Home Office Sicherheit: So schützen Sie Ihr KMU im Remote-Betrieb

Remote-Arbeit ist in der Schweiz kein temporäres Phänomen mehr, sondern fester Bestandteil des Arbeitsalltags. Laut dem Bundesamt für Statistik arbeiten heute rund 40 Prozent der Schweizer Erwerbstätigen regelmässig im Home Office — ein Wert, der sich seit 2019 mehr als verdoppelt hat. Für KMU bedeutet das: Die Angriffsfläche für Cyberangriffe hat sich drastisch ausgeweitet, ohne dass die Sicherheitsmassnahmen in gleichem Masse gewachsen sind.

Die gute Nachricht: Mit den richtigen Massnahmen lässt sich auch eine verteilte Belegschaft zuverlässig absichern. Nachfolgend: die technischen und organisatorischen Massnahmen, die Sie heute umsetzen sollten.

Warum Home Office ein Sicherheitsrisiko ist

Im Büro arbeiten alle Mitarbeitenden hinter einer gemeinsamen Firewall, auf verwalteten Geräten, im gleichen Netzwerk. Im Home Office hingegen:

  • Private Router mit veralteter Firmware und schwachen Passwörtern
  • Ungesicherte WLAN-Netzwerke, die Familienmitglieder und smarte Haushaltsgeräte teilen
  • Privatgeräte (BYOD) ohne Unternehmens-Endpoint-Schutz
  • Schatten-IT: Mitarbeitende nutzen nicht freigegebene Tools für die Zusammenarbeit
  • Phishing-Angriffe, die gezielt auf isolierte Remote-Mitarbeitende abzielen

Das Nationalen Zentrum für Cybersicherheit (NCSC) verzeichnete in den Jahren nach der Pandemie einen Anstieg der gemeldeten Cyberangriffe auf Schweizer Unternehmen um über 60 Prozent. Besonders KMU sind betroffen, weil sie oft weder die IT-Ressourcen noch die klaren Richtlinien für Remote-Arbeit haben, die Grossunternehmen selbstverständlich besitzen.

“Remote-Arbeit hat die Netzwerkgrenze aufgelöst. KMU, die weiterhin nur auf Perimeter-Sicherheit setzen, schützen eine Grenze, die längst nicht mehr existiert. Der Schutz muss zum Endgerät und zur Identität wandern.” — IT-Sicherheitsberater, Zürich

Mehr zu den konkreten Bedrohungen, denen Ihr Unternehmen ausgesetzt ist, finden Sie in unserem Leitfaden zur Cybersecurity-Strategie für KMU.

Schritt 1: VPN richtig einrichten

Ein Virtual Private Network (VPN) verschlüsselt den Datenverkehr zwischen dem Home-Office-Gerät und den Unternehmensressourcen. Für KMU ist ein VPN der erste und wichtigste Schritt zur Absicherung von Remote-Verbindungen.

Was ein gutes KMU-VPN leisten muss

  • Starke Verschlüsselung: Mindestens AES-256 und TLS 1.3
  • Multi-Faktor-Authentifizierung: VPN-Zugang ohne MFA ist kein akzeptabler Standard mehr — lesen Sie dazu unseren MFA Setup Guide für KMU
  • Split Tunneling: Ermöglicht es, nur Unternehmensverkehr durch den VPN-Tunnel zu leiten und privaten Traffic direkt ins Internet zu lassen — spart Bandbreite und verbessert die Performance
  • Zentralisiertes Log-Management: Damit Sie sehen, wer sich wann von wo einloggt
  • Einfache Verwaltung: Für KMU ohne grossen IT-Staff müssen Administration und Rollout unkompliziert sein

Empfohlene VPN-Lösungen für KMU

LösungEignungMonatliche Kosten
WireGuard (selbst gehostet)Technisch versierte TeamsServerkosten ~CHF 20–50
Cisco MerakiMittelgrosse KMUAb CHF 15 pro Nutzer
NordLayerEinfacher EinstiegAb CHF 8 pro Nutzer
Cloudflare Zero TrustModerner Ansatz, skalierbarAb CHF 0 (5 Nutzer gratis)

Wichtig: Ein VPN ersetzt keine vollständige Zero-Trust-Architektur. Mehr dazu in unserem Leitfaden Zero Trust für KMU.

Schritt 2: Endpoint Protection für alle Geräte

Endpoint Protection ist der Schutzschild, der auf jedem Gerät läuft — ob Firmengerät oder privates Gerät. Klassische Antivirensoftware reicht heute nicht mehr aus. Moderne Endpoint Detection and Response (EDR)-Lösungen erkennen auch unbekannte Angriffsmuster.

Was Sie auf jedem Endgerät brauchen

  1. EDR/Antivirus: Microsoft Defender for Business (in Microsoft 365 Business Premium enthalten), CrowdStrike Falcon Go oder SentinelOne
  2. Automatische Betriebssystem-Updates: Ungepatchte Systeme sind das häufigste Einfallstor
  3. Festplattenverschlüsselung: BitLocker (Windows) oder FileVault (macOS) — schützt bei Geräteverlust oder -diebstahl
  4. Bildschirmsperre: Automatisch nach maximal 5 Minuten Inaktivität
  5. Remote Wipe: Möglichkeit, verlorene Geräte aus der Ferne zu löschen

BYOD: Private Geräte im Unternehmensnetz

Wenn Mitarbeitende private Geräte für die Arbeit nutzen, brauchen Sie eine klare BYOD-Richtlinie (Bring Your Own Device):

  • Mobile Device Management (MDM): Tools wie Microsoft Intune oder Jamf ermöglichen es, Unternehmensrichtlinien auch auf privaten Geräten durchzusetzen — ohne private Daten einzusehen
  • Container-Lösungen: Unternehmens-Apps und -Daten werden in einem gesicherten Container auf dem Privatgerät isoliert
  • Mindestandforderungen definieren: Betriebssystemversion, Sperrbildschirm, Verschlüsselung — wer die Anforderungen nicht erfüllt, bekommt keinen Zugang

Schritt 3: Sichere Kommunikationstools

Viele Sicherheitsvorfälle im Home Office entstehen nicht durch technische Angriffe, sondern durch die Nutzung unsicherer Kommunikationskanäle. Mitarbeitende weichen auf private WhatsApp-Gruppen aus, versenden Dokumente per privater E-Mail oder nutzen nicht freigegebene Cloud-Dienste.

Empfohlene Tools für sichere Unternehmenskommunikation

Videokonferenzen und Chat:

  • Microsoft Teams (in M365 enthalten): Ende-zu-Ende-verschlüsselte Chats und Meetings, zentrale Administration
  • Zoom mit aktivierter Wartezimmer-Funktion und Passwortverpflichtung

Dateifreigabe:

  • SharePoint / OneDrive for Business: Mit Zugriffssteuerung und Ablaufdatum für externe Links
  • Interne Dateiserver über VPN: Kein direkter Cloudzugang ohne Authentifizierung

E-Mail-Sicherheit:

  • SPF, DKIM und DMARC für Ihre Domain konfigurieren — dies verhindert, dass Cyberkriminelle E-Mails in Ihrem Namen versenden
  • E-Mail-Archivierung und -Verschlüsselung für sensitive Kommunikation

Über die Risiken von Phishing — dem häufigsten Angriffsvektor im Home-Office-Kontext — lesen Sie mehr in unserem Beitrag zum Phishing-Schutz für Unternehmen in der Schweiz.

Schritt 4: Heimnetzwerk absichern

Das Heimnetzwerk Ihrer Mitarbeitenden ist Ihr schwächstes Glied — und Sie haben darauf wenig direkte Kontrolle. Trotzdem können Sie Vorgaben machen und Mitarbeitende dabei unterstützen, ihr Heimnetz zu sichern.

Checkliste für Mitarbeitende: Heimnetzwerk

  • Router-Firmware auf dem neuesten Stand halten
  • Standard-Passwort des Routers ändern (kein “admin/admin”)
  • WPA3-Verschlüsselung aktivieren (mindestens WPA2)
  • Separates WLAN-Gastnetzwerk für Heimgeräte (Smart-TV, Alexa, etc.) einrichten — Arbeitsgeräte nicht im gleichen Netz wie smarte Haushaltsgeräte
  • Fernwartungsfunktionen des Routers deaktivieren
  • DNS-over-HTTPS (DoH) oder einen sicheren DNS-Resolver nutzen (z. B. Cloudflare 1.1.1.1 oder die Swisscom-Lösung)

Tipp für KMU: Bieten Sie Ihren Mitarbeitenden eine kurze Schulung oder ein Erklärvideo zu Heimnetzwerk-Sicherheit an. Das steigert die Compliance und reduziert Risiken spürbar.

Schritt 5: Home-Office-Sicherheitsrichtlinie erstellen

Technik allein reicht nicht. Ohne schriftliche Richtlinien wissen Mitarbeitende nicht, was erlaubt ist und was nicht. Eine Home-Office-Sicherheitsrichtlinie muss mindestens folgende Punkte regeln:

Musterstruktur für Ihre Richtlinie

  1. Zulässige Geräte: Welche Geräte dürfen für die Arbeit genutzt werden?
  2. Netzwerkpflichten: VPN-Pflicht, Anforderungen an das Heimnetzwerk
  3. Datenspeicherung: Welche Daten dürfen lokal gespeichert werden, welche nur in der Cloud?
  4. Bildschirmpflicht: Unbefugte Personen (auch Familienmitglieder) dürfen keinen Einblick in vertrauliche Informationen haben
  5. Meldepflicht bei Vorfällen: Was tun bei einem Verdacht auf einen Cyberangriff oder Geräteverlust?
  6. Software-Installation: Eigenmächtige Software-Installationen auf Arbeitsgeräten sind verboten
  7. Passwort- und Zugangsverwaltung: Passwortmanager-Pflicht, keine geteilten Zugangsdaten

Eine vollständige Vorlage für Ihre IT-Sicherheitsrichtlinie finden Sie in unserer Cybersecurity-Checkliste für KMU.

Schritt 6: Mitarbeitende schulen

Laut dem Verizon Data Breach Investigations Report 2024 sind 68 Prozent aller Datenschutzverletzungen auf menschliche Fehler zurückzuführen. Selbst die beste technische Absicherung hilft nicht, wenn ein Mitarbeiter auf eine Phishing-Mail klickt oder sein Passwort auf einer gefälschten Anmeldeseite eingibt.

Effektive Sicherheitsschulungen für Remote-Teams

  • Kurze, regelmässige Schulungen: Lieber monatlich 15 Minuten als einmal im Jahr zwei Stunden
  • Phishing-Simulationen: Schicken Sie Ihren Mitarbeitenden gefälschte Phishing-Mails und messen Sie, wie viele darauf hereinfallen — und schulen Sie gezielt die Betroffenen
  • Klare Meldewege: Jeder muss wissen, wen er bei einem Verdachtsfall anrufen soll (und keine Scheu haben, einen Fehler zu melden)
  • Belohnungssysteme: Positive Verstärkung für Mitarbeitende, die verdächtige Mails melden

“In unserer Erfahrung ist die grösste Schwachstelle in KMU nicht die Technik, sondern das fehlende Sicherheitsbewusstsein. Mitarbeitende, die Phishing erkennen und melden, sind wertvoller als jede Firewall.” — Cybersecurity-Trainerin, Bern

Cloud-Zugang sichern: CASB und Conditional Access

Wenn Ihre Mitarbeitenden aus dem Home Office auf Cloud-Dienste wie Microsoft 365, Google Workspace oder Salesforce zugreifen, brauchen Sie Mechanismen, die den Zugang absichern und überwachen.

Conditional Access (Bedingter Zugang)

Microsoft Entra ID (früher Azure AD) und Google Workspace bieten sogenannten Conditional Access: Der Zugang zu einer Anwendung wird nur gewährt, wenn bestimmte Bedingungen erfüllt sind — zum Beispiel:

  • Gerät ist bekannt und compliant (MDM-verwaltet)
  • Standort ist eine bekannte IP-Adresse oder ein bekanntes Land
  • MFA ist erfolgreich abgeschlossen
  • Uhrzeit liegt im üblichen Arbeitszeitfenster

Diese Bedingungen lassen sich kombinieren. Ein Angreifer, der ein gültiges Passwort erbeutet hat, kann sich dennoch nicht einloggen, wenn sein Gerät unbekannt ist.

CASB: Cloud Access Security Broker

Für KMU, die viele verschiedene Cloud-Dienste nutzen, bieten CASB-Lösungen eine zentrale Kontrollschicht. Sie überwachen, welche Cloud-Apps genutzt werden — auch nicht freigegebene (Schatten-IT) — und können Richtlinien durchsetzen.

Ransomware-Prävention im Home Office

Ransomware ist die grösste Einzelbedrohung für Schweizer KMU. Angreifer verschlüsseln Ihre Daten und verlangen Lösegeld — oft Zehntausende von Franken. Im Home-Office-Umfeld steigt das Risiko, weil:

  • Mitarbeitende ausserhalb der Unternehmens-Firewall arbeiten
  • Backups seltener und weniger zuverlässig sind
  • Die Reaktionszeit bei einem Vorfall länger ist

Lesen Sie unseren ausführlichen Leitfaden zum Ransomware-Schutz für KMU in der Schweiz, um Ihr Unternehmen gezielt abzusichern.

Die wichtigsten Ransomware-Präventionsmassnahmen für Remote-Teams:

  1. Offsite-Backups (3-2-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 ausserhalb des Standorts)
  2. Backup-Wiederherstellung regelmässig testen
  3. Netzwerksegmentierung: Remote-Nutzer haben nur Zugriff auf das, was sie wirklich brauchen
  4. Makros in Office-Dokumenten deaktivieren
  5. PowerShell-Ausführung auf normale Nutzer beschränken

Home Office Sicherheit: Ihre Checkliste

Technische Massnahmen:

  • VPN für alle Remote-Verbindungen verpflichtend
  • MFA auf allen Systemen aktiviert
  • EDR-Lösung auf allen Endgeräten installiert
  • Festplattenverschlüsselung aktiviert
  • Automatische Updates aktiviert
  • Backups eingerichtet und getestet
  • Conditional Access für Cloud-Dienste konfiguriert

Organisatorische Massnahmen:

  • Home-Office-Sicherheitsrichtlinie schriftlich vorhanden
  • BYOD-Richtlinie definiert
  • Mitarbeitende zu Phishing und Heimnetzwerk-Sicherheit geschult
  • Klarer Meldeweg für Sicherheitsvorfälle kommuniziert
  • Incident-Response-Plan für Remote-Szenarien vorhanden

Fazit

Home Office Sicherheit ist kein einmaliges Projekt, sondern eine kontinuierliche Aufgabe. VPN, Endpoint Protection, sichere Kommunikationstools und klare Richtlinien bilden das Fundament — aber die Bedrohungslandschaft verändert sich ständig. KMU, die heute gut aufgestellt sind, müssen morgen prüfen, ob ihre Massnahmen noch wirksam sind.

Genau dafür ist Red Teaming gemacht: Statt zu warten, bis ein echter Angreifer eine Schwachstelle in Ihrer Remote-Work-Infrastruktur findet, simulieren spezialisierte Experten einen realen Angriff — inklusive Social Engineering gegen Home-Office-Mitarbeitende, VPN-Bypass-Versuche und Cloud-Zugangsattacken.

Lassen Sie Ihre Home-Office-Sicherheit von echten Angreifern testen, bevor es Kriminelle tun. Unser Red-Teaming-Angebot für Schweizer KMU startet ab CHF 11’900 und liefert Ihnen einen klaren Bericht, wo Ihre Remote-Work-Infrastruktur angreifbar ist — und wie Sie es beheben.

Jetzt Red Teaming anfragen

Weiterführende Leitfäden: