Eine Cybersecurity-Strategie ist nicht das, was Ihr IT-Dienstleister für Sie entscheidet — sie ist eine Führungsentscheidung, die Sie als Geschäftsleitung treffen müssen. Und sie ist dringender als je zuvor.
Laut dem Schweizerischen Versicherungsverband (SVV) beläuft sich der jährliche Schaden durch Cyberangriffe auf die Schweizer Wirtschaft auf CHF 9.5 Milliarden. Für ein einzelnes KMU bedeutet ein erfolgreicher Ransomware-Angriff durchschnittlich CHF 84’000 Direktschaden. Das NCSC meldet über 63’000 Cyber-Vorfälle in der Schweiz für das Jahr 2024. Und laut einer gfs-Befragung im Auftrag von digitalswitzerland haben nur 14 % der Schweizer KMU eine durchdachte Cybersecurity-Strategie implementiert.
Das bedeutet: 86 % der Schweizer KMU navigieren ohne Kompass durch eine der gefährlichsten Bedrohungslandschaften der Unternehmensgeschichte.
«Cybersicherheit ist Chefsache. Jedes Schweizer Unternehmen — unabhängig von der Grösse — muss die grundlegenden Schutzmassnahmen umsetzen, um sich und seine Kunden zu schützen.» — Florian Schütz, Direktor des Bundesamts für Cybersicherheit (BACS)
Nachfolgend ein konkreter 7-Schritte-Rahmen für Ihre Cybersecurity-Strategie. Kein IT-Jargon. Ein Fahrplan, den die Geschäftsleitung versteht und umsetzen kann.
Warum Ihr KMU eine explizite Cybersecurity-Strategie braucht
Der Unterschied zwischen einem KMU mit und ohne Cybersecurity-Strategie zeigt sich nicht im Alltag — er zeigt sich im Ernstfall. Ohne Strategie:
- Werden Sicherheitsinvestitionen reaktiv und zufällig getätigt — nach dem letzten Vorfall im Branchenmagazin, nach dem Angebot des IT-Dienstleisters, nach dem Bauchgefühl
- Fehlt ein gemeinsames Verständnis von Risiken und Schutzmassnahmen zwischen Geschäftsleitung und IT
- Sind Compliance-Anforderungen (nDSG, Versicherungsanforderungen, Kundenanforderungen) unklar und werden möglicherweise nicht erfüllt
- Wird im Ernstfall improvisiert statt planmässig gehandelt
Mit einer Strategie:
- Werden Investitionen risikoorientiert priorisiert — das Geld geht dort hin, wo es den grössten Effekt hat
- Haben Geschäftsleitung, IT und Mitarbeitende ein gemeinsames Verständnis
- Werden Compliance-Anforderungen systematisch erfüllt und dokumentiert
- Wird im Ernstfall nach Plan gehandelt — schneller, koordinierter, mit weniger Schaden
Schritt 1: Risikoanalyse — Verstehen, was Sie schützen müssen
Eine Cybersecurity-Strategie ohne Risikoanalyse ist wie eine Versicherung ohne Schadenseinschätzung. Sie wissen nicht, wogegen Sie sich schützen und ob Ihre Massnahmen die richtigen sind.
Was Sie inventarisieren:
Informationsassets: Welche Daten und Informationen sind kritisch für Ihr Unternehmen?
- Kundendaten (Namen, Adressen, Zahlungsinformationen)
- Mitarbeiterdaten (Personaldaten, Lohnabrechnungen)
- Finanzdaten (Buchhaltung, Bankverbindungen, Verträge)
- Geistiges Eigentum (Produktionspläne, Rezepturen, Konzepte, Quellcode)
- Betriebsdaten (ERP-Daten, Produktionsdaten, Auftragsbestand)
IT-Systeme und -Dienste: Was läuft in Ihrem Unternehmen?
- Server (intern oder Cloud)
- Workstations und Notebooks
- Mobile Geräte
- Netzwerkkomponenten (Router, Switches, Firewalls)
- Cloud-Dienste (Microsoft 365, Google Workspace, CRM, ERP, Buchhaltung)
- Produktionssysteme und IoT-Geräte (falls vorhanden)
Schnittstellen und Abhängigkeiten: Was verbindet Ihr Unternehmen mit der Aussenwelt?
- Remote-Zugänge (VPN, Remote Desktop)
- Zugänge für IT-Dienstleister und Lieferanten
- Anbindungen an externe Systeme (E-Commerce, Behörden, Partner)
- Cloud-Dienste und deren Datenstandorte
Bedrohungen bewerten:
Für jedes kritische Asset: Was sind die realistischen Bedrohungen? Ransomware, die Betriebsdaten verschlüsselt? Phishing, das Zugang zu Kundendaten ermöglicht? Ein kompromittierter IT-Dienstleister, der Zugang zu allen Systemen hat?
Risiko = Wahrscheinlichkeit × Schadensausmass
Priorisieren Sie: Was ist am wahrscheinlichsten und am teuersten? Dort beginnen Sie mit dem Schutz.
Ergebnis von Schritt 1: Eine priorisierte Liste der kritischen Assets und der damit verbundenen Risiken — die Grundlage für alle weiteren Schritte.
Schritt 2: Bestandsaufnahme — Wo stehen Sie heute?
Bevor Sie planen, wo Sie hinwollen, müssen Sie wissen, wo Sie heute stehen.
Die Selbstbewertung anhand der fünf Reifegrade:
Bewerten Sie Ihren aktuellen Status anhand des Reifegradmodells (ausführlich beschrieben im Cybersecurity-Leitfaden für KMU):
- Stufe 1 (Initial): Basisschutz vorhanden, aber reaktiv und unsystematisch
- Stufe 2 (Entwickelt): Erweiterte Massnahmen umgesetzt, aber keine Strategie
- Stufe 3 (Definiert): Dokumentierte Strategie, regelmässige Tests, nDSG-Compliance
- Stufe 4 (Gemanagt): Proaktive Sicherheitsüberprüfung, Monitoring, ISO 27001
- Stufe 5 (Optimiert): Kontinuierliche Verbesserung, vollständig integriertes Programm
Quick-Assessment für die Geschäftsleitung:
| Frage | Ja | Teilweise | Nein |
|---|---|---|---|
| Ist MFA auf allen kritischen Konten aktiv? | |||
| Werden Backup-Wiederherstellungen regelmässig getestet? | |||
| Haben alle Mitarbeitenden ein Security-Awareness-Training absolviert? | |||
| Existiert ein schriftlicher Incident Response Plan? | |||
| Wurde in den letzten zwei Jahren ein Penetrationstest durchgeführt? | |||
| Ist die nDSG-Compliance dokumentiert? | |||
| Wurden Zugriffsrechte in den letzten 12 Monaten überprüft? |
Ergebnis von Schritt 2: Ein ehrliches Bild des aktuellen Sicherheitsniveaus — Grundlage für realistische Ziele und einen umsetzbaren Plan.
Schritt 3: Ziele definieren — Wo wollen Sie in 12 Monaten stehen?
Strategische Ziele für die Cybersecurity müssen konkret, messbar und erreichbar sein. «Wir wollen sicherer sein» ist kein Ziel. «Wir erreichen Reifegrad 3 bis Ende 2026» ist eines.
Typische 12-Monats-Ziele für ein KMU auf Reifegrad 1-2:
- MFA auf 100 % aller geschäftskritischen Konten aktiviert (Q1)
- EDR auf allen Endgeräten eingeführt (Q1)
- Security-Awareness-Training für alle Mitarbeitenden durchgeführt (Q2)
- Incident Response Plan erstellt und Tabletop-Übung durchgeführt (Q2)
- E-Mail-Authentifizierung (SPF/DKIM/DMARC) vollständig implementiert (Q1)
- nDSG-Compliance-Check durchgeführt und Massnahmen umgesetzt (Q2)
- Penetrationstest der externen Angriffsoberfläche durchgeführt (Q3)
- Red Team Assessment durchgeführt (Q4)
Ausrichtung mit Unternehmenszielen:
Cybersecurity-Ziele sollen mit den Unternehmenszielen verknüpft sein. Wenn Ihr Unternehmen plant, neue Kunden aus dem Finanzsektor zu gewinnen, wird ISO-27001-Vorbereitung relevant. Wenn Sie expandieren und neue IT-Systeme einführen, ist ein Red Team Assessment nach der Migration sinnvoll.
Ergebnis von Schritt 3: Eine klare Liste von Zielen mit Zeitrahmen und Verantwortlichen.
Schritt 4: Richtlinien entwickeln — Regeln für das Verhalten
Technische Massnahmen allein schützen nicht — Menschen müssen wissen, was sie tun sollen und was nicht. Policies sind die Brücke zwischen Technik und Verhalten.
Die vier Kern-Policies für jedes KMU:
1. Acceptable Use Policy (AUP): Was dürfen Mitarbeitende mit IT-Ressourcen des Unternehmens tun — und was nicht?
- Private Nutzung von Firmengeräten (in welchem Umfang?)
- Installation von Software (erlaubt, verboten, genehmigungspflichtig?)
- Umgang mit vertraulichen Daten (Verschlüsselung, externe Weitergabe)
- Nutzung von Cloud-Diensten und privaten E-Mail-Konten für Firmendaten
2. Password Policy: Anforderungen an Passwörter und deren Verwaltung
- Mindestlänge (empfohlen: 12 Zeichen)
- Passwort-Manager als Pflicht
- Keine Weitergabe von Passwörtern
- Sofortige Meldung bei Verdacht auf Kompromittierung
3. Remote Work Policy: Anforderungen an das sichere Arbeiten von zu Hause oder unterwegs
- Pflicht zur VPN-Nutzung für den Zugriff auf Firmensysteme
- Anforderungen an Home-Office-Netzwerke (gesichertes WLAN, keine öffentlichen Netzwerke)
- Physische Sicherheit (keine Arbeit in öffentlichen Räumen mit sensiblen Daten)
- Anforderungen an private Geräte (BYOD) oder Pflicht zur Nutzung von Firmengeräten
4. Incident Reporting Policy: Wie und wo melden Mitarbeitende Sicherheitsvorfälle?
- Was gilt als Sicherheitsvorfall, der gemeldet werden muss?
- An wen wird gemeldet?
- Wie schnell muss gemeldet werden?
- Keine Bestrafung für gute Meldungen (Sicherheitskultur)
Policies müssen kommuniziert, akzeptiert und regelmässig überprüft werden. Ein Policy-Dokument im Intranet, das niemand kennt und nie liest, ist wertlos. Integrieren Sie Policies in das Onboarding, fordern Sie jährliche Bestätigung und kommunizieren Sie Änderungen aktiv.
Ergebnis von Schritt 4: Schriftliche Policies, die das Sicherheitsverhalten im Unternehmen regeln — und ein Plan zur Kommunikation und Schulung.
Schritt 5: Technische Massnahmen umsetzen
Mit der Risikoanalyse, dem Reifegrad-Ist-Zustand und den definierten Zielen haben Sie jetzt die Grundlage, um technische Massnahmen gezielt zu priorisieren und umzusetzen.
Priorisierung nach Wirkung und Aufwand:
Nicht alle technischen Massnahmen sind gleichwertig. Priorisieren Sie nach dem Prinzip: Grösste Wirkung, kleinstes Angriffspotenzial zuerst.
Sofortmassnahmen (Quick Wins, CHF 0-1’000):
- MFA auf allen Konten
- Passwort-Manager für alle Mitarbeitenden
- Automatische Updates aktivieren
- E-Mail-Sicherheitsbanner konfigurieren
- Admin-Rechte einschränken
- Backup-Wiederherstellung testen
Kurzfristige Massnahmen (1-4 Wochen, CHF 1’000-10’000):
- EDR statt Antivirus einführen
- E-Mail-Authentifizierung (SPF/DKIM/DMARC)
- DNS-Filterung
- Netzwerksegmentierung
- Mobile Device Management (MDM)
Mittelfristige Massnahmen (1-3 Monate, CHF 5’000-30’000):
- Immutable Backups einrichten
- Privileged Access Management (PAM)
- Security Information and Event Management (SIEM) — intern oder als Managed Service
- Cloud-Security-Assessment
Die vollständige technische Umsetzung ist im IT-Sicherheits-Leitfaden für KMU beschrieben.
Mitarbeitende schulen:
Technische Massnahmen schützen gegen technische Angriffe. Der Mensch bleibt die kritische Lücke. Integrieren Sie in Schritt 5:
- Jährliches Security-Awareness-Training (mindestens)
- Regelmässige Phishing-Simulationen zur Praxis-Überprüfung
- Klare Kommunikation neuer Bedrohungen und Massnahmen
Ergebnis von Schritt 5: Implementierte technische Massnahmen, geschulte Mitarbeitende und dokumentierte Konfigurationen — die Grundlage für den kritischen nächsten Schritt.
Schritt 6: Testen und validieren — Red Teaming als zentrales Instrument
Dies ist der Schritt, den die meisten KMU überspringen — und damit den grössten Fehler machen. Alle anderen Schritte bauen Massnahmen auf. Schritt 6 stellt die entscheidende Frage: Funktionieren diese Massnahmen zusammen wirklich?
Warum Testen unerlässlich ist:
Stellen Sie sich vor, Sie haben ein Budget von CHF 50’000 in Cybersecurity investiert. EDR ist installiert, MFA ist aktiv, das Netzwerk ist segmentiert, Mitarbeitende sind geschult. Sie fühlen sich sicher.
Aber: Ist das EDR richtig konfiguriert und werden die Alarme tatsächlich bearbeitet? Gibt es Konten, auf denen die MFA vergessen wurde? Hat die Netzwerksegmentierung Lücken, weil ein Dienstleister Zugriff auf mehrere Segmente hat? Welcher Mitarbeitende klickt trotzdem auf Phishing? Funktioniert der Incident Response Plan, wenn der Druck hoch ist?
Ohne Test wissen Sie es nicht.
Die zwei Hauptinstrumente:
Penetrationstest: Systematische technische Überprüfung definierter Systeme auf Schwachstellen. Sinnvoll als Baseline-Test, um technische Lücken zu identifizieren. Kosten: CHF 10’000-25’000. Mehr Informationen: Penetrationstest-Kosten in der Schweiz.
Red Team Assessment: Realistische, vollständige Angriffssimulation, die Technologie, Menschen und Prozesse gleichzeitig testet. Zeigt, ob ein echter Angreifer in Ihr Unternehmen eindringen kann — und wie weit er käme. Der Unterschied zum Penetrationstest wird ausführlich erklärt im Artikel Red Teaming vs. Penetrationstest.
Warum Red Teaming der entscheidende Test in Schritt 6 ist:
Red Teaming beantwortet die Frage, die ein Penetrationstest nicht stellen kann: «Hält unsere Verteidigung einem echten, vollständigen Angriff stand?» Es testet:
- Ob technische Massnahmen korrekt konfiguriert und wirksam sind
- Ob Mitarbeitende trotz Schulungen auf Phishing hereinfallen
- Ob Prozesse und Incident Response im Ernstfall funktionieren
- Ob Ihre Detection-Kapazitäten einen laufenden Angriff erkennen
Für Schweizer KMU war Red Teaming lange unerschwinglich. Das hat sich geändert: RedTeam Partners (CREST-zertifiziert, Zürich) bietet fokussierte Red Team Assessments für KMU ab CHF 11’900 — mehr dazu im Leitfaden Red Teaming für KMU.
Empfehlung für Schritt 6:
- Beginnen Sie mit einem Penetrationstest der externen Angriffsoberfläche (nach Umsetzung der Massnahmen aus Schritt 5)
- Führen Sie im Folgejahr ein Red Team Assessment durch — oder gleichzeitig, wenn das Budget es erlaubt
- Wiederholen Sie jährlich oder nach grossen Infrastrukturänderungen
Was Sie mit den Ergebnissen machen:
Das Testen allein bringt nichts, wenn die Ergebnisse nicht umgesetzt werden. Definieren Sie bei der Auftragserteilung, wie die Ergebnisse in Ihren Verbesserungsprozess einfliessen. Der Red-Team-Report wird zur Basis für Schritt 7.
Ergebnis von Schritt 6: Validiertes Sicherheitsniveau, dokumentierte Schwachstellen und eine priorisierte Verbesserungs-Roadmap.
Schritt 7: Kontinuierliche Verbesserung — Sicherheit als Prozess
Cybersecurity ist kein Projekt mit Enddatum. Die Bedrohungslandschaft entwickelt sich kontinuierlich: Neue Angriffsmethoden, neue Schwachstellen, neue Technologien auf Angreifer- und Verteidigerseite. Ihre Strategie muss sich mitentwickeln.
Der kontinuierliche Verbesserungszyklus:
- Messen: Laufendes Monitoring der Sicherheitslage — SIEM-Alerts, Phishing-Simulationsergebnisse, Patch-Compliance-Rate, MFA-Coverage
- Überprüfen: Regelmässige (mindestens jährliche) Überprüfung der Strategie: Stimmen Ziele, Massnahmen und Budgets noch mit der aktuellen Bedrohungslage überein?
- Testen: Jährlicher Penetrationstest und/oder Red Team Assessment
- Verbessern: Aus Testergebnissen, Incidents und Brancheninformationen lernen und die Strategie anpassen
- Kommunizieren: Regelmässiges Reporting an die Geschäftsleitung — nicht technisch, sondern risikoorientiert
Das jährliche Cybersecurity-Review:
Planen Sie ein jährliches Review-Meeting der Geschäftsleitung mit folgender Agenda:
- Vorfälle des vergangenen Jahres: Was ist passiert? Was haben wir gelernt?
- Bedrohungslage: Wie hat sich die Bedrohungslandschaft verändert?
- Reifegrad-Update: Wo stehen wir heute? Haben wir die Ziele erreicht?
- Ergebnisse aus Tests (Pentest, Red Teaming): Was haben wir gelernt?
- Compliance-Update: nDSG, Versicherungsanforderungen, Kundenanforderungen
- Ziele und Budget für das nächste Jahr
KPIs für die Geschäftsleitung:
Definieren Sie messbare Kennzahlen, die Sie regelmässig berichten:
- MFA-Coverage: Wie viele Konten sind mit MFA gesichert? (Ziel: 100 %)
- Patch-Compliance: Wie viele Systeme sind auf aktuellem Patch-Stand? (Ziel: >95 %)
- Phishing-Klickrate: Wie viele Mitarbeitende klicken auf Simulations-Phishing? (Trend: sinkend)
- Mean Time to Detect (MTTD): Wie lange dauert es, bis ein Vorfall erkannt wird?
- Anzahl gemeldeter Sicherheitsvorfälle (Trend: steigend ist gut — mehr Meldungen = bessere Kultur)
Ergebnis von Schritt 7: Eine lebendige, anpassungsfähige Cybersecurity-Strategie, die mit Ihrem Unternehmen und der Bedrohungslandschaft wächst.
Budgetplanung: Die Strategie finanzieren
Eine Strategie ohne Budget ist ein Wunschzettel. Planen Sie die Cybersecurity-Ausgaben explizit in den Unternehmensbudget ein.
Typische Budgetverteilung für ein KMU auf dem Weg zu Reifegrad 3:
| Kategorie | Anteil | Beispiele |
|---|---|---|
| Tools und Lizenzen | 40-50 % | EDR, Passwort-Manager, DNS-Filter, MFA |
| Tests und Assessments | 20-30 % | Penetrationstest, Red Teaming |
| Schulung und Awareness | 10-15 % | Security-Awareness-Training, Phishing-Simulationen |
| Beratung und Compliance | 10-20 % | nDSG-Beratung, ISO-27001-Vorbereitung |
| Incident Response | 5-10 % | Retainer für externe IR-Spezialisten |
Die wichtigste Budgetentscheidung: Planen Sie Tests und Assessments als Fixbestandteil des Budgets — nicht als optionale «Nice-to-have»-Ausgabe. Ohne Tests wissen Sie nicht, ob Ihre anderen Investitionen wirken. Und ohne Wissen keine Verbesserung.
Detaillierte Kostenübersichten: Penetrationstest-Kosten Schweiz und Red Team Kosten Schweiz.
Compliance in die Strategie integrieren
Compliance ist kein separates Thema — sie ist eine Anforderung, die in Ihre Strategie integriert sein muss.
nDSG: Das neue Datenschutzgesetz verlangt angemessene technische und organisatorische Massnahmen. Ihre Cybersecurity-Strategie ist der Rahmen, in dem diese Massnahmen definiert, umgesetzt und dokumentiert werden. nDSG-Checkliste für KMU und nDSG und Cybersecurity geben Ihnen die Details.
Cyber-Versicherung: Versicherer verlangen zunehmend Nachweise über Sicherheitsmassnahmen — MFA, Backup-Tests, regelmässige Assessments. Ihre dokumentierte Strategie ist der beste Nachweis.
Kundenanforderungen: Besonders im B2B-Bereich verlangen Grosskunden und öffentliche Auftraggeber zunehmend Informationssicherheitsnachweise. ISO 27001 oder der Nachweis eines systematischen Sicherheitsprogramms wird zum Wettbewerbsvorteil.
Finanzsektor: Für Unternehmen im Finanzsektor gelten zusätzliche Anforderungen. Cybersecurity im Finanzsektor Schweiz gibt Ihnen den Überblick.
Fazit: Jetzt beginnen — nicht warten
Die häufigste Reaktion auf diesen Leitfaden: «Das ist viel. Wo fangen wir an?»
Die Antwort: Mit Schritt 1. Heute. Für einen halben Tag.
Setzen Sie sich mit Ihrer IT-Verantwortlichen oder Ihrem IT-Dienstleister zusammen und beantworten Sie drei Fragen:
- Was sind unsere kritischsten Daten und Systeme?
- Auf welcher Reifegrad-Stufe befinden wir uns?
- Was ist die eine Massnahme, die wir in den nächsten 30 Tagen umsetzen?
Der IT-Sicherheits-Leitfaden und die Cybersecurity-Checkliste für KMU geben Ihnen die technische Tiefe für jeden Schritt. Der Incident Response Plan gibt Ihnen die Vorlage für den Notfall.
Und wenn Sie nach einem Jahr systematischer Arbeit wissen wollen, ob Ihre Strategie funktioniert — ob ein echter Angreifer trotz aller Massnahmen in Ihr Unternehmen eindringen könnte — dann ist der Moment für ein Red Team Assessment gekommen.
RedTeam Partners (CREST-zertifiziert, Zürich) ist der richtige Partner für diesen Schritt: professionelles Red Teaming für Schweizer KMU ab CHF 11’900 — der realistische Sicherheitstest, der Ihre Strategie auf die Probe stellt.
Denn die beste Cybersecurity-Strategie ist die, die einem echten Angriff standhält. Ob sie das tut, zeigt nur ein Test.
Jetzt Red Teaming anfragen — Ihre Cybersecurity-Strategie realistisch prüfen lassen
Alle Ressourcen im Überblick
- IT-Sicherheit für KMU — Der komplette technische Leitfaden
- Cybersecurity für KMU Schweiz — Von der Bedrohung zur Lösung
- Cybersecurity-Checkliste für KMU — 25 Massnahmen
- Incident Response Plan für KMU — Schritt-für-Schritt
- Was ist Red Teaming? Einfach erklärt
- Red Teaming für KMU — nicht nur für Grosskonzerne
- Red Teaming vs. Penetrationstest
- Phishing-Schutz für Unternehmen
- Ransomware-Schutz für KMU
- nDSG-Checkliste für KMU
- Red Team Kosten in der Schweiz
- Penetrationstest-Kosten in der Schweiz