Cybersecurity für Schweizer KMU war selten so dringend wie heute — und selten so missverstanden. Viele Geschäftsführerinnen und Geschäftsführer betrachten Cybersecurity als technisches IT-Problem, das von der IT-Abteilung oder dem externen Dienstleister gelöst wird. Dieses Missverständnis kostet Schweizer KMU jährlich Milliarden.

Laut dem Schweizerischen Versicherungsverband (SVV) betragen die jährlichen Schäden durch Cyberangriffe auf die Schweizer Wirtschaft CHF 9.5 Milliarden. Für ein einzelnes KMU bedeutet ein erfolgreicher Ransomware-Angriff durchschnittlich CHF 84’000 Direktschaden — zuzüglich Betriebsausfall, Reputationsschaden und möglicher Bussen unter dem nDSG. Das NCSC meldet für 2024 über 63’000 Cyber-Vorfälle in der Schweiz. Und eine gfs-Befragung im Auftrag von digitalswitzerland zeigt: Nur 14 % der Schweizer KMU haben eine durchdachte Cybersecurity-Strategie implementiert.

Cybersecurity ist Chefsache — nicht weil es gesetzlich vorgeschrieben ist (obwohl das nDSG die persönliche Haftung der Geschäftsleitung begründet), sondern weil es die Überlebensfähigkeit des Unternehmens sichert.

«Die zunehmende Professionalisierung von Cyberangriffen erfordert einen Paradigmenwechsel: Weg von rein reaktiven Massnahmen, hin zu proaktivem Testen der eigenen Verteidigungsfähigkeit.» — Bundesamt für Cybersicherheit (BACS), Strategiebericht 2024

Dieser Leitfaden richtet sich an Entscheider: Geschäftsführerinnen, Verwaltungsräte, CFOs und Geschäftsleitungsmitglieder, die verstehen wollen, wie die Bedrohungslage aussieht, welche Massnahmen wirklich helfen und wie sie die Cybersecurity ihres KMU systematisch auf ein angemessenes Niveau heben.

Die Bedrohungslage für Schweizer KMU 2026

Bevor Sie in Lösungen investieren, müssen Sie die Bedrohungen verstehen. Die Bedrohungslandschaft hat sich in den letzten drei Jahren fundamental verändert.

Bedrohung 1: Ransomware — professionell, zielgerichtet, verheerend

Ransomware ist die teuerste und häufigste Bedrohung für Schweizer KMU. Professionelle Ransomware-Gruppen operieren wie Unternehmen: Sie haben Marketingabteilungen, Support-Hotlines, Verhandlungsführer und technische Entwickler. Sie verkaufen ihr «Ransomware-as-a-Service» an weniger technisch versierte Kriminelle, die damit gezielt Unternehmen angreifen.

KMU sind bevorzugte Ziele: Sie haben wertvolle Daten, aber oft weniger robuste Verteidigung als Grosskonzerne. Und sie sind eher bereit zu zahlen — weil das Unternehmen sonst stillsteht.

Ein typischer Ransomware-Angriff auf ein Schweizer KMU läuft so ab: Initiale Kompromittierung über Phishing, vier bis sechs Wochen unauffällige Auskundschaftung des Netzwerks, Kompromittierung von Admin-Konten, gleichzeitige Verschlüsselung aller erreichbaren Systeme inklusive Backups — dann die Lösegeldforderung. Der gesamte Ablauf dauert oft Monate, die Entdeckung erfolgt erst bei der Verschlüsselung.

Detaillierter Schutzleitfaden: Ransomware-Schutz für KMU Schweiz.

Bedrohung 2: Phishing — raffinierter durch KI

Phishing ist der häufigste initiale Angriffsvektor. Phishing ist laut Verizon DBIR 2024 mit rund 16 % einer der drei häufigsten initialen Angriffsvektoren bei Datenpannen. Bis 2023 waren Phishing-E-Mails oft durch Sprachfehler, seltsame Formulierungen oder verdächtige Absenderdomains erkennbar.

Seit dem Einsatz von KI durch Cyberkriminelle hat sich das geändert: Phishing-E-Mails sind sprachlich perfekt — auch auf Deutsch und in Schweizer Schreibweise. Sie sind personalisiert, nutzen öffentlich verfügbare Informationen über das Unternehmen und die Zielperson, und sind kaum von echten E-Mails zu unterscheiden. KI-gestützte Phishing-Angriffe nehmen stark zu, wobei die Qualität der Angriffe durch KI-Sprachmodelle deutlich gestiegen ist.

Bedrohung 3: Kompromittierung von Geschäftskonten (Business Email Compromise)

Business Email Compromise (BEC) ist eine besonders teure Angriffsmethode: Kriminelle kompromittieren das E-Mail-Konto eines leitenden Mitarbeitenden oder eines Lieferanten und leiten Zahlungen auf Konten unter ihrer Kontrolle um. Ohne technische Schadsoftware, ohne Antivirusalarm — allein durch die Manipulation des E-Mail-Verkehrs.

Der FBI Internet Crime Report 2024 beziffert die BEC-Schäden für 2024 auf USD 2,77 Milliarden. Schweizer KMU sind besonders exponiert: hohe Unternehmensdichten, internationale Zahlungsverkehr, oft kleine Finanzteams ohne Vier-Augen-Prinzip.

Bedrohung 4: Lieferketten-Angriffe

Der Xplain-Vorfall von 2023 hat gezeigt, wie verwundbar Schweizer Unternehmen durch ihre Lieferanten sind. Wenn ein IT-Dienstleister oder Softwareanbieter kompromittiert wird, sind alle seine Kunden gefährdet — auch wenn deren eigene Sicherheitsmassnahmen tadellos wären. Lieferketten-Angriffe (Supply Chain Attacks) zielen bewusst auf schwächer geschützte Zulieferer, um über sie grössere oder besser geschützte Ziele zu erreichen.

Bedrohung 5: Insider-Bedrohungen

Nicht alle Bedrohungen kommen von aussen. Unzufriedene Mitarbeitende, nachlässige Handhabung von Zugangsdaten oder unbewusste Fehlkonfigurationen sind reale Risiken. Insider-Bedrohungen sind besonders schwer zu erkennen, weil die Aktivitäten oft legitim aussehen.

Das Cybersecurity-Reifegradmodell: Fünf Stufen für KMU

Cybersecurity ist kein binäres Konzept — entweder sicher oder unsicher. Es gibt Abstufungen, und das Ziel ist kontinuierliche Verbesserung. Das folgende Fünf-Stufen-Modell gibt Ihnen Orientierung, wo Ihr KMU heute steht und wohin die Reise gehen soll.

Stufe 1: Initial — «Wir haben Grundschutz»

Kennzeichen: MFA ist auf einigen Konten aktiv, Backups existieren (werden aber selten getestet), automatische Updates laufen meistens, klassische Antivirensoftware ist installiert.

Schwächen: Keine dokumentierte Strategie, reaktive Haltung, kein Incident Response Plan, keine regelmässigen Tests. Ein einziges erfolgreches Phishing bringt das gesamte Unternehmen zu Fall.

Massnahmen für Stufe 1 → 2: MFA auf allen Konten aktivieren, EDR statt Antivirus einführen, Backups testen, Passwort-Manager einführen, E-Mail-Sicherheitsbanner konfigurieren.

Stufe 2: Entwickelt — «Wir haben erweiterten Schutz»

Kennzeichen: MFA auf allen kritischen Konten, EDR auf allen Geräten, E-Mail-Authentifizierung (SPF/DKIM/DMARC) implementiert, Netzwerksegmentierung umgesetzt, erstes Security-Awareness-Training durchgeführt.

Schwächen: Noch kein schriftlicher Incident Response Plan, keine Compliance-Dokumentation für das nDSG, keine professionellen Tests.

Massnahmen für Stufe 2 → 3: Incident Response Plan erstellen, nDSG-Compliance prüfen und dokumentieren, ersten Penetrationstest durchführen, Cyber-Versicherung abschliessen.

Stufe 3: Definiert — «Wir haben eine Sicherheitsstrategie»

Kennzeichen: Dokumentierte Cybersecurity-Strategie, Risikobewertung durchgeführt, regelmässige Penetrationstests, Cyber-Versicherung abgeschlossen, nDSG-Compliance dokumentiert, Security-Awareness-Training als regelmässiger Prozess.

Schwächen: Kein realistischer Test des Gesamtsystems, kein Monitoring in Echtzeit.

Massnahmen für Stufe 3 → 4: Red Team Assessment durchführen, SIEM einführen oder als Managed Service beziehen, ISO-27001-Zertifizierung anstreben.

Das Ziel für die meisten Schweizer KMU ist Stufe 3 — und Red Teaming ist der entscheidende Schritt von Stufe 3 zu Stufe 4.

Stufe 4: Gemanagt — «Wir testen unsere Verteidigung proaktiv»

Kennzeichen: Security Operations Center (intern oder Managed), regelmässiges Red Teaming, ISO-27001 in Vorbereitung oder abgeschlossen, Lieferketten-Risikomanagement.

Massnahmen für Stufe 4 → 5: Threat Intelligence, Purple Teaming, automatisierte Incident Response.

Stufe 5: Optimiert — «Kontinuierliche Verbesserung»

Kennzeichen: Vollständig integriertes Sicherheitsprogramm, kontinuierliche Verbesserung basierend auf Bedrohungsdaten. Typischerweise erreichen nur grosse Unternehmen und regulierte Branchen diese Stufe.

Budgetplanung: Was kostet Cybersecurity für KMU?

Die häufigste Frage von Entscheidern: «Was sollen wir ausgeben?» Eine ehrliche Antwort:

Faustregel: 5-10 % des IT-Gesamtbudgets für Cybersecurity. Für Unternehmen in regulierten Branchen (Finanz, Gesundheit) oder mit erhöhtem Risikoprofil: 10-15 %.

Budgetrahmen nach Unternehmensgrösse:

UnternehmensgrösseEmpfohlenes Cybersecurity-Budget (jährlich)
10-25 MitarbeitendeCHF 8’000-20’000
25-50 MitarbeitendeCHF 20’000-40’000
50-100 MitarbeitendeCHF 40’000-80’000
100-250 MitarbeitendeCHF 80’000-200’000

Wichtig: Diese Zahlen umfassen sowohl laufende Kosten (Lizenzen, Monitoring, Training) als auch periodische Ausgaben (Penetrationstests, Red Teaming, Beratung). Verteilen Sie das Budget auf alle sieben Sicherheitssäulen — keine einzelne Massnahme ersetzt die anderen.

Die ROI-Perspektive: CHF 30’000 Jahresbudget für Cybersecurity klingen nach viel. Bis man es mit CHF 84’000 Durchschnittsschaden pro Ransomware-Angriff vergleicht — plus Betriebsausfall, Reputationsschaden und mögliche nDSG-Bussen. Die Frage ist nicht «Können wir uns Cybersecurity leisten?», sondern «Können wir uns einen Angriff leisten?»

Anbieterauswahl: Wie finden Sie den richtigen Partner?

Für die meisten KMU ist ein externer Cybersecurity-Dienstleister notwendig — die Ressourcen für ein internes Sicherheitsteam fehlen. Bei der Auswahl gelten folgende Kriterien:

Zertifizierungen prüfen: Achten Sie auf anerkannte Zertifizierungen: CREST für Red Teaming und Penetrationstests, ISO 27001 für Informationssicherheitsmanagement, CISSP/CISM für individuelle Experten. Zertifizierungen sind kein Allheilmittel, aber ein wichtiger Qualitätsindikator.

Referenzen und Erfahrung: Hat der Anbieter Erfahrung mit Unternehmen Ihrer Grösse und Branche? Referenzen von Schweizer KMU sind aussagekräftiger als allgemeine Zertifizierungen.

Lokale Präsenz: Cybersecurity-Vorfälle erfordern oft schnelle physische Präsenz. Ein Anbieter mit Sitz in der Schweiz reagiert schneller und kennt das lokale Regulierungsumfeld.

Transparente Preisgestaltung: Seriöse Anbieter kommunizieren klare Preise und Leistungsumfänge. Hüten Sie sich vor Angeboten, die zu gut klingen, um wahr zu sein — und vor Anbietern, die Ihnen Angst machen und dann unnötige Leistungen verkaufen.

Für Red Teaming und Penetrationstests: RedTeam Partners (CREST-zertifiziert, Zürich) bietet professionelles Red Teaming ab CHF 11’900 für Schweizer KMU — zum Preis eines herkömmlichen Penetrationstests.

Compliance: Cybersecurity und rechtliche Anforderungen

Cybersecurity ist nicht nur ein Sicherheitsthema — es ist zunehmend auch ein Compliance-Thema.

Das nDSG (neues Datenschutzgesetz): Seit September 2023 verpflichtet das nDSG Schweizer Unternehmen zu angemessenen technischen und organisatorischen Schutzmassnahmen für Personendaten. Bei Verletzungen drohen Bussen bis CHF 250’000 — und die persönliche Haftung liegt bei der Geschäftsleitung. Die nDSG-Checkliste für KMU hilft Ihnen, den Compliance-Status zu prüfen. Einen detaillierten Überblick bietet der Artikel zu nDSG und Cybersecurity.

FINMA-Anforderungen: Für Unternehmen im Finanzsektor gelten zusätzliche Anforderungen der FINMA. Mehr dazu im Artikel zur Cybersecurity im Finanzsektor Schweiz.

ISO 27001: Die internationale Norm für Informationssicherheitsmanagement wird zunehmend von Geschäftspartnern und in Ausschreibungen verlangt. Auch ohne formelle Zertifizierung bietet der Standard einen hervorragenden Rahmen.

Versicherungsanforderungen: Cyber-Versicherungen verlangen als Voraussetzung zunehmend den Nachweis grundlegender Sicherheitsmassnahmen — MFA, Backup-Lösung, regelmässige Tests. Ein Red Team Assessment kann als Nachweis dienen und die Prämien senken.

Der Weg nach vorne: Von der Bedrohung zur Lösung in drei Schritten

Schritt 1: Standort bestimmen. Bewerten Sie den aktuellen Sicherheitsstatus Ihres Unternehmens anhand des Reifegradmodells. Beginnen Sie mit der Cybersecurity-Checkliste für KMU — 25 konkrete Massnahmen, die Sie heute überprüfen können.

Schritt 2: Strategie entwickeln. Definieren Sie, wo Sie in 12 Monaten stehen wollen, und erstellen Sie einen konkreten Fahrplan. Der 7-Schritte-Leitfaden für die Cybersecurity-Strategie gibt Ihnen die Struktur.

Schritt 3: Testen und validieren. Prüfen Sie, ob Ihre Massnahmen einem echten Angriff standhalten. Ein Penetrationstest prüft die technische Sicherheit. Ein Red Team Assessment testet die gesamte Verteidigungslinie — Technologie, Menschen und Prozesse.

Fazit: Cybersecurity ist Führungsaufgabe, nicht IT-Aufgabe

Die grösste Schwachstelle in der Cybersecurity vieler Schweizer KMU ist nicht die fehlende Firewall oder das fehlende EDR. Es ist die fehlende strategische Führung. Wenn Cybersecurity als technisches Problem behandelt wird, das irgendwo in der IT-Abteilung gelöst wird, wird es nie auf dem Niveau sein, das die heutige Bedrohungslage erfordert.

Cybersecurity ist eine Führungsaufgabe. Die Geschäftsleitung muss die Risiken verstehen, die Investitionen priorisieren und die Sicherheitskultur vorleben. Das nDSG macht die persönliche Haftung explizit — aber auch ohne gesetzlichen Druck ist es die Verantwortung der Führung, das Unternehmen zu schützen.

Der erste Schritt: Wissen Sie, wie es wirklich um die Sicherheit Ihres Unternehmens steht? Nicht was Ihr IT-Dienstleister sagt, nicht was der letzte Penetrationstest ergeben hat — sondern was ein echter Angreifer erreichen würde?

Die einzige Antwort auf diese Frage liefert Red Teaming. Ein professionelles Red Team simuliert einen echten Angreifer und zeigt Ihnen, wie weit er in Ihrem Unternehmen käme. RedTeam Partners (CREST-zertifiziert, Zürich) bietet diesen Service für Schweizer KMU ab CHF 11’900 — und gibt Ihnen damit die Grundlage für informierte Entscheidungen.

Jetzt Red Teaming anfragen — den Realitätscheck für Ihre Cybersecurity

Alle Ressourcen im Überblick

Quellen

  1. SVV Cyber-Risiken – CHF 9,5 Mrd. jährliche Schäden durch Cyberangriffe auf die Schweizer Wirtschaft
  2. NCSC Wochenrückblick 52/2024 – Rund 63’000 Cybervorfälle in der Schweiz 2024
  3. Verizon DBIR 2024 – 16% Phishing als initialer Angriffsvektor; 68% Human Element
  4. FBI IC3 Annual Report 2024 – USD 2,77 Mrd. BEC-Schäden 2024
  5. IBM Cost of a Data Breach Report 2024 – USD 4,88 Mio. globaler Durchschnitt einer Datenpanne