Nur 40 Prozent der Schweizer KMU fühlen sich aktuell gut auf einen Cyberangriff vorbereitet. Im vergangenen Jahr waren es noch über die Hälfte. Dies ein Befund der neuen Studie KMU Cybersicherheit 2025, welche von verschiedenen Institutionen und Unternehmen erhoben worden ist. Klar ist: Die Bedrohung aus dem Internet auf Schweizer KMU ist konstant hoch. Und eine adäquate Kombination technischer und organisatorischer Massnahmen erhöht die Abwehrfähigkeit. Hier eine Auswahl.
1. Passwörter und Zugriffsberechtigungen
Passwort-Regeln sind in einem KMU verbindlich zu definieren und konsequent umzusetzen. Passwörter müssen eine Mindestlänge von zwölf Zeichen haben und sowohl aus Gross- und Kleinbuchstaben, Zahlen sowie Sonderzeichen bestehen. Die mehrfache Verwendung gleicher Passwörter ist zu vermeiden. Hier hilft ein Passwort-Manager. Also eine Software, die Benutzernamen und verschiedene Passwörter mittels Verschlüsselung sowie eines komplexen Masterpasswortes verwaltet. Hinzu kommt: Nur die wenigsten Angestellten eines KMU benötigen in der Regel weitreichende Zugriffsrechte auf die Firmen-IT. Es gilt: Mitarbeitende erhalten nur so viele Rechte, wie sie für ihre Arbeit tatsächlich brauchen. Insbesondere sollte ein KMU die Rechte für Installationen jeglicher Software unterbinden.
2. Mitarbeiterschulung, Internet-Auftritt und soziale Medien
Die Sensibilisierung aller Mitarbeitenden eines KMU bezüglich der IT-Infrastruktur ist von zentraler Bedeutung. Darum sollte auch ein KMU seine Angestellten regelmässig schulen, mit potenziellen Gefahren aus der digitalen Welt richtig umzugehen. Auf mögliche Cyber-Angriffe sensibilisierte Angestellte wissen besser, wie sie sich mit E-Mail und Internet im Unternehmen zu verhalten haben. Ein KMU muss sich auch genau überlegen, wie viele und welche Informationen es beispielsweise auf der eigenen Website oder in den sozialen Medien zur Verfügung stellt. Nutzen und Risiken solch öffentlicher Informationen sind jeweils gegeneinander abzuwägen.
3. Regelmässige Datensicherung
Jedes KMU muss einen Prozess für die regelmässige Datensicherung (Backup) festlegen und diesen auch konsequent einhalten. Die Datensicherung selbst kann an eine externe, spezialisierte IT-Firma ausgelagert werden. Das Sichern der Daten sollte zudem regelmässig überprüft werden, indem Backups eingespielt werden. Dies hilft der Firma, sich mit dem Prozess vertraut zu machen, wenn das Unternehmen tatsächlich einmal darauf angewiesen ist. Das Backup selbst, muss offline, das heisst zum Beispiel auf einer externen Festplatte, gespeichert werden.
| Mitarbeitende in KMU kommunizieren via ... | So hoch ist die Nutzung (in Prozent) bei den befragten Unternehmen |
| 95 | |
| Telefon | 89 |
| Messenger-Dienst | 56 |
| Online-Konferenzen | 38 |
| Soziale Medien | 20 |
| Online-Beratungen oder -Schulungen | 13 |
4. Virenschutz und Firewall
Auf jedem Computer muss ein Virenschutz installiert sein, der regelmässig aktualisiert wird. Ebenfalls regelmässig sollten vollständige Systemscans durchgeführt werden. Zum Beispiel einmal pro Woche. Zusätzlich sollte ein KMU auf jedem seiner Computer eine Firewall verwenden. Eine Firewall ist ein Sicherheitssystem, das das Netzwerk überwacht und steuert sowie unbefugten den Zugriff verweigert. Die Firewall-Regeln definieren, welche ein- und ausgehenden Verbindungen erlaubt sein sollen und welche nicht.
