Cybersicherheit erscheint dabei oft erst später auf der Prioritätenliste, bis der erste Vorfall eintritt.

Dabei betreffen Cyberrisiken Unternehmen jeder Grösse. Tatsächlich geraten kleine und mittlere Unternehmen zunehmend ins Visier von Angreifern, weil diese häufig davon ausgehen, dass kleinere Organisationen über schwächere Sicherheitsmassnahmen verfügen.

Die gute Nachricht ist: Der Aufbau einer soliden Cybersicherheitsbasis erfordert weder ein grosses Sicherheitsteam noch Budgets auf Unternehmensebene. Entscheidend ist, früh zu beginnen und die richtigen grundlegenden Prinzipien umzusetzen.

Dieser Leitfaden beschreibt praktische Schritte, mit denen neue Unternehmen ihre Cybersicherheit von Anfang an organisieren können – einschliesslich wichtiger regulatorischer Aspekte sowohl in der Europäischen Union als auch in der Schweiz.

Beginnen Sie mit Risikobewusstsein, nicht mit Technologie

Cybersicherheit beginnt nicht mit dem Kauf von Tools. Sie beginnt damit zu verstehen, was Ihr Unternehmen tatsächlich schützen muss.

Jede Organisation verarbeitet unterschiedliche Arten sensibler Informationen. Für die meisten neuen Unternehmen gehören zu den wichtigsten Vermögenswerten:

• Kunden- und Nutzerdaten
• Interne Dokumente und Verträge
• Geistiges Eigentum und Produktdesigns
• Finanzsysteme und Zahlungsdaten
• Mitarbeiterzugänge und Zugriff auf Unternehmenssysteme

Die Identifikation dieser Werte hilft dabei zu bestimmen, welche Systeme für Ihren Geschäftsbetrieb am kritischsten sind.

Gleichzeitig sollten Unternehmen die häufigsten Cyberbedrohungen kennen, die insbesondere kleine Unternehmen betreffen:

• Phishing- und Social-Engineering-Angriffe
• Diebstahl von Zugangsdaten und Kontoübernahmen
• Ransomware
• Datenlecks und unbeabsichtigte Offenlegung von Informationen
• Insider-Risiken

Das zentrale Prinzip ist einfach: Schützen Sie zuerst das, was für Ihr Unternehmen am wichtigsten ist.

Schaffen Sie grundlegende Sicherheitsstrukturen

Sobald die wichtigsten Vermögenswerte identifiziert sind, sollten Unternehmen mehrere grundlegende Sicherheitsmassnahmen etablieren. Diese bilden die Basis eines grundlegenden Cybersicherheitsprogramms.

Identity- und Access-Management

Die Kontrolle darüber, wer auf Unternehmenssysteme zugreifen kann, ist eine der wichtigsten Sicherheitsmassnahmen.

Jedes Unternehmen sollte sicherstellen, dass:

• jeder Mitarbeiter über ein eindeutiges Benutzerkonto verfügt
• Multi-Faktor-Authentifizierung (MFA) möglichst überall aktiviert ist
• Zugriffsrechte auf Rollen und Verantwortlichkeiten basieren
• administrative Berechtigungen auf notwendiges Personal beschränkt sind

Zentrale Identity-Management-Systeme können die Zugriffskontrolle erheblich vereinfachen, wenn ein Unternehmen wächst.

Passwortsicherheit

Schwache oder mehrfach verwendete Passwörter gehören weiterhin zu den häufigsten Ursachen für Sicherheitsvorfälle.

Unternehmen sollten unsichere Praktiken vermeiden, wie zum Beispiel:

• Passwörter per E-Mail oder Chat zu teilen
• Zugangsdaten in Tabellenkalkulationen zu speichern
• dasselbe Passwort für mehrere Dienste zu verwenden

Ein Business-Passwortmanager ermöglicht es Unternehmen, Zugangsdaten sicher zu speichern und zu teilen, während gleichzeitig starke Passwortregeln durchgesetzt werden.

Geräte- und Endpunktsicherheit

Mitarbeitergeräte sind häufig der Einstiegspunkt für Cyberangriffe.

Unternehmen sollten grundlegende Sicherheitsmassnahmen für Geräte implementieren, zum Beispiel:

• automatische Updates von Betriebssystemen und Software
• Festplattenverschlüsselung auf Laptops und Arbeitsstationen
• Endpoint-Protection- oder Antivirenlösungen
• möglichst firmeneigene und verwaltete Geräte

Diese Massnahmen reduzieren das Risiko von Malware-Infektionen und unbefugtem Zugriff erheblich.

Sicherer Umgang mit Daten

Organisationen sollten einfache Regeln für den Umgang mit unterschiedlichen Arten von Informationen definieren.

Zum Beispiel:

• Klassifizierung von Informationen als intern, vertraulich oder öffentlich
• Speicherung sensibler Daten in sicheren Cloud-Umgebungen
• Verschlüsselung sensibler Daten, wo sinnvoll
• zuverlässige Backup-Verfahren

Selbst grundlegende Datenklassifizierungsrichtlinien können das Risiko unbeabsichtigter Datenoffenlegung erheblich reduzieren.

Erstellen Sie grundlegende Sicherheitsrichtlinien

Selbst kleine Unternehmen profitieren von klar definierten Cybersicherheitsrichtlinien.

Diese müssen keine komplexen oder umfangreichen Dokumente sein. Stattdessen sollten sie klare Leitlinien für Mitarbeiter bereitstellen.

Typische Beispiele sind:

• Passwortrichtlinie
• Zugriffsmanagementrichtlinie
• Richtlinie zur Gerätenutzung
• Richtlinien zum Umgang mit Daten
• Verfahren zur Meldung von Sicherheitsvorfällen

Der wichtigste Faktor ist, dass diese Richtlinien verstanden und konsequent angewendet werden.

Schulen Sie Mitarbeiter frühzeitig

Technologie allein kann Sicherheitsvorfälle nicht verhindern. Menschliche Fehler gehören weiterhin zu den größten Cybersicherheitsrisiken.

Mitarbeiter sollten grundlegende Sicherheitskenntnisse erhalten, beispielsweise zu:

• Erkennen von Phishing-E-Mails
• sicheren Passwortpraktiken
• verantwortungsvollem Umgang mit Cloud-Diensten
• dem Umgang mit sensiblen Informationen
• dem Melden verdächtiger Aktivitäten

Die Einführung von Sicherheitsbewusstsein bereits beim Onboarding neuer Mitarbeiter hilft dabei, von Anfang an eine starke Sicherheitskultur zu etablieren.

Implementieren Sie Logging, Monitoring und Backups

Organisationen benötigen ausserdem Transparenz über ihre Systeme sowie die Fähigkeit, sich von Vorfällen zu erholen.

Grundlegendes Sicherheitsmonitoring umfasst:

• Protokollierung von System- und Anwendungsaktivitäten
• Nachverfolgung von Benutzerzugriffen auf kritische Systeme
• Überwachung administrativer Aktivitäten

Ebenso wichtig ist eine zuverlässige Backup-Strategie.

Unternehmen sollten:

• regelmässige Datensicherungen durchführen
• Backups sicher speichern
• Wiederherstellungsprozesse regelmässig testen

Backups gehören zu den effektivsten Schutzmassnahmen gegen Ransomware-Angriffe.

Verstehen Sie regulatorische Anforderungen

Cybersicherheit wird zunehmend durch regulatorische Rahmenbedingungen beeinflusst. Neue Unternehmen sollten die rechtlichen Anforderungen ihres Umfelds kennen.

Die Anforderungen unterscheiden sich je nach Rechtsraum. Nachfolgend ein kurzer Überblick über die wichtigsten Regelwerke in der Europäischen Union und in der Schweiz.

Cybersicherheit und Datenschutz in der Europäischen Union

Unternehmen, die in der EU tätig sind, müssen mehrere Vorschriften im Bereich Cybersicherheit und Datenschutz einhalten.

Datenschutz-Grundverordnung (DSGVO/GDPR)

Die GDPR regelt, wie Organisationen personenbezogene Daten erheben, verarbeiten und speichern.

Wichtige Anforderungen sind unter anderem:

• Umsetzung geeigneter technischer und organisatorischer Sicherheitsmassnahmen
• Schutz personenbezogener Daten vor unbefugtem Zugriff oder Offenlegung
• Meldung bestimmter Datenschutzverletzungen an Aufsichtsbehörden

Die GDPR gilt nicht nur für Unternehmen mit Sitz in der EU, sondern auch für Organisationen ausserhalb der EU, die Daten von EU-Bürgern verarbeiten.

NIS2-Richtlinie

Die NIS2-Richtlinie stärkt die Cybersicherheitsanforderungen für Organisationen in kritischen oder wichtigen Sektoren.

Betroffene Unternehmen müssen unter anderem:

• Risikomanagementmassnahmen implementieren
• Fähigkeiten zur Erkennung und Reaktion auf Sicherheitsvorfälle aufbauen
• bedeutende Cybervorfälle verpflichtend melden

Auch Organisationen, die nicht direkt unter NIS2 fallen, können über Lieferkettenbeziehungen betroffen sein.

Cyberresilienz-Verordnung (Cyber Resilience Act/CRA)

Der EU Cyber Resilience Act führt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen ein.

Hersteller von Software und vernetzten Geräten müssen sicherstellen, dass ihre Produkte:

• Secure by design und by default entwickelt sind
• mit Sicherheitsupdates versorgt werden
• transparent über Sicherheitslücken informieren
• strukturierte Prozesse für den Umgang mit Schwachstellen besitzen

Der CRA erhöht die Sicherheitsanforderungen für Softwareanbieter, die auf dem EU-Markt tätig sind, erheblich.

Cybersicherheit und Datenschutz in der Schweiz

Die Schweiz verfügt über einen eigenen Rechtsrahmen für Cybersicherheit und Datenschutz.

Die wichtigste Regelung ist das revidierte Bundesgesetz über den Datenschutz (revDSG).

Dieses Gesetz verpflichtet Organisationen dazu:

• personenbezogene Daten vor unbefugtem Zugriff zu schützen
• geeignete technische und organisatorische Sicherheitsmassnahmen umzusetzen
• Behörden über bestimmte Datenschutzverletzungen zu informieren

Im Vergleich zu EU-Regulierungen ist der Schweizer Rahmen in der Regel prinzipienbasiert und flexibler und konzentriert sich auf angemessene Schutzmassnahmen statt auf detaillierte technische Vorgaben.

Dennoch müssen Unternehmen, die personenbezogene Daten verarbeiten, starke Sicherheitsmassnahmen und transparente Datenverarbeitungspraktiken implementieren.

Die richtigen Sicherheitstools auswählen

Sobald Richtlinien und grundlegende Prozesse etabliert sind, können Organisationen diese durch geeignete Technologien unterstützen.

Ein typisches Sicherheits-Paket für kleine und mittlere Unternehmen kann umfassen:

• einen Business-Passwortmanager
• Identity- und Access-Management-Systeme
• Endpoint-Protection-Lösungen
• sichere Cloud-Kollaborationsplattformen
• Backup- und Recovery-Lösungen
• Logging- und Monitoring-Tools

Sicherheitstools sollten gut definierte Prozesse unterstützen – nicht ersetzen.

Klein anfangen und kontinuierlich verbessern

Cybersicherheitsreife entsteht nicht über Nacht. Sie entwickelt sich schrittweise mit dem Wachstum eines Unternehmens.

Ein praktischer Ansatz besteht darin:

• grundlegende Sicherheitskontrollen früh zu implementieren
• Risiken regelmässig zu überprüfen
• Richtlinien und Tools im Laufe der Zeit zu verbessern
• gelegentlich Sicherheitsbewertungen durchzuführen

Kontinuierliche Verbesserung ist wesentlich effektiver, als zu versuchen, sofort ein komplexes Sicherheitsprogramm umzusetzen.

Fazit

Cybersicherheit ist heute nicht mehr nur ein IT-Thema — sie ist eine grundlegende geschäftliche Notwendigkeit.

Für neue Unternehmen kann der frühzeitige Aufbau einer Sicherheitsbasis dazu beitragen, kostspielige Vorfälle zu vermeiden, das Vertrauen von Kunden zu schützen und regulatorische Anforderungen zu erfüllen.

Durch den Fokus auf Identity-Schutz, sichere Passwortverwaltung, Mitarbeiterbewusstsein und klare Sicherheitsrichtlinien können Organisationen ihr Cyberrisiko erheblich reduzieren.

Cybersicherheit muss nicht mit Komplexität beginnen.

Sie beginnt mit klaren Prioritäten, praktischen Massnahmen und kontinuierlicher Verbesserung.