«Cybersicherheit ist Chefsache»

Andy Kutter, welche Cybergefahren bedrohen KMU heute am stärksten und was hat sich gegenüber früher verändert?
Die Bedrohungslage hat sich deutlich verschärft! Cyberangriffe sind gezielter und raffinierter geworden, häufig unterstützt durch künstliche Intelligenz. Besonders gefährlich sind Phishing-Mails mit Zahlungsaufforderungen, kompromittierte Cloud-Zugänge und manipulierte Kommunikationskanäle. KMU geraten ins Visier, weil sie oft über weniger Schutzmechanismen verfügen und als Einstiegspunkt in grössere Lieferketten dienen. Wer keine Sicherheitsstrategie verfolgt, riskiert Datenverlust, Betriebsunterbrüche und langfristige Reputationsschäden.

Kyos betont, dass Cybersicherheit nicht nur ein IT-Thema, sondern eine Führungsaufgabe ist. Was heisst das konkret?
Cybersicherheit ist längst Teil der Unternehmensführung. Die Geschäftsleitung muss Prioritäten setzen, Budgets freigeben und klare Prozesse etablieren. Viele Führungskräfte zögern, weil ihnen Erfahrung fehlt oder sie zu stark auf die Kosten statt auf die Risiken achten. Diese Zurückhaltung ist gefährlich, denn Prävention ist immer günstiger als Schadensbegrenzung. Entscheidend ist, dass Cybersicherheit aktiv gelebt wird – mit klarer Kommunikation, Verantwortlichkeiten und einem Partner, der Sicherheit verständlich und praxisnah vermittelt. 

Viele KMU haben keine eigene IT-Abteilung. Wie lässt sich trotzdem ein angemessenes Sicherheitsniveau erreichen?
Auch ohne interne IT können KMU ein solides Sicherheitsniveau aufbauen, wenn sie externe Unterstützung gezielt einsetzen. Viele Unternehmen unterschätzen die Komplexität moderner Bedrohungen und beschränken sich auf Einzelmassnahmen, die ohne Strategie wenig bringen. Ein sinnvoller Einstieg ist ein Audit auf Basis anerkannter Standards wie den CIS Controls™. Darauf aufbauend lassen sich Schutzmassnahmen definieren, die Budget und Ressourcen berücksichtigen – etwa Managed Services, Schulungen zur Sensibilisierung der Mitarbeiter oder automatisierte Phishing-Tests. Entscheidend ist, dass die Zusammenarbeit auf klaren Prozessen, nachvollziehbarer Kommunikation und zertifizierter Fachkompetenz beruht. So entsteht ein Sicherheitskonzept, das pragmatisch, wirksam und langfristig tragfähig ist.

Sie bieten auch Audits und Penetrationstests an. Wann lohnt sich ein solcher Test?
Penetrationstests sind sinnvoll bei neuen Systemen, nach Sicherheitsvorfällen oder zur Überprüfung bestehender Schutzmassnahmen. Wichtig sind klare Ziele, transparente Kommunikation und konkrete Empfehlungen. Audits lohnen sich bereits früher, etwa zur Standortbestimmung oder bei Compliance-Anforderungen. Speziell für KMU gibt es Formate, die Schwachstellen identifizieren, Massnahmen priorisieren und einen realistischen Fahrplan zur Verbesserung liefern.

Ein zentrales Thema ist das Identity- und Access-Management. Wie bleibt es auch im KMU beherrschbar?
Entscheidend ist, dass Mitarbeiter nur die Zugriffsrechte erhalten, die sie wirklich brauchen, und dass diese regelmässig überprüft werden. Multi-Faktor-Authentifizierung und Self-Service-Password-Reset erhöhen die Sicherheit und entlasten die IT. Klare Prozesse und dokumentierte Abläufe sind auch für kleinere Unternehmen problemlos umsetzbar.

Kyos setzt stark auf Schulung und Sensibilisierung. Wie bringt man Angestellte dazu, Sicherheitsregeln tatsächlich zu leben?
Schulungen müssen praxisnah und wiederkehrend sein. Phishing-Simulationen, Lernmodule oder Gamification fördern das Bewusstsein und machen Fortschritte messbar. Sichtbare Erfolge motivieren – und gut informierte Mitarbeiter sind die beste Verteidigung. Cybersicherheit ist Teamarbeit und beginnt bei jedem Einzelnen.

Cloud-Dienste und externe IT-Anbieter sind Alltag. Welche Risiken entstehen in der Zusammenarbeit mit Dritten?
Cloud-Dienste sind unverzichtbar, bergen aber Risiken, die oft unterschätzt werden. Bei grossen Anbietern fehlen individuelle Betreuung und schnelle Reaktionszeiten, und im Ernstfall droht Kontrollverlust. Um das zu vermeiden, müssen technische Massnahmen wie Verschlüsselung und Zugriffskontrollen mit klaren vertraglichen Regeln kombiniert werden – etwa durch Service-Level-Agreements, Notfallpläne und Datenschutzvereinbarungen. Ebenso wichtig sind regelmässige Audits und die Prüfung von Sicherheitszertifikaten. So bleibt die Kontrolle über Daten und Systeme gewahrt.

Im Ernstfall zählt jede Minute. Wie sollte ein Notfallplan aussehen?
Ein strukturierter Notfallplan definiert technische Sofortmassnahmen, Zuständigkeiten und Kommunikationswege. Betroffene Systeme müssen sofort isoliert, Backups eingespielt und interne wie externe Stellen informiert werden. Diese Abläufe sollten regelmässig geübt werden – etwa durch Simulationen. Kyos übernimmt im Ernstfall Analyse, Intervention und Wiederherstellung, unterstützt bei Eskalationen und stellt standardisierte Vorlagen bereit, damit Unternehmen organisatorisch wie mental vorbereitet sind.

KI-generierte Angriffe, Deepfakes oder manipulierte Zahlungsanweisungen nehmen zu. Was hilft trotzdem zuverlässig?
Täuschungen durch Deepfakes oder KI-generierte Stimmen sind Realität. Sie tauchen in gefälschten Videokonferenzen oder E-Mails vermeintlicher Vorgesetzter auf. Solche Angriffe lassen sich kaum technisch erkennen – deshalb ist Bewusstsein entscheidend. Wer typische Muster wie übertriebene Dringlichkeit oder ungewöhnliche Kommunikationswege erkennt, kann frühzeitig reagieren. Ergänzend helfen KI-gestützte Abwehrsysteme, die verdächtiges Verhalten automatisch erkennen und stoppen. Kombiniert mit segmentierten Netzwerken, getesteten Wiederherstellungsprozessen und klaren Zuständigkeiten entsteht ein robustes Sicherheitsniveau – unabhängig von der Angriffstechnologie.

Zum Schluss: Welche drei Schritte können die Cybersicherheit eines KMU innerhalb eines Jahres am effektivsten verbessern?
Erstens: Ein IT-Partner, dem man uneingeschränkt vertrauen kann – ähnlich wie einem Arzt. Im Ernstfall zählen nicht nur Technik, sondern Verlässlichkeit und Nähe zum Unternehmen. Zweitens: Zertifizierte Fachkräfte. Ohne fundiertes Know-how lassen sich Risiken nicht richtig einschätzen und Sicherheitsmassnahmen kaum bewerten. Drittens: Klare Qualitätsstandards wie ISO 27001 und ausreichend Ressourcen, um bei Vorfällen schnell reagieren zu können – intern oder durch externe 24/7-Unterstützung. Kyos kennt die Anforderungen von KMU ebenso wie jene grosser Organisationen und bietet flexible, kosteneffiziente Lösungen. Ziel ist es, auch kleineren Unternehmen Zugang zu professionellen Sicherheitsstrukturen zu ermöglichen – ohne Kompromisse bei Qualität, Reaktionsfähigkeit oder Transparenz.