Ein Beispiel aus der Praxis: Früh am Morgen bei der Meier Präzisionstechnik AG, einer kleinen Fertigungsfirma für Präzisionsteile. Geschäftsführer Peter Meier will die Systeme hochfahren, Fertigungsaufträge prüfen und die Maschinen starten, als auf dem Bildschirm ein Erpresserschreiben erscheint. Konstruktionsdaten, Stücklisten und Maschinenprogramme sind verschlüsselt, sensible Dateien wurden kopiert. Ein Lösegeld wird verlangt. Meier verharrt. Er wusste, dass selbst kleinste Betriebe Opfer eines Cyberangriffs werden können – deshalb hat er sich vorbereitet. Doch dass es ausgerechnet ihn trifft, überrascht ihn trotzdem. Dann greift Routine: Meier nimmt den Notfallplan aus dem Schrank, stellt von digitaler auf manuelle Auftragsabwicklung um, spielt die Offline-Backups ein und meldet den Vorfall dem Bundesamt für Cybersicherheit (BACS). Noch am frühen Nachmittag laufen die Maschinen wieder. Der Schaden bleibt auf einen halben Tagesumsatz begrenzt – weil die Grundlagen gestimmt haben.
Klaus Julisch, Partner und Cyber Practice Lead, und Christian Dähler, Direktor und Leiter Cyber Strategy, Deloitte Schweiz
Cyberkriminalität erreicht neue Dimensionen
Dieser fiktive Fall steht exemplarisch für eine Welle von Cyberangriffen, die auch kleine und mittelständische Unternehmen (KMU) trifft. In der Schweiz nehmen Cyberattacken rasant zu. Fast jede zweite Firma wurde 2024 Opfer eines Angriffs, wie der aktuelle Cisco Cybersecurity Readiness Index zeigt. Cyberkriminelle gehen raffiniert vor: Phishing-E-Mails bleiben eine der grössten Gefahren, um Schadsoftware einzuschleusen oder Passwörter zu stehlen. Betrüger nutzen zunehmend künstliche Intelligenz (KI), etwa um echt klingende Audio-Deepfakes von Firmenchefs zu erzeugen. Auch Ransomware-Attacken, bei denen IT-Systeme wie im einleitenden Beispiel lahmgelegt werden, häufen sich bei KMU.
Viele Betriebe beruhigen sich mit dem Satz «Uns will doch niemand angreifen». Für Angreifer jedoch sind schwach geschützte KMU ein attraktives Ziel. Oft fehlt es an Budget oder Fachwissen, und die Geschäftsleitung unterschätzt das Risiko. Die Folgen können verheerend sein: Datenverlust, Betriebsstillstand, Umsatzeinbussen und schnell schwindendes Kundenvertrauen. Hinzu kommen rechtliche Pflichten. Das revidierte Datenschutzgesetz (revDSG) verlangt seit 2023 den «angemessenen Schutz» personenbezogener Daten und zwingt Firmen, schwere Verletzungen zu melden. Für kritische Infrastrukturen gilt seit April 2025 eine 24-Stunden-Meldepflicht bei Cyberangriffen. Zusätzlich rückt ein europäisches Regelwerk in den Fokus: der EU-Cyber Resilience Act (CRA), der ab 2027 gilt. Dann dürfen nur noch Produkte mit digitalen Komponenten (Hard- oder Software) in der EU verkauft oder betrieben werden, wenn sie, unabhängig von der Firmengrösse, wesentliche Cybersicherheitsmerkmale wie Security-by-Design nachweisen. Wer Soft- oder Hardware entwickelt, IoT-Geräte herstellt oder als Zulieferer Teil einer EU-Lieferkette ist, muss CRA-konform werden. Sonst drohen Marktausschluss oder Bussgelder. Cybersicherheit wird zum Eintrittsbillett in viele Märkte – auch für Schweizer KMU.
Fünf Schritte zu mehr Cyberresilienz
Schon einfache Massnahmen erhöhen die Cyberresilienz deutlich. Wichtig ist eine solide Cyberhygiene: aktuell gehaltene Systeme und starke Passwörter mit Mehrfaktorauthentifizierung. Dazu gilt es, Mitarbeitende regelmässig in der Erkennung von Angriffen zu schulen. Zentral sind funktionierende Backups – gesichert, getestet und schnell wieder herstellbar. Diese sollten offline oder in einer externen Cloud gespeichert sein. Und für den Ernstfall braucht es einen klaren Notfall- und Meldeplan: Wer informiert wen, welche Partner sind eingebunden, wie wird das BACS kontaktiert? Eigene Produkte mit digitalen Komponenten sollen nach dem Prinzip «Secure by design» entwickelt werden – mit Code-Reviews, Penetrationstests sowie einer Stückliste der verwendeten Softwarekomponenten («Software Bill of Materials»). Schnelle Updatemechanismen und transparente Dokumentation der Schwachstellenbehebungen sind elementar. Letztlich ist die OT-Sicherheit und Produktionskontinuität wichtig: Das Produktions- und das Büronetz müssen nach dem Zonenprinzip getrennt werden. So schützt man den Fertigungsablauf, wenn die IT-Ebene angegriffen wird.
Auch KMU, die die Bedeutung dieser fünf Massnahmen erkennen, kämpfen oft mit mangelnden Budgets und zu wenig hausinterner Expertise. Damit Cybersicherheit kein unerschwinglicher Luxus bleibt, bieten sich mehrere Strategien an: Das Outsourcen an «Managed Security Service Providers», einen Teilzeit-Sicherheitsverantwortlichen einstellen («Chief Information Security Officer as a Service»), Cyberversicherungen und die Vereinfachung und Vereinheitlichung der IT durch moderne Cloud-Infrastrukturen. Kurzfristig erfordert dies Investitionen. Langfristig sind die Geschäftsvorteile, Kostenersparnisse und Sicherheitsverbesserungen aber ausserordentlich positiv.