Lausanne ist das Silicon Valley der Schweiz. Nirgendwo anders im Land entsteht pro Einwohner mehr Deep-Tech-Innovation — und nirgendwo sonst sind KMU so schnell gewachsen, ohne ihre Sicherheitsarchitektur mitzuentwickeln. Wer in Lausanne ein Startup skaliert, eine Bildungsinstitution betreibt oder im Sportsektor tätig ist, trägt ein spezifisches Cyber-Risikoprofil.

Lausanne: Innovation mit Sicherheitslücken

Die EPFL — die Eidgenössische Technische Hochschule Lausanne — ist eine der führenden technischen Universitäten der Welt. Aus ihrem Ökosystem entstehen jährlich Dutzende von Spin-offs und Startups, die proprietäre Technologien, KI-Modelle und spezialisierte Software entwickeln. Diese Unternehmen sind in der frühen Phase mit Produktentwicklung und Fundraising beschäftigt — Cybersecurity ist selten Priorität.

Das ist ein Problem: Gerade in der Phase, in der intellektuelles Eigentum seinen grössten Wert hat und noch nicht durch Patente oder Markteintritt geschützt ist, sind diese Unternehmen am verletzlichsten.

Drei Zahlen für Lausanner KMU:

  • Die EPFL hat seit 2000 über 450 Spin-offs hervorgebracht — viele davon in Lausanne ansässig und mit hochsensiblen Technologiedaten
  • Der Kanton Waadt zählt über 30’000 KMU, von denen ein wachsender Anteil im Tech- und Dienstleistungssektor tätig ist
  • Startups sind 3-mal häufiger Opfer von IP-Diebstahl als etablierte Unternehmen, da sie seltener systematische Sicherheitsmassnahmen implementiert haben (Quelle: Europol, 2024)

Die Lausanner Unternehmenslandschaft und ihre Sicherheitsrisiken

EPFL-Spin-offs und Deep-Tech-Startups

Die Technologien, die in EPFL-Labors entstehen — Quantencomputing, Medizinroboter, Advanced Materials, KI-Systeme — sind das Wertvollste, was diese Startups besitzen. Ein Konkurrent oder ein staatlicher Akteur, der Zugang zu unveröffentlichten Forschungsdaten oder Prototypen-Dokumentationen erhält, kann Jahre an Entwicklungsvorsprung egalisieren.

Red Teaming hilft Startups in dieser kritischen Phase zu verstehen, wie gut ihr Code-Repository, ihre Cloud-Infrastruktur und ihre kollaborativen Tools tatsächlich geschützt sind. Viele Startups arbeiten mit GitHub, Google Workspace und Notion — alles Cloud-Dienste, die bei falscher Konfiguration erhebliche Sicherheitslücken aufweisen.

Internationales Olympisches Komitee (IOC) und Sportsektor

Das IOC hat seinen Hauptsitz in Lausanne — und zieht damit eine globale Aufmerksamkeit auf die Stadt, die weit über Sport hinausgeht. Rund um das IOC hat sich ein Ökosystem von Sportverbänden, Marketingagenturen, Event-Organisatoren und Technologiepartnern gebildet. Diese KMU verarbeiten Sponsoring-Verträge, Athletendaten und Veranstaltungslogistik — alles Informationen, die für Konkurrenten, Wettanbieter oder staatliche Akteure von Interesse sein können.

Cyberangriffe auf Sportorganisationen sind zunehmend dokumentiert: Die Olympischen Spiele in Pyeongchang 2018 wurden von einer Cyberoperation begleitet, die auf die IT-Infrastruktur der Veranstaltung abzielte. KMU im Sportsektor unterschätzen häufig, wie sehr sie im Fadenkreuz stehen.

Hotellerie und Gastgewerbe: EHL und die Hospitality-Industrie

Die Ecole hôtelière de Lausanne (EHL) — die älteste und renommierteste Hotelfachschule der Welt — prägt die regionale Wirtschaft. Rund um Lausanne und den Genfersee ist eine hochentwickelte Hotellerie und Gastronomie-Industrie entstanden, die Daten von Gästen aus aller Welt verarbeitet.

Hotels speichern Kreditkarteninformationen, Reisedaten und Aufenthaltsinformationen von Politikern, Managern und Prominenten — ein attraktives Ziel für gezielte Angriffe. Kleinere Boutiquehotels und Restaurants mit integrierten Buchungssystemen haben oft minimale IT-Sicherheitsmassnahmen.

Medtech und Digital Health

Lausanne beherbergt neben der EPFL auch den CHUV (Centre hospitalier universitaire vaudois) — eines der grössten Universitätsspitäler der Schweiz. Im Umfeld des CHUV und der EPFL hat sich ein wachsendes Digital-Health-Ökosystem entwickelt: Unternehmen, die medizinische Wearables, klinische Datenmanagementsysteme oder KI-gestützte Diagnosetools entwickeln.

Diese Unternehmen verarbeiten Patientendaten im grossen Massstab und unterliegen sowohl dem revDSG als auch internationalen Gesundheitsdatenschutzstandards. Die Verbindung von personenbezogenen Gesundheitsdaten und kommerziell wertvollem IP macht sie zu einem doppelten Angriffsziel.

Das Wachstumsproblem: Sicherheit, die nicht mit der Firma skaliert

Das typische Lausanner Startup-Profil: Gründung aus EPFL-Labor heraus, erstes Fundraising in Höhe von CHF 1-5 Millionen, schnelles Wachstum auf 15-50 Mitarbeitende innerhalb von zwei Jahren. In dieser Phase explodiert die IT-Infrastruktur — neue Cloud-Dienste, neue Mitarbeitende mit eigenem Equipment (BYOD), neue Partnerzugänge.

Die Sicherheitsarchitektur hält selten Schritt. Was als Startup mit drei Laptops und einem GitHub-Account begann, ist inzwischen eine verteilte Cloud-Infrastruktur mit 40 Nutzeraccounts, vier SaaS-Abonnements und einem Zugang zum System des ersten Enterprise-Kunden.

Die Cybersecurity-Checkliste für KMU ist ein guter Ausgangspunkt, um einzuschätzen, ob Ihre Sicherheitsmassnahmen noch zur Grösse Ihres Unternehmens passen. Häufig zeigt sich: Die Checkliste deckt bekannte Basisrisiken ab — aber ob diese Massnahmen auch unter realen Angriffsbedingungen standhalten, ist eine andere Frage.

Phishing-Angriffe sind besonders in multilingualen Arbeitsumgebungen wie Lausanne riskant. In einem Startup, wo Englisch, Französisch und manchmal Deutsch in derselben Slack-Nachricht gemischt werden, ist es schwerer, eine ungewöhnliche Kommunikation zu erkennen.

Red Teaming für Startups und Scale-ups: Enterprise-Sicherheit, KMU-Budget

Ein verbreitetes Missverständnis: Red Teaming ist für grosse Unternehmen. Das stimmt nicht mehr. Der Markt hat sich entwickelt — und gerade wachstumsstarke Startups mit wertvollen Technologien sind heute ein primärer Anwendungsfall für Red Teaming.

Was bedeutet Red Teaming für ein Lausanner Startup konkret? Ein Team von Sicherheitsexperten versucht — wie ein echter Angreifer — in Ihre Systeme einzudringen. Sie testen Cloud-Konfigurationen, versuchen Mitarbeitende per Phishing zu kompromittieren und prüfen, ob Partner-Zugänge ausgenutzt werden können. Das Ergebnis ist ein priorisierter Massnahmenplan — kein theoretisches Gutachten.

Die Kosten für Red Teaming in der Schweiz beginnen bei CHF 11’900. Für ein Startup, das gerade Series-A-Fundraising abgeschlossen hat, ist das ein überschaubarer Betrag — verglichen mit dem Reputationsschaden, wenn ein Enterprise-Kunde erfährt, dass sein Zugang zum Startup-System kompromittiert wurde.

Neu im Thema? Der Vergleich Red Teaming vs. Penetrationstest erklärt die Unterschiede — und wann welcher Ansatz für ein wachsendes KMU der richtige ist.

Sicherheit als Wettbewerbsvorteil in Lausanne

Anders als in klassischen Wirtschaftszentren — wo Compliance-Anforderungen Sicherheitsinvestitionen erzwingen — entscheiden Lausanner Startups oft selbst, ob und wann sie in Cybersecurity investieren. Das ist eine Chance: Wer frühzeitig handelt, kann Sicherheit als Differenzierungsmerkmal gegenüber Enterprise-Kunden und Investoren einsetzen.

Ein Red Teaming-Bericht von einem CREST-zertifizierten Anbieter ist für einen CTO oder CISO eines potenziellen Enterprise-Kunden ein greifbares Signal: Dieses Unternehmen nimmt Sicherheit ernst. Das beschleunigt Vendor-Assessment-Prozesse und schafft Vertrauen in Phasen, in denen Vertrauen alles ist.

Fazit: Lausanne wächst schnell — Sicherheit muss mithalten

Lausanne ist eine der innovativsten Städte Europas. Die Startups, die hier aus der EPFL hervorgehen, entwickeln Technologien, die Märkte verändern. Genau deshalb sind sie Ziel. Wer sein geistiges Eigentum, seine Kundendaten und seinen Ruf schützen will, braucht Sicherheitsüberprüfungen, die mit dem Wachstum Schritt halten.

RedTeam Partners kennt das Startup-Ökosystem und bietet pragmatische, auf KMU zugeschnittene Red Teaming-Projekte. CREST-zertifiziert, mit Sitz in Zürich, für Unternehmen in der gesamten Romandie ab CHF 11’900.

Erstgespräch vereinbaren: red-teaming-anfrage@redteampartners.ch oder direkt auf RedTeamPartners.ch. RedTeam Partners, Zürich — wir schützen Lausannes Innovation.