Cybersicherheit in KMU: Technik, Organisation und Führung

Sicherheitskultur im KMU - ein unterschätztes Instrument

18. März 2026

Cybersicherheit ist für Schweizer KMU längst kein Randthema mehr. Firewalls, E-Mail-Schutz, Endpoint-Security und Backups gehören heute in vielen Unternehmen zur Grundausstattung der IT. Trotz steigender Investitionen in IT-Sicherheit nehmen Sicherheitsvorfälle in KMU jedoch weiter zu.

Der Grund liegt dabei selten in fehlenden technischen Investitionen. Viel häufiger entwickeln sich Angriffe schneller und gezielter, als Organisationen ihre Abläufe, Verantwortlichkeiten und Verhaltensweisen anpassen. Gleichzeitig wächst die Abhängigkeit von funktionierender IT in nahezu allen Geschäftsprozessen.

Viele KMU bewegen sich genau in diesem Spannungsfeld. Die Technik ist zwar vorhanden, doch das Unternehmen als Ganzes ist damit noch lange nicht ausreichend vorbereitet. Dieser Artikel zeigt, wo die Grenzen technischer Sicherheitsmassnahmen liegen, welches entscheidende Element häufig fehlt und wie KMU realistisch einschätzen können, wo sie heute stehen.

Technik als Schutzmauer

Technische Schutzmassnahmen sind unverzichtbar. Sie bilden die Schutzmauer eines Unternehmens und halten einen grossen Teil automatisierter Angriffe zuverlässig fern. Ohne ihren Einsatz wäre ein stabiler IT-Betrieb heute kaum möglich.

Wie jede Schutzmauer ist jedoch auch diese nie vollkommen lückenlos. Ihre Wirksamkeit hängt davon ab, wie sie geplant, woraus sie gebaut und wie sie instand gehalten wird. Fehlkonfigurationen, verspätete Updates oder unvollständige Integration von Hard- und Software sind selbst in gut gepflegten Umgebungen nicht vollständig vermeidbar. Mit der Zeit entstehen Risse, kleine Öffnungen oder schlecht gesicherte Übergänge, die Angriffe von aussen ermöglichen können.

Hinzu kommt, dass laufend neue, teils kritische Schwachstellen entstehen, die von Angreifern oft bereits ausgenutzt werden, bevor sie von den Herstellern behoben werden konnten. Solche Zero-Day-Schwachstellen lassen sich technisch kaum erkennen und können unbemerkt über längere Zeit Zugriff auf besonders sensible Unternehmensdaten ermöglichen. Gut abgesicherte Umgebungen melden im besten Fall Verhaltensauffälligkeiten bei Systemen und unterbinden zumindest einen ungewollten Datenabfluss.

Besonders wirkungsvoll sind Angriffe jedoch dort, wo die Schutzmauer an ihre natürlichen Grenzen stösst und menschliche Schwachstellen ausgenutzt werden. Das zeigt sich insbesondere bei Spear-Phishing- oder Business-E-Mail-Compromise-Angriffen, die gezielt Vertrauen, etablierte Abläufe und vertraute Kommunikationsmuster missbrauchen. Mitarbeitende werden dabei zu Handlungen verleitet, die sie unter normalen Umständen hinterfragen würden, etwa zur Weitergabe von Zugangsdaten, zum Auslösen von Zahlungen oder zum Öffnen präparierter Anhänge. Durch den zunehmenden Einsatz von KI wirken solche Nachrichten heute stark personalisiert, sprachlich unauffällig und inhaltlich stimmig. Klassische Warnsignale, an denen verdächtige E-Mails früher erkannt werden konnten, fehlen zunehmend.

E-Mail-Schutz (z. B. Spam- und Phishing-Filter) kann viele dieser Angriffe abfangen, jedoch nicht alle – insbesondere dann nicht, wenn Nachrichten von legitimen bzw. kompromittierten Absendern stammen.

Die entscheidende Frage ist daher nicht nur, wie sich die Schutzmauer kontinuierlich nachbessern lässt, sondern was KMU zusätzlich tun müssen, damit Angriffe, die an ihr vorbeiziehen, rechtzeitig erkannt und gestoppt werden können.

Die eigentliche Schwachstelle

Ob ein KMU einen Cyberangriff besser oder schlechter übersteht, entscheidet sich primär daran, ob die Geschäftsleitung überhaupt mit einem solchen Ereignis rechnet und sich und die Mitarbeitenden entsprechend darauf vorbereitet hat. Wer den Ernstfall strategisch und operativ berücksichtigt, klärt Zuständigkeiten, plant und testet Abläufe und Wiederherstellungen von Systemen und trifft weitere angemessene Vorsorgemassnahmen.

Wer Cybervorfälle hingegen für unwahrscheinlich hält und sich dabei zu stark auf technische Massnahmen verlässt, läuft Gefahr, Angriffe zu spät zu erkennen und unter Zeitdruck handlungsunfähig zu werden oder sogar kontraproduktive Entscheidungen zu treffen.

Aktuelle Zahlen der Studie „KMU Cybersicherheit 2025“ machen diese Schieflage deutlich: Zwar setzen rund zwei Drittel der befragten Schweizer KMU grundlegende technische Schutzmassnahmen um, doch nur etwa 30 Prozent verfügen über strukturierte Sicherheitskonzepte, getestete Notfallpläne oder regelmässige Awareness-Schulungen. Gerade kleinere KMU hoffen zudem, IT- und Cyberrisiken vollständig an ihren IT-Dienstleister delegieren zu können. Operative Verantwortung, Entscheidungsfähigkeit und Vorbereitung lassen sich jedoch nicht auslagern.

Sich vorgängig mit Cyberrisiken und proaktiven Gegenmassnahmen auseinanderzusetzen, ist mit einem beachtlichen Aufwand verbunden, macht im Ernstfall jedoch den entscheidenden Unterschied. Die eigentliche Frage ist daher nicht, ob sich dieser Einsatz lohnt, sondern ob man stattdessen das Risiko von Datenverlusten, langen Ausfallzeiten und geschäftlicher Handlungsunfähigkeit mit all ihren Folgen bewusst eingehen will.

KMU verfügen weder über die personellen noch über die finanziellen Ressourcen von Grosskonzernen. Umso wichtiger ist es, ein angemessenes Gleichgewicht zwischen organisatorischen und technischen Massnahmen sowie dem eigenen, vertretbaren Risikoappetit zu finden.

Sicherheitskultur macht den Unterschied

Punktuelle Sicherheitsmassnahmen – etwa Cyber-Awareness-Schulungen oder Phishing-Simulationen – können für sich genommen sehr wirkungsvoll sein und wichtige Aha-Momente auslösen. Ihre Wirkung bleibt jedoch begrenzt, solange diese als reine Compliance-Massnahmen isoliert und ohne übergeordneten Zusammenhang durchgeführt werden. Erst wenn technische und organisatorische Massnahmen aufeinander abgestimmt sind, wiederholt angewendet und fest in Unternehmensprozesse integriert werden, und sich jeder Mitarbeitende seiner Rolle in diesem System bewusst ist, entfalten sie ihre volle Wirkung. Dieses abgestimmte, gelebte Zusammenspiel bezeichnet man als Sicherheitskultur.

Ihre eigentliche Stärke zeigt sich selten im Normalbetrieb, sondern wenn es darauf ankommt: wenn ein Angriff erkannt und gemeldet wird, gewohnte Abläufe unterbrochen werden, Zeitdruck entsteht und wichtige Entscheidungen getroffen werden müssen. In solchen Situationen wird sichtbar, ob Zuständigkeiten zuvor klar geregelt wurden, Eskalationswege greifen und Mitarbeitende wissen, was zu tun ist.

Der Mehrwert einer gelebten Sicherheitskultur liegt damit nicht im störungsfreien Alltag, sondern in der Fähigkeit, auch unter Druck handlungsfähig zu bleiben. Entscheidungen werden sodann nicht situativ improvisiert, sondern erfolgen auf Basis von klar definierten Entscheidungsgrundlagen, Rollen und Verantwortlichkeiten sowie vorbereiteten, eingeübten Abläufen.

Dabei geht es ausdrücklich nicht um zusätzliche Regeln oder gar mehr Bürokratie, um nur auf dem Papier vorbereitet zu sein. Eine funktionierende Sicherheitskultur zeigt sich vor allem im vorgelebten Verhalten der Chefetage. Nur wenn Führungskräfte Sicherheitsvorgaben selbst ernst nehmen und konsequent umsetzen, schaffen sie Orientierung und Akzeptanz im gesamten Unternehmen. Fehlt dieses Vorbild, verlieren selbst gut gemeinte Massnahmen ihre Wirkung.

Darauf aufbauend lebt Sicherheitskultur davon, dass Massnahmen regelmässig und bewusst umgesetzt werden: Mitarbeitende werden kontinuierlich sensibilisiert, melden Vorfälle ohne Angst vor negativen Konsequenzen und realistische Ernstfall-Situationen werden wiederholt durchgespielt. Gerade dieser wiederkehrende und selbstverständliche Umgang mit Risiken macht Sicherheitskultur zu einem unschlagbaren Instrument. Trainings, Tests und Simulationen schaffen die Voraussetzung, um wesentliche Verhaltensweisen im Normalbetrieb und in verhältnismässig stressfreien Situationen einzuüben. Nur so bleiben wichtige Abläufe auch in entscheidenden Momenten abrufbar und helfen, signifikante Schäden durch lange Ausfallzeiten, Datenverluste oder finanzielle Einbussen einzudämmen.

Kurze Standortbestimmung

Bevor neue Massnahmen definiert werden, lohnt sich ein ehrlicher Blick auf den aktuellen Stand und die individuelle Risikolage.

Wie viele dieser Fragen können Sie für Ihr Unternehmen mit „Ja“ beantworten?

Finden regelmässige Awareness-Schulungen statt?
Wissen Mitarbeitende, welche Daten besonders schützenswert sind?
Gibt es klare Sicherheitsrichtlinien und werden sie im Alltag gelebt?
Existiert ein zentrales Meldesystem für Sicherheitsvorfälle?
Sind Notfallpläne dokumentiert und getestet?
Ist bekannt, wo alle Unternehmensdaten liegen und wer Zugriff darauf hat?
Werden Backups inklusive Wiederherstellung regelmässig getestet?
Sind Zuständigkeiten klar definiert?

Einordnung
0–3 Mal Ja: Signifikantes Risiko – zentrale Grundlagen fehlen oder sind nicht verlässlich umgesetzt.
4–6 Mal Ja: Erhöhter Handlungsbedarf – Risiken sind teilweise erkannt, Massnahmen jedoch nicht durchgängig abgestimmt oder verankert.
7–8 Mal Ja: Solide Basis mit punktuellem Verbesserungspotenzial – Sicherheitsmassnahmen greifen grundsätzlich, sollten jedoch weiter an die individuelle Risikolage angepasst und regelmässig überprüft werden.

Möchten Sie Ihre Risikolage vertieft einordnen?

Wenn Sie wissen möchten, wie gut Ihre Sicherheitsmassnahmen heute zu Ihrer tatsächlichen Risikolage passen, lohnt sich eine strukturierte Standortbestimmung.

Gemeinsam analysieren wir Ihre aktuelle Risikolage, identifizieren kritische Schwachstellen und leiten priorisierte, umsetzbare Massnahmen ab – praxisnah und auf Ihr Betrieb zugeschnitten.

Sprechen Sie mit uns über Ihre individuelle Risikolage und sinnvolle nächste Schritte.

Quellen

Studie „KMU Cybersicherheit 2025“
https://cyberstudie.ch/wp-content/uploads/2025/10/KMU-Cybersicherheit-2025.pdf