Kurz vorweg: Dieser Artikel richtet sich an Geschäftsführer*innen und IT-Verantwortliche von Schweizer KMU mit 5–200 Mitarbeitenden. Kein Fachchinesisch – sondern konkrete Massnahmen mit Preisrahmen und Aufwand.
Warum KMU heute die Hauptziele sind
Das Nationale Zentrum für Cybersicherheit (NCSC) registrierte 2025 über 62'000 Meldungen – ein Drittel davon betraf KMU. Die Gründe sind einfach:
- ▸ KMU haben selten eine eigene IT-Security-Abteilung.
- ▸ Angriffe lassen sich dank KI heute automatisiert und massenhaft ausführen.
- ▸ Lieferketten führen oft direkt von kleinen Zulieferern zu Grosskunden – KMU sind der einfache Einstiegspunkt.
- ▸ Cyberversicherungen zahlen nur noch bei nachweisbarem Schutzniveau.
Die 7 Schutzmassnahmen, die wirklich wirken
Multi-Faktor-Authentifizierung (MFA) überall aktivieren
Über 80% aller kompromittierten Konten hätten mit MFA verhindert werden können. Microsoft 365, Google Workspace, alle Banking- und CRM-Zugänge müssen MFA-gesichert sein.
3-2-1-Backup-Strategie mit Offsite-Kopie
3 Kopien, 2 verschiedene Medien, 1 physisch getrennt. Ransomware verschlüsselt auch angeschlossene NAS-Laufwerke – darum braucht es ein Cloud-Backup, das vom Hauptsystem isoliert ist.
Patch-Management automatisieren
Die meisten erfolgreichen Angriffe nutzen bekannte Schwachstellen, die seit Monaten gepatcht sein könnten. Windows, macOS und alle Business-Apps müssen automatisch aktualisiert werden – zentral verwaltet.
E-Mail-Security & Phishing-Schutz
91% aller Angriffe beginnen mit einer E-Mail. Moderne E-Mail-Filter (Microsoft Defender for Office 365, Mimecast, Hornetsecurity) erkennen Phishing, Spoofing und CEO-Fraud zuverlässig.
Endpoint Detection & Response (EDR)
Klassische Virenscanner erkennen nur bekannte Signaturen. EDR-Lösungen (Microsoft Defender, Bitdefender GravityZone, SentinelOne) analysieren Verhaltensmuster und stoppen auch neue Angriffe.
Mitarbeitende regelmässig schulen
Die beste Technik hilft nicht, wenn jemand das Passwort weitergibt. Kurze, praxisnahe Schulungen (15 Min/Monat) und Phishing-Simulationen senken das Risiko nachweislich um bis zu 80%.
Incident-Response-Plan & Cyberversicherung
Was passiert, wenn es trotzdem passiert? Jedes KMU braucht einen Notfallplan (Wer entscheidet? Wer kommuniziert? Wann zur Polizei?) und idealerweise eine Cyberversicherung mit 24h-Hotline.
Was kostet IT-Sicherheit für ein typisches KMU?
Beispielrechnung für ein KMU mit 15 Mitarbeitenden inklusive aller 7 Massnahmen:
Entspricht rund CHF 37 pro Mitarbeitenden und Monat – deutlich weniger als ein einziger Tag Betriebsausfall nach einem Ransomware-Angriff.
Gesetzliche Pflichten: Was Schweizer KMU wissen müssen
- Das revidierte Datenschutzgesetz (revDSG) verpflichtet seit September 2023 zu angemessenen technischen Schutzmassnahmen.
- Datenschutzverletzungen müssen dem EDÖB unverzüglich gemeldet werden, wenn ein hohes Risiko für Betroffene besteht.
- Seit 2025 besteht für kritische Infrastrukturen eine Meldepflicht für Cybervorfälle innert 24 Stunden ans NCSC.
- Für börsenkotierte Unternehmen und deren Zulieferer gelten zusätzliche ISO-27001-nahe Anforderungen.
Fazit: Sicherheit ist kein Projekt, sondern ein Prozess
IT-Sicherheit ist kein Produkt, das Sie einmal kaufen und abhaken können. Die Bedrohungslage ändert sich monatlich – Ihre Massnahmen müssen mitwachsen. Die gute Nachricht: Mit den 7 Basismassnahmen sind Sie bereits besser geschützt als 80% der Schweizer KMU.
Wichtig ist, dass alles zentral verwaltet und überwacht wird. Ein verteilter Flickenteppich aus Einzeltools ist oft gefährlicher als gar kein Schutz – weil er falsche Sicherheit vermittelt.
Kostenloser IT-Security-Check
Wir prüfen in 60 Minuten den aktuellen Schutzstatus Ihres KMU und geben eine priorisierte Empfehlungsliste – kostenlos und unverbindlich.
Security-Check vereinbaren