Viele KMUs investieren in moderne IT-Lösungen und verlassen sich auf kompetente Dienstleister. Trotzdem entstehen die meisten Sicherheitsvorfälle genau dort, wo man es am wenigsten erwartet: im Alltag, in Prozessen und in Gewohnheiten. Die folgenden drei Schwachstellen begegnen mir in praktisch jedem Audit und sie lassen sich mit einfachen Massnahmen deutlich verbessern.

1. Schwache oder wiederverwendete Passwörter

Passwörter bleiben der meistgenutzte Angriffsvektor. Ein einziges gestohlenes Passwort reicht aus, um E-Mail-Konten, Cloud-Dienste oder kritische Systeme zu kompromittieren. Besonders riskant sind Wiederverwendungen und fehlende Multifaktor-Authentisierung.

Sofortmassnahmen
  • Passwortmanager einführen, damit komplexe und einzigartige Passwörter nutzbar werden.
  • MFA für E-Mail, VPN und alle kritischen Systeme aktivieren – sofort messbarer Schutzgewinn.
  • Standardkonten regelmässig überprüfen und deaktivieren.

2. Unklare Zuständigkeiten, niemand fühlt sich verantwortlich

In vielen KMUs ist nicht definiert, wer wofür verantwortlich ist. Sicherheitsaufgaben landen irgendwo zwischen IT, externer Dienstleistung und Geschäftsleitung. Dadurch bleiben Risiken unerkannt, und wichtige Massnahmen werden verzögert.

Sofortmassnahmen
  • Rollen und Verantwortlichkeiten klar festlegen: Wer entscheidet, wer prüft, wer setzt um?
  • Ein Sicherheitscockpit für die Geschäftsleitung schaffen: 5–10 Kennzahlen, die Transparenz bieten.
  • Regelmässige kurze Sicherheitsreviews (monatlich oder quartalsweise) einführen.

3. Fehlende Awareness – Mitarbeitende bleiben das grösste Einfallstor

Phishing, Fake-Shops und Social Engineering richten in KMUs den grössten Schaden an. Nicht aus bösem Willen, sondern weil Risiken im Alltagsstress unterschätzt werden. Ohne Awareness gibt es keine Sicherheitskultur.

Sofortmassnahmen
  • Quartalsweise kurze Awareness-Impulse: 5 Minuten, kein PowerPoint-Marathon.
  • Realistische Phishing-Simulationen durchführen.
  • Sicherheitsregeln verständlich formulieren, ohne Fachjargon. Klarheit schlägt Komplexität

Mein Experten-Tipp

Diese drei Schwachstellen gehören zu den häufigsten Gründen für Sicherheitsvorfälle in Schweizer KMUs. Das Gute daran: Sie lassen sich ohne grosse Investitionen entschärfen. Entscheidend ist, dass das Management Verantwortung übernimmt, denn Cybersicherheit ist ein Geschäftsrisiko, kein IT-Thema.