Thun ist eine der sicherheitssensibelsten Städte der Schweiz – und trotzdem sind viele KMU im Wirtschaftsraum Thun und im Berner Oberland unzureichend gegen Cyberangriffe geschützt. Mit RUAG, armasuisse und einem bedeutenden Cluster von Rüstungs- und Verteidigungszulieferern konzentriert sich hier eine Branche, die für staatlich gesponserte Angreifer besonders attraktiv ist.

Thun: Verteidigungsstandort mit strategischer Bedeutung

Thun ist die Heimat des Schweizer Militärs. Die Kaserne Thun, das Kompetenzzentrum RUAG mit seiner Rüstungstechnik und armasuisse als Beschaffungsbehörde des VBS machen die Stadt zu einem Knotenpunkt sicherheitsrelevanter Technologie und Information. Dazu kommt ein breites Gewerbe, das direkt oder indirekt als Zulieferer und Dienstleister für diese Institutionen tätig ist.

Gleichzeitig ist Thun ein beliebtes Tourismuszentrum mit Zugang zum Thunersee und ins Berner Oberland. Hotels, Bergbahnen und Freizeitbetriebe sind digital vernetzt – und als Gästeverwaltung und Zahlungsabwickler mit sensiblen Personendaten konfrontiert. Diese Kombination aus Hochsicherheitsumfeld und touristischer Infrastruktur schafft eine einzigartige Risikolandschaft.

Warum Cyberangriffe auf Thuner KMU besonders folgenreich sein können

Was Thun von anderen Mittelstädten unterscheidet: Ein Cyberangriff auf einen lokalen KMU-Zulieferer des Verteidigungssektors kann weit über den betroffenen Betrieb hinaus Konsequenzen haben. Kompromittierte Netzwerke von Subunternehmern sind ein bekanntes Einstiegstor für staatlich gesponsorte Angreifer, die auf Informationen zu Rüstungsprogrammen, Logistik oder Personalbeständen abzielen.

Zahlen, die das Ausmass verdeutlichen:

  • 38 % der Cyberangriffe auf die europäische Verteidigungsindustrie 2024 begannen bei kleinen Zulieferern mit weniger als 50 Mitarbeitenden (Europol, 2025).
  • CHF 220’000 betrug der durchschnittliche Schaden eines gezielten Angriffs auf einen Schweizer Rüstungszulieferer, inklusive forensischer Kosten und Produktionsausfall.
  • 4 von 10 touristischen Betrieben im Berner Oberland verfügten 2024 über keine dokumentierte Incident-Response-Strategie (Tourismusverband Bern, 2024).
  • 2.3 Millionen persönliche Datensätze wurden 2024 in der Schweiz durch Cyberangriffe auf Gastgewerbe-KMU kompromittiert (NCSC Jahresbericht, 2024).

Branchenspezifische Risiken: Rüstung, Tourismus und Gewerbe

Rüstung und Verteidigung (Tier-2/3-Zulieferer): Die grösste Gefahr für kleine Unternehmen, die im Umfeld von RUAG oder armasuisse tätig sind, ist nicht der direkte Angriff auf die Institutionen selbst – diese sind gut geschützt. Das Einfallstor ist der Zulieferer: Ein kompromittiertes E-Mail-Konto eines Ingenieurs, ein gestohlener VPN-Zugang oder eine infizierte CAD-Datei können zum Ausgangspunkt für weitreichende Spionageoperationen werden.

Tourismus und Hotellerie: Hotels und Bergbahnen im Raum Thun verarbeiten täglich Kreditkartendaten, Reisepässe und persönliche Informationen von internationalen Gästen. Schwachstellen in Buchungssystemen, unsichere Gäste-WLANs und mangelnde Datentrennung machen diese Betriebe zu attraktiven Zielen für Datenhändler und Erpresser.

Traditionelles Gewerbe und Handwerk: Auch Handwerksbetriebe, Bauzulieferer und Detailhändler in Thun sind nicht immun. Ransomware-Angriffe unterscheiden nicht nach Branche – sie suchen das schwächste Glied in der Kette.

Wie Sie Ihr Unternehmen gegen die häufigste Angriffsmethode – Phishing – schützen, erklärt unser Leitfaden zum Phishing-Schutz für Unternehmen.

Sicherheitsanforderungen im Verteidigungsumfeld

Unternehmen, die als Lieferanten oder Dienstleister für öffentliche Auftraggeber im Verteidigungsbereich tätig sein wollen, werden zunehmend mit formalen Sicherheitsanforderungen konfrontiert. Das Bundesamt für Rüstung armasuisse und RUAG setzen bei Lieferantenqualifikationen IT-Sicherheitsnachweise voraus.

Für KMU im Raum Thun bedeutet das konkret: Wer weiterhin oder neu Verträge mit dem VBS-Umfeld anstreben will, muss seine IT-Sicherheit dokumentieren und in vielen Fällen professionell auditieren lassen. Ein Penetrationstest oder ein Red Teaming-Engagement kann dabei als Nachweisdokument dienen – und schützt das Unternehmen gleichzeitig vor realen Angriffen.

Was Red Teaming für Thuner Unternehmen bringt

Beim Red Teaming simulieren erfahrene Sicherheitsexperten einen realistischen, zielgerichteten Angriff auf Ihr Unternehmen. Das ist kein gewöhnlicher Sicherheits-Scan, sondern eine gründliche Angriffssimulation, die technische Schwachstellen, menschliche Fehler und physische Zugänge gleichermassen untersucht.

Für Unternehmen im Verteidigungsumfeld hat Red Teaming eine besondere Bedeutung: Staatlich gesponserte Angreifer sind ausdauernd, gut ausgestattet und methodisch. Nur wer die eigene Verteidigung unter realistischen Bedingungen testet, kann sicher sein, dass sie auch standhält.

Die Grundlagen professioneller IT-Sicherheit für KMU – unabhängig von der Branche – finden Sie in unserer Cybersecurity-Checkliste für KMU.

Sicherheitsmassnahmen, die für Thun besonders relevant sind

Zugangskontrolle und Privilegienverwaltung: Im Umfeld von sicherheitsrelevanten Aufträgen müssen Zugriffsrechte nach dem Minimalprinzip vergeben werden. Wer nur Rechnungen stellt, braucht keinen Zugriff auf technische Dokumente.

Verschlüsselung sensibler Kommunikation: E-Mails mit sicherheitsrelevanten Inhalten müssen verschlüsselt übertragen werden. Standard-Mailkommunikation ist für sensible Informationen nicht geeignet.

Netzwerktrennung: Gäste-WLANs in Hotels und Betrieben müssen vollständig vom internen Netzwerk getrennt sein – ein häufig vernachlässigter Punkt, der Angreifern einfachen Zugang ermöglicht.

Lieferanten-Security-Checks: Wer selbst Lieferant sicherheitssensibler Betriebe ist, sollte auch seine eigenen Lieferanten auf Sicherheitsstandards prüfen.

Dokumentierte Sicherheitsprozesse: Für Vergabeverfahren im öffentlichen Bereich ist schriftliche Dokumentation der IT-Sicherheit zunehmend Pflicht.

Kosten und Nutzen: Sicherheitsinvestitionen realistisch einschätzen

Viele KMU scheuen die Kosten für professionelle Sicherheitstests. Dabei ist die Investition im Verhältnis zum möglichen Schaden gering. Was ein professionelles Red-Teaming-Engagement kostet und was es Ihrem Unternehmen bringt, erfahren Sie in unserem Überblick zu Red-Team-Kosten in der Schweiz.

Ein weiterer Aspekt: Für KMU, die im Verteidigungsumfeld arbeiten oder öffentliche Aufträge anstreben, kann ein Sicherheitsaudit zu einem Wettbewerbsvorteil werden. Auftraggeber bevorzugen zunehmend Lieferanten, die Sicherheitsnachweise erbringen können.

Tourismusbranche: Datenschutz als Vertrauensfrage

Hotels, Ferienwohnungen und touristische Betriebe im Raum Thun und im Berner Oberland sind nach dem revidierten Datenschutzgesetz (revDSG) verpflichtet, Personendaten sicher zu verarbeiten und Datenpannen innerhalb 72 Stunden dem EDÖB zu melden. Verstösse können zu Bussen führen – und kosten vor allem das Vertrauen internationaler Gäste, das für das Berner Oberland als Tourismusdestination essenziell ist.

Konkrete Massnahmen für Tourismusbetriebe: Verschlüsselte Datenspeicherung, sichere Buchungssysteme, regelmässige Software-Updates und geschultes Personal sind die ersten Schritte. Ein professioneller Sicherheitstest zeigt, ob diese Massnahmen auch tatsächlich wirksam sind.

Fazit

Thun verbindet zwei scheinbar verschiedene Welten: den hochsicherheitsrelevanten Verteidigungsstandort und das lebendige Tourismus- und Gewerbezentrum des Berner Oberlandes. Beide Bereiche haben eines gemeinsam: sensible Daten, die schützenswert sind – und Angreifer, die das wissen.

Für KMU im Raum Thun ist professionelle Cybersicherheit keine Zusatzleistung. Sie ist Voraussetzung für Lieferfähigkeit im Verteidigungsumfeld, Pflicht nach revDSG und Schutz vor existenzbedrohenden Schäden.

Testen Sie Ihre Verteidigung, bevor ein echter Angreifer es tut: Ein Red Teaming-Engagement von Cybersecurity Switzerland deckt Ihre realen Schwachstellen auf – professionell, diskret und mit konkreten Handlungsempfehlungen. Engagements ab CHF 11’900, zugeschnitten auf KMU.

Kontaktieren Sie uns für ein unverbindliches Erstgespräch und erfahren Sie, wie sicher Ihr Unternehmen wirklich ist.