Sind Schweizer KMU wirklich Ziel von Cyberangriffen oder ist das übertrieben?

Das NCSC (Nationales Zentrum für Cybersicherheit) verzeichnete 2024 über 60'000 gemeldete Vorfälle, davon ein grosser Teil bei KMU. Phishing, Business-Email-Compromise und Ransomware sind die Top-3-Vorfallarten. KMU werden gezielt angegriffen, weil sie typischerweise weniger Schutz haben als Konzerne und gleichzeitig Geld bewegen. Die mediane Lösegeldforderung lag 2024 bei CHF 250'000.

Was kostet ein realistisches Sicherheits-Setup für ein 30-Personen-KMU?

Wir rechnen mit CHF 35–55 pro Mitarbeitenden und Monat für die laufenden Sicherheitskosten (M365 Premium, EDR, Backup, Phishing-Simulationen). Plus einmalig CHF 5'000–15'000 für Erstausstattung (Firewall, Initial-Setup, Schulung). Plus CHF 2'000–6'000 jährlich für Cyber-Versicherung. Für ein 30-Kopf-Team also etwa CHF 18'000–25'000 pro Jahr — viel weniger als ein einziger Tag Betriebsunterbruch durch Ransomware.

Müssen wir das alles auf einmal umsetzen?

Nein. Beginnen Sie mit den Punkten 1–4 (MFA, EDR, Backups, Patches) — die decken etwa 80 % aller realistischen Angriffsszenarien ab. Punkte 5–8 (Schulung, Privileged Access, Asset-Inventory, Segmentierung) sind das nächste Quartal. Punkte 9–12 (Versicherung, IR-Plan, Zero-Trust, Pentest) lassen sich entspannt im zweiten Halbjahr ergänzen.

Wir nutzen Microsoft 365 Business Premium — sind wir damit nicht schon abgesichert?

Premium liefert Ihnen die Tools (Defender, Intune, Conditional Access) — aber nur, wenn jemand sie konfiguriert. Wir sehen regelmässig KMU mit Premium-Lizenzen, bei denen Defender im Lernmodus blieb, Intune nur für ein Demo-Gerät eingerichtet ist und Conditional Access deaktiviert wurde, weil ein Mitarbeitender im Ausland nicht reinkam. Die Lizenz ist die halbe Miete; die Konfiguration ist die andere Hälfte.

Was passiert, wenn ich einen Vorfall melden muss?

Pflicht: Datenschutz-Verletzungen müssen innert «kurzer Frist» (in der Praxis 72 Stunden) an den EDÖB gemeldet werden, wenn ein hohes Risiko für die Betroffenen besteht (Art. 24 DSG). Empfohlen: Vorfälle ans NCSC melden (https://www.ncsc.admin.ch). Branchenspezifisch: FINMA-beaufsichtigte Unternehmen haben zusätzliche Meldepflichten. Wir empfehlen, diese Kontaktpunkte vorab in den IR-Plan aufzunehmen.

Was sind die häufigsten Versäumnisse, die wir bei neuen Kunden sehen?

Drei Sachen tauchen in fast jedem Erstaudit auf: erstens MFA-Lücken bei Service-Konten und externen Zugängen (Banking-Software, Treuhand-Portale). Zweitens fehlende Backup-Tests — die Backups laufen, aber niemand hat je versucht zu restaurieren. Drittens veraltete Firmware auf Firewalls und Switches (oft 2–3 Jahre alt mit bekannten CVEs). Diese drei Punkte sind oft in einer Woche behoben und decken einen Grossteil der realen Angriffsfläche ab.

Cybersecurity-Checkliste 2026 für Schweizer KMU: Die 12 Punkte, die wirklich zählen

Wenn wir bei einem neuen KMU-Kunden mit dem Erstaudit beginnen, sind die ersten Findings selten exotisch. Es sind dieselben zwölf Punkte, die in 90 % der Fälle fehlen oder unvollständig umgesetzt sind. Diese Liste deckt davon den Grossteil ab — priorisiert nach Wirkung pro Investition. Punkte 1–4 stoppen die häufigsten Angriffe; Punkte 5–8 schliessen die zweite Lücke; Punkte 9–12 bringen Sie auf das Niveau, das Banken, Versicherungen und EDÖB-Audits erwarten.

Wichtig: Diese Liste ist eine Praxis-Hilfe, kein juristisches oder regulatorisches Audit. Branchenspezifische Anforderungen (FINMA für Banken, BAG für Spitäler, FADP für Apotheken) gehen vor und brauchen einen separaten Compliance-Check.

Multi-Faktor-Authentifizierung (MFA) erzwingen — überall

Beginnen Sie hier. 99 % der erfolgreichen Account-Übernahmen scheitern an MFA. Erzwingen Sie es für Microsoft 365 / Google Workspace, VPN, Banking, Buchhaltungssoftware und alle Admin-Konten. Idealerweise mit FIDO2-Sicherheitsschlüsseln (YubiKey) für Geschäftsleitung und IT-Admins.

Aufwand: 1–3 Tage

Kosten: CHF 0–50 pro Nutzer (FIDO2-Schlüssel)

Endpoint Detection & Response (EDR) statt nur Virenscanner

Klassisches Antivirus erkennt Ransomware oft erst, wenn sie schon läuft. EDR-Lösungen (Microsoft Defender for Business, SentinelOne, CrowdStrike) erkennen Verhaltensanomalien und stoppen Angriffe in Sekunden. Pflicht ab ungefähr 10 Geräten.

Aufwand: 1–2 Wochen Rollout

Kosten: CHF 8–15 pro Gerät und Monat

Backups in der 3-2-1-Regel — und regelmässig testen

Drei Kopien, zwei verschiedene Medien, eine offsite. Bei Cloud-Backups: prüfen Sie, ob Ransomware-Schutz («Immutable Backups») aktiv ist. Wichtigster Punkt: testen Sie Wiederherstellungen alle drei Monate. Ein Backup, das Sie noch nie restauriert haben, ist kein Backup.

Aufwand: Initial 1 Woche, dann quartalsweise prüfen

Kosten: CHF 4–10 pro Nutzer und Monat

Patch-Management mit harten Deadlines

Setzen Sie schriftliche SLAs: kritische Patches innerhalb 48 Stunden, hohe innerhalb 7 Tagen, normale innerhalb 30 Tagen. Automatisieren Sie Windows-Updates über Intune oder ein RMM-Tool. Nehmen Sie auch Drittanbieter-Software (Adobe, Java, Browser) mit auf.

Aufwand: Setup 2 Wochen, dann laufend

Kosten: Bereits in M365 Premium / RMM-Lizenz enthalten

Phishing-Simulationen alle 8–12 Wochen

Mitarbeitende sind die häufigste Einfallstür. Schulungen alleine wirken kaum — simulierte Phishing-Mails mit anschliessendem Mikro-Training senken die Klickrate nachweislich von 25 % auf unter 5 % innerhalb eines Jahres. KnowBe4, Hoxhunt oder Microsoft Attack Simulator sind etablierte Tools.

Aufwand: 30 Min pro Quartal

Kosten: CHF 4–8 pro Nutzer und Monat

Privilegierte Konten trennen — niemand arbeitet als Domain-Admin

Jeder Admin braucht ZWEI Konten: ein normales Tagesgeschäfts-Konto und ein separates Admin-Konto, das nur für administrative Tätigkeiten verwendet wird. Damit wird verhindert, dass eine kompromittierte Browser-Session die Domäne übernimmt.

Aufwand: 1 Woche

Kosten: Keine zusätzlichen Lizenzen

Verzeichnis aller Geräte und Software (Asset-Inventory)

Sie können nichts schützen, was Sie nicht kennen. Führen Sie ein lebendes Verzeichnis aller Endgeräte, Server, Cloud-Konten, Lizenzen und SaaS-Abos. Idealerweise automatisiert über Intune oder ein RMM. Beim Audit wird genau das als erstes verlangt.

Aufwand: Initial 2 Wochen

Kosten: Im RMM enthalten

Netzwerk-Segmentierung statt Flat Network

Trennen Sie Server, Mitarbeitende, Gäste-WLAN, Drucker und IoT-Geräte in getrennte VLANs mit Firewall-Regeln dazwischen. Wenn ein Drucker (notorisch unsicher) gehackt wird, soll er nicht die Buchhaltung erreichen können.

Aufwand: 1–4 Wochen je nach Komplexität

Kosten: Einmalig CHF 2'000–8'000 (Firewall + Konfiguration)

Cyber-Versicherung — aber realistisch

Eine KMU-Cyberversicherung kostet CHF 2'000–8'000 pro Jahr und deckt typische Schäden (Wiederherstellung, Betriebsunterbruch, Erpressung). Wichtig: Versicherer prüfen heute MFA, EDR und Backup-Tests. Ohne diese Basics gibt es entweder keinen Vertrag oder eine Ausschlussklausel.

Aufwand: 1 Termin mit Broker

Kosten: CHF 2'000–8'000 pro Jahr

Incident-Response-Plan auf einer A4-Seite

Wer ruft wen an, wenn morgen früh die Daten verschlüsselt sind? Schreiben Sie es auf — Telefonnummern von IT-Partner, Versicherung, NCSC-Meldestelle, externe Forensik. Ausgedruckt im Tresor (das E-Mail-Postfach ist mitverschlüsselt).

Aufwand: 2–4 Stunden

Kosten: CHF 0

Zero-Trust für Zugriff von extern

Klassisches VPN ist Auslaufmodell. Conditional Access (Microsoft Entra) oder Cloudflare Access prüfen jede Anfrage anhand von Nutzer, Gerät, Standort und Risiko-Score. Verdächtige Logins werden blockiert oder mit Re-Auth versehen, bevor sie überhaupt das Netzwerk erreichen.

Aufwand: 2–4 Wochen Rollout

Kosten: In M365 Business Premium enthalten

Jährliches externes Security-Assessment

Einmal pro Jahr lassen Sie einen externen Pentester / Audit gegen Ihre Umgebung laufen — extern (Web, Mail, VPN) und intern (Active Directory, Lateral Movement). Das findet, was Ihnen blinde Flecken sind. Kosten: CHF 4'000–12'000 für ein KMU-Assessment.

Aufwand: 1 Woche Aufwand

Kosten: CHF 4'000–12'000 jährlich

Schweizer Kontext: NCSC, EDÖB, revidiertes DSG

Drei Stellen sollten Sie kennen — und im IR-Plan haben:

NCSC (Nationales Zentrum für Cybersicherheit) — Anlaufstelle für Vorfallmeldungen, anonymisierte Lagebilder, kostenlose Hilfe in akuten Fällen. Siehe ncsc.admin.ch.
EDÖB (Eidg. Datenschutzbeauftragter) — Aufsichtsbehörde für das DSG. Datenschutz-Verletzungen müssen «binnen kurzer Frist» (Art. 24 DSG) gemeldet werden, wenn ein hohes Risiko besteht.
revidiertes DSG (in Kraft seit 1. September 2023) — fordert ein Verzeichnis der Bearbeitungstätigkeiten, dokumentierte Sicherheitsmassnahmen und ggf. eine Datenschutz-Folgenabschätzung. Asset-Inventory (Punkt 7) ist die Basis dafür.

Häufige Fragen

Kostenloses Cybersecurity-Erstaudit für Ihr KMU

Wir prüfen die zwölf Punkte oben gegen Ihre aktuelle Umgebung — kostenlos, in 60 Minuten, mit konkretem Befund und Massnahmenplan. Kein Verkaufsgespräch, kein Druck. Sie bekommen das Audit als Bericht ausgehändigt — auch wenn Sie nicht mit uns weiterarbeiten.

Erstaudit vereinbaren 044 433 14 00 info@mixel.ch

Stand: Mai 2026. Preise sind Richtwerte für Schweizer KMU mit 10–100 Mitarbeitenden. Branchenspezifische Pflichten (Banken, Versicherungen, Gesundheit) werden hier nicht abgedeckt — wir empfehlen ein separates Compliance-Audit für regulierte Sektoren.