Warum gerade KMU gefährdet sind
Kleine und mittlere Unternehmen (KMU) in der Schweiz stehen vor vielfältigen Sicherheitsrisiken. Viele denken zuerst an Cyberangriffe von außen – und tatsächlich sind Phishing und Ransomware ein großes Thema. Doch mindestens genauso gefährlich sind interne Risiken: Nachlässigkeit im Umgang mit Daten, ungesicherte Cloud-Nutzung oder schlicht fehlende Regeln. Auch veraltete Systeme oder unsichere Partner können zum Einfallstor werden.
Die Folgen sind immer ähnlich: Produktionsausfälle, Datenverluste, rechtliche Probleme und hohe Kosten. Ein einzelner Vorfall kann schnell fünfstellige Summen verschlingen – und Vertrauen bei Kunden und Partnern nachhaltig zerstören.
👉 Die gute Nachricht: Viele dieser Risiken lassen sich mit einfachen, kostengünstigen Maßnahmen deutlich reduzieren. Genau darauf legen wir in diesem Artikel den Schwerpunkt.
1. Phishing & Social Engineering – wenn Mitarbeiter getäuscht werden
Das Risiko: Angreifer setzen auf Tricks statt Technik: gefälschte Mails, angebliche Chefanweisungen oder betrügerische Anrufe.
Die Schäden: Gestohlene Passwörter, Überweisungsbetrug (CEO-Fraud), Schadsoftware im Firmennetz.
Best Practices (einfach & günstig): Awareness-Trainings, Vier-Augen-Prinzip, MFA aktivieren, Spam-/Phishing-Filter nutzen.
2. Ransomware – wenn alle Daten verschlüsselt sind
Das Risiko: Ransomware verschlüsselt Firmendaten und fordert Lösegeld.
Die Schäden: Totalausfall von Produktion oder Büroarbeit, Lösegeldforderungen ohne Garantie, Vertrauensverlust bei Kunden.
Best Practices (einfach & günstig): Regelmäßige Backups (offline/Cloud), automatische Updates aktivieren, eingebauten Virenschutz nutzen, einfache Notfall-Checkliste vorbereiten.
3. Fehlende Sicherheitskultur – unterschätzte Schwachstelle
Das Risiko: Viele Vorfälle passieren aus Unwissenheit oder Fahrlässigkeit: Passwörter mehrfach nutzen, Daten unsicher speichern oder Kundendaten über private Mail/Cloud weitergeben.
Die Schäden: Datenverlust, Rechtsverstöße (revDSG/DSGVO), Reputationsschäden.
Best Practices (einfach & günstig): Kurze Richtlinien schriftlich festhalten, Geschäftsleitung als Vorbild, Meldestelle (z. B. security@firma.ch) einrichten, Zugriffsrechte minimieren.
4. Unsichere Cloud-Nutzung – der blinde Fleck
Das Risiko: Cloud ist praktisch – aber falsch genutzt riskant. Fehler wie offene Freigabelinks, private Cloud-Dienste, fehlende MFA oder keine Backups führen zu Datenlecks.
Die Schäden: Kundendaten öffentlich, Vertrags- und Gesetzesverstöße, Schatten-IT ohne Kontrolle.
Best Practices (einfach & günstig): Cloud-Policy, MFA aktivieren, Rechte sauber vergeben, nur vertrauenswürdige Anbieter (ISO 27001/TISAX) wählen, Cloud-Backups aktivieren.
6. Lieferketten- und Partner-Risiken – die unterschätzte Abhängigkeit
Das Risiko: KMU sind oft abhängig von IT-Dienstleistern, Cloud-Anbietern oder Zulieferern. Wird ein Partner angegriffen, sind Sie indirekt betroffen.
Die Schäden: Datenverlust über Dienstleister, Produktionsstillstand, Auftragsverlust (z. B. durch TISAX-Vorgaben).
Best Practices (einfach & günstig): Partner sorgfältig auswählen, Verträge mit Mindeststandards, Zugriffsrechte für Externe begrenzen, jährliche Überprüfung durchführen.
Übersicht: Risiken, Schäden und einfache Lösungen
| Risiko | Typischer Schaden | Einfache & kostengünstige Lösung |
| Phishing & Social Engineering | Gestohlene Passwörter, Überweisungsbetrug | Awareness-Trainings, Vier-Augen-Prinzip, MFA, Spam-Filter |
| Ransomware | Totalausfall, Datenverschlüsselung, Erpressung | Backups (offline/Cloud), automatische Updates, Notfallplan |
| Fehlende Sicherheitskultur | Datenverlust, Rechtsverstöße, Reputationsschaden | Klare Regeln, Führung als Vorbild, Meldestelle, Rechte einschränken |
| Unsichere Cloud-Nutzung | Datenlecks, Schatten-IT, Vertragsprobleme | Cloud-Policy, MFA, sichere Anbieter, Cloud-Backups |
| Veraltete Systeme | Angriffe über offene Lücken, Ausfallkosten | Automatische Updates, Inventar führen, Altgeräte isolieren, Modernisierung |
| Lieferketten- und Partner-Risiken | Datenverlust über Partner, Auftragsverlust | Partner prüfen, Verträge mit Standards, Zugriffsrechte begrenzen, jährliche Überprüfung |
Fazit: Kleine Schritte, große Wirkung
Das Risiko: Nicht aktualisierte Systeme sind Lieblingsziele von Hackern.
Die Schäden: Einbruch ins Firmennetz, Datenverlust, hohe Wiederherstellungskosten.
Best Practices (einfach & günstig): Automatische Updates einschalten, Inventar in Excel führen, Altgeräte isolieren, geplante Modernisierung statt Notfall-Ersatz.
FAQ – Häufige Fragen von KMU
Ja – gerade KMU sind „leichte Beute“.
Nicht allein. Cyberversicherungen werden teurer und schwerer zugänglich. Viele Versicherer verlangen Mindeststandards (Backups, Updates, MFA). Prämien sind oft 10–50 % gestiegen. Sie können ergänzen, ersetzen aber keine Prävention.
Viele Maßnahmen sind kostenlos oder für <100 CHF pro Jahr machbar.
Mit einer Risikoanalyse: Welche Daten und Systeme sind kritisch? Danach Schritt für Schritt Lücken schließen.
Nicht zwingend – aber Standards helfen, strukturiert vorzugehen und sind in manchen Lieferketten Pflicht.
Quellen
– NCSC Schweiz, Halbjahresbericht 2024
– Bitkom-Studie „Cyberangriffe auf den Mittelstand 2023“
– Allianz Risk Barometer 2024
– HDI Cyber-Studie 2022
– Digitalswitzerland Cybersecurity-Report 2024
