35’727 Cybervorfallmeldungen beim Bundesamt für Cybersicherheit (BACS) im ersten Halbjahr 2025 allein. 4–5 Prozent der Schweizer KMU wurden in den letzten Jahren Opfer von Cyberkriminalität – das entspricht hochgerechnet rund 24’000 Firmen. 73 Prozent der Betroffenen erlitten finanzielle Schäden. Der durchschnittliche Schaden eines Ransomware-Angriffs auf ein Schweizer KMU liegt bei rund einer Million Franken. Und trotzdem halten nur 33 Prozent der KMU Cybersicherheit für wichtig (KMU Cybersicherheit 2025, FHNW / Mobiliar). Dieser Leitfaden erklärt, welche Bedrohungen real sind, was ein Angriff kostet, was das Schweizer Recht verlangt, und welche Massnahmen ein KMU zwingend umsetzen sollte – geordnet nach Budget und Dringlichkeit.
| → KEY TAKEAWAYS
• Schweizer KMU sind häufige Angriffsziele: Nicht weil sie besonders interessant sind, sondern weil sie schlecht geschützt sind. 14 % fühlen sich „sehr schlecht“ geschützt; nur 42 % halten ihren Schutz für ausreichend (KMU Cyberstudie 2025). • Ein einziger erfolgreicher Ransomware-Angriff kostet ein Schweizer KMU im Schnitt rund CHF 1 Mio. – inklusive Betriebsausfall, Wiederherstellung und Reputationsschaden. Die günstigsten Schutzmassnahmen (MFA, Updates, Backup) kosten einen Bruchteil davon. • Neues Recht: Seit 1. April 2025 müssen Betreiber kritischer Infrastrukturen Cyberangriffe innerhalb von 24 Stunden beim BACS melden. Seit 1. Oktober 2025 drohen Bussen bis CHF 100’000 bei unterlassener Meldung. Das revDSG verlangt seit 2023 angemessenen Datenschutz und 72-h-Meldepflicht an EDÖB. • Der grösste Hebel ist nicht Technologie, sondern Mensch: 80–95 % aller Cyberangriffe beginnen mit einer menschlichen Fehlaktion – Klick auf Phishing-Link, schlechtes Passwort, ungenügende Update-Disziplin. Schulung und Bewusstsein sind der wirksamste und günstigste Schutz. • Sofortmassnahmen (ohne grossen Aufwand): Multi-Faktor-Authentifizierung (MFA) aktivieren, Software aktuell halten, Offline-Backup einrichten, Incident-Response-Plan erstellen. Diese vier Massnahmen kosten weniger als CHF 1’000 und reduzieren das Risiko massiv. • Nur 31 % der KMU schulen Mitarbeitende regelmässig. Nur die Hälfte hat Passwortrichtlinien. 40 % haben keinen Notfallplan. Das sind die grössten Schwachstellen – und sie sind schnell zu beheben. |
KENNZAHLEN — Cybersicherheit Schweiz 2025
Aktuelle Zahlen auf einen Blick
| 35’727
Cybervorfallmeldungen beim BACS 2025/1 |
4–5%
Schweizer KMU wurden Opfer von Cyberkriminalität |
~1 Mio.
CHF durchschn. Schaden bei Ransomware-Angriff auf KMU |
73%
der betroffenen KMU erlitten finanziellen Schaden |
31%
der KMU führen regelmässige Mitarbeiter-Schulungen durch |
CHF 100’000
maximale Busse bei unterlassener Meldepflicht (seit Okt. 2025) |
01 — Warum Cybersicherheit auch Ihr KMU betrifft
Warum Cybersicherheit auch Ihr KMU betrifft
Die häufigste Fehlannahme im Schweizer KMU: „Uns will doch niemand angreifen – wir sind zu klein und haben nichts zu holen.“ Diese Annahme ist faktisch falsch – und gefährlich.
Moderne Cyberangriffe, insbesondere Ransomware, sind automatisiert. Angreifer scannen das Internet nicht nach wichtigen Unternehmen, sondern nach einfachen Zielen. Ein schlecht geschütztes KMU mit veralteter Software ist ein attraktiveres Ziel als ein gut geschützter Grosskonzern. Und die Beute lohnt sich: Ein einzelner Ransomware-Angriff auf ein KMU kann im Schnitt CHF 1 Million kosten.
| 4 GRÜNDE, WARUM KMU BESONDERS GEFÄHRDET SIND
1. Schlechterer Schutz, häufigeres Ziel: KMU haben oft weniger Budget, weniger IT-Personal und weniger Security-Know-how als Grossunternehmen. Für Angreifer, die massenhaft automatisiert scannen, sind sie „low hanging fruit“. 2. Lieferketten-Einfallstor: KMU sind oft in Lieferketten eingebunden – als Lieferant oder Dienstleister für grössere Unternehmen. Ein Angriff auf das KMU kann als Brückenkopf für Angriffe auf Kunden oder Partner dienen (Xplain/Concevis-Fall). 3. Daten haben immer einen Wert: Kundendaten, Finanzinformationen, Personalakten, Konstruktionsdaten, Lieferantenkontrakte – fast jedes Unternehmen hat Daten, die einen Wert für Kriminelle haben. 4. Wiederherstellung dauert länger: Ohne Notfallplan und geprüfte Backups dauert die Wiederherstellung nach einem Angriff 5–7 Tage. Bei einem produzierenden Betrieb entspricht das einem massiven Umsatzverlust. |
02 — Die Bedrohungslage in der Schweiz
Was das BACS meldet: Die Bedrohungslage 2025
Das Bundesamt für Cybersicherheit (BACS) ist das Kompetenzzentrum des Bundes und veröffentlicht Halbjahresberichte über die Cybersicherheitslage in der Schweiz. Die Zahlen sind eindeutig: Die Bedrohung bleibt auf hohem Niveau.
| BACS HALBJAHRESBERICHT 2025/1 – ZENTRALE BEFUNDE
35’727 freiwillige Meldungen zu Cybervorfällen beim BACS im ersten Halbjahr 2025 – auf hohem Niveau stabilisiert. 58 % der Meldungen entfallen auf „Betrug“: Phishing, Voice-Phishing, Real-Time-Phishing, Online-Anlagebetrug. Ransomware: 57 gemeldete Vorfälle im H1/2025 – mehrheitlich von Unternehmen. Variantem „Akira“ und „LockBit“ dominieren. Lieferkettenangriffe: Ein Angriff auf IT-Unternehmen kann alle deren Geschäftskunden treffen (als kritisch eingestuft). KI-unterstützte Angriffe: Angreifer nutzen zunehmend KI für überzeugendere Phishing-E-Mails und Audio-Deepfakes von Führungskräften. Neue Methode 2025: SMS-Blaster – Geräte, die Mobilfunkantennen simulieren und Phishing-SMS direkt an Geräte in der Umgebung senden. |
Der BACS Halbjahresbericht 2025/2 ergänzt: Im zweiten Halbjahr 2025 gingen 29’006 freiwillige Meldungen sowie 145 meldepflichtige Cybervorfälle ein. Die Angriffe werden gezielter und nutzen verstärkt lokale Besonderheiten wie bekannte Schweizer Treueprogramme als Vorwand. 57’761 Straftaten wurden 2025 mit digitalem Tatvorgehen erfasst.
03 — Die wichtigsten Angriffstypen
Die wichtigsten Angriffstypen erklärt
| Angriffstyp | Wie es funktioniert | Typische Folgen | Häufigkeit CH | Was hilft (Basis) |
| Ransomware (Erpressungs- trojaner) | Schadsoftware verschlüsselt alle Daten; Angreifer fordern Lösegeld (häufig 5–80k CHF in Bitcoin) | Betrieb komplett lahmgelegt; 5–7 Tage Ausfallzeit; Ø Schaden 1 Mio. CHF | Häufig; 9 % aller meldepfl. Vorfälle H2/2025 | Aktuelle Backups (offline); Patch-Management; E-Mail-Filter; Mitarbeiterschulung |
| Phishing (E-Mail-Betrug) | Täuschend echte E-Mails verleiten Mitarbeitende, Passwörter einzugeben oder Anhänge zu öffnen; KI macht Angriffe immer überzeugender | Zugangsdaten kompromittiert; Einstürzpunkt für Folgeangriffe; CEO-Fraud möglich | Sehr häufig; ~10’000 Meldungen 2023 | Schulung; Multi-Faktor-Authentifizierung (MFA); E-Mail-Filter; DMARC/SPF |
| CEO-Fraud (Business Email Compromise) | Angreifer geben sich als CEO oder CFO aus und fordern dringende Überweisungen an externe Konten | Direkter Geldverlust; typisch CHF 5’000–250’000; wird oft erst spät entdeckt | Ca. 350 Fälle/Jahr CH | Zahlungsfreigabe mit 4-Augen-Prinzip; Callback-Verifikation; Schulung |
| DDoS (Verfügbarkeits- angriff) | Massenhafter Traffic überlastet Website oder Dienste; oft durch Hacktivisten oder Erpresser | Website/Webshop offline; Reputation; bei kritischen Diensten gravierend | Zunehmend; 16 % meldepfl. Vorfälle | CDN-Anbieter; DDoS-Schutz-Services (Cloudflare, Akamai) |
| Malware / Spyware | Schadsoftware installiert sich via Drive-by, USB, E-Mail-Anhang; stiehlt Daten oder legt Backdoors | Datenverlust; Industriespionage; langfristige unbemerkte Präsenz | 10 % meldepfl. Vorfälle H2/2025 | Endpoint-Protection (EDR/XDR); reguläre Updates; Softwarekontrolle |
| Lieferketten- angriff (Supply Chain) | Angriff über Software-Lieferanten oder IT-Dienstleister; Schadcode wird vor Lieferung eingepflanzt | Unternehmen getroffen, obwohl eigene Systeme nicht direkt angegriffen; Concevis-Fall 2023 | Wachsend; Besonders nach Xplain | Lieferanten-Security-Audits; Softwareherkunft prüfen; Zero-Trust-Prinzip |
| Zugangsdaten- diebstahl | Gestohlene Passwörter (aus Datenlecks oder Phishing) für Einbruch in Systeme genutzt | VPN, E-Mail, Cloud-Zugang kompromittiert; Ausgangspunkt für grösseren Angriff | 12 % meldepfl. Vorfälle H2/2025 | MFA; Passwortmanager; kein Passwort-Recycling; Credential-Monitoring |
04 — Was ein Cyberangriff wirklich kostet
Was ein Cyberangriff wirklich kostet: Die vollständige Rechnung
Die Kosten eines Cyberangriffs werden von den meisten KMU massiv unterschätzt. Sie bestehen nicht nur aus dem Lösegeld (das man laut BACS und Strafverfolgungsbehörden nicht bezahlen sollte), sondern aus einem breiten Kostenspektrum.
| DIE VOLLSTÄNDIGE KOSTENKALKULATION EINES RANSOMWARE-ANGRIFFS
Betriebsunterbrechung: 5–7 Tage Totalausfall. Bei CHF 50’000 Umsatz/Monat = CHF 8’000–12’000 direkter Umsatzverlust. IT-Wiederherstellung: Neuaufsetzen von Systemen, Datenwiederherstellung, externe Forensiker: CHF 10’000–50’000. Datenverlust: Wenn kein Backup vorhanden oder Backup auch verschlüsselt: Verlust aller Geschäftsdaten. Möglicherweise endgültig. Reputationsschaden: Kunden verlassen das Unternehmen; Lieferanten zweifeln an der Verlässlichkeit. Schwer zu quantifizieren, oft langfristig schwerwiegend. Rechtliche Kosten: revDSG-Meldepflicht verletzt? EDÖB-Untersuchung, anwaltliche Begleitung: CHF 5’000–20’000+. Lösegeld (wenn bezahlt): CHF 5’000–80’000 üblicherweise. KEINE Garantie, dass Daten zurück oder nicht veröffentlicht werden. Ergebnis: Gesamtschaden eines typischen Ransomware-Angriffs auf ein Schweizer KMU: CHF 50’000–1’500’000. Branchenberichte nennen einen Durchschnittswert von rund CHF 1 Million. |
„Ein Ransomware-Angriff kostet ein Schweizer KMU im Durchschnitt rund eine Million Franken – inklusive Betriebsausfall, Wiederherstellungskosten und Reputationsschäden. Die Kosten für einen professionellen Notfallplan? Ein Bruchteil davon.“
– Cybersecurity-Schweiz.com, 2026
Vergleich: Präventionskosten vs. Schadenskosten. Ein minimaler Grundschutz (MFA + Backup + Schulung) kostet CHF 1’000–3’000 pro Jahr. Das entspricht 0.1–0.3 % des Schadens bei einem erfolgreichen Angriff. Investitionen in Cybersicherheit sind keine Kosten – sie sind Risikoversicherung.
05 — Was das Schweizer Recht verlangt
Was Schweizer KMU gesetzlich müssen: revDSG, ISG und Meldepflichten
Das revidierte Datenschutzgesetz (revDSG, seit September 2023)
Das revDSG gilt für alle Schweizer Unternehmen, die Personendaten bearbeiten – also praktisch für jedes KMU. Es verlangt „angemessene technische und organisatorische Massnahmen“ zum Schutz personenbezogener Daten. Was „angemessen“ bedeutet, hängt vom Risiko ab.
Bei Datenpannen (Datenschutzverletzungen) bestimmter Schwere besteht eine 72-Stunden-Meldepflicht an den EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter). Das revDSG sieht Sanktionen für Verstösse vor.
Das Informationssicherheitsgesetz (ISG) und die Meldepflicht ab 1. April 2025
Seit 1. April 2025 sind Betreiber kritischer Infrastrukturen verpflichtet, erhebliche Cyberangriffe innerhalb von 24 Stunden an das BACS zu melden. Die Erstmeldung muss Art des Vorfalls, betroffene Systeme und erste Auswirkungseinschätzung enthalten. Innerhalb von 14 Tagen ist eine Detailmeldung nachzureichen.
Seit 1. Oktober 2025 drohen bei unterlassener Meldung Bussen bis CHF 100’000. Das betrifft nicht nur staatliche Organisationen, sondern auch privatwirtschaftliche Betreiber kritischer Infrastrukturen (Energie, Wasser, Gesundheit, Transport, IT/Telekommunikation, Banken).
| CHECKLISTE RECHTLICHE ANFORDERUNGEN FÜR SCHWEIZER KMU
✓ revDSG: Verzeichnis der Datenbearbeitungen erstellt (Datenschutz-Inventar)? ✓ revDSG: Datenschutzerklärung auf Website und Einwilligungskonzept vorhanden? ✓ revDSG: Prozess für 72-h-Meldung an EDÖB bei Datenpannen vorhanden? ✓ ISG: Gehört Ihr Unternehmen zu kritischen Infrastrukturen? Falls ja: 24-h-Meldeprozess ans BACS eingerichtet? ✓ Allgemein: Schriftliche IT-Sicherheitsrichtlinie vorhanden? ✓ Allgemein: IT-Sicherheitsverantwortlicher designiert (intern oder extern)? |
06 — Die wichtigsten Schutzmassnahmen
Die wichtigsten Schutzmassnahmen im Überblick
Die folgende Tabelle zeigt die wichtigsten Schutzmassnahmen nach Aufwand, Kosten und Wirkung. Massnahmen, die sofort umgesetzt werden sollten, sind in der letzten Spalte markiert.
| Massnahme | Aufwand | Kosten/Jahr | Wirkung | Sofort tun? | Quelle/Empfehlung |
| Multi-Faktor- Authentifizierung (MFA) | Gering | CHF 0–300 (Microsoft/Google) | Sehr hoch: blockiert > 99 % aller Passwort-Angriffe | JA | BACS; Microsoft; NIST |
| Regelmässige Software- Updates & Patching | Gering | CHF 0 (Zeit) | Hoch: schliesst bekannte Angriffsvekt. | JA | BACS; CIS Controls |
| Offline- / Immutable Backup (3-2-1-Regel) | Mittel | CHF 500–5’000 | Sehr hoch: einzige Rettung bei Ransomware | JA | BACS; ITSec4KMU |
| Mitarbeiterschulung & Phishing-Simulation | Mittel | CHF 500–2’000/J. | Sehr hoch: 80–95 % der Angriffe nutzen mensch. Fehler | JA | KMU Cyberstudie 2025 |
| Endpoint Detection & Response (EDR/XDR) | Mittel | CHF 1’200–6’000/J. | Hoch: erkennt Schadsoftware in Echtzeit | Frühzeitig | BACS; CrowdStrike; SentinelOne |
| Passwortmanager & Passwortrichtlinien | Gering | CHF 0–500 | Hoch: verhindert Passwort-Recycling | JA | BACS; AXA-KMU-Studie 2025 |
| E-Mail-Sicherheit (DMARC/SPF/DKIM) | Mittel | CHF 0–300 | Hoch: reduziert Phishing und CEO-Fraud drastisch | JA | BACS; Cloudflare |
| Incident Response Plan & Notfallkontakte | Mittel | CHF 500–1’500 (einmalig) | Sehr hoch: reduziert Schaden bei Angriff um 60–80 % | JA | BACS; ITSec4KMU |
| Netzwerksegmentierung & Firewall | Mittel-Hoch | CHF 1’000–5’000 | Mittel–Hoch: begrenzt Ausbreitung von Angriffen | Mittelfristig | CIS Controls; NIST |
| Vulnerability Mgmt. (regelm. Pen-Test) | Hoch | CHF 3’000–15’000/J. | Hoch: findet Schwachstellen bevor Angreifer sie finden | Mittelfristig | Zerberos; BACS |
| Cyberversicherung | Gering | CHF 1’000–5’000/J. | Finanzieller Schutz bei Schadensereignis | Empfohlen | Mobiliar; Zurich; AXA |
| CISO-as-a-Service (externer CISO) | Mittel | CHF 6’000–24’000/J. | Hoch: strategische Führung ohne Vollzeit | Bei Wachstum | Handelszeitung; BACS |
07 — Budget-Orientierung
Wie viel Cybersicherheit braucht Ihr KMU? Budget nach Unternehmensgrösse
Es gibt keine universelle Antwort auf die Frage, wie viel ein KMU in Cybersicherheit investieren soll. Als Orientierung: Internationale Empfehlungen liegen bei 5–15 % des IT-Budgets für Cybersicherheit. Für kleine Unternehmen ohne formal definiertes IT-Budget gelten folgende Richtwerte:
| Unternehmensgrösse | Empfohlenes Jahresbudget Cybersicherheit | Pflichtmassnahmen | Empfohlene Massnahmen |
| Micro-KMU (1–4 MA) | CHF 500–2’000/Jahr | MFA (gratis via MS/Google); regelm. Updates; Passwortmanager; Backup auf externer Festplatte oder Cloud | Mitarbeiterschulung (Selbststudium BACS-Material); E-Mail-Filter; revDSG-Compliance prüfen |
| Kleines KMU (5–19 MA) | CHF 2’000–8’000/Jahr | MFA; Backup (3-2-1); EDR-Basisschutz; Passwortmanager; E-Mail-Sicherheit; Incident-Response-Plan (1 Seite) | Schulung (1×/Jahr); Cyberversicherung; IT-Dienstleister mit Sicherheitsfokus; DMARC/SPF |
| Mittleres KMU (20–49 MA) | CHF 8’000–25’000/Jahr | Alle Basisschutz-Massnahmen; EDR/XDR; Netzwerksegmentierung; Notfallplan; revDSG-Prozesse | Jahrlicher Pen-Test; Phishing-Simulation; Cyberversicherung; CISO-as-a-Service; ISMS-Ansatz |
| Grosses KMU (50–249 MA) | CHF 25’000–100’000/Jahr | Vollständiges Security-Framework (ISO 27001 oder CIS Controls); ISMS; SIEM; Vulnerability Management | Security Operations Center (SOC); Red-Team-Übungen; Lieferketten-Audits; ISG-Meldeprozesse (kritische Infrastrukturen) |
Wichtigste Erkenntnis: Der grösste Fehler ist, gar nichts zu tun. Vier Basisschutz-Massnahmen (MFA, Updates, Backup, Schulung) kosten fast nichts und bieten erheblichen Schutz gegen die häufigsten Angriffsvektoren.
08 — Sofortmassnahmen: Was Sie heute noch tun können
Was Sie heute noch tun können: Die 5 wichtigsten Sofortmassnahmen
Sofortmassnahme 1: Multi-Faktor-Authentifizierung (MFA) aktivieren
MFA ist die wirksamste Einzelmassnahme gegen Passwortangriffe. Sie bedeutet: Neben Passwort wird ein zweiter Faktor benötigt (SMS-Code, Authenticator-App, Hardware-Token). Microsoft analysiert: MFA blockiert über 99 % aller account-basierten Angriffe. Kosten: Microsoft Authenticator und Google Authenticator sind kostenlos. Umsetzung für Microsoft 365 oder Google Workspace: 30 Minuten Konfiguration.
Sofortmassnahme 2: Software und Betriebssystem aktuell halten
Die meisten Cyberangriffe nutzen bekannte Schwachstellen in veralteter Software. Automatische Updates für Windows, macOS, iOS, Android und alle installierten Programme aktivieren. Kosten: Nichts. Zeitaufwand: 15 Minuten für Konfiguration. Wirkung: Sofortige Reduktion von Angriffsfläche um 50–80 %.
Sofortmassnahme 3: Offline-Backup einrichten (3-2-1-Regel)
Das 3-2-1-Backup-Prinzip: 3 Kopien der Daten, auf 2 verschiedenen Medien, davon 1 ausserhalb des Netzwerks (offline oder Air-Gapped). Nur ein Backup, das physisch oder logisch vom Netzwerk getrennt ist, bleibt bei einem Ransomware-Angriff unangetastet. Wichtig: Das Backup regelmässig testen! Ungetestete Backups sind kein Backup.
Sofortmassnahme 4: Incident-Response-Plan erstellen (1 Seite reicht)
Was tun, wenn es passiert? Eine einseitige Checkliste genügt. Sie sollte enthalten: Sofortmassnahmen (Netz trennen, relevante Personen anrufen), Notfallkontakte (IT-Dienstleister, BACS: +41 58 465 55 55, Cyberversicherung), Ablauf der Meldung (wer meldet was wann an BACS/EDÖB), Kommunikationsprotokoll (intern über Mobiltelefon, nicht über Firmen-E-Mail).
Sofortmassnahme 5: Mitarbeitende einmal pro Jahr schulen
Mindestens eine Schulung pro Jahr zu den Themen Phishing-Erkennung, sichere Passwörter und sichere Verhaltensweisen im Netz. Kosten: Kostenlose Materialien beim BACS (ncsc.admin.ch), bei ITSec4KMU (itsec4kmu.ch) und beim Schweizerischen Versicherungsverband (SVV). Zeitaufwand: 1–2 Stunden pro Mitarbeitenden. Wirkung: Reduktion erfolgreicher Phishing-Angriffe um 60–80 %.
09 — Der Notfallplan: Was tun, wenn es passiert ist?
Was tun, wenn Sie angegriffen werden? Die ersten 60 Minuten
Ein Cyberangriff ist eine Unternehmenskrise, keine reine IT-Angelegenheit. Die ersten Stunden entscheiden darüber, ob der Schaden auf ein erträgliches Mass begrenzt werden kann.
| DIE 5 SOFORTMASSNAHMEN IN DEN ERSTEN 60 MINUTEN
1. ISOLIEREN: Betroffene Geräte sofort vom Netzwerk trennen (Netzwerkkabel ziehen, WLAN deaktivieren). KEIN Neustart – Ransomware aktiviert beim Neustart oft weitere Schadroutinen. Forensische Spuren im Arbeitsspeicher erhalten. 2. ALARMIEREN: Die richtigen Personen informieren über Mobiltelefon (nicht über Firmen-E-Mail). IT-Verantwortliche, Geschäftsleitung, IT-Dienstleister, Cyberversicherung (Fristen beachten!). 3. MELDEN: Sofort: BACS unter +41 58 465 55 55 kontaktieren. Bei kritischen Infrastrukturen: 24-h-Meldepflicht gemäss ISG. Bei Datenpannen: 72-h-Meldepflicht an EDÖB gemäss revDSG. 4. DOKUMENTIEREN: Alles fotografieren und festhalten: Fehlermeldungen, Erpresserschreiben, Zeitstempel, betroffene Systeme. Diese Informationen werden für Versicherung, Anzeige und Forensik benötigt. 5. NICHT ZAHLEN: BACS und Strafverfolgungsbehörden empfehlen ausdrücklich: Kein Lösegeld zahlen. Es gibt keine Garantie, dass Daten zurückgegeben werden. Zahlung lädt zu weiteren Angriffen ein. |
10 — Externe Unterstützung: Wann Outsourcing sinnvoll ist
Externe Unterstützung: Wann Outsourcing die richtige Wahl ist
Die meisten KMU haben keine dedizierten IT-Security-Ressourcen. Das ist normal – und lösbar. Verschiedene Modelle ermöglichen professionelle Cybersicherheit ohne eigenes Vollzeit-Personal.
Managed Security Service Provider (MSSP)
Ein MSSP übernimmt als externer Dienstleister den laufenden Betrieb von Sicherheitsmassnahmen: 24/7-Monitoring, EDR-Management, Patch-Management, Alert-Handling. Kosten: CHF 500–2’000/Monat je nach Leistungsumfang. Sinnvoll für KMU ab 10 Mitarbeitenden ohne eigene IT-Abteilung.
CISO-as-a-Service (Chief Information Security Officer)
Ein externer CISO steht 1–2 Tage pro Monat zur Verfügung und übernimmt die strategische Security-Führung: Risikobewertung, Sicherheitsrichtlinien, Lieferantenprüfung, Incident-Response-Koordination. Kosten: CHF 500–2’000/Monat. Sinnvoll für wachsende KMU mit erhöhtem Schutzbedarf.
IT-Dienstleister mit Sicherheitsfokus
Viele Schweizer IT-Dienstleister bieten Sicherheitsdienstleistungen an. Wichtig bei der Auswahl: Sicherheitskompetenzen explizit nachfragen, Referenzen prüfen, SLA mit Security-Anforderungen vereinbaren. Achtung: Ein Lieferkettenangriff über den IT-Dienstleister ist möglich (Concevis-Fall 2023) – auch IT-Dienstleister sollten auditiert werden.
11 — Cyberversicherung
Cyberversicherung: Sinn oder Geldverschwendung?
Eine Cyberversicherung ist keine Alternative zu Sicherheitsmassnahmen – sie ist eine Ergänzung für den Fall, dass trotz allem etwas passiert. Die meisten Versicherer verlangen vor Abschluss eine Mindest-Security-Hygiene (MFA, Backup, etc.) und bieten dafür Deckung bei:
- Betriebsunterbrechungskosten (Ertragsausfall während Ausfall)
- IT-Forensik und Wiederherstellungskosten
- Benachrichtigungskosten (Meldung an betroffene Personen gem. revDSG)
- Rechtskosten (behördliche Untersuchungen, Datenschutzklagen)
- Krisenmanagement und PR (Reputationsschutz)
- Soforthilfe durch Spezialisten (24/7 Incident-Response-Hotline)
Kosten: CHF 1’000–5’000/Jahr je nach Unternehmensgrösse, Branche und Deckungsumfang. Anbieter in der Schweiz: Mobiliar, Zurich, AXA, Helvetia und weitere. Empfehlung: Ab einem Jahresumsatz von CHF 500’000 und digitaler Geschäftstätigkeit ist eine Cyberversicherung sinnvoll.
RESSOURCEN — Hilfe für Schweizer KMU
| KOSTENLOSE SCHWEIZER RESSOURCEN FÜR KMU-CYBERSICHERHEIT
BACS (Bundesamt für Cybersicherheit): ncsc.admin.ch – Meldeplattform, Lageberichte, KMU-Merkblätter, Notfall-Hotline +41 58 465 55 55 ITSec4KMU: itsec4kmu.ch – Schweizer Verein mit kostenlosen Tools, Cyber-Score, Schulungsmaterial und Veranstaltungen EDÖB (Datenschutzbeauftragter): edoeb.admin.ch – revDSG-Informationen, Meldepflicht, Beratung SECO KMU-Portal: kmu.admin.ch – Übersicht Datenschutzpflichten und Informationssicherheit Swiss Internet Security Alliance (SISA): internetsecurity.ch – Awareness-Kampagnen, Selbst-Check-Tools policeICT / Kantonspolizeien: Anzeigenerstattung bei Cyberkriminalität; cybercrimepolice.ch |
12 — Häufige Fragen (FAQ)
FAQ: Cybersicherheit für Schweizer KMU
Was ist die wichtigste Einzelmassnahme gegen Cyberangriffe?
Multi-Faktor-Authentifizierung (MFA). Microsoft analysiert, dass MFA über 99 % aller Passwort-basierten Angriffe blockiert. MFA über Microsoft Authenticator oder Google Authenticator ist kostenlos, kann in 30 Minuten eingerichtet werden und schützt alle Cloud-Dienste (E-Mail, Microsoft 365, OneDrive, Banking). Wenn Sie nur eine Sache tun: MFA aktivieren.
Muss unser KMU Cyberangriffe melden?
Seit 1. April 2025 sind Betreiber kritischer Infrastrukturen gemäss ISG verpflichtet, erhebliche Cyberangriffe innerhalb von 24 Stunden beim BACS zu melden. Seit 1. Oktober 2025 drohen bei Verletzung dieser Pflicht Bussen bis CHF 100’000. Ausserdem: Bei Datenpannen bestimmter Schwere müssen alle Unternehmen gemäss revDSG innerhalb von 72 Stunden den EDÖB informieren. Auch wenn keine Pflicht besteht, empfiehlt das BACS, Vorfälle freiwillig zu melden.
Was ist die 3-2-1-Backup-Regel?
Die 3-2-1-Regel ist der Goldstandard für Backups: 3 Kopien der Daten, auf 2 verschiedenen Medientypen (z.B. externe Festplatte + Cloud), davon 1 ausserhalb des Netzwerks (offline, Air-Gapped oder offsite). Nur ein vom Netzwerk physisch getrenntes Backup bleibt bei einem Ransomware-Angriff integr. Wichtig: Das Backup regelmässig testen! Mindestens einmal jährlich eine vollständige Wiederherstellung durchspielen.
Sollen wir Lösegeld bei einem Ransomware-Angriff zahlen?
Nein. Das BACS, die Strafverfolgungsbehörden und Security-Experten raten ausdrücklich davon ab. Gründe: Keine Garantie, dass Daten tatsächlich entschlüsselt werden. Die Daten werden trotzdem oft veröffentlicht. Zahlung finanziert weitere Angriffe. Das Unternehmen wird als zahlungswilliges Ziel markiert. Melden Sie stattdessen den Vorfall beim BACS.
Was verlangt das revDSG konkret von KMU?
Das revidierte Datenschutzgesetz (revDSG, seit September 2023) verlangt: Angemessene technische und organisatorische Massnahmen zum Schutz von Personendaten. Verzeichnis der Datenbearbeitungsaktivitäten (Datenschutz-Inventar). Datenschutzerklärung. Datenbearbeitungsverträge mit Auftragsbearbeitern. Bei Datenpannen: 72-h-Meldung an EDÖB, wenn eine hohe Verletzung der Persönlichkeit betroffener Personen nicht ausgeschlossen werden kann.
Wie viel sollte ein KMU für Cybersicherheit ausgeben?
Als Faustregel: 5–15 % des IT-Budgets sollten für Sicherheit aufgewendet werden. Ohne formales IT-Budget: Micro-KMU (1–4 MA): CHF 500–2’000/Jahr. Kleines KMU (5–19 MA): CHF 2’000–8’000/Jahr. Mittleres KMU (20–49 MA): CHF 8’000–25’000/Jahr. Diese Investitionen stehen dem durchschnittlichen Schadenspotenzial von CHF 1 Million gegenüber.
Was soll ich zuerst tun – wo fange ich an?
Starten Sie mit diesem Vier-Punkte-Sofortplan, der weniger als einen Tag kostet: (1) MFA für alle wichtigen Konten (E-Mail, Cloud, Banking, VPN) aktivieren. (2) Automatische Updates auf allen Geräten einschalten. (3) Backup einrichten nach 3-2-1-Regel und einmal testen. (4) Eine einseitige Notfall-Checkliste schreiben: Wer ist für was zuständig, welche Nummern werden angerufen? Danach: kostenloser Cyber-Score auf itsec4kmu.ch für eine individuelle Standortbestimmung.
Quellen: BACS Halbjahresbericht 2025/1 (35’727 Meldungen H1/2025; 57 Ransomware-Vorfälle; Akira/LockBit; SMS-Blaster); BACS Halbjahresbericht 2025/2 (29’006 Meldungen; 145 meldepflichtige Vorfälle; 57’761 Straftaten mit digitalem Tatvorgehen 2025); KMU Cybersicherheit 2025 (FHNW/ADSS/Mobiliar/YouGov: 33 % halten Cybersicherheit wichtig; 42 % fühlen sich ausreichend geschützt; 73 % finanzieller Schaden; 27 % Kundendatenverlust; 31 % regelm. Schulungen); AXA KMU-Arbeitsmarktstudie 2025 (16 % mindestens einmal Opfer; 49 % Ransomware; 35 % grosse KMU betroffen; alle 8.5 Min. eine Meldung bis Okt. 2024); moneyland.ch / Cybersecurity-Schweiz.com (Ø Schaden 1 Mio. CHF); ISG/CSV Meldepflicht (seit 1. April 2025; Bussen ab 1. Oktober 2025 bis CHF 100’000); revDSG (seit September 2023; 72-h-Meldepflicht; EDÖB); Zerberos.com (ISG-Meldepflicht Details); EIZ Publishing (Cyberangriffe 2023–2025: NZZ, BERNINA, Concevis); PwC Disclose (728 Mio. USD jährl. Cyberschaden CH; Ø 6 Mio. CHF mittelständisches Unternehmen; alle 11 Sek. Ransomware-Konfrontation); ncsc.admin.ch KMU-Sensibilisierungsanlass Juni 2025 (BACS/ITSec4KMU/SVV). Stand März 2026. Alle Angaben ohne Gewähr
