1. Informationssicherheits-Checkliste für KMU Schweiz – Cyber- & Geschäftsrisiken im Überblick Executive Summary für Entscheider:innen
Cyberangriffe sind nur die Spitze des Eisbergs. Auch menschliche Fehler, externe Dienstleister, Datenschutzverstösse, personelle Schwachstellen oder physische Ausfälle gefährden Schweizer KMU. Die Folgen: finanzielle Schäden, rechtliche Konsequenzen und Vertrauensverlust bei Kunden.
Mit dem Quick-Check Informationssicherheit erkennen Sie sofort, wo Ihr Unternehmen steht – und wo dringender Handlungsbedarf besteht.
👉 WollConsulting GmbH unterstützt KMU mit schlanken, praxisnahen und auditkonformen Lösungen – von der Standortbestimmung bis zur ISO 27001- oder TISAX®-Zertifizierung.
2. Warum ein Sicherheits-Check für KMU unverzichtbar ist
Viele KMU unterschätzen noch immer, welchen Gefahren sie ausgesetzt sind. Die Realität: Schon ein einziger Vorfall kann zu hohen Kosten, Projektverlusten oder nachhaltigem Vertrauensschaden führen. Zu den grössten Risiken zählen:
- Cyberangriffe – von Ransomware über Datenlecks bis zu Social Engineering.
- Menschliche Fehler – Fehlkonfigurationen, unachtsame Mitarbeitende oder falsche Freigaben.
- Externe Dienstleister – unklare Sicherheitsauflagen oder mangelnde Kontrolle von Partnern.
- Datenschutzverstösse – Verletzungen von revDSG oder DSGVO mit hohen Bussgeldern.
- Physische Risiken – ungesicherter Zutritt, Diebstahl oder Ausfall kritischer Infrastruktur.
- Personelle Risiken – fehlende Prüfungen bei Neueintritten oder Insider-Bedrohungen.
👉 Fazit: Ein jährlicher Sicherheits-Check ist kein „Nice-to-have“, sondern Pflicht. Er reduziert Risiken, stärkt die Compliance, verbessert die Versicherbarkeit und schafft die Grundlage für Zertifizierungen wie ISO 27001 oder TISAX®– und damit für Vertrauen bei Kunden und Geschäftspartnern.
3. Quick-Check Informationssicherheit – Wo steht Ihr KMU?
Ziel: Einfache Standortbestimmung Ihrer Informationssicherheit. Die folgende Checkliste deckt die wichtigsten Themen („Tops“) ab, die für die Informationssicherheit in einem KMU mit eigener IT relevant sind – verständlich formuliert und von Best Practices abgeleitet.
Bewertung der Erfüllung der einzelnen Punkte: 0 (nicht vorhanden), .., 3 (vollständig umgesetzt)
Nr. | Bereich | Prüfkriterium | Bewertung |
1 | Physische Sicherheit | Zutrittskontrollen und Überwachung: Ist der Zutritt zu sensiblen Bereichen (z. B. Entwicklung, Serverraum) kontrolliert (Schlösser, Ausweiskarten etc.) und ggf. per Videoüberwachung gesichert? | |
2 | Personelle Sicherheit | Screening neuer Mitarbeiter: Werden neue Mitarbeitende vor der Einstellung sorgfältig überprüft (z. B. Identität, Referenzen, Leumund)? | |
Sensible Stellen identifiziert: Sind besonders kritische Tätigkeitsbereiche/ Positionen im Unternehmen erkannt und definiert (wo erhöhte Sicherheitsanforderungen gelten)? | |||
Vertraulichkeit vereinbart: Werden bei Einstellung mit Mitarbeitern Vertraulichkeitsvereinbarungen (NDAs) abgeschlossen? | |||
Entzug bei Austritt: Werden Zugriffsrechte sofort entzogen, wenn Mitarbeitende das Unternehmen verlassen (Offboarding-Prozess)? | |||
3 | Sicherheits-bewusstsein | Regelmässige Schulungen: Finden regelmässig-Sicherheitsschulungen für alle Mitarbeitenden statt (Sensibilisierung für Phishing, Passworthygiene etc.)? | |
Wirksamkeit messbar: Wird der Erfolg der Schulungen überprüft (z. B. Tests oder Phishing-Simulationen zur Lernkontrolle)? | |||
4 | Datensicher-heit und Geräteschutz | Daten klassifiziert & verschlüsselt: Sind sensible Daten als solche gekennzeichnet und bei Bedarf verschlüsselt(z. B. personenbezogene Daten, Finanzdaten)? | |
Schlüssel-Management: Werden kryptografische Schlüssel sicher verwahrt und verwaltet (klare Verantwortlichkeiten und sichere Aufbewahrung)? | |||
Mobile Geräte gesichert: Sind mobile Endgeräte (Laptops, Smartphones) angemessen abgesichert – z. B. durch Passwort/Pin, Geräteeverschlüsselung und die Möglichkeit zur Fernlöschung bei Verlust? | |||
Updates/Patches zeitnah: Werden Systeme und Anwendungen zeitnah mit Updates/Patches versorgt und stets aktuell gehalten? | |||
5 | Netzwerk-sicherheit | Netzwerkschutz (Firewall & IDS): Werden Netzwerkschutz-Lösungen eingesetzt, z. B. eine aktualisierte Firewall und ggf. Systeme zur Angriffserkennung (IDS/IPS)? | |
Netzwerk-Monitoring: Wird das Netzwerk kontinuierlich auf Sicherheitsvorfälle überwacht (z. B. Protokollierung und Auswertung von Sicherheits-Logs)? | |||
6 | Zugriffsrechte und Identitäts-mgmt. | Starke Authentifizierung: Ist für wichtige Zugänge Multi-Faktor-Authentifizierung (MFA) im Einsatz (zusätzlich zum Passwort)? | |
Sind Passwörter definiert (z. B. Mindestlänge, Komplexität und regelmässige Änderung) und werden sichere Passwörter von allen genutzt? | |||
Rechteverwaltung: Sind Zugriffsrechte klar festgelegt (wer darf was) und werden diese regelmässig auf Aktualität überprüft (Least-Privilege-Prinzip)? | |||
7 | Externe Dienstleister | Vertragliche Sicherheitsanforderungen: Sind Sicherheitsanforderungen an externe IT-Dienstleistervertraglich fixiert (z. B. in Verträgen oder SLA)? | |
Kontrolle der Dienstleister: Werden externe Dienstleister und deren Sicherheitsmassnahmen regelmässig überprüft (Audits, Nachweise einfordern)? | |||
8 | Compliance und rechtliche Vorgaben | Gesetze/Vorschriften eingehalten: Werden alle relevanten Gesetze, Standards und Vorgaben (z. B. revDSG/ DSGVO, branchenspezifische Vorschriften) im Unternehmen umgesetzt und eingehalten? | |
Regelmässige Compliance-Checks: Wird die Einhaltung der Sicherheitsvorgaben regelmässig überprüft (z B. interne Audits oder Checks)? | |||
Management-Berichterstattung: Wird der Status der Informationssicherheit und Compliance regelmässig an die Geschäftsleitung berichtet (Management bekommt Übersicht über Risiken/Massnahmen)? | |||
9 | Notfall-management | Notfallplan getestet: Existiert ein Notfall- / Notfallwiederherstellungsplan, und wurde dieser auch praktisch getestet (z. B. Probealarm, Wiederanlauf-Übung)? | |
Datensicherungen geprüft: Werden regelmässig Backups aller wichtigen Daten durchgeführt und getestet (Überprüfung der Wiederherstellung auf Funktionsfähigkeit)? | |||
10 | Homeoffice & mobiles Arbeiten | Richtlinien & sicherer Fernzugriff: Gibt es klare Regeln für Homeoffice/mobiles Arbeiten und werden für den externen Zugriff nur sichere Verbindungen (z. B. VPN) genutzt? | |
11 | Datenschutz | Sind die zentralen Datenschutz-Dokumente vorhanden, aktuell und vollständig (z. B. Verzeichnis der Bearbeitungstätigkeiten, Datenschutzerklärung, Auftragsbearbeitungsverträge)? | |
Werden die Datenschutz-Grundsätze im Alltag eingehalten (z. B. Datenminimierung, Löschfristen, Rechte der betroffenen Personen) und sind die Mitarbeitenden regelmässig geschult bzw. sensibilisiert | |||
12 | Software- und Anwendungs-sicherheit | Schwachstellen-Tests: Wird verwendete Software regelmässig auf Sicherheits-lücken geprüft (z. B. Updates, Security-Scans oder Penetrationstests für eigene Anwendungen)? | |
Cloud & Drittsoftware aktuell: Werden Drittanbieter-Komponenten (z. B. Frameworks, Plug-ins, Libraries) sowie genutzte Cloud-Dienste aktiv überwacht und zeitnah aktualisiert, um bekannte Schwachstellen zu schliessen? | |||
13 | Überwachung und Vorfallmgmt. | Aktive Überwachung: Werden IT-Systeme und Logs aktiv auf Auffälligkeiten überwacht, um Sicherheitsvorfälle frühzeitig zu erkennen? | |
Klare Vorfallsprozesse: Sind Abläufe für Sicherheitsvorfälle klar definiert (Meldewege, Zuständigkeiten, Kommunikation) und bekannt? | |||
14 | Sicherheits-kultur | Einfache Meldemöglichkeiten: Gibt es eine einfache Möglichkeit für Mitarbeiter, Sicherheitsprobleme oder Verdachtsfälle zu melden (z. B. klare Ansprechperson oder Melde-Tool? | |
Verankerung im Alltag: Ist Sicherheit fest in den Arbeitsalltag integriert und von der Geschäftsführung vorgelebt (Sicherheitsbewusstsein als Teil der Firmenkultur)? |
Ergebnisse/ Anzahl Punkte | 0 |
0–24 Punkte: Akuter Handlungsbedarf – es bestehen gravierende Sicherheitslücken. Dringend Massnahmen ergreifen, um Risiken zu reduzieren! | |
25–49 Punkte: Deutliche Risiken – wichtige Sicherheitsmassnahmen fehlen. So schnell wie möglich umsetzen, um Ihr Schutzniveau zu verbessern. | |
50–74 Punkte: Guter Schutz – viele Bereiche sind abgedeckt. Gezielt optimieren, um verbleibende Risiken weiter zu reduzieren. | |
75–96 Punkte: Hervorragend vorbereitet –Ihr Unternehmen ist sehr gut aufgestellt. Schutzniveau erhalten und prüfen, ob Sie den nächsten Schritt Richtung vollständige ISO-27001 oder TISAX® Konformität gehen möchten. |
4. Von der Standortbestimmung zur Strategie
Der Quick-Check gibt Orientierung – entscheidend ist nun, wie Sie die Ergebnisse nutzen:
- Machen Sie Lücken sichtbar und dokumentieren Sie diese nachvollziehbar.
- Priorisieren Sie Massnahmen, wo der Nutzen für Sicherheit und Geschäft am grössten ist.
- Bauen Sie ein ISMS auf (z. B. nach ISO 27001), um Prozesse und Verantwortlichkeiten verbindlich zu machen.
👉 Ergebnis: ein tragfähiges Sicherheitskonzept, das Kosten senkt, Doppelarbeit vermeidet und das Vertrauen von Kunden, Partnern und Auditoren stärkt.
5. Der WollConsulting-Ansatz
Wir begleiten KMU in der Schweiz praxisnah und effizient:
- Schlank: Kein Overhead – nur das, was Sie wirklich brauchen.
- Wirksam: Fokus auf die relevanten Risiken.
- Kosteneffizient: Zertifizierungsreife mit überschaubarem Aufwand.
Damit bleibt Informationssicherheit im Alltag lebbar – und Ihr Unternehmen dauerhaft geschützt.
6. FAQ – Häufig gestellte Fragen
❓Was müssen KMU in der Schweiz mindestens beachten
👉 Jedes KMU muss die Vorgaben des revDSG einhalten und dafür angemessene technische und organisatorische Massnahmen umsetzen.
❓Wer gibt in der Schweiz Empfehlungen zur Informationssicherheit für KMU?
👉 In erster Linie das NCSC mit praxisnahen Merkblättern und Checklisten. Es empfiehlt u. a. starke Passwörter und MFA, regelmässige Updates, getestete Backups, Notfallpläne und Awareness-Schulungen. Das KMU-Portal/SECO verweist auf die Umsetzung des revDSG. Branchenverbände empfehlen internationale Standards wie ISO 27001, und Versicherer fordern Mindestmassnahmen wie Backups, MFA und Patch-Management.
❓ Für welche KMU ist Informationssicherheit besonders relevant?
👉 Für alle Unternehmen, die mit sensiblen Daten arbeiten oder in regulierten Branchen tätig sind (z. B. IT-Dienstleister, Finanzwesen, Gesundheit, Industrie mit Zulieferpflichten). Aber auch kleinere Betriebe geraten zunehmend ins Visier von Cyberangriffen.
❓Welche Standards bringen den grössten Nutzen für KMU?
👉 Der Schlüsselstandard ist ISO 27001. Je nach Branche kommen weitere hinzu: TISAX® (Automobilindustrie), ISO 22301 (Business Continuity) oder ISO 27701 (Datenschutz).
👉 Fordern Sie jetzt Ihren kostenlosen Excel-Quick-Check an und starten Sie mit einer unverbindlichen Erstberatung. So machen Sie Ihr KMU fit für die Zukunft – schlank, wirksam und auditkonform.
