Security für kleine Teams: Wie Sie 10 Personen ohne eigene IT-Abteilung schützen

Ihr Unternehmen ist über die Gründungsphase hinausgewachsen. Sie haben 10, vielleicht 20 Mitarbeitende. Es gibt echte Kundendaten, echten Umsatz und echte Compliance-Pflichten. Aber es gibt keinen CISO, kein IT-Security-Team, und die «Security Policy» ist das, was der erste Entwickler vor drei Jahren eingerichtet hat.

Das ist die gefährlichste Phase für ein wachsendes Unternehmen. Sie sind gross genug, um ein lohnendes Ziel zu sein, aber klein genug, dass niemand Vollzeit für Security zuständig ist. Das BACS (Bundesamt für Cybersicherheit) hat diese Lücke wiederholt markiert: Schweizer KMU werden zunehmend von Ransomware-Betreibern, Phishing-Kampagnen und Credential-Stuffing-Angriffen ins Visier genommen, weil sie wertvolle Daten mit minimalen Abwehrmassnahmen kombinieren.

Das Drei-Schichten-Framework

Enterprise-Security-Frameworks (NIST, ISO 27001) sind umfassend, aber für ein kleines Team überwältigend. Hier ist ein vereinfachtes Modell, das die Bedrohungen abdeckt, die KMU tatsächlich treffen:

Schicht 1: Credential-Hygiene (verhindert unbefugten Zugang) Schicht 2: Netzwerksicherheit (schützt Daten bei der Übertragung) Schicht 3: Endpoint Protection (verteidigt einzelne Geräte)

Jede Schicht hat spezifische Tools und Richtlinien. Zusammen adressieren sie Phishing, Ransomware, Credential Stuffing, Malware und Netzwerkabfang, die Angriffsvektoren, die für die grosse Mehrheit der KMU-Vorfälle verantwortlich sind.

Schicht 1: Credential-Hygiene

Die wirksamste Security-Investition für jedes Team.

Business-Passwort-Manager

Verteilen Sie einen Passwort-Manager an jedes Teammitglied. Das eine Tool, das das breiteste Bedrohungsspektrum abdeckt:

• Eliminiert Passwort-Wiederverwendung (der Hauptermöglicher von Credential Stuffing)
• Blockiert Phishing durch domainbewusstes Auto-Fill
• Ermöglicht sofortige Credential-Sperrung, wenn jemand das Unternehmen verlässt
• Liefert Audit-Logs für Compliance

Empfehlung: 1Password Business oder Bitwarden Organization. Beide unterstützen geteilte Tresore, Admin-Kontrollen und Compliance-Reporting.

Richtlinie: Jedes Teammitglied nutzt den Passwort-Manager für alle Arbeitskonten. Keine Ausnahmen. Im Browser gespeicherte Passwörter werden per Policy deaktiviert.

Obligatorische 2FA

2FA ist das Sicherheitsnetz, wenn Passwörter versagen. Ein geleaktes Passwort ohne 2FA ist eine offene Tür. Ein geleaktes Passwort mit 2FA ist eine verschlossene Tür.

Richtlinie: 2FA erforderlich auf allen Business-Konten. TOTP-Apps als Minimum, Hardware-Schlüssel (YubiKey) für Admin-Konten und Infrastrukturzugang.

Zugriffsprüfungen

Pflegen Sie eine Liste, wer Zugang wozu hat. Quartalsweise überprüfen. Zugang für ausgeschiedene Mitarbeitende am letzten Tag entziehen. Das klingt banal, aber verwaiste Konten sind einer der häufigsten Einstiegspunkte bei KMU-Vorfällen.

Schicht 2: Netzwerksicherheit

VPN

Ein VPN verschlüsselt den gesamten Internetverkehr zwischen Teamgeräten und Ihren Diensten. Besonders kritisch für:

• Remote-Mitarbeitende in Heimnetzwerken oder Coworking Spaces
• Mitarbeitende auf Reisen oder bei Kunden vor Ort
• Jedes Gerät, das sich über öffentliches WLAN verbindet

Empfehlung: NordVPN Teams oder Proton VPN for Business. Beide bieten zentralisierte Verwaltung, Schweizer Server und nutzerbezogenes Management.

Richtlinie: VPN verbindet sich automatisch in jedem Netzwerk ausserhalb des Büros.

Firewall-Konfiguration

Ihre Büro-Firewall (meist im Router integriert) sollte konfiguriert sein, nicht nur auf Standardeinstellungen belassen:

• Unnötige eingehende Ports blockieren
• Logging für ungewöhnliche Verkehrsmuster aktivieren
• Gäste-WLAN vom Business-Netzwerk trennen
• Server oder NAS-Geräte in ein separates Netzwerksegment stellen

Schicht 3: Endpoint Protection

Moderner Virenschutz / EDR

Jedes Arbeitsgerät braucht Endpoint Protection. Moderne Lösungen gehen weit über traditionelles Virus-Scanning hinaus:

• Verhaltenserkennung fängt unbekannte Malware und Ransomware ab
• Zentrales Dashboard zeigt den Sicherheitsstatus aller Teamgeräte
• Automatische Isolation kann ein kompromittiertes Gerät isolieren, bevor es sich ausbreitet
• Patch-Management-Features markieren veraltete Software

Empfehlung: Norton Small Business, Avast Business oder Bitdefender GravityZone.

Geräteverschlüsselung

Verschlüsselung auf jedem Arbeitsgerät (FileVault, BitLocker). Wenn ein Laptop verloren geht oder gestohlen wird, ist Verschlüsselung der Unterschied zwischen «wir haben ein Gerät verloren» und «wir haben eine meldepflichtige Datenpanne unter dem nDSG».

Patch Management

Ungepatchte Software ist die andere Tür, durch die Angreifer gehen. Patch Management für ein kleines Team bedeutet:

• Automatische OS-Updates auf allen Geräten aktivieren
• Ein Tool nutzen, das veraltete Anwendungen markiert
• Patches für internetfähige Software priorisieren (Browser, E-Mail-Clients, VPN-Clients)

Backups: Ihre Ransomware-Versicherung

Backups sind nicht optional. Ransomware gegen Schweizer KMU nimmt zu, und die durchschnittliche Wiederherstellungszeit ohne Backups beträgt 21 Tage.

• 3-2-1-Regel: Drei Kopien, zwei Speichertypen, eine extern/offline
• Unveränderliche Backups: Mindestens eine Kopie, die Ransomware nicht verschlüsseln kann
• Quartalsweise testen: Ein Backup, das nie restauriert wurde, ist ein Backup, von dem man hofft, dass es funktioniert
• Backup-Medien verschlüsseln: Ein unverschlüsseltes Backup-Laufwerk ist eine wartende Datenpanne

nDSG-Compliance für KMU

Das nDSG unterscheidet nicht zwischen einem 10-Personen-Unternehmen und einem 10’000-Personen-Konzern. Ihre Pflichten:

• Datenverarbeitungsverzeichnis: Dokumentieren, welche Personendaten Sie verarbeiten, wo sie gespeichert sind und wer Zugang hat
• Technische Massnahmen: Das Drei-Schichten-Framework oben bildet Ihre «angemessenen technischen Massnahmen»
• Meldepflicht: Wenn Personendaten kompromittiert sind, den EDÖB so rasch wie möglich informieren
• Mitarbeitersensibilisierung: Ihr Team sollte Phishing, Social Engineering und Ihre Meldeverfahren verstehen
• Auftragsverarbeitungsverträge: Mit jedem Cloud-Anbieter, SaaS-Tool und IT-Dienstleister, der auf Ihre Daten zugreift

Für FINMA-regulierte Unternehmen kommen obligatorische Penetrationstests, formelle Incident-Response-Pläne und dokumentierte Business-Continuity-Verfahren hinzu.

Wer verantwortet Security?

Sie brauchen keine Vollzeit-Security-Stelle. Sie brauchen eine Person (oft der CTO, Office Manager oder ein technisch versierter Teamlead), die:

• Die Security-Tools und deren Konfiguration verantwortet
• Quartalsweise Zugriffsprüfungen durchführt
• Gelegentlich Phishing-Simulationen durchführt
• Das Datenverarbeitungsverzeichnis aktuell hält
• Erste Ansprechperson ist, wenn jemand eine verdächtige E-Mail oder einen Vorfall meldet

2-4 Stunden pro Monat und die Autorität, Richtlinien durchzusetzen. Das reicht für ein kleines Team.

Welche Kosten kommen auf mich zu?

Tool	Kosten (10 Nutzer)	Schicht
1Password Business	ca. CHF 80/Mo	Credential-Hygiene
NordVPN Teams	ca. CHF 50/Mo	Netzwerksicherheit
Norton Small Business	ca. CHF 40/Mo	Endpoint Protection
Cloud-Backup	ca. CHF 30/Mo	Backup
YubiKeys (Admin-Konten)	ca. CHF 250 einmalig	Credential-Hygiene

Total: ca. CHF 200/Monat + CHF 250 einmalig. Zum Vergleich: Die durchschnittlichen Kosten eines Ransomware-Vorfalls für ein Schweizer KMU (Ausfallzeit + Wiederherstellung + Regulatorisches) liegen im sechsstelligen Bereich. Das hier ist die Versicherungsprämie.

Umsetzungs-Roadmap

Woche 1: Passwort-Manager verteilen, 2FA aktivieren, Geräteverschlüsselung prüfen Woche 2: VPN ausrollen, Endpoint Protection installieren, Firewall konfigurieren Woche 3: Backup-Infrastruktur aufsetzen, Datenverarbeitungsverzeichnis erstellen, Zugriffsliste dokumentieren Woche 4: Test-Phishing durchführen, Backup-Restore testen, Security-Verantwortung zuweisen

Ein Monat. Keine Störung des Tagesgeschäfts. Eine Sicherheitslage, die Schweizer regulatorische Erwartungen erfüllt und vor den Bedrohungen schützt, die KMU tatsächlich treffen.