Cybersecurity Bern: Anbieter und Beratung für KMU

Q: Was der Fall Xplain für Berner KMU bedeutet

See section: Was der Fall Xplain für Berner KMU bedeutet

Q: Fazit: Bern vergibt Sicherheitsverantwortung an seine Lieferanten — sind Sie bereit?

See section: Fazit: Bern vergibt Sicherheitsverantwortung an seine Lieferanten — sind Sie bereit?

Bern ist die Bundeshauptstadt der Schweiz — und damit ein Sonderfall in der Schweizer Cybersecurity-Landschaft. Wer in Bern Aufträge annimmt, Daten verarbeitet oder Dienstleistungen für Bundesstellen erbringt, bewegt sich in einem Umfeld mit erhöhten Sicherheitsanforderungen. Der Xplain-Datenskandal 2023 hat gezeigt, was passiert, wenn Behördenlieferanten ihre IT-Sicherheit vernachlässigen.

Bern: Bundeshauptstadt, Behördenlieferanten und ein Weckruf

Im Juni 2023 wurde bekannt, dass Xplain — ein Berner IT-Dienstleister für Bundesbehörden — Opfer eines Ransomware-Angriffs der Hackergruppe Play geworden war. Auf den Servern von Xplain lagen unverschlüsselte Daten aus dem Bundesamt für Polizei (fedpol), dem Staatssekretariat für Migration und der Armee. Die Daten wurden im Darknet veröffentlicht.

Der Fall Xplain ist kein Einzelfall — er ist symptomatisch. Er zeigt, dass KMU, die als IT-Dienstleister, Softwareanbieter oder Datenverarbeiter für Bundesstellen tätig sind, denselben Bedrohungen ausgesetzt sind wie die Behörden selbst — aber oft einen Bruchteil ihrer Sicherheitsressourcen haben.

Was Berner KMU wissen müssen:

Über 30’000 Unternehmen im Kanton Bern haben direkte oder indirekte Lieferketten-Beziehungen zur Bundesverwaltung
Das Bundesamt für Cybersicherheit (BACS, vormals NCSC) meldet jährlich Tausende von Cybervorfällen mit Bezug zu Bundesstrukturen
Seit 2024 verlangt der Bund von IT-Dienstleistern mit Bundesaufträgen verstärkt Nachweise über implementierte Sicherheitsmassnahmen

Die Berner Unternehmenslandschaft und ihre Sicherheitsrisiken

Behördenlieferanten und IT-Dienstleister

Bern ist nicht nur Verwaltungsstadt — es ist das Epizentrum eines dichten Netzes von Dienstleistern, die für den Bund arbeiten: Softwareentwickler, Druckereien mit Zugangsdaten zu Behördenportalen, IT-Support-Firmen, Übersetzungsbüros, Logistikdienstleister. Alle haben eines gemeinsam: Sie verarbeiten Daten, die staatliche Relevanz haben.

Angreifer, die Bundesbehörden attackieren wollen, wählen häufig den Weg über die Lieferkette — also über genau diese KMU. Red Teaming simuliert genau diese Angriffswege und zeigt, ob Ihr Unternehmen als Einfallstor genutzt werden könnte.

Bundesverwaltung und Rüstungsindustrie

Bern beherbergt das Verteidigungsdepartement (VBS), armasuisse und zahlreiche Unternehmen im Umfeld der Schweizer Rüstungsindustrie. Unternehmen, die mit klassifizierten Informationen oder verteidigungsrelevanter Technologie in Berührung kommen, unterliegen besonderen Sicherheitspflichten. Für KMU in diesem Umfeld ist ein professionelles Sicherheitsaudit keine Option — es ist Pflicht.

Gesundheitsversorgung: Inselspital und Umfeld

Das Inselspital Bern ist eines der grössten Spitäler der Schweiz und ein Universitätsspital von nationaler Bedeutung. Im Umfeld des Inselspitals sind zahlreiche Medtech-Unternehmen, pharmazeutische Zulieferer und spezialisierte IT-Dienstleister tätig. Patientendaten, Forschungsdaten und medizinische Geräteschnittstellen sind hochattraktive Ziele für Ransomware.

Seit dem revidierten Datenschutzgesetz (revDSG, September 2023) sind Verletzungen der Datensicherheit im Gesundheitsbereich meldepflichtig. Eine Datenpanne kann für ein KMU existenzbedrohend sein — nicht nur wegen des Schadens, sondern wegen des Reputationsverlusts.

Medien und Verlagswesen

Bern ist Sitz von SRG SSR, Tamedia (heute TX Group) und weiteren Medienunternehmen. Medienhäuser sind zunehmend Ziel von staatlich gesponserten Hackern, die Desinformationskampagnen vorbereiten oder investigativen Journalisten Quellen entwenden wollen. Für KMU, die als technische Dienstleister für Medienhäuser tätig sind, gilt dasselbe Risikoprofil.

Was der Fall Xplain für Berner KMU bedeutet

Der Angriff auf Xplain war technisch kein Wunder — er war möglich, weil grundlegende Sicherheitsprinzipien nicht umgesetzt waren: keine konsequente Datentrennung, kein regelmässiges Testing unter realen Bedingungen, kein Incident Response Plan. Das sind Mängel, die sich mit einer Cybersecurity-Checkliste für KMU systematisch identifizieren lassen.

Der eigentliche Weckruf: Xplain war kein kleines Startup. Das Unternehmen war jahrelang ein etablierter Bundeslieferant. Wenn selbst erfahrene IT-Dienstleister scheitern, zeigt das, dass guter Wille und Erfahrung allein nicht genügen. Es braucht regelmässige, externe Überprüfung unter realen Bedingungen.

Phishing-Angriffe auf Unternehmen sind bei Behördenlieferanten besonders gefährlich, weil Angreifer gezielt Mitarbeitende ansprechen, die mit sensiblen Behördendaten umgehen. Spear-Phishing — also massgeschneiderte Phishing-E-Mails, die sich auf echte Projekte und Ansprechpersonen beziehen — ist schwerer zu erkennen als generische Spam-Mails.

Red Teaming für Berner KMU: Konkrete Mehrwerte

Red Teaming geht weit über klassische Penetrationstests hinaus. Es simuliert einen vollständigen Angriff — von der ersten Aufklärung über Social Engineering bis zum Versuch, in kritische Systeme einzudringen. Für Berner KMU, die als Behördenlieferanten tätig sind, ist das besonders relevant: Red Teaming zeigt nicht nur technische Schwachstellen, sondern auch organisatorische Lücken — zum Beispiel, ob ein Mitarbeitender auf eine gefälschte E-Mail vom “Bundesamt für Informatik” hereinfallen würde.

Was kostet das? Die Red Teaming-Kosten in der Schweiz sind überschaubar — Einstiegsprojekte ab CHF 11’900. Im Vergleich zu den potenziellen Schäden eines Angriffs und dem Reputationsverlust bei Behördenkunden ist das eine kleine Investition.

Noch nicht sicher, ob Red Teaming oder ein Penetrationstest besser passt? Der direkte Vergleich Red Teaming vs. Penetrationstest zeigt die Unterschiede klar auf.

Die besondere Verantwortung von Bundeslieferanten

Als KMU, das für Bundesstellen arbeitet, tragen Sie eine Verantwortung, die über Ihre eigenen Systeme hinausgeht. Ein erfolgreicher Angriff auf Ihr Unternehmen kann direkte Konsequenzen für staatliche Strukturen haben. Der Druck, Sicherheitsnachweise zu erbringen, steigt: Ausschreibungen des Bundes verlangen zunehmend ISO-27001-Zertifizierungen oder vergleichbare Nachweise. Ein Red Teaming-Bericht kann diesen Nachweis liefern — und gleichzeitig zeigen, dass Ihr Unternehmen die Sicherheit nicht nur auf dem Papier ernst nimmt.

Fazit: Bern vergibt Sicherheitsverantwortung an seine Lieferanten — sind Sie bereit?

Der Fall Xplain hat die Schwachstellen in der Berner Dienstleisterlandschaft schonungslos aufgedeckt. Die Bundeshauptstadt stellt besondere Anforderungen an IT-Sicherheit — nicht nur für Grossunternehmen, sondern für alle KMU, die Teil der Bundeslieferkette sind.

RedTeam Partners simuliert realistische Angriffe auf Ihr Unternehmen, bevor echte Angreifer es tun. CREST-zertifiziert, erfahren mit regulierten Umgebungen, ab CHF 11’900.

Kontakt für Berner KMU: red-teaming-anfrage@redteampartners.ch oder direkt über RedTeamPartners.ch. RedTeam Partners, Zürich — mit Mandaten im gesamten Mittelland.