ISO 27001 & TISAX® – Wir implementieren Informationssicherheit, die Audits besteht und im Alltag funktioniert.

Kontakt
BRANCHEN • Branche 4 • ISO 27001 / TISAX® / NIS2

Beratung & Kanzleien

Für Beratungen, Kanzleien und Dienstleister ist Vertrauen der Kern des Geschäfts. Wir helfen, Datenschutz, Zugriff und Nachweise so zu strukturieren, dass kleine Teams handlungsfähig bleiben.
ISMS-Light klären
Quick-Check (10 Min)
Screenshot 2026 06 06 094608
BRANCHEN • Branche 4 • ISO 27001 / TISAX® / NIS2

Beratung & Kanzleien

Für Beratungen, Kanzleien und Dienstleister ist Vertrauen der Kern des Geschäfts. Wir helfen, Datenschutz, Zugriff und Nachweise so zu strukturieren, dass kleine Teams handlungsfähig bleiben.

ISMS-Light klären
Quick-Check (10 Min)

ISMS-Light · revDSG-Perspektive · Auftraggebernachweise · kleine Teams

Service-Fokus in 3 Punkten

1

Vertrauen belegen

Personendaten, Mandantendaten und Kollaboration nachvollziehbar schützen.

2

Managementsystem schlank halten

Rollen, Zugriffe und Prozesse so gestalten, dass kleine Teams sie im Alltag nutzen können.

3

Auftraggeber beruhigen

Fragebögen, Datenschutz-/Security-Nachweise und Verantwortlichkeiten klarer bedienen.

Personendaten · Identitäten · M365/SaaS · Drittparteien

Vertrauen ist Ihr Geschäftsmodell – Sicherheit Ihr Beweis.

Diskretion ist Ihr Kernprodukt. Auftraggeber prüfen heute, wie Sie mit ihren Daten umgehen, bevor sie unterschreiben – fehlende Nachweise kosten Mandate.

❯ Die Symptome im Alltag

📨

Das Signal kommt aus dem Vertrieb

Komplexe Security-Fragebögen verzögern neue Mandate – oft der erste Hinweis, dass strukturiertes Handeln nötig wird.

👥

Sicherheit ist Chefsache, nebenbei

Im kleinen Team trägt eine Person viele Hüte. Sicherheit muss in bestehende Abläufe passen, nicht obendrauf.

📋

Technisch sicher ≠ nachweisbar sicher

Auch ein gut geschütztes Team braucht den unabhängigen Nachweis, um Auftraggeber und Prüfer zu überzeugen.
Keine Rechtsberatung. Regulatorik wird fachlich eingeordnet; rechtliche Würdigung extern.

Als Datenverwalter sind Sie ein lohnendes Ziel.

❯ Die operative Realität

Sie bündeln Daten vieler Kunden und hängen an gemeinsam genutzten Cloud- und Branchen-Tools. Ihr Perimeter ist mobil: BYOD, externe Datenräume, M365. Genau dieser Hebel macht Dienstleister attraktiv.

200+

Ransomware-Vorfälle gegen Kanzleien und Rechtsdienstleister 2025/26
Halcyon, 2026

Reale Schäden & Vorfälle in Ihrer Branche:

Die Branchen-Tool-Falle

Wird ein gemeinsam genutzter Branchen- oder Cloud-Anbieter kompromittiert, erreichen Angreifer mehrere Dienstleister über denselben Hebel zugleich.
Quelle: Halcyon, 2026

Mandantendaten als Druckmittel

Kanzleien und Treuhänder geraten ins Visier, weil sensible Mandantendaten und der Druck zur schnellen Lösung die Zahlungsbereitschaft erhöhen.
Quelle: Halcyon / Marsh, 2025–2026

Der Outsourcing-Effekt (Capita)

Beim Dienstleister Capita flossen über die Lieferkette Daten zahlreicher Endkunden ab – ein Vorfall, viele Betroffene.
Quelle: Capita-Vorfall, 2023
Ausgewählte Branchenzahlen dienen der Sensibilisierung und ersetzen keine individuelle Risikoanalyse.
Keine Rechtsberatung. Regulatorik wird fachlich eingeordnet; rechtliche Würdigung extern.

Was Auftraggeber prüfen – und warum der Druck eskaliert.

Geprüft wird der nachweisbare Umgang mit Daten. Und regulierte Kunden müssen ihre Dienstleister kontrollieren – die Pflicht landet bei Ihnen.

❯ Was Auftraggeber & Prüfer prüfen

1

Umgang mit Personendaten

Belegbare Prozesse nach revDSG, nicht nur guter Wille.

2

Mobiler Perimeter

BYOD, Datenräume, M365 nachvollziehbar gesteuert.

3

Mensch & Prozess

Phishing, CEO-Fraud, Fehlversand – geübt, nicht gehofft.

⚠ Warum der Druck zunimmt

Regulierte Auftraggeber (Banken, KRITIS, EU-Kunden) müssen ihre Dienstleister absichern und geben diese Anforderungen vertraglich weiter. Das revidierte Datenschutzgesetz (revDSG) verlangt nachweisbaren Umgang mit Personendaten.

➜ Nach dem Standort-Check wissen Sie:

welche Nachweise Auftraggeber erwarten · welche Risiken zuerst zu schliessen sind · welcher Weg passt (Standort-Check · ISMS-Light · externer ISB · ISO 27001)
Keine Rechtsberatung. Regulatorik wird fachlich eingeordnet; rechtliche Würdigung extern.

❓ Typische Fragen vor dem nächsten Schritt

+ Brauchen wir als kleiner Dienstleister wirklich ISO 27001?

Oft entscheidet der Markt: Auftraggeber setzen Nachweise zunehmend voraus. Ein schlankes ISMS schafft Vertrauen, auch unterhalb einer Vollzertifizierung.

+ Wie passt das in ein kleines Team mit wenig Zeit?

Über einen eng geschnittenen Geltungsbereich und Einbettung in bestehende Abläufe. Klein anfangen, am Risiko ausrichten – statt eines Grossprojekts.

+ Wie grenzen wir Verantwortlichkeiten ab?

Über klare Governance und Verträge. Ein externes ISB-Mandat trennt Verantwortlichkeiten organisatorisch sauber und entlastet die Geschäftsführung.

Weiterführend:

/isms-light-informationssicherheit/ · /services/externes-isb-mandat/ · /services/standort-check-gap-analyse/
➜ Erstgespräch vereinbaren
Keine Rechtsberatung. Regulatorik wird fachlich eingeordnet; rechtliche Würdigung extern.

Informations­sicherheit für Dienstleistungs­unternehmen

Warum in dieser Branche Vertrauen, Identität und Verfügbarkeit zusammenfallen – und wie das die Sicherheitsarbeit prägt.

Dienstleistungsunternehmen leben von zwei Ressourcen, die sich nicht einlagern lassen: vom Vertrauen ihrer Kunden und von der Verfügbarkeit ihrer digitalen Werkzeuge. Beides ist eng verbunden. Ein einziger Vorfall kann diese Annahme nachhaltig beschädigen.

Gleichzeitig laufen die eigentlichen Prozesse fast vollständig über digitale Systeme. Ein Ausfall in einem dieser Systeme ist damit nicht ein IT-Thema, sondern ein Geschäftsthema.

Informationssicherheit für Dienstleistungsunternehmen

LEISTUNGEN

  • Wissensbasierte Dienstleistungen in Beratung, Treuhand, Finanzwesen, Controlling, Kundenbetreuung und Vertrieb
  • Datenintensive Geschäftsprozesse
  • Systemgestützte Entscheidungsfindung

KRITISCHE ASSETS

  • Kundendaten und Mandantenakten
  • Vertrags- und Angebotsdokumente
  • Abrechnungsdaten und Finanzinformationen
  • Kommunikationsverläufe, Marktanalysen
  • Projekt- und Planungsdaten

KERNBEREICHE

  • Kundenbeziehungen und Vertrags-Management
  • Digitale Prozesse und Kollaboration
  • Finanz- und Abrechnungsflüsse
  • Interne Steuerungs- und Entscheidungsprozesse
  • Umgang mit externen Dienstleistern

ZENTRALE BOTSCHAFT

Vertrauen, Identität und Verfügbarkeit sind die drei Säulen der Informationssicherheit in Dienstleistungsunternehmen. Wer sie schützt, schützt das Geschäft

  • DIE GRÖSSTEN CYBERRISIKEN IM DIENSTLEISTUNGSUMFELD
1

EXTERNE DIENSTLEISTER SIND DAS GRÖSSTE SICHERHEITSRISIKO

image56

Ein wachsender Teil der Sicherheitsvorfälle entsteht bei Drittparteien.
SaaS-Anbieter, IT-Partner und Plattformen sind heute Teil der eigenen Angriffsfläche.

Für Dienstleistungsunternehmen gilt:
Nicht nur die eigene Sicherheit zählt, sondern die der gesamten Lieferkette.

Quellen: Verizon DBIR 2025; ENISA Threat Landscape 2024; IBM X-Force 2025

Drittparteien / Lieferkette

  • rund 30 % der Datenpannen mit Drittparteien-Bezug
  • deutlicher Anstieg gegenüber dem Vorjahr
  • steigendes Risiko durch SaaS- und Software-Abhängigkeiten
2

IDENTITÄTEN SIND DER HAUPTANGRIFFSPUNKT

image58

Die meisten Angriffe beginnen mit kompromittierten Zugangsdaten.
Angreifer bewegen sich damit legitim im System – oft lange unentdeckt.

Gerade in SaaS-geprägten Umgebungen ist Identitätsmanagement der zentrale Hebel.

Quellen: Verizon DBIR 2025; Microsoft Digital Defense Report 2024; Mandiant 2025

Gestohlene Zugangsdaten

  • ca. 20–25 % aller Angriffe
  • bis zu 80–90 % bei Webanwendungen
  • zunehmende Angriffe auf MFA und Sessions

Typische Angriffswege

  • Phishing und Social Engineering
  • MFA-Fatigue
  • Session- und Token-Diebstahl
3

RANSOMWARE TRIFFT KMU BESONDERS STARK

image58 2

Ransomware bleibt der häufigste Auslöser schwerer Vorfälle – mit klarer Konzentration auf KMU.
Dienstleistungsunternehmen sind besonders betroffen, da sie stark digital und abhängig von Verfügbarkeit sind.

Quellen: Verizon DBIR 2025; Sophos State of Ransomware 2025; Coveware 2024/2025

Ransomware

  • rund 40–45 % aller Datenpannen
  • bis zu 80–90 % der Vorfälle bei KMU
  • zunehmende Professionalisierung (RaaS)

Finanzielle Auswirkungen

  • typisches Lösegeld: 100’000–120’000 USD
  • tatsächlicher Schaden oft deutlich höher
4

CEO-BETRUG BLEIBT DIE HÄUFIGSTE BETRUGSFORM

image57

Business Email Compromise (BEC) ist die häufigste Form von Cyberbetrug.
Angriffe zielen auf Zahlungsprozesse und nutzen Vertrauen, Zeitdruck und reale Kommunikation.

CEO-Betrug / BEC

  • häufigste Betrugsform im Unternehmensumfeld
  • stark steigende Fallzahlen
  • hoher Schaden bei geringem technischem Aufwand

Quellen: BACS Jahresbericht 2025; FBI Internet Crime Report 2024; Verizon DBIR 2025

Typische Kennzahlen

  • ca. 970 Fälle (Schweiz, 2025)
  • +30 % Wachstum
  • medianer Schaden: ~50’000 USD

AUDITOREN­SICHT

Der eigentliche Schutzgegenstand sind nicht die Systeme

In Audits zeigt sich: Technik ist meist vorhanden – die Schwächen liegen bei Identitäten und Prozessen.

Entscheidend sind Fragen wie:

  • Wer hat Zugriff auf was?
  • Welche Zugänge bestehen nach Austritten noch?
  • Wer gibt Zahlungen frei – und wie?

Unternehmen, die das sauber steuern, sind deutlich resilienter.

Kernaussage:
Nicht die Systeme sind das grösste Risiko –
sondern die Identitäten und Entscheidungen, die darauf zugreifen.