Phishing bezeichnet betrügerische E-Mails, SMS oder Webseiten, die Empfänger dazu verleiten, Passwörter, Zahlungsdaten oder vertrauliche Informationen preiszugeben oder Schadsoftware zu installieren. Schweizer KMU sind besonders über CEO-Fraud und Rechnungs-Phishing betroffen.

Wie erkennt man eine Phishing-Mail?

Typische Anzeichen sind unerwartete Absender, dringender Handlungsdruck, Rechtschreibfehler, abweichende Absenderdomain (z.B. post-ch-finance.com statt post.ch), unpersönliche Anrede und Links auf verdächtige URLs. Im Zweifel: Nicht klicken, Absender telefonisch verifizieren.

Wie schützt man ein KMU effektiv vor Phishing?

Ein wirksamer Schutz kombiniert E-Mail-Filter (Microsoft Defender for Office 365 oder Proofpoint), Multi-Faktor-Authentifizierung mit Phishing-resistenten Methoden (FIDO2/Passkeys), regelmässige Awareness-Trainings sowie DNS-Filter und ein klares Meldeprozedere für verdächtige Mails.

Was kostet Phishing-Schutz für ein Schweizer KMU?

Für 10–20 Mitarbeitende rechnen Sie mit CHF 8–15 pro Nutzer pro Monat für E-Mail-Security, plus einmalig CHF 1’500–3’000 für Awareness-Training und Hardware-Tokens. Ein einziger erfolgreicher CEO-Fraud kostet KMU laut NCSC durchschnittlich CHF 50’000+.

Phishing-Schutz für KMU Schweiz: Erkennen & Abwehren 2026

Kurz vorweg: Das Nationale Zentrum für Cybersicherheit (NCSC/BACS) verzeichnete 2024 über 62'000 Meldungen – fast die Hälfte davon Phishing. Die häufigsten Opfer sind nicht Banken oder Konzerne, sondern KMU mit 5–50 Mitarbeitenden. Der gute Schutz davor ist erstaunlich günstig – wenn man weiss, wo anzusetzen ist.

Die 4 häufigsten Phishing-Maschen gegen Schweizer KMU

CEO-Fraud (Business E-Mail Compromise)

Eine vermeintliche Mail vom Geschäftsführer fordert die Buchhaltung auf, dringend eine Überweisung zu machen – oft an einen «neuen Lieferanten» im Ausland. Die Absenderadresse weicht nur minimal ab (z.B. ceo@firma-ch.com statt firma.ch).

Durchschnittsschaden Schweiz: CHF 50’000–250’000 pro Vorfall.

Gefälschte Rechnungen / IBAN-Tausch

Angreifer kompromittieren das Mailkonto eines Lieferanten, beobachten den Schriftverkehr und ersetzen kurz vor Zahlung die IBAN. Die Mail kommt vom echten Absender – auffallen kann es nur durch IBAN-Verifikation.

Schweizer Behörden melden steigende Fallzahlen, oft 5- bis 6-stellige Beträge.

Microsoft-365- / SharePoint-Phishing

Eine Mail meldet «Ihr Postfach ist voll» oder «Sie haben ein Dokument auf SharePoint erhalten». Der Login-Screen ist täuschend echt – das Passwort landet beim Angreifer, der danach Mails abfängt und CEO-Fraud anbahnt.

Folgeschaden meist erst nach Wochen sichtbar.

Schweiz-spezifisches Phishing (Post, SBB, Steuern)

SMS oder Mails im Namen von Die Post, SBB, ESTV oder kantonalen Steuerverwaltungen mit «Sendungsverfolgung», «Rückerstattung» oder «Mahngebühr». Mitarbeitende klicken aus dem privaten Kontext auf dem Geschäftsgerät.

Einfallstor für Ransomware – Wiederherstellungskosten ab CHF 30’000.

Phishing erkennen: Die 7-Punkte-Checkliste

Absender-Domain prüfen – stimmt sie zeichengenau? «postfinance-ch.com» ist nicht «postfinance.ch».
Unerwarteter Kontext – Rechnung, die Sie nicht bestellt haben? Lieferung, die Sie nicht erwarten? Erhöhte Wachsamkeit.
Künstlicher Zeitdruck – «Heute noch überweisen», «Konto wird gesperrt», «Letzte Mahnung» sind Red Flags.
Anrede & Sprache – generische Anreden («Sehr geehrter Kunde») und ungewohnte Sprachfehler in einer ansonsten korrekten Geschäftsbeziehung.
Link-Hover – Maus über Links, ohne zu klicken: Stimmt das angezeigte Ziel mit dem Linktext überein?
Anhänge – unerwartete .zip-, .iso-, .htm- oder makro-aktivierte Office-Dateien: niemals öffnen.
Ungewöhnliche Anweisungen – Bitte um Geheimhaltung, Wechsel auf privaten Kanal, dringende Geschenkkarten-Käufe: klassische CEO-Fraud-Muster.

Der wirksame Schutz-Stack für KMU

Phishing-Schutz ist kein einzelnes Produkt, sondern eine Kombination aus Technik, Prozessen und Menschen. Die folgenden fünf Bausteine wirken zusammen – und sind für KMU bezahlbar:

Hochwertige E-Mail-Security (Filter & Sandbox)

Microsoft Defender for Office 365 (Plan 1 oder 2) prüft Anhänge in einer Sandbox, klassifiziert URLs in Echtzeit (Safe Links) und blockiert Domain-Spoofing. Alternativen: Proofpoint Essentials oder Hornetsecurity 365 Total Protection.

CHF 2.50–8 pro Nutzer/Monat zusätzlich zur M365-Lizenz.

MFA mit Phishing-resistenten Methoden

SMS-Codes lassen sich heute umgehen (Adversary-in-the-Middle). Setzen Sie auf Authenticator-Apps mit Number Matching oder – noch besser – FIDO2-Hardware-Schlüssel (YubiKey) bzw. Passkeys. Conditional Access in Entra ID erzwingt MFA risikobasiert.

YubiKey 5C ab CHF 60 pro Nutzer einmalig. Passkeys & Authenticator: gratis.

DNS-Filter (DNS-Layer-Schutz)

Cisco Umbrella, Cloudflare Gateway oder Quad9 für Unternehmen blockieren bekannte Phishing-Domains schon auf DNS-Ebene – auch wenn jemand klickt. Wirkt im Büro und im Homeoffice.

Ab ca. CHF 2.50 pro Nutzer/Monat.

Awareness-Training & simulierte Phishing-Mails

Plattformen wie KnowBe4, SoSafe oder Hornetsecurity Security Awareness verschicken regelmässig realistische Test-Phishings und liefern kurze Lerninhalte (3–5 Min) in Deutsch. Klickraten sinken nach 6 Monaten typischerweise von 25% auf <5%.

CHF 3–6 pro Nutzer/Monat, oft mit Auto-Onboarding.

Klares Melde- & Verifikationsprozedere

Ein Knopf in Outlook («Phishing melden» / Report Message Add-in), eine schriftliche IBAN-Wechsel-Regel («Telefonische Rückbestätigung über bekannte Nummer») und eine 4-Augen-Pflicht für Überweisungen ab definiertem Betrag. Das verhindert die meisten CEO-Fraud-Fälle.

Aufwand: 1 halber Beratertag, danach Prozess-Routine.

Im Ernstfall: Was tun nach einem Klick?

Gerät sofort vom Netz nehmen (LAN-Kabel ziehen, WLAN deaktivieren) – nicht herunterfahren.
IT-Verantwortlichen oder externen IT-Dienstleister informieren – nicht erst am nächsten Tag.
Passwort des betroffenen Accounts und aller dort verknüpften Dienste sofort zurücksetzen, MFA-Token neu ausstellen.
Bei Überweisung: Hausbank umgehend kontaktieren – Rückrufe sind in den ersten Stunden oft noch möglich.
Vorfall an NCSC/BACS melden (report.ncsc.admin.ch) – im Schadensfall zusätzlich Strafanzeige bei der Kantonspolizei.
Ursache aufklären: Logs prüfen, Postfach-Regeln & Forwardings checken (Angreifer richten häufig Weiterleitungen ein), Cyberversicherung informieren.

Schweizer KMU – das müssen Sie zusätzlich beachten

Meldepflicht: Seit 1. April 2025 müssen Betreiber kritischer Infrastrukturen Cyberangriffe innerhalb von 24h ans NCSC melden – freiwillig empfohlen für alle KMU.
revDSG Art. 24: Datenschutzverletzungen durch erfolgreichen Phishing müssen «so rasch als möglich» dem EDÖB gemeldet werden, wenn ein hohes Risiko für Betroffene besteht.
Cyberversicherung: Die meisten Schweizer Anbieter (Helvetia, AXA, Mobiliar, Generali) verlangen MFA und regelmässige Awareness-Schulung als Voraussetzung für die Deckung.
Sprache & Kultur: Trainings in Deutsch, Französisch und Italienisch (je nach Belegschaft) wirken deutlich besser als englische Standardinhalte.

Fazit: Phishing ist Chefsache

Technik allein verhindert Phishing nicht – und Mitarbeitende allein auch nicht. Erst die Kombination aus moderner E-Mail-Security, Phishing-resistenter MFA, regelmässigen Trainings und klaren Prozessen senkt das Risiko deutlich. Für ein KMU mit 15 Mitarbeitenden bedeutet das CHF 200–350 pro Monat – ein Bruchteil dessen, was ein einziger erfolgreicher Angriff kosten würde.

Wichtig: Behandeln Sie Phishing-Schutz nicht als IT-Projekt, sondern als Geschäftsleitungs-Thema. Wer überweist, wer verifiziert und wer haftet im Ernstfall – das gehört auf eine Seite Papier, jährlich überprüft.

Phishing-Audit für Ihr KMU

Wir prüfen Ihre Mail-Security, MFA-Konfiguration und Prozesse – und zeigen, wo die grössten Lücken sind. Erstgespräch kostenlos.

Audit anfragen