Informationssicherheit für KMU
Informationssicherheit für KMU
Informationssicherheit ist mehr als Cybersecurity: Organisation, Prozesse, Personen, Technik und Lieferanten müssen zusammengeführt werden — gesteuert durch die Geschäftsleitung und nutzbar im Alltag.
ISO-27001-Lead-Auditoren · 40+ KMU-Mandate · TISAX® & NIS2-Erfahrung · seit 2018
ISMS in 3 Punkten
GL-Verantwortung schaffen
Risiken, Ressourcen und Entscheidungen auf Geschäftsleitungsebene sichtbar und steuerbar machen.
Risiken systematisch steuern
Schutzbedarf, Zugriffe, Lieferanten, Vorfälle und Notfallfähigkeit zusammenführen.
Im Alltag verankern
Regeln, Nachweise und Reviews so gestalten, dass sie nicht nur dokumentiert, sondern genutzt werden.
Organisation · Prozesse · Personen · Technik · Lieferkette
Was Informationssicherheit von der Geschäftsleitung erwartet
Um all diese Dimensionen systematisch zu steuern, braucht es einen strukturierten Ansatz. Dieser strukturierte Ansatz ist das Informationssicherheits-Managementsystem (ISMS).
Die offizielle Definition der Norm:
„Ein Informationssicherheits-Managementsystem (ISMS) ist ein Teil des Managementsystems, der auf Basis eines risikobasierten Ansatzes die Anforderungen an Informationssicherheit festlegt, implementiert, betreibt, überwacht, überprüft, unterhält und verbessert.”
ISO/IEC 27000:2018, Abschnitt 3.31
Ein ISMS ist damit kein einmaliges Projekt und kein IT-Werkzeug, sondern ein kontinuierlicher Managementprozess. Er verbindet die strategischen Entscheidungen der Geschäftsleitung mit der täglichen Anwendung im Betrieb – vergleichbar mit einem Qualitätsmanagement, aber mit Fokus auf Informationen statt Produkte.
Die Wirksamkeit eines ISMS hängt weniger von der Menge der Dokumente ab als davon, ob die definierten Regeln im Alltag gelebt werden. Standards wie ISO 27001, TISAX® geben unterschiedliche Rahmen vor, in denen sich ein ISMS aufbauen und nachweisen lässt.
Viele Unternehmen verorten Informationssicherheit in der IT.
Das greift zu kurz.
Informationssicherheit betrifft über IT hinaus Ihr gesamtes Unternehmen:
- Organisation – Zugriffsrechte, sensible Daten, Sicherheitskultur
- Physische Sicherheit – Gebäude, Infrastruktur, kritische Bereiche
- Prozesse – Projekte und Lieferantenbeziehungen
- Compliance – vertragliche und gesetzliche Anforderungen
Wirksamkeit entsteht auf Geschäftsleitungsebene.
Führung macht den Unterschied:
- Priorisieren – Risiken bewerten und Schwerpunkte setzen
- Steuern – Ressourcen verbindlich bereitstellen
- Verankern – Sicherheit sichtbar vorleben und einfordern
Struktur schafft Wirkung: Das ISMS
- Kein IT-Tool! Kein Dokumentenordner! Kein Plug & Play!
- Sondern ein kontinuierlicher Managementprozess
Der passende Weg für Ihre Ausgangslage:
- ISO 27001 – Internationaler Standard für zertifizierte Informationssicherheit
- TISAX® – Branchenstandard für Informationssicherheit in der Automobilindustrie
- ISMS-Light – Strukturierter Einstieg in die Informationssicherheit ohne Zertifizierung
- NIS2 – EU-weite Cybersicherheitsanforderungen für Unternehmen in der EU
Häufig gestellte Fragen zur Informationssicherheit
Cybersecurity konzentriert sich auf digitale Bedrohungen – Angriffe, Malware, Netzwerkschutz. Informationssicherheit ist breiter: Sie schützt Informationen in jeder Form, auch auf Papier, in Gesprächen oder im physischen Zugang zu Gebäuden. Cybersecurity ist damit ein wichtiger Teilbereich der Informationssicherheit, aber nicht deckungsgleich.
Die Gesamtverantwortung liegt bei der Geschäftsleitung. Die operative Koordination übernimmt meist ein Informationssicherheitsbeauftragter (ISB) oder ein kleines Team. Darüber hinaus gilt: Jede Mitarbeiterin und jeder Mitarbeiter trägt durch sein Verhalten zur Sicherheit bei. Wie die Details dieser Verantwortung gestaltet werden können, behandelt Kapitel 4 (ISMS-Strategie).
Die Frage ist weniger, ob ein ISMS nötig ist, sondern in welcher Tiefe. Schon ein kleines Unternehmen verarbeitet schützenswerte Informationen – Kundendaten, Verträge, Know-how. Je nach Risikolage und Kundenanforderungen reicht ein schlankes ISMS-Light; ein vollständiges ISO-27001-ISMS wird meist erst dann relevant, wenn Kunden den Nachweis verlangen.
Typische Risiken für Schweizer KMU – Panorama der Gefahren
Informationssicherheit wird greifbar, wenn man die Bedrohungen kennt. Allein 2025 meldete das BACS rund 65’000 Cybervorfälle — die tatsächliche Zahl liegt höher, da nur ein Teil der Angriffe gemeldet wird. Seit April 2025 gilt zudem eine 24-Stunden-Meldepflicht für Angriffe auf kritische Infrastrukturen.
International beziffert der IBM-Report 2025 die durchschnittlichen Kosten eines Vorfalls auf USD 4,44 Millionen. Auch wenn die Summen für Schweizer KMU kleiner sind, ist der relative Schaden oft existenzbedrohend.
Vorfälle nach Gruppen typischer Risiken
- Menschliche Risiken — Nach wie vor der häufigste Einstieg. Phishing war 2025 verantwortlich für 16 % aller Datenpannen. Auch CEO-Betrug zählt hierher: 719 Fälle 2024 in der Schweiz, durch KI-gestützte Deepfake-Anrufe weiter verschärft.
- Technische Risiken — Angreifer nutzen häufig bereits bekannte Schwachstellen, für die Updates seit Monaten verfügbar wären. Die Ausnutzung von SonicWall-Geräten für Akira-Ransomware-Angriffe 2025 zeigt dieses Muster exemplarisch.
- Prozessuale Risiken — Wirken selten isoliert, verstärken aber nahezu jeden Vorfall: unklare Verantwortlichkeiten, fehlende Patch-Routinen, mangelhafte Notfallplanung.
- Externe Risiken — Sicherheit hängt stark von Partnern ab. Angriffe über die Lieferkette und IT-Dienstleister sind ein Hauptrisiko — der Xplain-Vorfall 2023 mit Auswirkungen auf zahlreiche Schweizer Bundesstellen ist das prominenteste Schweizer Beispiel.
Die vier Gruppen überlappen sich im Ernstfall: Ein Phishing-Angriff (menschlich) nutzt eine ungepatchte Schwachstelle (technisch), eskaliert durch fehlende Prozesse (prozessual) und kann sich über die Lieferkette auf Partner und Kunden (extern) ausbreiten.
Die realen Folgen für Schweizer KMU
Ein Vorfall wirkt selten isoliert. Typische Folgen – oft in Kombination:
- Direkte finanzielle Verluste durch Betrug, Erpressung oder verlorene Aufträge
- Produktionsausfälle – in Industrie und Logistik schnell mehrere tausend Franken pro Stunde
- Datenverlust und Wiederherstellungskosten für Systeme, Daten und externe Forensik
- Reputationsschaden – Kundenabwanderung, Ausschluss aus Ausschreibungen, Vertrauensverlust bei Partnern
- Rechtliche Konsequenzen – Bussen nach revDSG, Vertragsstrafen, Ansprüche betroffener Personen
- Verlust geistigen Eigentums – besonders in Automotive, Maschinenbau und Engineering
- Versicherungsfolgen – Versicherer fordern zunehmend nachweisbare Schutzmassnahmen als Voraussetzung für Deckung — mit spürbaren Auswirkungen auf Prämien
Die mittlere Schadenssumme ist dabei weniger aussagekräftig als das Zusammenspiel der Folgen. Ein verlorener Grosskunde nach einem Vorfall belastet ein mittleres KMU oft stärker als die Wiederherstellungskosten selbst.
Als IT-Forensiker sehe ich seit vielen Jahren dasselbe Muster. Die Schäden sind spektakulär – die Ursachen fast immer banal. Ein ungepatchter Server. Ein wiederverwendetes Passwort. Eine Mitarbeiterin, die unter Zeitdruck auf den falschen Link klickt. Der Unterschied zwischen „alles gutgegangen” und „Unternehmen existenziell bedroht” ist selten eine technische Meisterleistung der Angreifer, sondern ein banaler Moment im Alltag. Genau darum wirkt strukturierte Risikosteuerung: Sie beseitigt nicht die banalen Fehler – aber sie sorgt dafür, dass ein einzelner banaler Moment kein existenzielles Ereignis mehr wird.
Häufig gestellte Fragen
Phishing, Ransomware und CEO-Betrug führen statistisch die Meldungen an. Meldungen zu CEO-Betrug stiegen 2025 auf 970 gemeldete Fälle, gegenüber 719 im Vorjahr. Ransomware-Meldungen haben sich mit 104 Vorfällen 2025 leicht erhöht, bleiben aber unter dem Niveau von 2023. Die Kombination aus Homeoffice, Cloud-Nutzung und externer Dienstleister-Anbindung hat die Angriffsfläche in den letzten Jahren deutlich vergrössert.
Weil Sicherheit solange abstrakt wirkt, bis sie konkret fehlt. Viele Entscheider unterschätzen die Wahrscheinlichkeit eines Vorfalls – gleichzeitig werden die Folgekosten zuverlässig unterschätzt. Die Erfahrung aus forensischen Fällen zeigt: Nach dem ersten Ernstfall verändern Unternehmen ihr Sicherheitsniveau binnen Wochen stärker, als sie es zuvor in Jahren getan haben. Die wirtschaftliche Logik spricht dafür, diesen Punkt nicht abzuwarten.
Eine zunehmend zentrale. Angriffe auf IT-Dienstleister rücken im unternehmerischen Umfeld zunehmend in den Fokus – sie betreffen nicht nur die Dienstleister selbst, sondern auch deren Kunden. 2025 gewannen zudem Kompromittierungen von weit verbreiteten Open-Source-Komponenten an Bedeutung – darin enthaltene Sicherheitslücken können weitreichende systemische Auswirkungen haben. Auch Schweizer KMU werden dadurch zunehmend zu Prüfgegenständen ihrer eigenen Kunden.
Bei Fragen zur konkreten Risikolage Ihres Unternehmens besprechen wir Ihre Situation gerne in einem Erstgespräch.
Die ISMS-Strategie – worauf strategisches Gelingen ankommt
Ein Informationssicherheits-Managementsystem entfaltet seine Wirkung nicht durch seine Dokumentation, sondern durch die Entscheidungen, die es trägt. Noch bevor die erste Richtlinie entsteht, legt die Geschäftsleitung fest, welche Werte zu schützen sind, welche Risiken das Unternehmen nicht akzeptiert und welche Prioritäten gelten. Diese Vorentscheidungen formen die ISMS-Strategie — und entscheiden darüber, ob das System im Alltag trägt oder im Ordner bleibt.
Strategisches Gelingen folgt dabei erkennbaren Prinzipien. Wer sie kennt, erspart sich teure Umwege — und erreicht deutlich schneller ein ISMS, das Wirkung zeigt.
Was wir unter ISMS-Strategie verstehen
Die ISMS-Strategie ist das Führungsdokument der Geschäftsleitung. Sie beantwortet drei Fragen: warum Informationssicherheit für das Unternehmen wichtig ist, wohin sie sich entwickeln soll und mit welchen Hebeln die Leitung dies steuert. Sie ist bewusst kurz und übergeordnet — operative Inhalte wie Schutzziele, Geltungsbereich, Kennzahlen oder Rollendetails gehören in die nachgelagerte Informations-sicherheitsleitlinie (Policy) und in spezifische Verfahren.
Jede ISMS-Strategie beantwortet drei Grundfragen. Sie sind die Basis für alles, was danach folgt:
- Was schützen wir? Welche Informationen, Systeme und Prozesse sind für das Unternehmen geschäftskritisch — und welche nicht? Die ehrliche Antwort verhindert die häufigste Fehlinvestition der Praxis: dass überall gleich viel gesichert wird.
- Wie viel Sicherheit ist angemessen? Welches Risiko trägt das Unternehmen bewusst — und ab welcher Grenze wird investiert? Sicherheit ohne Risikomass wird beliebig, teuer und bürokratisch.
- Wie verankern wir Sicherheit dauerhaft? Welche Rollen, Ressourcen und Routinen braucht es, damit die Regeln im Alltag gelebt werden? Ohne verlässliche Verankerung wird jedes ISMS zum Strohfeuer.
→ Diese drei Fragen sind Chefsache. Sie lassen sich nicht delegieren und nicht aus einer Norm ableiten.
Der risikobasierte Ansatz — Herzstück der Strategie
Ohne ihn bleibt jede Strategie eine Wunschliste. Er verwandelt Absicht in begründete Investitionsentscheidungen.
Warum? Eine Checkliste behandelt die Anwaltskanzlei wie ein Atomkraftwerk. Der risikobasierte Ansatz hingegen ist ein Entscheidungsprozess: Was ist uns wichtig? Was könnte schaden? Lohnt die Investition? Genau das macht ISO 27001 zur Pflicht.
Als Geschäftsleitung legen wir drei Dinge fest:
- Methode: Wie wir Risiken bewerten.
- Risikoappetit: Was wir bewusst tragen.
- Steuerung: Wer Risiken akzeptiert.
„Risikomanagement ist nicht ein Kapitel der Strategie — es ist ihre Mechanik.”
Aus der Arbeit mit Schweizer KMU-Projekten kristallisieren sich sieben Prinzipien, die strategisches Gelingen tragen:
- Informationssicherheit als Teil der Unternehmenskultur. Eine ISMS-Strategie wird nur wirksam, wenn sie über das Team getragen wird. Entscheidend ist das sichtbare Commitment der obersten Führung.
- Informationssicherheit als strategische Priorität. Wer Informationssicherheit als Wettbewerbsfaktor versteht – nicht als Pflichtübung – trifft bessere Investitionsentscheidungen und kommuniziert wirksamer gegenüber Kunden und Partnern.
- Orientierung an anerkannten Normen. ISO 27001 und vergleichbare Standards liefern den erprobten Rahmen. Wer sich daran orientiert, folgt internationalen Best Practices und erschliesst damit auch die passenden Nachweiswege.
- Effizienter Ressourceneinsatz. Budget, Personal und Technologie werden dort eingesetzt, wo sie die grösste Risikoreduktion bewirken. Das ist das Gegenteil von Giesskannen-Sicherheit.
- Anpassungsfähigkeit an neue Bedrohungen. Risiken, Angriffsmuster und regulatorische Anforderungen verändern sich kontinuierlich. Eine tragfähige Strategie hält Mechanismen bereit, um auf Veränderungen zügig zu reagieren.
- Klare Governance-Strukturen. Verantwortlichkeiten sind explizit geregelt – von der Geschäftsleitung über den Informationssicherheitsbeauftragten bis zu den Fachbereichen. Entscheidungen sind nachvollziehbar dokumentiert.
- Einbindung externer Expertise, wo sinnvoll. Komplexe Themen profitieren von externem Blick. Auditoren, Beraterinnen oder Coachs bringen Erfahrung aus vielen Kontexten mit – das spart Lerngeld und verhindert blinde Flecken.
Im Audit erkennt man innerhalb weniger Stunden, ob Informationssicherheit gelebt wird oder nur dokumentiert ist. Das verräterische Zeichen ist nicht die Qualität der Dokumente – es sind die Antworten der Mitarbeitenden. Wo das Management das Thema regelmässig priorisiert, entstehen Routinen, Sprache und Entscheidungen, die jede Auditorin sofort bemerkt. Wo das Thema delegiert und dann vergessen wurde, zeigen sich die Lücken im ersten Interview. Kein Kontrollsystem der Welt kompensiert fehlende Führungsverantwortung – aber gelebte Führungsverantwortung macht selbst einfache Systeme belastbar.
Häufig gestellte Fragen
Nein. Weder ISO 27001 noch TISAX® verlangen ein Dokument mit dem Titel „Strategie”. Gefordert ist jedoch ein nachvollziehbarer Zusammenhang zwischen Geschäftszielen, Risiken und Sicherheitsmassnahmen. Wer diese Verbindung ohne Strategie herstellen will, kommt in der Praxis selten zu kohärenten Ergebnissen. Eine dokumentierte Strategie ist deshalb zwar nicht Pflicht, aber ein wirksames Führungsinstrument.
Mindestens jährlich im Rahmen des Management-Reviews — ausserordentlich, sobald sich Rahmenbedingungen wesentlich verändern: neue Geschäftsfelder, neue regulatorische Anforderungen, relevante Vorfälle oder grössere organisatorische Veränderungen. Die Strategie ist ein lebendes Dokument, kein Gründungsakt.
Die Gesamtverantwortung ist delegationsfrei. Im operativen Alltag bedeutet das primär drei Dinge: Ziele und Grenzen setzen, Ressourcen freigeben und regelmässig überprüfen, ob das System wirkt. Die operative Arbeit übernimmt der Informationssicherheitsbeauftragte — die Richtung kommt von oben. Führungsverantwortung ist die Bedingung, damit aus einem ISMS auf Papier ein ISMS im Alltag wird.
Für die meisten Schweizer KMU genügt ein qualitativer Ansatz mit klaren Skalen für Eintrittswahrscheinlichkeit und Schadenshöhe (typisch: 1–5). Entscheidend ist nicht die Komplexität der Methode, sondern die konsistente Anwendung und nachvollziehbare Dokumentation. Quantitative oder hybride Verfahren lohnen sich erst dort, wo finanzielle Risiken präzise zu beziffern sind — etwa bei regulierten Branchen oder Cyber-Versicherungs-Verhandlungen. Wichtig in jedem Fall: Die Methode muss vorab durch die Geschäftsleitung genehmigt sein, sonst akzeptiert kein Auditor die daraus folgenden Risikoentscheidungen.
Im nächsten Kapitel
Eine Strategie gibt die Richtung vor. Wie diese Richtung in ein konkretes, zertifizierbares Managementsystem übersetzt wird — mit Anforderungen, Roadmap und Audit-Ablauf — zeigt Kapitel 5: ISO 27001 — der strukturierte Weg zur Zertifizierung.
Bei Fragen zur konkreten Ausgestaltung Ihrer ISMS-Strategie besprechen wir Ihre Situation gerne in einem Erstgespräch.