Stand: 18. Mai 2026 — Zuletzt aktualisiert: 18. Mai 2026
«Wir sind doch zu klein, dass uns jemand hackt» — dieser Satz hat schon hunderte Schweizer KMU teuer zu stehen kommen. 87% aller Cyberangriffe in der Schweiz richten sich heute gegen Unternehmen mit weniger als 250 Mitarbeitenden. Die gute Nachricht: Mit 10 konkreten Massnahmen koennen Sie die wichtigsten Risiken bereits unter Kontrolle bringen — meist unter CHF 5’000 Gesamtbudget.
Key Insight:
Laut Nationalem Zentrum fuer Cybersicherheit (NCSC) Schweiz wurden 2025 ueber 60’000 Cyber-Vorfaelle gemeldet — fast 40% mehr als im Vorjahr. Der durchschnittliche Schaden bei einem Ransomware-Angriff auf ein Schweizer KMU: CHF 145’000. Davon: CHF 35’000 IT-Wiederherstellung, CHF 60’000 Betriebsausfall, CHF 50’000 Reputationsschaden. Investition in Praevention: meist unter CHF 5’000.
Welche Bedrohungen sind in der Schweiz am haeufigsten?
Schweizer KMU sind am haeufigsten von vier Angriffsarten betroffen: Phishing-Mails (44% aller Vorfaelle), Ransomware (22%), CEO-Fraud / Business Email Compromise (15%) und Datenklau ueber kompromittierte Passwoerter (12%). Andere Angriffe wie DDoS oder Supply-Chain-Attacken sind seltener, aber bei kritischen Infrastrukturen relevant.
Massnahme 1: Wie aktiviere ich Multi-Faktor-Authentifizierung (MFA)?
MFA ist die einzelne wirksamste Massnahme — sie verhindert 99% der Account-Uebernahmen. Aktivieren Sie MFA fuer alle geschaeftlichen Accounts: Microsoft 365, Google Workspace, Banking, ERP, CRM. Empfohlen: Authenticator-App (Microsoft, Google, Authy) statt SMS. Investition: Null. Aufwand: 1-2 Stunden Einfuehrung im Team.
Massnahme 2: Wie schule ich Mitarbeitende effektiv gegen Phishing?
85% der Cyberangriffe beginnen mit einer Phishing-Mail. Eine 2-stuendige Schulung mit konkreten Beispielen reduziert die Klickrate auf Phishing-Mails um 60-80%. Ideal: kombinierte Schulung mit simulierten Phishing-Tests (KnowBe4, Hoxhunt, Cofense), die regelmaessig im Alltag testen — ohne Strafmodell, sondern als Lernmoment.
Roter Faden: Was Mitarbeitende lernen sollten
1. Bei jeder ungewoehnlichen Mail: prufen Sie den Absender genau (Domain-Spelling). 2. Klicken Sie NIE auf Links bei sensitiven Themen — gehen Sie direkt auf die Website. 3. Bei Anfragen «vom Chef» mit ungewoehnlichem Inhalt: kurz telefonisch nachfragen. 4. Verdaechtige Mails an die IT melden, nicht selber loeschen. 5. Wenn ein Klick passiert ist: SOFORT IT informieren — nicht aus Scham verheimlichen.
Massnahme 3: Warum sind Backups so wichtig?
Backups sind Ihre Lebensversicherung gegen Ransomware. Die 3-2-1-Regel: 3 Kopien Ihrer Daten, auf 2 verschiedenen Medien, davon 1 ausserhalb des Standorts. Wichtig: das Backup muss vom regulaeren Netzwerk getrennt sein (sonst verschluesselt Ransomware auch das Backup). Testen Sie regelmaessig: ein nicht-getestetes Backup ist kein Backup.
Massnahme 4: Welcher Passwort-Manager passt fuer KMU?
Passwort-Manager loesen drei Probleme gleichzeitig: kein Mehrfachverwenden, lange einzigartige Passwoerter, schneller Onboarding-Prozess fuer neue Mitarbeitende. Beliebte Optionen fuer KMU: 1Password Business, Bitwarden Business, LastPass Business, Dashlane Business. Kosten typisch CHF 30-60 pro Nutzer pro Jahr.
⚠ Achtung bei kostenlosen Passwort-Managern
Free-Tier-Loesungen (LastPass Free, Bitwarden Free) sind okay fuer Privatnutzung, aber NICHT fuer Geschaeftsumgebungen geeignet — keine zentralen Admin-Rechte, kein gemeinsames Teilen, keine Audit-Trails. Die paar Franken pro Nutzer und Monat fuer die Business-Version sind eine der besten Cybersecurity-Investitionen ueberhaupt.
Massnahme 5: Was bringt Endpoint Detection and Response (EDR)?
Klassische Antivirus-Loesungen reichen heute nicht mehr aus. Moderne EDR-Loesungen (Microsoft Defender for Business, CrowdStrike Falcon, SentinelOne) erkennen verdaechtiges Verhalten — auch von bisher unbekannten Bedrohungen. Sie isolieren befallene Geraete automatisch und alarmieren die IT.
Massnahmen 6-10 im Schnellueberblick
Die restlichen Massnahmen sind weniger spektakulaer, aber genauso wichtig: 6. E-Mail-Filter (Microsoft Defender, Proofpoint Essentials) — blockiert Phishing-Mails bevor sie ankommen. 7. Automatische Software-Updates — Lueckenpatches in Stunden, nicht Wochen. 8. Privilegien-Reduktion — nicht jeder Mitarbeiter braucht Admin-Rechte. 9. Netzwerk-Segmentierung — Gaeste-WLAN getrennt, IoT-Geraete in eigenem Netz. 10. Incident Response Plan — was tun wenn doch was passiert?
✓ Praxisbeispiel: Maschinenbau-KMU aus St. Gallen
Familienbetrieb mit 38 Mitarbeitenden. Vorher: keine MFA, kein zentraler Passwort-Manager, klassisches Antivirus, Backups auf gleicher Festplatte. Nach 3 Monaten Einfuehrung: MFA aktiv, 1Password fuer alle, Microsoft Defender for Business, Backups via Acronis mit Offsite-Komponente. Gesamtkosten Jahr 1: CHF 4’700. Sechs Monate spaeter: Phishing-Versuch erkannt, MFA blockierte den Zugriff — der Vorfall haette ohne MFA wahrscheinlich CHF 100’000+ Schaden verursacht.
Welche Cyber-Versicherung lohnt sich?
Cyber-Versicherungen sind sinnvoll als Ergaenzung — kein Ersatz fuer Praevention. Schweizer Anbieter (Helvetia, Zurich, Mobiliar, Baloise) bieten Polizzen ab CHF 800-2’500 pro Jahr fuer KMU mit bis zu 50 Mitarbeitenden. Wichtig: vor Abschluss pruefen, welche Praeventivmassnahmen vorausgesetzt sind — meist MFA, Backups und Mitarbeiterschulungen.
Wie pruefe ich meinen Sicherheitsstatus?
Drei pragmatische Schritte: 1. Self-Assessment mit dem NCSC Check (kostenlos auf ncsc.admin.ch) — 30 Minuten, klare Empfehlungen. 2. Externe Pen-Tests (Kosten: CHF 3’000-15’000) finden Schwachstellen, die intern nicht sichtbar sind. 3. Mitarbeiter-Phishing-Test (KnowBe4 Free Test) — zeigt Schwachstelle im Team.
Haeufig gestellte Fragen (FAQ)
Was tun, wenn wir gehackt wurden?
Sofort: 1. Betroffene Geraete vom Netz trennen (nicht ausschalten — Beweise erhalten). 2. NCSC-Meldestelle informieren (24h-Hotline 0800 NCSC). 3. Falls Versicherung vorhanden — Versicherung kontaktieren. 4. Externe Incident-Response-Firma einschalten (Kosten typisch CHF 5’000-25’000 fuer Erstanalyse). 5. Bei Datenleck: Datenschutzbeauftragten und ggf. EDOeB informieren.
Brauche ich einen eigenen Security-Spezialisten?
Bei unter 50 Mitarbeitenden meist nicht. Aber: einen verantwortlichen Ansprechpartner intern definieren (oft IT-Verantwortlicher) und einen externen Security-Partner haben — meist 4-8 Stunden pro Monat. Bei groesseren KMU (100+ Mitarbeitende) oder regulierten Branchen: eigener Security-Verantwortlicher (mindestens 50% Stelle).
Was kostet ein Pen-Test in der Schweiz?
Externer Pen-Test fuer ein typisches KMU mit 30-50 Mitarbeitenden: CHF 5’000-15’000 fuer 5-10 Arbeitstage. Wichtig: nicht den billigsten Anbieter waehlen — Qualitaet variiert stark. Schweizer Anbieter mit gutem Ruf: SCRT, Modzero, Stoneturn, Compass Security.
Sind Cloud-Loesungen sicherer als eigene Server?
Meist ja. Anbieter wie Microsoft, Google und AWS investieren Milliarden in Security — was kein KMU intern stemmen kann. Voraussetzung: korrekte Konfiguration. Die meisten Cloud-Datenpannen passieren durch Fehlkonfiguration, nicht durch den Anbieter selbst.
Security-Check fuer Ihr KMU — pragmatisch und budgetgerecht
Wir analysieren Ihre aktuelle Sicherheitslage und priorisieren die wichtigsten Massnahmen — keine Panikmache, sondern realistische Empfehlungen mit klarem ROI.