Schaffhausen ist ein diskreter, aber bedeutender Industriestandort: Weltbekannte Unternehmen wie IWC Schaffhausen, Georg Fischer, Cilag (Johnson&Johnson) und Tyco haben hier ihren Sitz oder betreiben wichtige Standorte. Dazu kommt eine Besonderheit: Acronis, eines der weltführenden Cybersecurity-Unternehmen, hat seinen Hauptsitz ebenfalls in Schaffhausen. Trotzdem sind viele lokale KMU unzureichend gegen Cyberangriffe geschützt.

Schaffhausen: Industriestadt mit globalem Anspruch

Der Kanton Schaffhausen ist geografisch einzigartig – als Enklave weitgehend von Deutschland umgeben – und wirtschaftlich weit über seine Grösse hinaus bedeutend. Die ansässigen Unternehmen sind global tätig, exportieren in alle Welt und sind tief in internationale Wertschöpfungsketten eingebunden.

IWC Schaffhausen steht für Schweizer Uhrenkunst auf höchstem Niveau und verteidigt täglich sensibles geistiges Eigentum. Georg Fischer ist ein globaler Industriekonzern mit Fertigung, Logistik und Daten über Kontinente verteilt. Cilag/Johnson&Johnson ist ein internationaler Pharmabetrieb mit strengen GxP-Anforderungen. Tyco als Teil von Johnson Controls betreibt sicherheitskritische Gebäude- und Brandschutzinfrastruktur.

All diese Grossunternehmen ziehen ein Ökosystem von KMU-Zulieferern, Dienstleistern und Handwerksbetrieben an, die zusammen das wirtschaftliche Rückgrat des Kantons bilden.

Die grenzüberschreitende Dimension: Deutschland direkt nebenan

Schaffhausens geografische Lage bringt eine Besonderheit mit sich, die aus Cybersicherheitssicht oft unterschätzt wird: Viele Unternehmen unterhalten intensive Geschäftsbeziehungen nach Deutschland. Grenzüberschreitende Datentransfers, gemeinsame IT-Systeme mit deutschen Partnern und Mitarbeitende auf beiden Seiten der Grenze sind gängig.

Für die IT-Sicherheit bedeutet das zusätzliche Komplexität: Datenschutzrechtlich gelten sowohl das Schweizer revDSG als auch die europäische DSGVO für grenzüberschreitende Verarbeitungen. Technisch entstehen durch Verbindungen zu deutschen Standorten zusätzliche Angriffsflächen. Und mit der NIS2-Richtlinie der EU, die seit Oktober 2024 in Deutschland und der EU gilt, müssen Schweizer KMU, die als Zulieferer europäischer Unternehmen tätig sind, zunehmend europäische Cybersicherheitsstandards erfüllen.

Bedrohungslage: Zahlen für Schaffhausener KMU

  • NIS2 verpflichtet ab Oktober 2024 auch viele mittelständische EU-Zulieferer zu detaillierten Sicherheitsmassnahmen – davon sind Schweizer KMU als Lieferanten betroffen, auch wenn sie nicht direkt der Richtlinie unterliegen.
  • CHF 195’000 war der durchschnittliche direkte Schaden eines Cyberangriffs auf ein Schweizer KMU in der Pharmaindustrie 2024 (NCSC, 2024).
  • 67 % aller erfolgreichen Einbrüche in Unternehmensnetzwerke in der Deutschschweiz nutzten eine bekannte, aber ungepatchte Schwachstelle als Einstiegspunkt (Cybersecurity-Lagebericht Schweiz, 2024).
  • 3,5x höher ist das Ransomware-Risiko für Unternehmen mit grenzüberschreitenden IT-Verbindungen ohne zentrale Sicherheitsarchitektur, verglichen mit vollständig national operierenden Betrieben.

Branchenspezifische Risiken in Schaffhausen

Uhrenindustrie (IWC-Umfeld): Geistiges Eigentum, Designpläne und exklusive Kundendaten sind hochbegehrt. Staatlich gesponserte Akteure aus Ländern mit konkurrierenden Uhrenindustrien führen gezielte Spionageoperationen gegen Schweizer Luxusgüterhersteller durch. Selbst kleinere Zulieferer im IWC-Ökosystem können als Einstiegstor genutzt werden.

Pharmaindustrie (Cilag/Johnson&Johnson): GxP-Anforderungen (Good Manufacturing/Laboratory/Clinical Practice) stellen strenge Anforderungen an IT-Systeme, Datensicherheit und Audit-Trails. KMU, die als Lieferanten für Pharmabetriebe tätig sind, werden zunehmend auf ihre Sicherheitsstandards geprüft. Mängel führen zum Ausschluss aus Lieferantenlisten.

Industrietechnik (Georg Fischer, Tyco): Industrielle Steuerungssysteme und sicherheitskritische Infrastruktur – etwa Brandschutzsysteme von Tyco – sind sensible Angriffsziele. Ein Angriff auf die Steuerungssoftware sicherheitskritischer Anlagen kann physische Konsequenzen haben.

Grenzüberschreitende Lieferketten: Unternehmen mit deutschen Partnern, Kunden oder Lieferanten sind doppelten Anforderungen ausgesetzt und haben oft komplexere IT-Architekturen mit mehr Angriffsfläche.

Wie Sie die häufigste Angriffsmethode – Phishing – in Ihrem Unternehmen wirksam eindämmen, erklärt unser Leitfaden zum Phishing-Schutz für Unternehmen.

NIS2 und DSGVO: Was Schweizer KMU im Schaffhauser Kontext wissen müssen

Die NIS2-Richtlinie der EU verpflichtet europäische Unternehmen, ihre Lieferketten auf Sicherheitsrisiken zu prüfen. Das bedeutet: Schweizer KMU, die als Zulieferer oder Dienstleister für EU-Unternehmen tätig sind, erhalten zunehmend Anfragen zu ihren Sicherheitsmassnahmen, Penetrationstest-Berichten und Incident-Response-Verfahren.

Wer nicht antworten kann oder keine Nachweise hat, wird von Lieferantenlisten gestrichen. Für Schaffhausener KMU mit engem Bezug zum deutschen Markt ist das eine dringende Frage.

Gleichzeitig gilt: Daten von EU-Bürgern, die von Schweizer Unternehmen verarbeitet werden, unterliegen unter Umständen der DSGVO. Ein Datenschutzbeauftragter und dokumentierte Verarbeitungsverzeichnisse sind in diesem Kontext Pflicht, keine Kür.

Professionelle Sicherheitsmassnahmen für Schaffhausener KMU

Red Teaming für komplexe Umgebungen: Unternehmen mit grenzüberschreitenden IT-Verbindungen, mehreren Standorten oder komplexen Zuliefererbeziehungen profitieren besonders von Red Teaming. Die vollständige Angriffssimulation deckt Schwachstellen auf, die bei isolierten Tests nicht sichtbar werden – etwa Angriffe über Partnerverbindungen oder physische Zugangspunkte.

Penetrationstest mit Fokus auf externe Verbindungen: Für Schaffhausener KMU mit deutschen Geschäftspartnern ist ein spezifischer Test der externen Schnittstellen besonders wichtig. VPN-Tunnel, EDI-Schnittstellen und gemeinsame Cloudumgebungen sind häufige Angriffsvektoren.

Compliance-orientiertes Sicherheits-Assessment: Ein strukturiertes Assessment hilft KMU, ihren Sicherheitsstatus gegenüber Auftraggebern zu dokumentieren und Lücken gezielt zu schliessen.

Die Grundlage für alle weiterführenden Massnahmen ist eine solide Basis – unsere Cybersecurity-Checkliste für KMU gibt eine strukturierte Übersicht.

Technische Massnahmen mit besonderer Relevanz für Schaffhausen

  • VPN-Sicherheit und Zugangskontrollen: Grenzüberschreitende Verbindungen müssen mit starker Verschlüsselung und Multi-Faktor-Authentifizierung gesichert sein.
  • Datenlokalisierung und -klassifizierung: Welche Daten dürfen grenzüberschreitend fliessen? Eine klare Klassifizierung ist Grundvoraussetzung für Compliance und Sicherheit.
  • Patch-Management mit Fokus auf externe Systeme: Schwachstellen in grenzüberschreitend genutzten Systemen sind besonders kritisch und müssen priorisiert werden.
  • Drittanbieter-Sicherheitsbewertung: Wer mit deutschen oder internationalen IT-Dienstleistern zusammenarbeitet, muss deren Sicherheitsstandards kennen und dokumentieren.
  • Incident-Response-Plan mit grenzüberschreitenden Aspekten: Bei einem Vorfall mit Daten von EU-Bürgern gelten besondere Meldepflichten – der Plan muss das berücksichtigen.

Kosten professioneller Cybersicherheit im Vergleich

Was ein professionelles Sicherheitsengagement für Ihr Unternehmen in Schaffhausen kostet und was es leistet, lesen Sie in unserem Überblick zu Red-Team-Kosten in der Schweiz. Im Vergleich zum durchschnittlichen Schadensfall – CHF 195’000 nur an direkten Kosten – ist professionelle Sicherheitsberatung eine überschaubare Investition.

Hinzu kommt: Ein nachweisbares Sicherheitsniveau wird im Rahmen von NIS2-Compliance-Anforderungen Ihrer EU-Partner zunehmend zur Marktzugangsvoraussetzung. Die Investition zahlt sich doppelt aus – als Schutz und als Wettbewerbsvorteil.

Fazit

Schaffhausen ist ein Industriestandort mit globalen Verflechtungen, anspruchsvollen Branchen und einer geografisch bedingten Nähe zum EU-Wirtschaftsraum, die besondere Anforderungen an IT-Sicherheit und Compliance stellt. KMU, die im Umfeld von IWC, Georg Fischer, Cilag oder Tyco tätig sind, müssen sich auf Sicherheitsanforderungen einstellen, die über den Schweizer Standard hinausgehen.

Ein professionelles Red Teaming-Engagement ist der wirksamste Weg, die eigene Sicherheitslage realistisch einzuschätzen – und bei Auftraggebern oder Partnern nachzuweisen, dass man das Thema ernst nimmt.

Cybersecurity Switzerland bietet Sicherheitstests und Beratung für KMU im Raum Schaffhausen ab CHF 11’900, massgeschneidert auf die spezifische Risikolage in grenznahen Industrie- und Handelsstandorten.

Vereinbaren Sie jetzt ein unverbindliches Erstgespräch – diskret, praxisorientiert und auf die Realität Ihres Unternehmens zugeschnitten.