiten. In der Schweiz hat das Nationale Zentrum für Cybersicherheit (NCSC) in den letzten Jahren einen deutlichen Anstieg der gemeldeten Vorfälle verzeichnet.
Dieser Artikel gibt einen sachlichen Überblick über relevante Aspekte der IT-Sicherheit für KMU in der Schweiz. Er stellt keine rechtliche oder technische Beratung dar.
Hinweis: Dieser Beitrag dient ausschließlich Informationszwecken. Für individuelle IT-Sicherheitsberatung wenden Sie sich an qualifizierte Fachleute.
Warum sind KMU ein häufiges Ziel?
Cyberkriminelle wählen ihre Ziele oft nicht nach der Größe, sondern nach der Verwundbarkeit. KMU bieten häufig einen attraktiven Kompromiss: Sie verfügen über Kundendaten, Zahlungsinformationen oder Zugänge zu größeren Lieferketten – haben aber oft weniger strukturierte Sicherheitsmaßnahmen als Großunternehmen.
Häufige Angriffsformen
Die am häufigsten gemeldeten Angriffsmethoden gegen Schweizer KMU sind:
- Phishing: Gefälschte E-Mails, die Mitarbeitende dazu bringen, Zugangsdaten preiszugeben oder schädliche Anhänge zu öffnen.
- Ransomware: Schadsoftware, die Daten verschlüsselt und Lösegeld fordert.
- CEO-Fraud: Betrügerische E-Mails, die vorgeben, von der Geschäftsleitung zu stammen und zu Überweisungen auffordern.
- Angriffe auf Remote-Zugänge: Unsichere VPN-Lösungen oder Fernzugänge als Einstiegspunkt.
Rechtliche Rahmenbedingungen in der Schweiz
Für Schweizer Unternehmen sind vor allem zwei Regelwerke relevant:
Das revidierte Datenschutzgesetz (nDSG)
Seit September 2023 gilt das revidierte Datenschutzgesetz in der Schweiz. Es bringt neue Pflichten für Unternehmen: Sie müssen technische und organisatorische Maßnahmen zum Schutz von Personendaten treffen, bei Datenpannen die betroffenen Personen und in schwerwiegenden Fällen den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) informieren.
DSGVO-Relevanz für Schweizer Unternehmen
Schweizer Unternehmen, die Daten von Personen in der EU verarbeiten, können auch der EU-Datenschutz-Grundverordnung (DSGVO) unterliegen. Dies ist relevant für Unternehmen mit Kunden oder Mitarbeitenden in EU-Ländern.
Grundlegende Sicherheitsmaßnahmen für KMU
Es gibt eine Reihe von Maßnahmen, die als Basis-Sicherheitsstandard gelten:
- Regelmäßige Software-Updates und Patch-Management
- Verwendung sicherer, einzigartiger Passwörter und eines Passwort-Managers
- Zwei-Faktor-Authentifizierung (2FA) für kritische Systeme
- Regelmäßige Datensicherungen (Backups), idealerweise offline oder in einer gesicherten Cloud
- Schulung von Mitarbeitenden zur Erkennung von Phishing-Versuchen
- Netzwerksegmentierung und Zugriffsbeschränkungen
Notfallplan bei einem Cyberangriff
Viele KMU unterschätzen die Bedeutung eines dokumentierten Notfallplans. Im Ernstfall – wenn Systeme verschlüsselt sind oder Daten abgeflossen sind – zählt jede Minute. Ein Plan sollte definieren, wer benachrichtigt wird (intern und extern), wie Systeme isoliert werden und wann externe Spezialisten hinzugezogen werden.
Externe IT-Sicherheitsdienstleister
Viele KMU lagern ihre IT-Sicherheit ganz oder teilweise an externe Dienstleister aus. Managed Security Service Provider (MSSP) übernehmen Aufgaben wie Monitoring, Patch-Management und Incident Response. Die Wahl eines geeigneten Anbieters sollte sorgfältig erfolgen – wichtige Kriterien sind Zertifizierungen, Referenzen und klare vertragliche Regelungen zur Datenhaltung in der Schweiz.
IT-Unternehmen auf BestInSwiss
- IT-Unternehmen auf BestInSwiss
- IT-Dienstleister im Kanton Zürich
- IT-Sicherheitsanbieter im Kanton Zug
- Methodik von BestInSwiss
- Häufige Fragen zu BestInSwiss
Häufige Fragen zu Cybersecurity für KMU
Muss ich als KMU in der Schweiz einen Datenschutzbeauftragten benennen?
Das nDSG kennt keine zwingende Pflicht zur Benennung eines Datenschutzbeauftragten für private Unternehmen – anders als die DSGVO. Es kann jedoch sinnvoll sein, eine verantwortliche Person intern zu benennen.
Was soll ich tun, wenn mein Unternehmen Opfer eines Ransomware-Angriffs wird?
Isolieren Sie betroffene Systeme, informieren Sie Ihre IT-Fachleute und kontaktieren Sie das NCSC (ncsc.admin.ch). Zahlen Sie kein Lösegeld, ohne vorher Fachrat einzuholen – die Datenwiedergabe ist nicht garantiert.
Was ist der Unterschied zwischen Antivirus und Endpoint Detection?
Klassische Antivirussoftware erkennt bekannte Schadsoftware anhand von Signaturen. Moderne Endpoint-Detection-and-Response-Lösungen (EDR) analysieren Verhaltensweisen und können auch neuartige Bedrohungen erkennen.
Gibt es staatliche Unterstützung für KMU bei Cyberangriffen?
Das Nationale Zentrum für Cybersicherheit (NCSC) bietet Informationen und Meldestellen an. Finanzielle Soforthilfe gibt es in der Regel nicht – deshalb empfehlen Experten eine Cyberversicherung als Teil des Risikomanagements.
Wie schule ich meine Mitarbeitenden für Cybersecurity?
Regelmäßige Schulungen, simulierte Phishing-Tests und klare Richtlinien für den Umgang mit verdächtigen E-Mails sind effektive Maßnahmen. Viele IT-Dienstleister bieten spezialisierte Awareness-Trainings an.
Hinweis: Dieser Beitrag dient ausschließlich Informationszwecken. Die rechtlichen Rahmenbedingungen können sich ändern. Für individuelle IT-Sicherheits- und Rechtsberatung wenden Sie sich an qualifizierte Fachpersonen. Aktuelle Informationen bietet das NCSC unter ncsc.admin.ch.