Graubünden ist eine Schweizer Besonderheit: der flächenmässig grösste Kanton mit den grössten Distanzen, einem einzigartigen Tourismusprofil und einer Infrastruktur, die weit über das wirtschaftliche Gewicht des Kantons hinaus international bekannt ist. Chur als Kantonshauptstadt ist das Verwaltungs- und Dienstleistungszentrum – und der Ausgangspunkt für alle Fragen der Cybersicherheit in einem Kanton, der von Davos bis zum Engadin globale Aufmerksamkeit geniesst.

Chur und Graubünden: Tourismuskapital und Verwaltungszentrum

Chur verbindet zwei Welten: die administrative Funktion als Hauptstadt des bevölkerungsärmsten Flächenkantons der Schweiz und die Rolle als Tor zu einer der international bekanntesten Tourismusdestinationen der Welt. Davos, St. Moritz, Laax und Arosa – all diese Destinationen werden von Unternehmen und Infrastruktur bedient, die ihren Verwaltungssitz oder ihre Beschaffungsstrukturen in Chur haben.

Das Kantonsspital Graubünden in Chur ist das grösste Spital des Kantons und versorgt eine weiträumige Region. Die Rhätische Bahn (RhB) verbindet Destinationen mit Welterbe-Status. Das Kantonsgericht und kantonale Verwaltung verarbeiten sensible rechtliche und administrative Daten. Und im Januar jedes Jahres richtet sich die Weltöffentlichkeit auf das Weltwirtschaftsforum in Davos – ein Ereignis, das auch für Churer Unternehmen als Zulieferer und Dienstleister relevant ist.

Die spezifische Herausforderung: Remote-Infrastruktur und Alpine Konnektivität

Graubünden stellt Cybersicherheitsverantwortliche vor eine spezifische technische Herausforderung: Viele Unternehmen betreiben Standorte oder Infrastruktur in alpinen Lagen mit begrenzter und manchmal unsicherer Netzwerkkonnektivität. Bergbahnen, Hotelanlagen und Freizeit-infrastruktur in Bergdörfern haben oft ältere IT-Systeme, eingeschränkte IT-Ressourcen vor Ort und sind auf Remote-Wartung und Fernzugriff angewiesen.

Genau diese Fernzugänge sind ein bevorzugter Angriffsvektor. Ein kompromittierter VPN-Zugang zur Steuerungssoftware einer Gondelbahn oder das Gäste-WLAN eines Berggasthauses, das mit dem Buchungssystem verbunden ist, sind reale Risiken – keine theoretischen.

Bedrohungszahlen für den Tourismus- und Gesundheitssektor

  • Spitäler und Gesundheitseinrichtungen waren 2024 in der Schweiz die am häufigsten von Ransomware betroffene Sektorgruppe – 31 bestätigte Vorfälle, durchschnittlicher Schaden CHF 280’000 (NCSC, 2024).
  • 48 % aller Schweizer Hotelbetriebe nutzen mindestens ein Legacy-System (älter als 10 Jahre) für Buchung oder Gästemanagement – mit bekannten, ungepatchten Schwachstellen.
  • WEF-Kontext: Während des Weltwirtschaftsforums in Davos steigt die Anzahl gezielter Phishing-Angriffe auf Bündner Unternehmen nachweislich um über 300 % gegenüber dem Jahresschnitt.
  • CHF 120’000 – der durchschnittliche direkte Schaden eines Cyberangriffs auf einen touristischen Betrieb in der Schweiz, ohne Reputationsverluste und Gästeschwund.

Branchen und Risikofelder in Graubünden

Tourismusbranche: Hotels, Bergbahnen, Bergrestaurants: Die Tourismuswirtschaft in Graubünden ist das wirtschaftliche Rückgrat des Kantons. Hotels der Luxusklasse in Davos und St. Moritz verarbeiten täglich Kreditkartendaten, Passinformationen und hochsensible Gästeprofile internationaler Prominenz. Bergbahnen steuern sicherheitskritische Infrastruktur mit vernetzten Systemen. Jede Schwachstelle in diesen Systemen ist ein potenzieller Angriffspunkt.

Gesundheitswesen: Kantonsspital Graubünden und Praxen: Das Kantonsspital Graubünden speichert Patientendaten von der gesamten Bündner Bevölkerung. Arztpraxen, Zahnarztpraxen und Apotheken in Chur und im Kanton sind kleinere Einheiten mit oft begrenzter IT-Expertise. Medizinische Daten sind auf Darknet-Marktplätzen besonders wertvoll – und Gesundheitsbetriebe zahlen Lösegelder, weil Patientenversorgung nicht warten kann.

WEF-Kontext und geopolitische Exposition: Das Weltwirtschaftsforum in Davos zieht jährlich Staats- und Regierungschefs, CEOs und Journalisten aus aller Welt an. Lokale Unternehmen, die als Zulieferer, Caterer, Transportunternehmen oder Sicherheitsdienstleister tätig sind, sind in dieser Zeit erhöhten Cyberrisiken ausgesetzt. Geheimdienstliche Operationen zur Spionage rund um das WEF sind dokumentiert.

Kantonsverwaltung und öffentliche Institutionen: Verwaltungen und öffentliche Stellen in Graubünden sind zunehmend Ziel von Angriffen, die auf öffentliche Daten oder Infrastrukturunterbrechungen abzielen. Ein Angriff auf das Grundbuchamt oder die Steuerbehörde kann weitreichende Konsequenzen haben.

Mehr zur häufigsten Angriffsmethode und wie Sie Ihr Team schützen: unser Leitfaden zum Phishing-Schutz für Unternehmen.

Red Teaming für alpine und dezentrale Betriebe

Red Teaming ist besonders wertvoll für Unternehmen, die dezentrale Infrastruktur mit Remote-Zugängen betreiben – also für viele Bündner Unternehmen. Eine vollständige Angriffssimulation berücksichtigt:

  • Remote-Zugänge zu abgelegenen Standorten (z.B. Bergbahnen, Berggasthäuser, Ferienwohnungsanlagen)
  • Saisonale Mitarbeitende mit temporären Zugängen (besonders riskant in der Hochsaison)
  • Gäste-WLANs und deren Trennung vom internen Netzwerk
  • Legacy-Buchungssysteme mit bekannten Schwachstellen
  • Social Engineering gegen temporäres oder saisonal wechselndes Personal

Für das Gesundheitswesen ist Red Teaming die empfohlene Methode, um festzustellen, ob Patientendaten tatsächlich sicher sind – bevor ein Angriff das schmerzhaft aufdeckt.

Die grundlegenden Sicherheitsmassnahmen für alle Bündner KMU finden Sie in unserer Cybersecurity-Checkliste für KMU.

Besondere Empfehlungen für Graubünden

Für Tourismusbetriebe:

  • Strikte Trennung von Gäste-WLAN und internem Netzwerk
  • Verschlüsselung aller Gästdaten im Buchungssystem
  • Zwei-Faktor-Authentifizierung für alle Remote-Zugänge
  • Regelmässige Schulung saisonaler Mitarbeitender
  • Dokumentierte Datenschutzprozesse nach revDSG

Für das Gesundheitswesen:

  • Verschlüsselung von Patientendaten auch innerhalb des Netzwerks
  • Strikte Zugriffskontrolle nach Minimalprinzip
  • Regelmässige Sicherheitstests der Praxissoftware
  • Incident-Response-Plan mit Notfallkommunikation
  • Datensicherung mit täglichem Test der Wiederherstellbarkeit

Für alle KMU in Graubünden:

  • Inventarisierung aller Systeme, inklusive IoT-Geräte und vernetzter Maschinen
  • Bewertung aller Remote-Zugänge und deren Absicherung
  • Klare Prozesse für den Umgang mit Cybervorfällen

Kosten und Investition

Was professionelle Sicherheitstests für Ihr Unternehmen in Graubünden kosten und welchen Mehrwert sie bieten, erfahren Sie in unserem Überblick zu Red-Team-Kosten in der Schweiz. Im Vergleich zu den dokumentierten Schadenskosten – CHF 120’000 bis CHF 280’000 je nach Branche – ist die Investition in präventive Sicherheit wirtschaftlich eindeutig vorzuziehen.

Für touristische Betriebe kommt hinzu: Ein öffentlich bekannt gewordener Datenschutzvorfall schadet dem Ruf einer Destination langfristig. Gäste, die ihr Passfoto oder ihre Kreditkartendaten in der Presse wiedersehen, kommen nicht wieder.

Fazit

Graubünden und Chur stehen vor einer einzigartigen Kombination von Herausforderungen: alpine Remote-Infrastruktur, international exponierter Tourismus, sensibles Gesundheitswesen und der jährliche Intensivbetrieb rund um das WEF in Davos. Diese Faktoren machen fundierte Cybersicherheit zur betrieblichen Notwendigkeit, nicht zur Kür.

Testen Sie Ihre Verteidigung unter realistischen Bedingungen mit einem Red Teaming-Engagement von Cybersecurity Switzerland – massgeschneidert auf die spezifischen Gegebenheiten von KMU in Graubünden und Chur. Engagements ab CHF 11’900, mit konkreten Handlungsempfehlungen für Ihre Situation.

Kontaktieren Sie uns für ein unverbindliches Erstgespräch – wir kennen die Herausforderungen dezentraler alpiner Betriebe und sprechen Ihre Sprache.