Zum Inhalt springen
NeoGuard

Security für kleine Teams: Was du wirklich brauchst

Security für kleine Teams: Was du wirklich brauchst
Photo by panumas nikhomkhai on Pexels

TL;DR

  • Kleine Teams geraten zunehmend ins Visier, weil sie wertvolle Daten besitzen, aber meist kein dediziertes Security-Personal haben. Das BACS meldet einen deutlichen Anstieg bei Angriffen auf Schweizer KMU.
  • Drei Schichten decken den Grossteil der realistischen Bedrohungen ab: Hygiene bei Zugangsdaten (Passwort-Manager und 2FA), Netzwerksicherheit (VPN und Firewall) und Endpoint Protection.
  • Ein dediziertes Security-Team ist in dieser Grösse nicht nötig, solange das Thema regelmässig Aufmerksamkeit bekommt.

Wenn dein Unternehmen gerade über die Gründungsphase hinausgewachsen ist, können bislang vernachlässigte Sicherheitsthemen, wie die Verwaltung von Zugangsdaten und API Keys, Netzwerksicherheit oder Endpoint Protection, zu ernstzunehmenden Risiken werden. Genau so einen Rückstand können Angreifer ausnutzen.

Das BACS (Bundesamt für Cybersicherheit) dokumentiert in seinen Halbjahresberichten regelmässig, dass Ransomware, Phishing und Credential Stuffing zu den häufigsten Bedrohungen für Schweizer Unternehmen zählen. Im zweiten Halbjahr 2025 gingen beim BACS 29’006 freiwillige Meldungen und 145 meldepflichtige Cybervorfälle ein, wobei der Diebstahl von Zugangsdaten zu den häufigsten Angriffsarten zählte. Kleine Unternehmen sind in dieser Lage strukturell exponiert, weil sie wertvolle Daten besitzen, aber meist kein dediziertes Security-Personal beschäftigen. Damit bieten sie ein attraktives Kosten-Nutzen-Verhältnis für automatisierte Angriffskampagnen.

Das Drei-Schichten-Framework

Enterprise-Security-Frameworks wie NIST oder ISO 27001 sind umfassend, aber für ein kleines Team in der Regel überwältigend und nicht vollständig umsetzbar. Ein vereinfachtes Modell, das die Bedrohungen abdeckt, lässt sich auf drei Schichten reduzieren:

Schicht 1: Credential-Hygiene (verhindert unbefugten Zugang) Schicht 2: Netzwerksicherheit (schützt Daten bei der Übertragung) Schicht 3: Endpoint Protection (verteidigt einzelne Geräte)

Jede Schicht hat spezifische Tools und Richtlinien. Zusammen schützen sie vor den Angriffsvektoren, die für die grosse Mehrheit der Sicherheitsvorfälle verantwortlich sind: Phishing, Ransomware, Credential Stuffing, Malware und Netzwerkabfang.

Schicht 1: Credential-Hygiene

Credential-Hygiene ist in den meisten KMU-Setups die wirksamste einzelne Sicherheitsmassnahme, weil sie die Angriffsvektoren abdeckt, die statistisch am häufigsten greifen.

Passwort-Manager für das Team

Ein Passwort-Manager für jede Mitarbeitende ist der Grundbaustein. Kein anderes einzelnes Tool deckt ein vergleichbar breites Bedrohungsspektrum ab: Er kann wirksam das Wiederverwenden von Passwörtern verhindern, was ein Haupttreiber von Credential Stuffing darstellt. Zudem blockiert ein Passwort-Manager durch domainbewusstes Auto-Fill einen grossen Teil von Phishing-Angriffen, ermöglicht das Sperren von Zugangsdaten, wenn jemand das Unternehmen verlässt und liefert die Audit-Logs, die für Compliance-Prüfungen wichtig werden können.

Empfehlung: 1Password Business oder Bitwarden Organization. Beide unterstützen geteilte Tresore, Admin-Kontrollen und Compliance-Reporting. Einen ausführlichen Vergleich findest du im Passwort-Manager-Vergleich für Schweizer KMUs.

Richtlinie: Jede Mitarbeitende nutzt den Passwort-Manager für alle Arbeitskonten. Im Browser gespeicherte Passwörter können per Policy deaktiviert werden, damit die zentrale Verwaltung nicht von einem Schatten-Tresor im Browser ausgehebelt wird.

Obligatorische Zweifaktorauthentifizierung

2FA ist das Sicherheitsnetz, wenn Passwörter doch einmal versagen, sei es durch eine Phishing-Kampagne oder eine Datenpanne bei einem Anbieter. Mit einem geleakten Passwort ohne 2FA ist so etwas ein direktes Problem. Mit 2FA ist dein Konto wesentlich wirksamer geschützt.

Richtlinie: Aktiviere 2FA auf allen Business-Konten. TOTP-Apps wie Google Authenticator decken das Minimum ab, Hardware-Schlüssel wie YubiKey sind für Admin-Konten und Infrastrukturzugänge empfehlenswert.

Zugriffsprüfungen

Eine einfache Liste, wer Zugang wozu hat, ist die Grundlage für ein sauberes Offboarding. Wenn diese quartalsweise überprüft und am letzten Arbeitstag aktualisiert wird, hält sich der Aufwand beim Austritt in Grenzen. Das klingt banal, ist aber in der Praxis einer der häufigsten Einstiegspunkte bei KMU-Vorfällen: Accounts von Ex-Contractors oder Ex-Mitarbeitenden, auf die nie jemand zurückschaut, bis sie bei einer Datenpanne plötzlich wieder auftauchen.

Schicht 2: Netzwerksicherheit

VPN

Ein VPN verschlüsselt den Internetverkehr zwischen Teamgeräten und den genutzten Diensten und nimmt damit unsicheren Netzwerken ihre wichtigste Angriffsfläche. Besonders relevant ist das für drei Szenarien:

  • Remote-Mitarbeitende in ungeschützten Netzwerken oder Coworking Spaces
  • Mitarbeitende auf Reisen oder bei Kunden vor Ort
  • Jedes Gerät, das sich über öffentliches WLAN verbindet

Empfehlung: NordVPN Teams oder Proton VPN Business. Beide bringen zentralisierte Verwaltung, Schweizer Server und nutzerbezogenes Management mit.

Richtlinie: Konfiguriere den VPN so, dass er sich automatisch in jedem Netzwerk ausserhalb des Büros aktiviert.

Firewall-Konfiguration

Die Büro-Firewall ist üblicherweise im Router integriert und sollte nicht auf Werkseinstellungen belassen, sondern bewusst konfiguriert werden. Vier Punkte lohnen sich in den meisten KMU-Setups:

  • Unnötige eingehende Ports blockieren
  • Logging für ungewöhnliche Verkehrsmuster aktivieren
  • Gäste-WLAN vom Business-Netzwerk trennen
  • Server oder NAS-Geräte in ein separates Netzwerksegment stellen

Schicht 3: Endpoint Protection

Virenschutz und Bedrohungserkennung

Jedes Arbeitsgerät braucht eine moderne Endpoint Protection. Die aktuellen Lösungen gehen dabei deutlich über klassisches Virus-Scanning hinaus:

  • Verhaltenserkennung fängt unbekannte Malware und Ransomware ab, auch wenn die Signatur noch nicht in den Datenbanken ist
  • Ein zentrales Dashboard zeigt den Sicherheitsstatus aller Teamgeräte in einer Ansicht
  • Automatische Isolation trennt ein kompromittiertes Gerät vom Netzwerk, bevor sich der Angriff ausbreiten kann
  • Patch-Management-Features markieren veraltete Software, bevor sie zum Einfallstor wird

Empfehlung: Norton Small Business, Avast Business oder Bitdefender GravityZone.

Geräteverschlüsselung

Verschlüsselung auf jedem Arbeitsgerät ist in den meisten Fällen kostenlos, in wenigen Minuten aktiviert (FileVault auf macOS, BitLocker auf Windows Pro) und macht im Verlustfall den entscheidenden Unterschied. Wenn ein Laptop verloren geht oder gestohlen wird, entscheidet die Verschlüsselung darüber, ob das ein «wir haben ein Gerät verloren» bleibt oder zu einem «wir haben einen meldepflichtigen Datenschutz-Vorfall unter dem nDSG» wird.

Patch Management

Ungepatchte Software ist die zweite Tür, durch die Angreifer regelmässig gehen. Patch Management muss für ein kleines Team nicht aufwendig sein, sondern nur konsequent. In der Praxis sind drei Punkte ein guter Anfang:

  • Automatische OS-Updates auf allen Geräten aktivieren
  • Ein Tool nutzen, das veraltete Anwendungen auf den Arbeitsgeräten markiert
  • Patches für internetfähige Software priorisieren, insbesondere Browser, E-Mail- und VPN-Clients

Backups: deine Ransomware-Versicherung

Backups sind eine wichtige Versicherung gegen Ransomware und menschliche Fehler. Die Zahl der Ransomware-Vorfälle gegen Schweizer KMU nimmt zu, und die durchschnittliche Wiederherstellungszeit ohne brauchbare Backups kann häufig mehrere Tage oder Wochen dauern. So einen Ausfall können die wenigsten kleinen Unternehmen ohne nachhaltigen Schaden überstehen.

  • 3-2-1-Regel: Drei Kopien, zwei Speichertypen, eine davon extern oder offline
  • Unveränderliche Backups: Mindestens eine Kopie, die Ransomware nicht nachträglich verschlüsseln kann
  • Quartalsweise testen: Regelmässige Prüfung ob der Wiederherstellungsprozess funktioniert, um Überraschungen im Ernstfall zu vermeiden
  • Backup-Medien verschlüsseln: Ein unverschlüsseltes Backup-Laufwerk birgt das Risiko, dass Backups bei Verlust direkt kompromittiert werden

nDSG-Compliance für KMU

Das nDSG unterscheidet nicht zwischen einem 10-Personen-Unternehmen und einem 10’000-Personen-Konzern. Die Anforderungen skalieren, die Pflicht bleibt gleich. Für KMUs decken fünf Punkte den Kern ab:

  • Datenverarbeitungsverzeichnis. Dokumentieren, welche Personendaten du bearbeitest, wo sie gespeichert sind und wer Zugang hat.
  • Technische Massnahmen. Das Drei-Schichten-Framework oben bildet die «angemessenen technischen Massnahmen», die das nDSG verlangt.
  • Meldepflicht. Sobald eine Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für betroffene Personen führt, ist sie nach Art. 24 nDSG so rasch als möglich an den EDÖB zu melden.
  • Sensibilisierung im Team. Das Team sollte Phishing, Social Engineering und die internen Meldeverfahren kennen, damit Verdachtsfälle früh eskaliert werden.
  • Auftragsverarbeitungsverträge. Prüfe die Auftragsverarbeitungsverträge deiner Cloud-Anbieter, SaaS-Tools und IT-Dienstleister, die personenbezogene Daten verarbeiten.

Für FINMA-regulierte Unternehmen kommen strengere Anforderungen dazu: obligatorische Penetrationstests, formelle Incident-Response-Pläne und dokumentierte Business-Continuity-Verfahren.

Wer verantwortet Security?

Eine Vollzeit-Security-Stelle ist in dieser Unternehmensgrösse selten möglich. Dennoch sollte jemand, Founder oder Mitarbeitende, folgende Aufgaben regelmässig im Blick haben:

  • Die Security-Tools und deren Konfiguration verantworten
  • Quartalsweise Zugriffsprüfungen durchführen
  • Gelegentlich Phishing-Simulationen organisieren
  • Das Datenverarbeitungsverzeichnis aktuell halten
  • Erste Ansprechperson sein, wenn jemand eine verdächtige E-Mail oder einen Vorfall meldet

Zwei bis vier Stunden pro Monat in Kombination mit der nötigen Autorität, Richtlinien durchzusetzen, reichen in der Regel aus, solange die Verantwortung benannt und dokumentiert ist.

Welche Kosten kommen auf dich zu?

ToolKostenmodellSchicht
1Password Businesspro Person/MonatCredential-Hygiene
NordVPN Teamspro Person/MonatNetzwerksicherheit
Norton Small BusinessPro Gerät/MonatEndpoint Protection
Cloud-BackupPro Speicher/MonatBackup
YubiKeys (Admin-Konten)EinmaligCredential-Hygiene

Für ein 10-Personen-Team liegen die monatlichen Fixkosten noch überschaubar. Zum Vergleich: Die Gesamtkosten eines Ransomware-Vorfalls für ein KMU setzen sich aus Ausfallzeit, Wiederherstellung, externer Incident-Response und regulatorischer Nachbearbeitung zusammen und erreichen in der Praxis schnell einen sechsstelligen Betrag. Gegen diese Grössenordnung ist ein grundlegendes Sicherheitssetup eine moderate Versicherungsprämie.

Umsetzungsplan

Ein sinnvoller Rollout lässt sich in vier Wochen umsetzen, ohne das Tagesgeschäft zu stören, solange das Team rechtzeitig informiert ist und die Verantwortung benannt wurde.

Woche 1: Passwort-Manager verteilen, 2FA aktivieren, Geräteverschlüsselung prüfen. Woche 2: VPN ausrollen, Endpoint Protection installieren, Firewall konfigurieren. Woche 3: Backup-Infrastruktur aufsetzen, Datenverarbeitungsverzeichnis erstellen, Zugriffsliste dokumentieren. Woche 4: Test-Phishing durchführen, Backup-Restore testen, Security-Verantwortung formell zuweisen.

Zuletzt aktualisiert: 23.03.2026