Cybersicherheit für KMU: Ganzheitlich denken, pragmatisch starten

Die Cybersicherheitskette

Rolf Wagner von FortIT brachte es mit einem starken Bild auf den Punkt: Sicherheit bricht an der schwächsten Stelle. Eine Cybersicherheitskette besteht aus mehreren Gliedern. Dazu gehören organisatorische, technische, menschliche und physische Massnahmen. Wird nur ein Bereich betrachtet, bleibt das Gesamtbild unvollständig. Gerade für KMU ist diese Sichtweise wichtig. Ein wirksames Sicherheitsprogramm entsteht nicht über Nacht. Entscheidend ist, die eigene Ausgangslage zu verstehen, Risiken zu priorisieren und dort zu starten, wo der grösste Handlungsbedarf besteht.

Cybersicherheit ist kein statischer Zustand. Sie muss laufend überprüft, angepasst und weiterentwickelt werden. Was heute genügt, kann morgen bereits zu wenig sein. Neue Systeme, neue Lieferanten, neue regulatorische Anforderungen oder neue Angriffsformen verändern die Risikolage.

Cybersicherheit braucht Struktur

Ein strukturiertes Informationssicherheits-Managementsystem kann dabei helfen. Es bietet einen Rahmen, um Risiken bewusst zu behandeln, Zuständigkeiten zu klären, Massnahmen nachvollziehbar umzusetzen und die Entwicklung über die Zeit sichtbar zu machen.

Ein ISMS ist ein Stück weit wie das Management der eigenen Gesundheit. Sowohl IT-Systemen als auch der Mensch verlangen einen bewussten Umgang mit Risiken, präventive Massnahmen und eine langfristige Disziplin. Wer nur reagiert, wenn es weh tut, kommt oft zu spät. Wer kontinuierlich pflegt, bleibt widerstandsfähig.

Cybersicherheit ist Teamarbeit

Cybersicherheit ist ein Gemeinschaftsprojekt. Management und Geschäftsleitung definieren Ziele, Risikobereitschaft und Ressourcen. Einkauf und Lieferantenmanagement berücksichtigen Sicherheitsanforderungen bei Partnern und Dienstleistern. Projektteams müssen Schutzbedarf und Sicherheitsmassnahmen über den gesamten Lebenszyklus mitdenken.

Gesunder Menschenverstand bleibt wichtig, ersetzt aber keine Systematik. Klare Rollen, Prozesse und Kontrollen schaffen Verbindlichkeit und machen Fortschritte messbar. Auch Cyberversicherungen ändern daran nichts. Sie können finanzielle Folgen abfedern, ersetzen aber keine eigenen Sicherheitsmassnahmen. Unternehmen müssen ihre Risiken kennen, angemessen adressieren und im Schadenfall nachweisen können, dass sie Sorgfaltspflichten ernst nehmen.

Der Mensch bleibt entscheidend

Pascal Zaugg, CEO von IT-SAFETY, zeigte zu Beginn seines Vortrags, warum Phishing für ihn mehr als ein abstraktes Risiko ist. Er berichtete von einem Cyberangriff auf ein Unternehmen, bei dem er damals als IT-Verantwortlicher tätig war. Vermutlich gelangte die schädliche Datei über eine Phishing-Mail ins System und blieb über längere Zeit unentdeckt. Die Folgen waren gravierend: Das Unternehmen mit über 100 Mitarbeitenden und mehreren Standorten in der Schweiz war flächendeckend betroffen und während rund 24 Stunden nicht arbeitsfähig.

Dieses Beispiel zeigt, wie schnell aus einer einzelnen E-Mail ein unternehmensweiter Vorfall werden kann. Viele Cyberangriffe beginnen nicht mit hochkomplexer Technik, sondern mit einer Entscheidung unter Druck: ein Klick, eine Freigabe, ein Login oder eine vermeintlich vertrauenswürdige E-Mail. Cybercrime bleibt ein reales Risiko

Die Zahlen zeigen, wie relevant das Thema bleibt. In der Schweiz geht laut den im Vortrag gezeigten Zahlen alle 8,5 Minuten eine freiwillige Meldung zu einem Cybervorfall beim BACS ein. Die Dunkelziffer liegt vermutlich deutlich höher. Die digitale Kriminalität ist um 35 Prozent gestiegen, Phishing-Angriffe sind um 56 Prozent gestiegen, und über 90 Prozent der Cyberangriffe beginnen mit Phishing.

Phishing wird schwerer erkennbar

Phishing-E-Mails sind nicht mehr so einfach zu erkennen. Besonders eindrücklich war das Beispiel einer modernen SharePoint-Phishing-Attacke. Auf den ersten Blick wirkt alles vertrauenswürdig: echter Microsoft-Absender, echter SharePoint-Link, echter Einmal-Code. Die eigentliche Täuschung beginnt erst danach. Die MFA wird nicht einfach umgangen, sondern live mitbenutzt.

Genau deshalb reicht es nicht, Mitarbeitende einmal jährlich durch eine Pflichtschulung zu schicken. Security Awareness muss regelmässig trainiert werden. Es geht darum, verdächtige Muster zu erkennen, im Alltag bessere Entscheidungen zu treffen und im Ernstfall zu wissen, was zu tun ist. Awareness wirkt durch Wiederholung

Pascal zeigte anhand eines Kundenbeispiels, dass regelmässiges Awareness-Training Wirkung zeigt. Über ein Jahr konnte das Risiko um 75 Prozent reduziert werden. Für KMU ist das eine wichtige Botschaft: Der Faktor Mensch ist kein unkontrollierbares Risiko. Er kann gezielt gestärkt werden.

Er beendete seinen Vortrag mit dem Satz: «Die Frage ist nicht mehr, ob ein Angriff technisch möglich ist. Sondern ob ein Unternehmen unter Druck handlungsfähig bleibt.» Genau diese Handlungsfähigkeit stand auch im nächsten Vortrag im Zentrum: Backup-Resilienz.

Backups sind Teil der Angriffsfläche

Florin Gruber, CISO von Backup ONE, startete mit einer eindrücklichen Statistik: 96 Prozent der Ransomware-Angriffe zielen heute auch auf Backups (Quelle: Sophos «State of Ransomware 2025»). Das ist logisch und trotzdem erschreckend. Angreifer wissen: Wenn ein Unternehmen seine Daten zuverlässig wiederherstellen kann, verliert die Erpressung an Wirkung. Deshalb geraten Backups selbst zunehmend ins Visier. Für KMU bedeutet das: Ein Backup zu haben, ist wichtig. Entscheidend ist aber, ob die Wiederherstellung im Ernstfall tatsächlich funktioniert.

Backup ist nicht gleich Recovery

Viele Unternehmen sichern ihre Daten. Weniger Unternehmen testen regelmässig, ob sie nach einem Angriff, einem Systemausfall oder einem Bedienfehler wirklich wieder arbeitsfähig wären. Genau hier entsteht eine gefährliche Lücke zwischen gefühlter Sicherheit und tatsächlicher Resilienz.

Backup-Resilienz bedeutet deshalb mehr als Datensicherung. Es geht um klare Wiederherstellungsziele, geschützte Backup-Umgebungen, regelmässige Tests und die Frage, welche Daten und Systeme im Ernstfall zuerst verfügbar sein müssen.

Auch hier gilt: KMU müssen nicht alles gleichzeitig perfekt lösen. Aber sie sollten wissen, welche Daten geschäftskritisch sind und ob sie diese im Ernstfall zuverlässig wiederherstellen können.

Fünf Praxisfragen zur Backup-Resilienz

Florin nannte fünf Punkte, die KMU konkret prüfen können:

• Gibt es mindestens eine unveränderbare Backup-Kopie?
• Wird die Wiederherstellung regelmässig getestet, mindestens einmal jährlich?
• Sind Cloud-Daten unabhängig vom jeweiligen Anbieter gesichert?
• Sind Backup-Admin-Konten von täglichen Benutzerkonten getrennt und mit MFA geschützt?
• Gibt es einen dokumentierten Notfallplan, der im Normalbetrieb durchgespielt wurde?

Was sieht ein Angreifer von aussen?

Nach Risikomanagement, Awareness und Backup sprach Nadine Anderson von GObugfree über die technische Aussensicht. Welche Schwachstellen wären für einen Angreifer sichtbar und ausnutzbar? Häufig geht es nicht hochkomplexe Angriffsmethoden, sondern um praktische Schwachstellen: Berechtigungen, die nicht sauber umgesetzt sind, Systemeinstellungen, die zu viel Zugriff erlauben, veraltete Software oder Funktionen, die anders genutzt werden kann als ursprünglich vorgesehen.

Genau hier können Ethical Hacker helfen. Sie nutzen den Blickwinkel von Angreifern, arbeiten aber legal, transparent und mit klarer Erlaubnis des Unternehmens. Für KMU ist dieser externe Blick besonders wertvoll. Er bringt Spezialwissen, zeigt intern schwer sichtbare Risiken hilft, konkrete Schwachstellen von theoretischen Sorgen zu unterscheiden.

Ein fokussierter Sicherheitscheck als pragmatischer Einstieg

Für viele KMU ist ein fokussierter Sicherheitscheck der pragmatischere Einstieg in externe Sicherheitstests. Der GObugtest ist ein kompakter Sicherheitscheck durch einen ausgewählten Ethical Hacker. Gemeinsam wird ein klarer Scope definiert, zum Beispiel ein Webshop, ein Kundenportal oder eine spezifische Anwendung. Dadurch bleibt der Test überschaubar und ressourcenschonend.

Je nach Umfang dauert die Testphase zwei bis vier Tage. Danach erhalten Unternehmen konkrete Ergebnisse, priorisierte Findings und Handlungsempfehlungen. Das Ziel ist Klarheit: Was ist relevant? Was ist kritisch? Welche Massnahmen sollten zuerst angegangen werden? Ein Beispiel aus der Praxis ist Maestrani. Der Schokoladenhersteller liess seinen Webshop durch Ethical Hacker testen. Wie viele KMU arbeitet auch Maestrani mit mehreren Web-Domänen, ausgelagerten IT-Systemen und externen Partnern. Der Bericht half, Sicherheitsrisiken nachvollziehbar einzuordnen und diente als Grundlage für die Diskussion mit dem Verwaltungsrat.

Nachvollziehbarkeit wird wichtiger

Auch regulatorisch wird ein strukturierter Umgang mit Schwachstellen wichtiger. Nicht jede Regulierung betrifft jedes KMU direkt. Die Richtung ist dennoch klar: Unternehmen müssen immer häufiger zeigen können, dass sie Risiken aktiv prüfen, dokumentieren und Massnahmen nachvollziehbar umsetzen. Für Finanzunternehmen ist das unter DORA besonders ausgeprägt. Für Hersteller digitaler Produkte wird der Cyber Resilience Act relevant. Auch Kunden, Partner, Versicherer und Verwaltungsräte stellen zunehmend ähnliche Fragen. Wer Risiken kennt, Massnahmen priorisiert und Fortschritte dokumentiert, ist besser vorbereitet.

Ganzheitlich denken, pragmatisch starten

Die wichtigste Botschaft der CyberTalks Zürich war: KMU sollten Cybersicherheit gesamtheitlich betrachten und pragmatisch starten. Dazu gehören mehrere Fragen:

• Wo liegen unsere grössten Risiken?
• Wie gut sind unsere Mitarbeitenden vorbereitet?
• Können wir unsere Daten im Ernstfall wiederherstellen?
• Welche Schwachstellen sieht ein Angreifer von aussen?
• Welche Massnahmen bringen für unser Unternehmen jetzt den grössten Nutzen?

Cybersicherheit ist keine einmalige Aufgabe. Sie ist ein laufender Prozess. Dieser Prozess muss nicht überwältigend sein. Entscheidend ist, die eigene Lage regelmässig neu zu bewerten, Prioritäten zu setzen und Schritt für Schritt resilienter zu werden.