Cyberangriffe treffen Schweizer Unternehmen unabhängig von ihrer Grösse. Ransomware und Phishing gehören zu den teuersten Bedrohungen für Schweizer KMU – und gleichzeitig zu den vermeidbarsten.​ Entscheidend ist nicht, ob ein Unternehmen angegriffen wird, sondern ob es vorbereitet ist.

IT-Sicherheit setzt sich aus zwei Bereichen zusammen: Organisatorische Massnahmen, die Verantwortlichkeiten und Prozesse regeln, sowie technische Massnahmen, die die IT-Infrastruktur schützen. Beide müssen zusammenwirken – technische Lösungen allein reichen nicht aus.​ ​Die Verantwortung für das Risikomanagement, die Klassifikation und Einstufung von Informationen sowie die Bereitstellung angemessener Sicherheitsmassnahmen sind Kernaufgaben der Geschäftsleitung​​ – nicht allein der IT-Abteilung.

Ransomware verschlüsselt Unternehmensdaten und macht sie unbrauchbar. Einmal verschlüsselte Daten lassen sich durch keine Tricks oder Gegenattacken wiederherstellen, da moderne Ransomware dieselbe Verschlüsselungstechnik verwendet wie das Online-Banking.​

Folgende technische Grundmassnahmen reduzieren das Risiko erheblich:

• Aktuelle Systeme: Nur Betriebssysteme und Komponenten einsetzen, die vom Hersteller aktiv gepflegt werden – das gilt für Browser, E-Mail-Clients und alle weiteren internetfähigen Programme.​​
• Antivirenschutz: Ein aktives Antivirus-Programm muss alle auf die Festplatte geschriebenen Daten überwachen.​
• Firewall: Eine aktivierte Netzwerk-Firewall blockiert unerlaubte Zugriffsversuche.​
• Backup-Strategie: Ein Backup-Gerät, das dauerhaft am System angeschlossen ist, kann ebenfalls verschlüsselt werden. Deshalb ist entweder eine zweite Datenkopie an einem anderen Ort oder ein Backup-Gerät nötig, das nur während der Sicherung verbunden ist.​​

Gestohlene Zugangsdaten sind ein häufiger Einstiegspunkt für Angriffe. Cyberattacken auf cloudbasierte Konten häufen sich – auch Microsoft-Dienste sind betroffen, wenn unsichere Passwörter verwendet oder diese durch Phishing entwendet werden.

Wirksame Gegenmassnahmen:

• Starke Passwörter: Die Mindestlänge eines Passworts sollte zwölf Zeichen betragen und Gross- und Kleinbuchstaben, Zahlen sowie Sonderzeichen umfassen. Passwörter dürfen niemals mehrfach verwendet oder weitergegeben werden. Ein Passwortmanager hilft dabei, für jede Anwendung ein eigenes Passwort zu generieren.​​
• Zwei-Faktor-Authentifizierung (2FA): Die Zwei-Faktor-Authentifizierung stellt eine zusätzliche Sicherheitsbarriere dar, die auch dann schützt, wenn ein Passwort kompromittiert wurde.​ Sie sollte für alle geschäftskritischen Dienste aktiviert sein.
• Minimale Zugriffsrechte: Mitarbeitende erhalten nur so viele Rechte, wie für ihre Arbeit zwingend notwendig sind. Insbesondere sollte die Berechtigung zur Installation von Software eingeschränkt werden.​

Datensicherheit und Datenschutz werden oft gleichgesetzt, betreffen aber unterschiedliche Bereiche:

• Datensicherheit bezeichnet technische und organisatorische Massnahmen, die den Schutz von Daten vor Verlust, Manipulation oder unbefugtem Zugriff sicherstellen.
• Datenschutz regelt, welche Personendaten zu welchem Zweck bearbeitet werden dürfen. Personendaten dürfen nur rechtmässig, nach Treu und Glauben und verhältnismässig bearbeitet werden. Der Zweck der Datenbearbeitung muss für die betroffene Person erkennbar sein.​ ​Verbindliche Regeln zur Klassifizierung von Daten müssen erlassen und konsequent durchgesetzt werden. Dabei ist insbesondere zu regeln, wie klassifizierte Daten elektronisch gespeichert oder übermittelt werden dürfen. Über anonyme Kanäle wie Telefon oder E-Mail sollten keine vertraulichen Informationen weitergegeben werden.

In der Schweiz verpflichten diverse gesetzliche Grundlagen Unternehmen zur E-Mail-Archivierung.​6​ Die relevanten Regelwerke umfassen das Obligationenrecht (OR), die Geschäftsbücherverordnung sowie das Datenschutzgesetz (DSG).

Zentrale Anforderungen im Überblick:

• Geschäftsbücher, Buchungsbelege und die Geschäftskorrespondenz sind während zehn Jahren aufzubewahren. Die Aufbewahrungsfrist beginnt mit dem Ablauf des Geschäftsjahres, in dem die Korrespondenz ein- oder ausgegangen ist.​
• Elektronisch aufbewahrte Dokumente haben dieselbe Beweiskraft wie physische Unterlagen, sofern die Integrität der gespeicherten Informationen gewährleistet ist – etwa durch digitale Signaturverfahren und Zeitstempel.​
• Archivierte Informationen müssen von aktuellen Daten getrennt und jederzeit innert nützlicher Frist zugänglich sein. Die Informationsträger sind regelmässig auf Integrität und Lesbarkeit zu prüfen.​

Technische Lösungen greifen nur, wenn organisatorische Rahmenbedingungen stimmen:

• Incident Response Plan: Mitarbeitende müssen wissen, an wen sie sich bei sicherheitsrelevanten Vorfällen wenden sollen. Ein Sicherheitsvorfall-Plan muss erarbeitet, regelmässig geprüft und anhand von Übungen validiert werden.​
• Sensibilisierung: Die Sensibilisierung aller Mitarbeitenden im Umgang mit der IT-Infrastruktur ist zentral. Personal muss regelmässig im Umgang mit potenziellen Gefahren – insbesondere im Bereich E-Mail und Internet – geschult werden.​
• IT-Dienstleister: Viele KMU lagern die IT an spezialisierte Dienstleister aus. Die Zuständigkeiten müssen klar vertraglich geregelt sein, insbesondere Haftungsfragen bei Sicherheitsverstössen oder fehlenden Datensicherungen.