Als Beraterin treffe ich häufig Geschäftsführende von kleinen und mittleren Unternehmen (KMU), die mir sagen: „Wir wissen, dass Cyberrisiken real sind — aber wir haben kein Budget für teure Sicherheitslösungen.“ Genau dafür habe ich in der Praxis einfache, wirkungsvolle und kostengünstige Massnahmen entwickelt, die sofort spürbar Risiken reduzieren. Im Folgenden teile ich diese pragmatischen Schritte, sortiert nach unmittelbarer Wirkung und Aufwand.

Warum Cybersecurity keine Luxusausgabe ist

Ich beginne immer mit einer Klarstellung: Cybersecurity ist kein reines IT-Thema, sondern ein Geschäftsrisiko. Ein erfolgreicher Angriff kann Kundenbeziehungen, Lieferketten und die Existenz eines Unternehmens gefährden. Glücklicherweise lassen sich viele Risiken mit überschaubaren Mitteln minimieren — durch Organisation, Prozesse und wenige gezielte Tools.

Grundprinzipien: Schutz, Erkennung, Reaktion

Meine Empfehlungen basieren auf drei einfachen Prinzipien:

  • Schutz: Barrieren schaffen, damit Angriffe gar nicht erst funktionieren (z. B. Patches, MFA, sichere Konfiguration).
  • Erkennung: Auffälligkeiten früh erkennen (z. B. Monitoring, Log-Alerts).
  • Reaktion: Klare Schritte, falls etwas passiert (Backups, Notfallplan).

Die 10 kostengünstigen Massnahmen, die sofort wirken

Diese Massnahmen setze ich regelmäßig in KMU um. Viele davon sind kostenlos oder sehr günstig und benötigen vor allem organisatorische Disziplin.

  • Patch-Management: Halten Sie Betriebssysteme, Browser und wichtige Anwendungen aktuell. Aktivieren Sie automatische Updates wo möglich. Ein grosser Teil der Angriffe nutzt bekannte Schwachstellen – diese Schliessen ist meist kostenlos.
  • Multi-Faktor-Authentifizierung (MFA): Aktivieren Sie MFA für E-Mail, Cloud-Dienste (Microsoft 365, Google Workspace) und VPNs. Authenticator-Apps wie Microsoft Authenticator oder Google Authenticator sind gratis und deutlich sicherer als SMS.
  • Starke Passwortrichtlinien und Passwortmanager: Erzwingen Sie lange, einzigartige Passwörter und fördern Sie die Nutzung eines Passwortmanagers (z. B. Bitwarden, 1Password). Bitwarden bietet eine kostengünstige Business-Option.
  • Backups mit 3-2-1-Prinzip: Mindestens drei Kopien, auf zwei verschiedenen Medien, davon eine offsite (z. B. Cloud). Testen Sie die Wiederherstellung regelmässig.
  • E-Mail-Schutz: Nutzen Sie SPF, DKIM und DMARC, um Phishing zu erschweren. Viele Mailprovider (Microsoft 365, Google Workspace) bieten Unterstützung bei der Einrichtung.
  • Endpoint-Schutz: Setzen Sie auf moderne, leichtgewichtige Lösungen. Windows 10/11 enthält Microsoft Defender, der für viele KMU ausreichend ist. Ergänzend kann ein preisgünstiges Endpoint-Tool (z. B. Sophos Intercept X, SentinelOne sind teuer; schauen Sie nach SMB-Angeboten) sinnvoll sein.
  • Netzwerksegmentierung: Trennen Sie Gäste-WLAN vom Firmennetz, isolieren Sie IoT-Geräte. Das reduziert den Blast Radius bei einer Kompromittierung.
  • Least Privilege: Geben Sie Mitarbeitenden nur die Rechte, die sie wirklich benötigen. Admin-Konten sollten selten verwendet werden und mit MFA geschützt werden.
  • Awareness-Training: Kurze, regelmässige Sensibilisierung (Phishing-Simulationen, Checklisten). Es gibt kostengünstige Anbieter und auch kostenlose Materialien von CERTs und Branchenverbänden.
  • Notfallplan und Rollen: Legen Sie fest, wer im Fall eines Vorfalls welche Aufgabe übernimmt. Ein einfaches Runbook mit Kontaktliste, Kommunikationskanälen und Wiederherstellungsprioritäten genügt oft.

Priorisierung: Wo zuerst investieren?

KMU haben selten Ressourcen für alles. Ich empfehle diese Prioritätspyramide:

Priorität Massnahme Begründung
1 Patches, MFA, Backups Hohes Risiko / geringer Aufwand
2 Passwortmanager, E-Mail-Authentifizierung Reduziert viele Phishing-/Kompromittierungs-Szenarien
3 Endpoint-Upgrade, Netzwerksegmentierung Schützt vor weitergehenden Angriffen; etwas mehr Aufwand
4 Monitoring, EDR, SOC-as-a-Service Besserer Schutz, aber höhere Kosten — prüfen, ob Managed-Services sinnvoll sind

Low-Cost Tools und Services, die ich empfehle

Ich bevorzuge Lösungen mit gutem Preis-Leistungs-Verhältnis und einfacher Integration:

  • Bitwarden (Passwortmanager) — gratis für Einzelpersonen, günstige Business-Pläne
  • Microsoft 365 Business — enthält viele Sicherheitsfunktionen (MFA, Defender, E-Mail-Schutz)
  • Open-Source-Optionen für Monitoring: OSSEC, Wazuh (je nach Know-how)
  • Backup-Lösungen: Veeam (für Server), Acronis, Backblaze B2 für günstigen Cloud-Speicher
  • Phishing-Trainings: KnowBe4, aber es gibt auch günstigere lokale Anbieter und kostenlose Ressourcen

Messbare KPIs, um Fortschritt zu verfolgen

Damit Sicherheitsmassnahmen nicht im Nebel versinken, messe ich regelmäßig diese Kennzahlen:

  • Anteil gepatchter Systeme (Ziel: >95%)
  • MFA-Quote bei kritischen Accounts (Ziel: 100% für Admins, >95% für alle)
  • Anzahl getesteter Backups und Erfolgsrate der Wiederherstellung
  • Anzahl erkannter Phishing-Mails / Klickrate in Simulationen
  • Zeit bis zur Erkennung eines Vorfalls (Mean Time to Detect, MTTR)

Organisation und Governance — so bleiben Massnahmen lebendig

Sicherheit lebt von Regelmässigkeit. Ich empfehle:

  • Ein monatliches Security-Standup mit IT, Geschäftsleitung und Verantwortlichen für Datenschutz.
  • Ein einfaches Risk-Register mit den fünf wichtigsten Risiken und den aktuellen Massnahmen.
  • Jährliche externe Überprüfung (z. B. Penetrationstest oder Audit). Das muss nicht riesig kosten — gezielte Tests für kritische Systeme reichen oft.

Was tun, wenn es dennoch zur Kompromittierung kommt?

Vorbereitung ist alles. Folgendes Runbook hat sich in der Praxis bewährt:

  • Sofortige Isolation betroffener Systeme (Netzwerkzugang kappen).
  • Betroffene Accounts sperren und Passwörter ändern (Admin-Accounts zuerst).
  • Backups prüfen und Wiederherstellung vorbereiten.
  • Kommunikation definieren: Wer informiert Kunden, Behörden, Mitarbeiter? Halten Sie vorbereitete Textbausteine bereit.
  • Externe Unterstützung einbinden (Incident Response Dienstleister, Rechtsberatung, IT-Forensik) — einige bieten vergünstigte KMU-Pakete an.

Ein praktisches Start-Set für die ersten 30 Tage

Wenn Sie nur begrenzt Zeit haben, empfehle ich diese To-Do-Liste für die ersten 30 Tage:

  • Tag 1–7: MFA für alle Admin- und Mailaccounts aktivieren; Passwortmanager einführen.
  • Tag 8–15: Backup-Strategie prüfen und erstes Recovery testen.
  • Tag 16–23: Automatische Updates aktivieren und kritische Systeme patchen.
  • Tag 24–30: Phishing-Sensibilisierung durchführen (Kurzschulung + Simulation).

Mit diesen praxisnahen Schritten reduzieren Sie Cyberrisiken deutlich — ohne teure Komplettlösungen. Entscheidend ist Konsistenz: wenige, aber regelmässig ausgeführte Massnahmen bringen mehr als viele einmalige Projekte.