IT-Sicherheit fuer KMU: Die 10 groessten Risiken und was Sie jetzt tun muessen

Q: Reicht Microsoft Defender?

Als Grundschutz ja, fuer Unternehmen sind dedizierte EDR-Loesungen besser.

Q: Ist die Cloud sicherer?

Bei seriousen Anbietern eher ja. Risiken liegen meist bei der Konfiguration.

Stand: 27. April 2026

2025 hat das Bundesamt fuer Cybersicherheit (BACS) ueber 53.000 gemeldete Cybervorfaelle in der Schweiz registriert – 45% mehr als 2024. Drei Viertel davon trafen KMU. Der durchschnittliche Schaden eines erfolgreichen Angriffs auf ein Schweizer KMU liegt bei CHF 78.000 – bei Ransomware schnell ueber CHF 250.000. Die gute Nachricht: 80% dieser Angriffe waeren mit grundlegenden Massnahmen verhinderbar gewesen.

Key Insight

53.000+ Cybervorfaelle in der Schweiz 2025 (BACS), +45% gegenueber 2024
78.000 CHF durchschnittlicher Schaden eines KMU-Angriffs
Phishing ist mit 41% Anteil der mit Abstand haeufigste Angriffsvektor
2-Faktor-Authentifizierung blockiert 99,9% aller automatisierten Account-Uebernahmen

Was sind die groessten Cyber-Risiken fuer KMU 2026?

Kurzantwort: Phishing und Social Engineering bleiben mit Abstand die haeufigste Bedrohung, gefolgt von Ransomware, kompromittierten Zugangsdaten und Schwachstellen in nicht aktualisierter Software. Neu und schnell wachsend sind KI-gestuetzte Deepfake-Anrufe (CEO-Fraud) und Angriffe ueber kompromittierte Lieferanten-Systeme.

Die 10 wichtigsten Risiken im Ueberblick

Risiko	Anteil 2025	Schaden im Schnitt	Schutz
Phishing	41%	CHF 25.000	Schulung, Email-Filter, MFA
Ransomware	14%	CHF 250.000	Backups, EDR, Patching
Kompromittierte Konten	13%	CHF 32.000	MFA, Passwortmanager
CEO-Fraud / BEC	9%	CHF 165.000	Vier-Augen-Prinzip, Schulung
Veraltete Software	8%	CHF 45.000	Patch-Management
Schadcode-Anhaenge	5%	CHF 28.000	Email-Sandboxing, EDR
Lieferanten-Kompromittierung	4%	CHF 95.000	Supplier Risk Mgmt
Insider-Risiko	3%	CHF 110.000	Zugriffskontrolle, Logs
DDoS	2%	CHF 18.000	CDN, DDoS-Schutz
Deepfake-Anrufe	1% (steigend)	CHF 220.000	Verifikations-Codeworte

Welche 5 Massnahmen sind am wirksamsten?

Kurzantwort: Erstens 2-Faktor-Authentifizierung (MFA) ueberall einfuehren. Zweitens regelmaessige, getrennt gespeicherte Backups. Drittens Mitarbeitende mindestens halbjaehrlich schulen. Viertens Software automatisch aktualisieren (Patch-Management). Fuenftens ein Endpoint-Detection-and-Response-Tool (EDR) statt klassischem Antivirus einsetzen. Diese fuenf Schritte verhindern rund 80% aller erfolgreichen Angriffe.

Wie viel sollte ein KMU in IT-Sicherheit investieren?

Kurzantwort: Als Faustregel gelten 5-10% des IT-Gesamtbudgets fuer reine Security. Fuer ein KMU mit 30 Mitarbeitern bedeutet das typischerweise CHF 25.000-60.000 pro Jahr – inklusive Lizenzen, externer Beratung, Schulungen und Notfallplanung. Bei kritischer Infrastruktur (Treuhand, Aerzte, Anwaelte) entsprechend mehr.

Achtung Meldepflicht: Seit 2024 gilt fuer Schweizer Betreiber kritischer Infrastrukturen eine 24-Stunden-Meldepflicht beim BACS. Auch fuer normale KMU lohnt es sich, einen Incident-Response-Plan vorzubereiten – im Ernstfall zaehlt jede Stunde.

Was tun bei einem Cyberangriff?

Kurzantwort: Drei Schritte sofort: 1) Betroffene Systeme vom Netzwerk trennen, aber nicht ausschalten (forensische Spuren). 2) IT-Dienstleister oder externe Forensik kontaktieren – in der Schweiz z.B. Compass Security oder InfoGuard. 3) Vorfall an BACS melden und ggf. Strafanzeige bei der Polizei einreichen. Niemals direkt mit Erpressern verhandeln, ohne professionelle Begleitung.

Welche Cybersecurity-Standards sind sinnvoll?

Kurzantwort: Fuer KMU ist der „Cyber-Sicherheitscheck KMU“ des BACS ein guter Einstieg – kostenlos, rund 60 Minuten Aufwand. Wer mehr braucht: ISO 27001 fuer formale Zertifizierung, NIST Cybersecurity Framework als Referenzmodell, IKT-Minimalstandard des Bundes fuer kritische Infrastrukturen.

Haeufig gestellte Fragen

Brauchen wir wirklich MFA, das ist doch unbequem?

Ja. MFA blockiert 99,9% aller automatisierten Account-Uebernahmen (Microsoft-Studie 2024). Moderne Loesungen mit Authenticator-Apps oder Passkeys sind in 1-2 Sekunden bestaetigt – der Sicherheitsgewinn rechtfertigt den minimalen Aufwand. Ohne MFA ist Ihr Unternehmen 2026 fahrlaessig schlecht geschuetzt.

Reicht Microsoft Defender als Antivirus?

Fuer Privatpersonen ja, fuer Unternehmen ist Defender ein guter Grundschutz, aber kein vollwertiger EDR. Loesungen wie Microsoft Defender for Business (im Microsoft 365 Business Premium enthalten), CrowdStrike, SentinelOne oder Bitdefender bieten deutlich bessere Erkennung und Reaktionsfaehigkeit.

Wie oft sollten Mitarbeitende geschult werden?

Mindestens zweimal jaehrlich plus regelmaessige Phishing-Simulationen (z.B. monatlich). Schulungen vermitteln Wissen, Simulationen trainieren das Verhalten. Anbieter wie Hoxhunt, KnowBe4 oder das Schweizer Lucy Security liefern beides als Service.

Ist die Cloud sicherer oder unsicherer als On-Premise?

Bei seriösen Anbietern (Microsoft 365, Google Workspace, Schweizer Anbieter) eher sicherer. Diese investieren mehr in Security als ein durchschnittliches KMU je koennte. Risiken liegen bei der Konfiguration und beim Zugriffsmanagement, nicht beim Cloud-Anbieter selbst.

Was deckt eine Cyber-Versicherung ab?

Typischerweise Schaeden durch Datenverlust, Betriebsunterbrechung, Loesegeldforderungen, Forensik-Kosten und ggf. Reputationsschaeden. Pruefen Sie genau die Bedingungen – viele Versicherer fordern Mindeststandards (MFA, Backups, Incident Response Plan), sonst gibt es im Ernstfall keine Leistung.

IT-Sicherheits-Check fuer Ihr KMU

In einem strukturierten 90-Minuten-Workshop pruefen wir Ihre wichtigsten Risiken und liefern eine Prioritaetsliste mit konkreten naechsten Schritten – inklusive Aufwandsschaetzung.

Sicherheits-Check buchen