6 Min. Lesezeit
IT-Sicherheit für KMU: Was 2026 nicht mehr fehlen darf
Montagmorgen, 08:12 Uhr. Ein Mitarbeiter klickt auf einen Link in einer vermeintlichen Microsoft-Mail. Zehn Minuten später hat jemand Zugriff auf Eure gesamte Microsoft 365 Umgebung. Mails, SharePoint, OneDrive, Teams. Alles offen.
Das passiert nicht nur Grosskonzernen. KMU in der Schweiz trifft es sogar häufiger, weil Angreifer dort weniger Gegenwehr erwarten. Kein Security-Team, keine dedizierten Tools, oft nicht einmal eine Zwei-Faktor-Authentifizierung. Die Frage ist nicht ob, sondern wann es Dich trifft. Und wie gut Du dann vorbereitet bist.
Wir haben eine Checkliste mit 10 konkreten Massnahmen zusammengestellt, die sich an den Empfehlungen des Bundesamts für Cybersicherheit (BACS) und der Checkliste des BSV orientieren.
Anatomie eines Angriffs
Was passiert, wenn keine Schutzmassnahmen greifen
Phishing-Mail landet im Postfach
Ein Mitarbeiter klickt auf einen gefälschten Link
Passwort wird gestohlen
Zugangsdaten landen beim Angreifer
MFA stoppt hier
Zugriff auf Unternehmensdaten
Mails, SharePoint, OneDrive offen
Monitoring erkennt es hier
Inhaltsverzeichnis
Deine IT-Sicherheits-Checkliste für 2026
10 Massnahmen, aufgeteilt in vier Bereiche. Vom Zugriff über den Grundschutz bis zur Vorbereitung auf den Ernstfall.
Zugriffsschutz
Punkte 1 – 3
Basisschutz
Punkte 4 – 5
Laufende Hygiene
Punkte 6 – 7
Governance
Punkte 8 – 10
Zugriffsschutz: Wer kommt rein?
Die meisten Angriffe beginnen nicht mit einem technischen Hack, sondern mit einem gestohlenen Passwort oder einem Konto mit zu vielen Rechten. Grundregel: Jeder Nutzer sollte nur auf das zugreifen können, was er für seine Arbeit tatsächlich braucht (Least-Privilege-Prinzip).
Multifaktor-Authentifizierung (MFA)
Jeder Nutzer bestätigt seine Anmeldung zusätzlich auf einem zweiten Gerät, zum Beispiel per Push auf dem Handy. Klingt simpel, ist aber einer der wirksamsten Schutzmechanismen gegen gestohlene Zugangsdaten. Selbst wenn jemand Dein Passwort kennt, kommt er ohne den zweiten Faktor nicht rein.
Laut Microsoft sinkt das Risiko einer Kontokompromittierung mit MFA um 99,9%. Trotzdem haben es viele KMU noch nicht aktiviert.
Zugriffsregeln mit Conditional Access
Jede Anmeldung wird automatisch geprüft: Von wo kommt sie, welches Gerät wird verwendet, wurde MFA bestätigt? Wenn etwas nicht stimmt, wird die Anmeldung blockiert. Jemand versucht sich aus einem Land einzuloggen, in dem Dein Unternehmen gar keine Mitarbeitenden hat? Sofort abgelehnt.
Einmal eingerichtet, läuft Conditional Access komplett im Hintergrund. Deine Mitarbeiter merken nichts davon, aber Angreifer kommen nicht durch.
Veraltete Anmeldeprotokolle abschalten
Protokolle wie IMAP, POP3 und SMTP Basic Auth unterstützen kein MFA. Das ist, als würdest Du die Haustür mit drei Schlössern sichern, während das Kellerfenster sperrangelweit offen steht.
Eine einzige Richtlinie in Microsoft 365 genügt, um sie abzuschalten. Vorher prüfen, ob noch Geräte wie Multifunktionsdrucker oder Service-Accounts darauf angewiesen sind, und diese gegebenenfalls umstellen.
MFA aktivieren, aber Legacy-Protokolle offen lassen. Angreifer nutzen genau diese Lücke, weil sie wissen, dass dort kein zweiter Faktor greift.
Basisschutz: Was schützt Dich?
Zugriffsschutz allein reicht nicht. Wenn ein Angriff trotzdem durchkommt, entscheidet Dein Basisschutz darüber, ob Du in Stunden oder erst in Wochen wieder arbeiten kannst.
Regelmässige Backups und Disaster Recovery
Die 3-2-1-Regel: Drei Kopien Deiner Daten, auf zwei verschiedenen Medien, eine davon extern. Wenn Ransomware zuschlägt und Du kein Backup hast, steht der Betrieb still. Nicht für Stunden, sondern für Tage oder Wochen.
Genauso wichtig wie das Backup selbst: regelmässig testen, ob die Wiederherstellung auch wirklich funktioniert. Ein Backup, das sich im Ernstfall nicht zurückspielen lässt, bringt Dir gar nichts.
Unser Managed Backup Service simple.Backup deckt genau das ab: Schweizer Rechenzentren, automatische Sicherung und regelmässige Wiederherstellungstests.
Firewall und Endpoint Protection
Die Firewall schützt Dein Netzwerk, Endpoint Protection die einzelnen Geräte wie Laptops und Server. Beides zusammen bildet die absolute Grundlage jeder IT-Sicherheit.
Das Problem: Viele KMU haben beides im Einsatz, aber veraltet oder falsch konfiguriert. Eine Firewall, auf der noch das Standardpasswort läuft, schützt genauso gut wie eine offene Tür. Und denk an die Geräteverschlüsselung: Wenn ein Firmenlaptop gestohlen wird und BitLocker nicht aktiv ist, liegen alle Daten offen.
Laufende Hygiene: Was musst Du pflegen?
Tools einrichten ist der erste Schritt, aber Sicherheit ist kein Zustand, den man einmal erreicht und dann abhakt. Deine Mitarbeiter und Deine Software brauchen laufend Aufmerksamkeit.
Mitarbeiter-Sensibilisierung
Phishing-Mails sehen heute täuschend echt aus, mit KI-generierten Texten, perfektem Deutsch und dem richtigen Logo. Der Mensch bleibt trotz aller Technik das grösste Einfallstor für Cyberangriffe.
Du brauchst dafür kein aufwendiges Schulungsprogramm. Kurze, regelmässige Inputs reichen: Woran erkenne ich eine verdächtige Mail? Warum klicke ich nicht auf Links, die ich nicht erwartet habe? An wen wende ich mich, wenn ich unsicher bin?
Unser Managed Service simple.Security kombiniert technischen Schutz mit laufender Sensibilisierung Deiner Mitarbeitenden.
Update- und Patch-Management
Sobald eine Sicherheitslücke bekannt wird, nutzen Angreifer sie aktiv aus, oft innerhalb von Stunden. Wer Updates nicht zeitnah einspielt, lässt eine dokumentierte Schwachstelle offen.
Automatisierte Patch-Prozesse lösen das zuverlässig, aber viele KMU haben schlicht keinen Prozess dafür. Updates werden verschoben, weil „gerade keine Zeit ist“, bis es irgendwann knallt.
Updates „auf nächste Woche“ verschieben. Angreifer warten nicht. Sobald ein Patch veröffentlicht wird, wissen sie, wo die Lücke ist.
Governance: Bist Du vorbereitet?
Ab hier geht es nicht mehr um Tools, sondern um Prozesse und Verantwortlichkeiten. Drei Punkte, die im Ernstfall den Unterschied machen.
Neues Datenschutzgesetz (nDSG)
Seit September 2023 gilt das revidierte Datenschutzgesetz. Bei einer Datenschutzverletzung, die ein hohes Risiko für die betroffenen Personen darstellt, besteht Meldepflicht an den EDÖB. Und die Verantwortung dafür liegt nicht bei der IT, sondern bei der Geschäftsleitung.
Viele KMU wissen das nicht. Wer die Grundlagen umsetzt (Zugriffsschutz, Verschlüsselung, Backups), sorgt dafür, dass es gar nicht erst so weit kommt.
Seit April 2025 kommt die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen an das NCSC dazu. Auch wenn Dein KMU nicht direkt betroffen ist: Die Anforderungen steigen. Wir haben dazu einen separaten Beitrag geschrieben.
Logging und Monitoring
Wer meldet sich wann von wo an? Werden plötzlich grosse Datenmengen heruntergeladen? Ohne Protokollierung merkst Du das erst Wochen später.
Microsoft 365 hat die Tools schon eingebaut: Audit Logs, Sign-in Logs, Alerts. Die meisten KMU nutzen sie nicht. Die Einrichtung und laufende Auswertung braucht Know-how, aber wer es sauber aufsetzt, erkennt verdächtige Aktivitäten frühzeitig.
Incident Response Plan
Freitagabend, 18 Uhr, Ransomware. Wen rufst Du an? Wer entscheidet, ob Systeme abgeschaltet werden, und wer informiert die Kunden? Ohne einen dokumentierten Plan herrscht im Ernstfall Chaos.
Ein Incident Response Plan muss kein 50-seitiges Dokument sein, aber er muss existieren und jeder im Team muss wissen, wo er liegt. Kontaktnummern, Zuständigkeiten, erste Schritte, Eskalationswege.
Fazit
Diese 10 Punkte decken nicht alles ab, was IT-Sicherheit ausmacht. Aber wer sie umgesetzt hat, ist deutlich besser aufgestellt als die meisten KMU in der Schweiz. Bei vielen Unternehmen fehlen mindestens zwei oder drei davon. Alles lässt sich nachholen, was es braucht, ist jemand, der es anpackt.
Häufig gestellte Fragen zur IT-Sicherheit für KMU
Was sind die grössten IT-Sicherheitsrisiken für KMU?
Phishing-Angriffe, gestohlene Zugangsdaten und Ransomware. In den meisten Fällen beginnt der Angriff mit einem kompromittierten Benutzerkonto. Deshalb sind Multifaktor-Authentifizierung und Zugriffsregeln die wichtigsten ersten Massnahmen. Dazu kommen veraltete Software, fehlende Backups und mangelnde Sensibilisierung der Mitarbeitenden.
Was kostet IT-Sicherheit für ein KMU?
Das lässt sich nicht pauschal beantworten, weil es stark von der Unternehmensgrösse, der bestehenden Infrastruktur und den individuellen Anforderungen abhängt. Einige Massnahmen wie MFA oder Conditional Access sind in bestehenden Microsoft 365 Lizenzen bereits enthalten. Andere Bereiche wie Managed Backup, Endpoint Protection oder Monitoring erfordern zusätzliche Investitionen. Am besten lässt Du Deine aktuelle Situation von einem IT-Partner einschätzen, der Dir ein auf Dein Unternehmen abgestimmtes Angebot machen kann.
Welche IT-Sicherheitsmassnahmen sind Pflicht?
Das revidierte Schweizer Datenschutzgesetz (nDSG) verlangt angemessene technische und organisatorische Massnahmen zum Schutz von Personendaten. Konkret heisst das: Zugriffsschutz, Verschlüsselung, Backups und ein Prozess für die Meldung von Datenschutzverletzungen an den EDÖB. Die Verantwortung liegt bei der Geschäftsleitung. Je nach Branche kommen weitere regulatorische Anforderungen dazu, zum Beispiel FINMA-Vorgaben in der Finanzbranche oder EPD-Anforderungen im Gesundheitswesen. Ein IT-Partner, der Deine Branche kennt, kann Dir sagen, was konkret für Dich gilt.
Unsicher, ob Deine IT-Sicherheit ausreicht?
Wir prüfen Deine Umgebung und sagen Dir ehrlich, was fehlt.
Kein Verkaufsdruck. Einfach ein ehrliches Gespräch.