Cybersecurity Checkliste für KMU 2026: 25 Massnahmen die sofort wirken

Q: Wie ist diese Checkliste aufgebaut?

See section: Wie ist diese Checkliste aufgebaut?

Q: Was ist die wichtigste Massnahme auf dieser Liste?

See section: Was ist die wichtigste Massnahme auf dieser Liste?

Schweizer KMU sind das Rückgrat der Wirtschaft — und das bevorzugte Ziel von Cyberkriminellen. Laut dem NCSC Halbjahresbericht 2024 wurden in der Schweiz über 63’000 Cyber-Vorfälle gemeldet, und die Dunkelziffer liegt deutlich höher. Der Schweizerische Versicherungsverband (SVV) beziffert die jährlichen Schäden durch Cyberangriffe auf die Schweizer Wirtschaft auf rund CHF 9.5 Milliarden. Für ein einzelnes KMU bedeutet ein erfolgreicher Angriff durchschnittlich Kosten von CHF 84’000 — ein Betrag, der viele kleinere Unternehmen in die Existenzkrise stürzen kann. Laut einer gfs-Befragung im Auftrag von digitalswitzerland haben 2024 nur 14 % der Schweizer KMU eine durchdachte Cybersecurity-Strategie implementiert.

«Cybersicherheit ist Chefsache. Jedes Schweizer Unternehmen — unabhängig von der Grösse — muss die grundlegenden Schutzmassnahmen umsetzen, um sich und seine Kunden zu schützen.» — Florian Schütz, Direktor des Bundesamts für Cybersicherheit (BACS)

Die gute Nachricht: Sie müssen kein IT-Sicherheitsexperte sein, um Ihr Unternehmen deutlich besser zu schützen. Diese Checkliste enthält 25 konkrete Massnahmen, priorisiert nach Aufwand und Wirkung. Beginnen Sie mit den Quick Wins — und arbeiten Sie sich systematisch vor bis zur professionellen Sicherheitsüberprüfung durch Red Teaming.

Wie ist diese Checkliste aufgebaut?

Diese Checkliste organisiert 25 Massnahmen in drei Stufen — von kostenlosen Sofortmassnahmen bis zur strategischen Sicherheitsüberprüfung:

Stufe 1 — Sofort (Quick Wins, 0-1 Tag): Massnahmen, die Sie heute umsetzen können und die sofort Ihre Sicherheit verbessern. Kein Budget, kein Spezialwissen erforderlich.
Stufe 2 — Kurzfristig (1-4 Wochen): Massnahmen, die etwas Planung und Ressourcen erfordern, aber innert eines Monats umsetzbar sind.
Stufe 3 — Strategisch (1-3 Monate): Umfassendere Massnahmen, die eine langfristige Sicherheitsstrategie bilden — einschliesslich professioneller Überprüfung.

Jede Massnahme enthält: Was Sie tun sollen, warum es wichtig ist und welchen Aufwand Sie erwarten können.

Stufe 1: Sofort umsetzbare Quick Wins (0-1 Tag)

Neun Massnahmen, die Sie heute noch umsetzen und die Ihre Sicherheitslage sofort verbessern — ohne Budget und ohne externe Hilfe. Laut Microsoft Security verhindert allein MFA (Massnahme 1) über 99 % aller Credential-basierten Angriffe.

1. Multi-Faktor-Authentifizierung (MFA) aktivieren

Was: Aktivieren Sie MFA für alle geschäftskritischen Konten — E-Mail (Microsoft 365, Google Workspace), Cloud-Speicher, VPN, ERP-System, Buchhaltungssoftware, Social-Media-Konten des Unternehmens.

Warum: MFA verhindert über 99 % aller Credential-basierten Angriffe (Microsoft Security Report). Selbst wenn ein Passwort durch Phishing gestohlen wird, kann der Angreifer ohne den zweiten Faktor nicht zugreifen.

Aufwand: 1-2 Stunden für alle Konten. Verwenden Sie Authenticator-Apps (Microsoft Authenticator, Google Authenticator) statt SMS — SMS-basierte MFA ist besser als nichts, aber anfällig für SIM-Swapping.

2. Passwort-Policy modernisieren

Was: Setzen Sie folgende Policy für alle Mitarbeitenden durch: Mindestlänge 12 Zeichen, keine erzwungene periodische Änderung (nur bei Verdacht auf Kompromittierung), keine Wiederverwendung von Passwörtern zwischen verschiedenen Diensten.

Warum: Kurze, regelmässig geänderte Passwörter führen zu schwachen, vorhersagbaren Mustern («Firma2026!», «Sommer2026!»). Lange Passwörter, die nicht rotiert werden, sind sicherer — das bestätigen auch NIST und das BSI.

Aufwand: 30 Minuten Konfiguration im Active Directory oder Cloud-Admin-Portal plus Kommunikation an die Mitarbeitenden.

3. Unternehmensweiten Passwort-Manager einführen

Was: Stellen Sie allen Mitarbeitenden einen Passwort-Manager zur Verfügung (z. B. Bitwarden, 1Password Business, Keeper). Schulen Sie die Nutzung in 15 Minuten.

Warum: Ohne Passwort-Manager verwenden Mitarbeitende dasselbe Passwort für mehrere Dienste oder notieren es auf Post-its. Ein Passwort-Manager eliminiert dieses Risiko und ermöglicht starke, einzigartige Passwörter für jeden Dienst.

Aufwand: CHF 3-8 pro Mitarbeitender und Monat. Einführung in wenigen Stunden.

4. Automatische Updates aktivieren

Was: Aktivieren Sie automatische Updates für alle Betriebssysteme (Windows, macOS), Browser (Chrome, Firefox, Edge) und Geschäftsanwendungen. Für Server: Definieren Sie ein wöchentliches Update-Fenster.

Warum: Ungepatchte Schwachstellen sind eines der häufigsten Einfallstore für Ransomware. Angreifer nutzen bekannte Schwachstellen oft innert weniger Tage nach Veröffentlichung aus.

Aufwand: 30-60 Minuten Konfiguration. Danach läuft es automatisch.

5. Backup-Wiederherstellung testen

Was: Testen Sie heute, ob Sie Ihre wichtigsten Daten aus dem Backup wiederherstellen können. Nicht morgen, nicht nächste Woche — heute.

Warum: Viele KMU entdecken erst im Ernstfall, dass ihre Backups unvollständig, korrupt oder nicht wiederherstellbar sind. Ein Backup, das sich nicht wiederherstellen lässt, ist wertlos.

Aufwand: 1-2 Stunden. Stellen Sie testweise eine Datei, einen Ordner und eine Datenbank wieder her.

6. Admin-Rechte einschränken

Was: Prüfen Sie, welche Mitarbeitenden lokale Admin-Rechte auf ihren Arbeitsgeräten haben. Entziehen Sie Admin-Rechte bei allen, die sie nicht zwingend benötigen. Erstellen Sie für IT-Administratoren separate Admin-Konten, die nur für administrative Tätigkeiten verwendet werden.

Warum: Wenn ein Mitarbeitender mit Admin-Rechten auf einen Phishing-Link klickt, hat die Schadsoftware sofort volle Kontrolle über das Gerät. Ohne Admin-Rechte ist der Schaden deutlich begrenzt.

Aufwand: 1-3 Stunden für die Überprüfung und Anpassung.

7. E-Mail-Sicherheitsbanner aktivieren

Was: Konfigurieren Sie Ihr E-Mail-System so, dass E-Mails von externen Absendern einen deutlichen Banner tragen: «Diese Nachricht stammt von ausserhalb Ihrer Organisation — Vorsicht bei Links und Anhängen.»

Warum: Dieser einfache visuelle Hinweis reduziert die Erfolgsrate von Phishing-Angriffen nachweislich. Mitarbeitende werden daran erinnert, bei externen E-Mails besonders aufmerksam zu sein.

Aufwand: 15-30 Minuten in Microsoft 365 oder Google Workspace.

8. Bildschirmsperren konfigurieren

Was: Konfigurieren Sie automatische Bildschirmsperren nach 5 Minuten Inaktivität auf allen Arbeitsgeräten. Schulen Sie Mitarbeitende, den Bildschirm beim Verlassen des Arbeitsplatzes manuell zu sperren (Windows: Win+L, Mac: Ctrl+Cmd+Q).

Warum: Ein ungesperrter Computer ist ein offenes Tor — für Besucher, Reinigungspersonal oder auch Kolleginnen und Kollegen mit böser Absicht.

Aufwand: 15 Minuten per Gruppenrichtlinie oder MDM.

9. Notfall-Kontaktliste erstellen

Was: Erstellen Sie eine physische Liste (ausgedruckt, nicht nur digital) mit Kontaktdaten für den Cyber-Notfall: IT-Verantwortlicher (Handynummer), externer IT-Dienstleister, NCSC-Meldeformular, Kantonspolizei, Cyberversicherungs-Hotline, Geschäftsleitung.

Warum: Im Ernstfall haben Sie möglicherweise keinen Zugriff auf Ihre digitalen Systeme. Eine physische Liste stellt sicher, dass Sie die richtigen Personen erreichen.

Aufwand: 30 Minuten. Hängen Sie die Liste neben dem Server oder an einem zentralen Ort auf.

Stufe 2: Kurzfristige Massnahmen (1-4 Wochen)

Acht Massnahmen, die etwas Planung erfordern, aber innert eines Monats umsetzbar sind und Ihre Verteidigung gegen Phishing und Ransomware deutlich stärken.

10. Security-Awareness-Training durchführen

Was: Führen Sie ein Security-Awareness-Training für alle Mitarbeitenden durch. Fokus: Phishing erkennen, sichere Passwörter, Umgang mit verdächtigen E-Mails und Anrufen, Meldeprozess bei Vorfällen.

Warum: Über 70 % aller erfolgreichen Cyberangriffe nutzen die menschliche Schwachstelle aus. Eine einstündige Schulung kann das Risiko markant senken.

Aufwand: CHF 500-3’000 für ein externes Training oder kostenlos mit den Materialien des NCSC. Dauer: 1-2 Stunden pro Schulung.

11. Netzwerksegmentierung umsetzen

Was: Trennen Sie Ihr Netzwerk in Zonen: Gäste-WLAN (getrennt vom Firmennetz), Server-Netzwerk (nur für IT-Administratoren zugänglich), Office-Netzwerk, Produktionsnetzwerk (falls vorhanden). Mindestens: Gäste-WLAN vom Firmennetz trennen.

Warum: Wenn ein Angreifer in ein Netzwerksegment eindringt, soll er nicht automatisch Zugang zum gesamten Netzwerk erhalten. Segmentierung begrenzt den Schaden.

Aufwand: CHF 1’000-5’000 je nach Komplexität. Einfache Segmentierung (Gäste-WLAN) ist oft in wenigen Stunden umgesetzt.

12. Incident-Response-Plan erstellen

Was: Erstellen Sie einen einfachen, praxistauglichen Notfallplan: Wer macht was bei einem Cyberangriff? Definieren Sie Rollen, Eskalationswege, Kommunikationskanäle (die nicht vom Firmennetz abhängen) und die ersten Schritte.

Warum: Im Ernstfall zählt jede Minute. Ohne Plan herrscht Chaos, und der Schaden vergrössert sich. Mit Plan reagiert Ihr Team schnell und koordiniert.

Aufwand: 1-2 Tage für die Erstellung. Nutzen Sie Vorlagen des NCSC als Ausgangspunkt.

13. E-Mail-Authentifizierung implementieren (SPF, DKIM, DMARC)

Was: Implementieren Sie SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication) für Ihre Firmen-Domain.

Warum: Diese Standards verhindern, dass Angreifer E-Mails im Namen Ihres Unternehmens versenden (E-Mail-Spoofing). Ohne diese Schutzmassnahmen können Kriminelle Ihre Domain für Phishing-Angriffe missbrauchen — auch gegen Ihre Kunden und Partner.

Aufwand: CHF 0-500. Konfiguration in 2-4 Stunden durch Ihren IT-Dienstleister oder intern. Beginnen Sie mit SPF (einfach), dann DKIM, dann DMARC.

14. Endpoint Detection and Response (EDR) einführen

Was: Ersetzen Sie herkömmliche Antivirensoftware durch eine EDR-Lösung (z. B. Microsoft Defender for Endpoint, CrowdStrike Falcon Go, SentinelOne). EDR erkennt verdächtiges Verhalten — nicht nur bekannte Signaturen.

Warum: Klassische Antivirensoftware erkennt nur bekannte Schadsoftware. EDR analysiert das Verhalten von Prozessen und erkennt auch neuartige Angriffe und dateilose Malware.

Aufwand: CHF 3-10 pro Gerät und Monat. Einführung in 1-3 Tagen.

15. Auftragsbearbeitungsverträge prüfen

Was: Prüfen Sie, ob Sie mit allen externen Dienstleistern, die Zugang zu Personendaten haben, Auftragsbearbeitungsverträge gemäss nDSG abgeschlossen haben. Cloud-Anbieter, IT-Dienstleister, Newsletter-Tools, CRM-Systeme — alle brauchen einen Vertrag.

Warum: Das nDSG verlangt die vertragliche Regelung der Datenschutzpflichten mit Auftragsbearbeitern. Fehlen diese Verträge, drohen persönliche Bussen bis CHF 250’000.

Aufwand: 2-5 Tage für die Prüfung und Nachverhandlung. Viele Anbieter haben Standard-Verträge.

16. Physische Sicherheit prüfen

Was: Ist der Serverraum abgeschlossen? Werden Besucher begleitet? Liegen Zugangskarten unbeaufsichtigt herum? Sind USB-Ports an Arbeitsstationen deaktiviert (wo nicht benötigt)?

Warum: Physischer Zugang zum Netzwerk umgeht alle digitalen Schutzmassnahmen. Ein vergessener USB-Stick im Empfangsbereich kann ein Einfallstor sein.

Aufwand: 1-2 Stunden für die Begehung. Massnahmen je nach Ergebnis.

17. DNS-Filter aktivieren

Was: Implementieren Sie einen DNS-Filter, der den Zugriff auf bekannte schädliche Domains blockiert (z. B. Quad9, Cloudflare Gateway, Cisco Umbrella).

Warum: Selbst wenn ein Mitarbeitender auf einen Phishing-Link klickt, blockiert der DNS-Filter den Zugriff auf die schädliche Website. Eine zusätzliche Verteidigungslinie, die wenig kostet und sofort wirkt.

Aufwand: CHF 0-3 pro Benutzer und Monat. Einrichtung in 1-2 Stunden.

Stufe 3: Strategische Massnahmen (1-3 Monate)

Acht strategische Massnahmen bilden die Grundlage für eine langfristig robuste Cybersecurity und die Erfüllung der nDSG-Anforderungen.

18. Penetrationstest durchführen lassen

Was: Beauftragen Sie einen qualifizierten Anbieter mit einem Penetrationstest Ihrer externen Angriffsoberfläche (Website, E-Mail-Server, VPN, Cloud-Dienste) und Ihres internen Netzwerks.

Warum: Ein Penetrationstest identifiziert technische Schwachstellen, die Ihnen und Ihrem IT-Dienstleister möglicherweise nicht bekannt sind. Er liefert zudem einen Compliance-Nachweis für das nDSG.

Aufwand: CHF 10’000-25’000 je nach Umfang. Detaillierte Kostenübersicht: Penetrationstest-Kosten in der Schweiz. Dauer: 1-3 Wochen.

19. Red Teaming durchführen lassen

Was: Lassen Sie ein professionelles Red Team Ihr Unternehmen gründlich testen — Technologie, Menschen und Prozesse. Im Gegensatz zum Pentest testet Red Teaming auch Phishing-Anfälligkeit, Social Engineering und Ihre Incident-Response-Fähigkeiten.

Warum: Ein Penetrationstest zeigt technische Lücken. Red Teaming zeigt, ob ein echter Angreifer in Ihr Unternehmen eindringen kann. Detaillierter Vergleich: Red Teaming vs. Penetrationstest.

Aufwand: Ab CHF 11’900 bei RedTeam Partners (CREST-zertifiziert, Zürich). Marktüblich: CHF 40’000-80’000. Dauer: 2-6 Wochen.

20. ISO-27001-Vorbereitung starten

Was: Beginnen Sie mit der Vorbereitung auf eine ISO-27001-Zertifizierung oder orientieren Sie sich zumindest am Standard. Starten Sie mit einer Gap-Analyse: Wo stehen Sie im Vergleich zu den Anforderungen?

Warum: ISO 27001 ist der internationale Standard für Informationssicherheits-Management. Auch ohne formelle Zertifizierung bietet der Standard einen hervorragenden Rahmen für die systematische Verbesserung Ihrer Sicherheit. Zudem wird ISO 27001 zunehmend von Geschäftspartnern und in Ausschreibungen verlangt.

Aufwand: Gap-Analyse: CHF 3’000-8’000. Vollständige Zertifizierung: CHF 20’000-50’000 für KMU. Zeitrahmen: 6-12 Monate.

21. Security Information and Event Management (SIEM) evaluieren

Was: Evaluieren Sie, ob ein SIEM-System für Ihr Unternehmen sinnvoll ist. SIEM sammelt und korreliert Sicherheitsereignisse aus verschiedenen Quellen und erkennt Anomalien. Für kleinere KMU kann ein Managed SIEM beim IT-Dienstleister die bessere Lösung sein.

Warum: Ohne zentrales Monitoring erkennen Sie Angriffe erst, wenn der Schaden bereits entstanden ist. SIEM ermöglicht die frühzeitige Erkennung von Angriffen.

Aufwand: CHF 500-3’000 pro Monat für ein Managed SIEM. Eigenes SIEM: CHF 10’000-50’000 Initialkosten plus laufende Betreuung.

22. Cyber-Versicherung abschliessen

Was: Prüfen Sie den Abschluss einer Cyber-Versicherung. Vergleichen Sie die Angebote der grossen Schweizer Versicherer (Zurich, AXA, Helvetia, Mobiliar) und achten Sie auf den Deckungsumfang: Betriebsunterbrechung, Datenwiederherstellung, Haftpflicht, Krisenmanagement.

Warum: Eine Cyber-Versicherung ersetzt keine Sicherheitsmassnahmen, aber sie federt die finanziellen Folgen eines erfolgreichen Angriffs ab. Wichtig: Die meisten Versicherer verlangen als Voraussetzung grundlegende Sicherheitsmassnahmen (MFA, Backups, Patch-Management).

Aufwand: CHF 1’000-5’000 Jahresprämie für KMU, abhängig von Branche, Grösse und Deckungsumfang.

23. Lieferketten-Sicherheit bewerten

Was: Bewerten Sie die Cybersecurity Ihrer wichtigsten Lieferanten und IT-Dienstleister. Stellen Sie Fragen: Haben sie MFA? Führen sie Penetrationstests durch? Wie ist ihr Incident-Response-Prozess?

Warum: Der Xplain-Vorfall hat gezeigt, dass ein kompromittierter Lieferant die gesamte Kette gefährdet. Ihre Sicherheit ist nur so stark wie das schwächste Glied in Ihrer Lieferkette.

Aufwand: 2-5 Tage für die Erstbewertung. Nutzen Sie einen standardisierten Fragebogen.

24. Tabletop-Übung durchführen

Was: Führen Sie eine Tabletop-Übung durch — ein simuliertes Krisenszenario, bei dem Ihr Team am Tisch (nicht am Computer) durchspielt, wie es auf einen Cyberangriff reagiert. Szenario-Beispiel: «Es ist Montagmorgen, alle Bildschirme zeigen eine Lösegeldforderung. Was tun Sie?»

Warum: Ein Incident-Response-Plan auf Papier ist gut. Ein durchgeübter Plan ist besser. Die Übung deckt Lücken auf, die im Dokument nicht sichtbar sind.

Aufwand: 2-4 Stunden mit dem Führungsteam und IT-Verantwortlichen. Optional mit externer Moderation (CHF 2’000-5’000).

25. Red Teaming als regelmässigen Prozess etablieren

Was: Planen Sie Red Team Assessments als regelmässigen Bestandteil Ihres Sicherheitsprogramms — idealerweise jährlich oder nach signifikanten Änderungen an Ihrer IT-Infrastruktur.

Warum: Die Bedrohungslandschaft ändert sich ständig. KI-gestützte Angriffe werden raffinierter, neue Schwachstellen werden entdeckt, Ihr Unternehmen verändert sich. Nur regelmässige Tests stellen sicher, dass Ihre Abwehr aktuell bleibt.

Aufwand: Ab CHF 11’900 pro Assessment bei RedTeam Partners. Eine jährliche Investition, die ein Bruchteil der durchschnittlichen Schadenskosten von CHF 84’000 beträgt.

Was ist die wichtigste Massnahme auf dieser Liste?

Red Teaming ist die wichtigste strategische Massnahme auf dieser Liste — denn es ist der einzige Test, der zeigt, ob alle Einzelmassnahmen zusammen funktionieren. Wenn Sie nur eine einzige strategische Massnahme umsetzen, dann diese: Red Teaming.

Warum? Weil alle anderen Massnahmen — MFA, Passwort-Manager, Netzwerksegmentierung, Schulungen — einzelne Bausteine sind. Red Teaming ist der einzige Weg, zu testen, ob alle Bausteine zusammen funktionieren. Es beantwortet die entscheidende Frage: «Kann ein Angreifer trotz aller Massnahmen in unser Unternehmen eindringen?»

Ein Red Team testet nicht einzelne Komponenten, sondern die gesamte Verteidigungslinie:

Erkennen Ihre Mitarbeitenden den Phishing-Versuch?
Hält die Netzwerksegmentierung den Angreifer auf?
Schlägt das EDR Alarm?
Reagiert das Team korrekt?
Funktioniert der Incident-Response-Plan?

Stellen Sie sich vor, Sie bauen ein Haus: Die Massnahmen 1-24 sind die einzelnen Bauteile — Schlösser, Fenster, Alarmanlage. Red Teaming ist die Einbruchssimulation, die zeigt, ob das Haus als Ganzes sicher ist.

RedTeam Partners macht diese Überprüfung für Schweizer KMU erschwinglich: Red Teaming ab CHF 11’900 — zum Preis eines herkömmlichen Penetrationstests.

Jetzt Red Teaming anfragen — Ihre Sicherheit realistisch testen

Fazit: Cybersecurity ist ein Prozess, kein Projekt

Cybersecurity ist keine einmalige Investition, sondern ein kontinuierlicher Prozess. Diese 25 Massnahmen geben Ihnen einen klaren Fahrplan — von den heutigen Quick Wins bis zur strategischen Sicherheitsüberprüfung.

Ihr nächster Schritt: Beginnen Sie heute mit Massnahme 1 (MFA aktivieren) und arbeiten Sie sich durch die Liste. Markieren Sie, was Sie bereits umgesetzt haben, und planen Sie die offenen Punkte mit konkreten Terminen.

Und wenn Sie wissen möchten, ob alle Massnahmen zusammen einem echten Angriff standhalten: Lassen Sie Ihr Unternehmen durch ein professionelles Red Team testen. Bei RedTeam Partners (CREST-zertifiziert, Zürich) kostet das ab CHF 11’900 — eine Investition, die sich beim ersten verhinderten Angriff um ein Vielfaches auszahlt.