Cyberangriffe schiessen in die Höhe: Schweizer KMU zwischen steigender Bedrohung und sinkender Wachsamkeit

Summary

Trotz einer Zunahme der Cyberangriffe in der Schweiz um 113 % im ersten Quartal 2025 sinkt die Priorisierung von Sicherheitsmassnahmen in vielen KMU. Während technische Basisschutzmassnahmen oft vorhanden sind, fehlen in der Mehrheit der Unternehmen organisatorische Konzepte, Notfallpläne und regelmässige Schulungen. 

Besonders KI-basierter Betrug und Social Engineering stellen Firmen vor neue Herausforderungen, wobei Treuhand- und Steuerberatungskanzleien zudem spezifische Dokumentationspflichten erfüllen müssen.

Einleitung

Die Bedrohungslage im digitalen Raum hat sich massiv verschärft. Dennoch wiegen sich zahlreiche KMU in der Schweiz in einer trügerischen Sicherheit. Laut der aktuellen Studie «KMU Cybersicherheit 2025» korreliert die rasant steigende Anzahl an Angriffen nicht mit einer erhöhten Wachsamkeit – im Gegenteil: Das Thema verliert in der strategischen Priorisierung vieler Betriebe an Boden.

Massive Zunahme der Angriffe und neue Betrugsmuster

Die Statistiken für das laufende Jahr zeichnen ein deutliches Bild: Jedes 25. Unternehmen in der Schweiz wurde in den vergangenen drei Jahren Opfer eines Cyberangriffs, was hochgerechnet rund 26’000 Betriebe betrifft. Besonders besorgniserregend ist die qualitative Entwicklung der Angriffe. Kriminelle setzen vermehrt auf künstliche Intelligenz, um mittels Deepfake-Anrufen täuschend echte Betrugsszenarien (CEO-Fraud) zu kreieren. Ziel ist es, Entscheidungsträger zu unautorisierten Zahlungen zu bewegen.

Organisatorische Mängel als grösste Schwachstelle

Die Analyse des Bundesamtes für Cybersicherheit (BACS) zeigt, dass über 80 % der Schäden nicht auf rein technische Lücken, sondern auf «Social Engineering» – also die Manipulation von Menschen – zurückzuführen sind. Hier offenbart sich eine gefährliche Vernachlässigung der Unternehmensorganisation:

• Lediglich 30 % der KMU verfügen über ein schriftliches IT-Sicherheitskonzept oder einen Notfallplan.
• Nur jedes fünfte Unternehmen führt regelmässige Sicherheitsaudits durch.
• Mitarbeiterschulungen, die für die Erkennung von Phishing entscheidend wären, sind weiterhin die Ausnahme.

Spezifische Anforderungen für Treuhand- und Steuerberatung

Aus regulatorischer und fachspezifischer Sicht stehen besonders Treuhand- und Steuerberatungsunternehmen in der Pflicht. Diese Branchen verarbeiten hochsensible Daten und unterliegen daher verschärften Anforderungen. Sie müssen ihre Datenbearbeitungsprozesse vollständig dokumentieren und vordefinierte Abläufe für den Fall von Datenschutzverletzungen sicherstellen. Ein rein technischer Schutz reicht hier nicht aus; die organisatorische Resilienz ist rechtlich und operativ zwingend.

Präventionsmassnahmen: Der Cybersecurity-Check

Um der Bedrohung wirksam zu begegnen, empfiehlt die Allianz Digitale Sicherheit Schweiz einen kombinierten Ansatz aus Technik und Prozessen:

1. Technische Absicherung: Erstellung von Backups (inklusive einer Offline-Kopie) und konsequente Einführung der Zwei-Faktor-Authentifizierung (2FA).
2. Mensch und Bildung: Regelmässige Sensibilisierung der Belegschaft für Phishing und moderne Betrugsformen.
3. Partnerschaften: Zusammenarbeit mit zertifizierten IT-Dienstleistern.
4. Prozesse: Etablierung klarer Meldewege und eines regelmässig getesteten Notfallplans.

Fazit

Die aktuelle Gefahrenlage verzeiht keine Nachlässigkeit. Da Angreifer zunehmend die menschliche Komponente und organisatorische Lücken ins Visier nehmen, müssen KMU Cybersecurity als Führungsaufgabe begreifen. Nur die konsequente Verbindung von technischer Aufrüstung und verbindlichen internen Prozessen bietet einen nachhaltigen Schutz gegen die professionalisierte Cyberkriminalität.

Quelle

LawMedia Redaktionsteam