Zum Hauptinhalt springen
Szenario · Szenario · Managed Workplace & Hosting← Alle Szenarien

Sicherheitsbasis für KMU schaffen, ohne Security-Theater

Befund · 01

MFA, Passwortmanager, Patching, Backup, E-Mail-Security und Geräte-Härtung fehlen oder sind unvollständig. Wir setzen die Grundlagen, nüchtern, prüfbar, ohne Security-Theater.

Typische Anzeichen im Alltag
  • MFA ist nicht für alle Konten aktiv
  • Adminrechte sind breit verteilt und nicht dokumentiert
  • Passwörter werden in Browsern oder Excel-Listen geführt
  • Patches werden gemacht, wenn jemand Zeit hat
  • Backups existieren, aber Restore wurde nie geprüft
Antwort · 02

Sicherheit für ein KMU ist kein Tool. Es ist eine Reihe von Entscheidungen, die nachvollziehbar dokumentiert und im Alltag gelebt werden.

Viele KMU sind nicht ungeschützt, aber unklar geschützt. Es gibt Antivirus, Backup und Passwörter. Aber niemand kann auf einer Seite belegen, was wo aktiv ist, wer Adminrechte hat und wann zuletzt geprüft wurde.

Zielbild

Was nach 30 Tagen klar ist.

Nach 30 Tagen soll Ihr Sicherheits-Stand auf einer Seite belegbar sein und die wichtigsten Quick-Wins (MFA, Passwortmanager, Restore-Test) sollen erledigt sein.

Tag 1Start
Tag 7Audit
Tag 14Befund
Tag 21Quick Wins
Tag 30Übergabe
Klarheit
Was sicher fertig ist8 Belege
Bestandsaufnahme aller Konten, Geräte und Zugänge
MFA-Status pro Konto dokumentiert
Adminrechte inventarisiert und reduziert
Passwortmanager eingeführt
Restore-Test mit echten Daten durchgeführt
E-Mail-Schutz und Phishing-Baseline geprüft
Massnahmenplan mit Prioritäten und Aufwand
Dokumentation als Beleg für Versicherung oder Audit
Vorgehen·5 Phasen·So gehen wir Schritt für Schritt vor

Wie wir Security-Basis in einem KMU einführen, pragmatisch und nachweisbar.

Fünf Phasen vom ehrlichen Bestand zur dokumentierten Roadmap. Reihenfolge ist nicht beliebig: Bestand vor Quick-Wins, Quick-Wins vor Backup, Backup vor Härtung, Härtung vor Dossier.

01
Phase
Bestand & Risiko-Triage

Bestandsaufnahme und Risiko-Triage.

Bevor Massnahmen sinnvoll sind, brauchen wir einen ehrlichen Ist-Stand. Wir prüfen Konten, Adminrechte, Geräte, Backup-Lage, E-Mail-Schutz und bestehende Dokumentation.

Sie bekommen: Inventar von Konten und Adminrechten, Geräte- und Patch-Stand-Übersicht, Backup- und Restore-Lage-Check, Risikoliste mit Prioritäten.

Wir liefern
  • Inventar von Konten und Adminrechten
  • Geräte- und Patch-Stand-Übersicht
  • Backup- und Restore-Lage-Check
  • Risikoliste mit Prioritäten
Sie liefern
  • Zugang zu Admin-Portalen (M365, Hosting, Netzwerk)
  • Liste der Mitarbeitenden mit Rolle
  • Bestehende IT-Dokumentation, soweit vorhanden
  • 60-Min Stakeholder-Workshop
Exit hier möglich · Risikoliste bleibt bei Ihnen
Risiko · Triage● scan
6 Risiken · sortiert
Globaler Admin · altcrit
Backup · nicht testcrit
MFA · 60 %high
DMARC · fehlthigh
Disk-Crypt · oklow
Patch-Stand · 14 dlow
2 CRIT · 2 HIGH · 2 LOWpriorisiert
02
Phase
Quick-Wins

Quick-Wins umsetzen.

Die ersten Massnahmen sind die mit dem grössten Hebel: MFA für alle, Adminrechte reduzieren, Passwortmanager rollen. Keine grosse Migration, sondern saubere Basis.

Sie bekommen: MFA-Rollout für alle Konten, Adminrechte-Bereinigung, Passwortmanager-Einführung mit Schulung, kritische Patches eingespielt.

Wir liefern
  • MFA-Rollout für alle Konten
  • Adminrechte-Bereinigung
  • Passwortmanager-Einführung und Schulung
  • Kritische Patches einspielen
Sie liefern
  • Freigabe für MFA-Rollout
  • Interne Kommunikation zu Mitarbeitenden
  • Entscheid zum Passwortmanager-Tool
Basis-Härtung live · Backup-Phase folgt
Quick-Wins · 3● on
Hebel · höchster Impact
MFAon
Adminclean
PW-Mgrlive
3/3 Quick-Wins live
03
Phase
Backup & Restore

Backup und Restore prüfen.

Ein Backup, das nie zurückgespielt wurde, ist kein Backup. Wir testen Restore mit echten Daten und dokumentieren das Resultat.

Sie bekommen: Backup-Konzept dokumentiert, Restore-Test mit echten Daten, Aufbewahrungs- und Verschlüsselungs-Check, Restore-Protokoll als Versicherungs-Beleg.

Wir liefern
  • Backup-Konzept dokumentieren
  • Restore-Test mit echten Daten
  • Aufbewahrungs- und Verschlüsselungs-Check
  • Restore-Protokoll als Versicherungs-Beleg
Sie liefern
  • Zugriff auf Backup-Ziel und Quellsysteme
  • Freigabe für Restore-Test in Sandbox
  • Entscheid zu Aufbewahrungsfristen
Restore bewiesen · Beleg dokumentiert
3-2-1 · Restore-Drill● tested
3 Kopien · 2 Medien · 1 offsite
Prod
Backup
Offsite
Restore-Test ok02:18:42
✓ datafile · 4.2 GB · 02:18
✓ db-snapshot · checksum ok
04
Phase
E-Mail-Schutz & Geräte-Härtung

E-Mail-Schutz und Geräte-Baseline.

Phishing und unkontrollierte Endgeräte sind die häufigsten Einbruchswege. Wir prüfen E-Mail-Filter, SPF/DKIM/DMARC und richten eine Geräte-Härtungs-Baseline ein.

Sie bekommen: SPF/DKIM/DMARC verifiziert, Phishing-Schutz und Anhang-Policy, Geräte-Härtungs-Baseline (Disk-Crypt, Updates, Lock), Phishing-Test mit Erklärung.

Wir liefern
  • SPF, DKIM, DMARC verifizieren
  • Phishing-Schutz und Anhang-Policy
  • Geräte-Härtungs-Baseline (Disk-Verschlüsselung, Updates, Lock)
  • Phishing-Test mit anschliessender Erklärung
Sie liefern
  • Zugriff auf DNS und Mail-Tenant
  • Mitarbeitenden-Kommunikation zum Phishing-Test
  • Freigabe für Geräte-Policies
Mail-Schutz verifiziert · Geräte-Baseline aktiv
Mail · Devices● hardened
DNS · Records · Baseline
SPFv=spf1
DKIMselector1
DMARCp=quar
Geräte-Baseline
Disk-Crypt · BitLockeron
Auto-Update · 24 hon
Auto-Lock · 5 minon
Phishing-Test · runok
05
Phase
Dossier & Roadmap

Dokumentation und 6-Monats-Roadmap.

Sicherheit, die nicht dokumentiert ist, existiert nicht für die Versicherung. Wir schliessen mit einer Massnahmen-Doku und einem Plan für die nächsten 6 Monate.

Sie bekommen: Sicherheits-Dossier (eine Seite Status + Belege), Massnahmenplan 6 Monate mit Aufwand, Übergabe-Workshop für interne IT-Verantwortliche, Empfehlung Care-Mandat oder Eigenbetrieb.

Wir liefern
  • Sicherheits-Dossier (eine Seite Status + Belege)
  • Massnahmenplan 6 Monate mit Aufwand
  • Übergabe-Workshop für interne IT-Verantwortliche
  • Empfehlung Care-Mandat oder Eigenbetrieb
Sie liefern
  • Endabnahme der Dokumentation
  • Budgetentscheid für nächste Massnahmen-Phase
Care-Mandat ab CHF 295 / Mt oder Eigenbetrieb
Dossier · Roadmap 6 Mt● delivered
security-dossier.md1 Seite · Belege
Mt 0
Mt 2
Mt 4
Mt 6
Lieferumfang · Mitwirkung · Wirkung

Wer was liefert. Und was dabei besser wird.

Drei klare Spalten: was SYSINFRA übernimmt, was Sie liefern müssen, was an Risiko nachweisbar runtergeht. Damit niemand am Tag 1 überrascht wird.

Phase · Lieferumfang

Was SYSINFRA übernimmt

Bestandsaufnahme Konten, Geräte, Zugänge
MFA-Rollout und Adminrechte-Bereinigung
Passwortmanager-Einführung und Schulung
Patch-Management und Update-Strategie
Backup-Konzept und Restore-Test
E-Mail-Schutz (SPF/DKIM/DMARC, Anhang-Policy)
Geräte-Härtungs-Baseline
Sicherheits-Dokumentation als Audit- und Versicherungs-Beleg
8 Liefer-Items→ verantwortet
Phase · Mitwirkung

Was Sie liefern müssen

Zugang zu Admin-Portalen
Liste der Mitarbeitenden mit Rolle
bestehende IT-Dokumentation
Entscheid zu Tools (Passwortmanager, MFA-Methode)
interne Kommunikation zu Mitarbeitenden
Budget für Quick-Wins und Folge-Massnahmen
Freigabe für Restore-Test und Phishing-Test
7 Input-Items→ von Ihnen
Phase · Wirkung

Risiken, die reduziert werden

Phishing führt zu Account-Übernahme
Ransomware verschlüsselt operative Daten
Backup ist nicht wiederherstellbar
Cyberversicherung zahlt nicht trotz Police
Adminrechte sind nicht nachvollziehbar
Geräte gehen verloren ohne Verschlüsselung
Phishing-Mails kommen durch, weil DMARC fehlt
Audit oder Due-Diligence nicht beantwortbar
8 Risiken→ messbar tiefer
PraxisfallAnonymisiert

So lief es bei einem KMU mit ähnlicher Ausgangslage.

Anonymisierter Praxisfall · Sicherheitsbasis nach Phishing-Vorfall bei einem Treuhand-KMU. Ein Treuhandbuero erlebte einen Phishing-Vorfall mit Account-Übernahme. Zugriffsversuche auf Mailbox und Fileshare wurden vom MFA-losen Konto aus durchgeführt.

01Ausgangslage

Ausgangslage.

MFA war nur für die Geschäftsleitung aktiviert. Adminrechte waren über Jahre breit verteilt. Backups existierten, Restore wurde nie geprüft. Cyberversicherungs-Selbstauskunft war optimistisch ausgefüllt.

02Vorgehen

Vorgehen.

Konten, Adminrechte und Backup-Stand aufgenommen. MFA für alle Konten ausgerollt, Adminrechte reduziert, Passwortmanager eingeführt. SPF/DKIM/DMARC verifiziert, Geräte-Härtungs-Baseline und Restore-Test mit echten Daten dokumentiert.

03Ergebnis

Ergebnis.

Der Sicherheits-Stand ist heute auf einer Seite belegbar. Die Cyberversicherungs-Selbstauskunft kann faktentreu ausgefüllt werden. Der nächste Phishing-Versuch lief ins Leere, MFA hielt das Konto.

Lesson

Lesson.

Sicherheit ist kein Tool, sondern eine Reihe von Entscheidungen, die dokumentiert und im Alltag gelebt werden. Wer MFA und Restore-Test hat, hat 80 Prozent der Cyberversicherungs-Anforderungen abgedeckt.

Branche: digitales ProduktGrösse: KMUQuelle: SYSINFRA-Mandat 2024Details anonymisiert
Passende Leistungen

Passende Leistungen in diesem Szenario.

SGF / WORK

Managed Workplace & M365

Tenant-Hardening, Conditional Access, Geräteverwaltung. Identitäten + Cloud-Desktop aus einer Hand.

SGF / HOST

Hosting & Betrieb

Managed Hosting in europäischen Rechenzentren. SLA, Backup, Monitoring, Incident-Pager inklusive.

SGF / WEB

Web & Commerce

Websites und Shops, Wartung, Performance, DSG-konform. Saubere Betriebsstrukturen.

SGF / INFRA

Infrastructure

Netzwerk, Hypervisor, Cloud-Ops beim Kunden. Setup, Care und Migration mit Rollback-Pfad.

FAQ · zuletzt geprüft 2026-04-28

Was wir oft im Erstgespräch hören.

Geprüft und ehrlich beantwortet. Bei Unklarheit: 30-Min-Erstgespräch direkt buchen.

S
SYSINFRA · Erstgesprächonline · antwortet meist innert 24 h
Alle AntwortenErstgespräch buchen
Heute · 2026-06-02
Auto-Play läuft · klicken Sie links eine Frage an30-Min-Erstgespräch buchen →
Drei Wege zu uns

Drei Wege, einer wird passen.

Termin, Preise zum Selbst-Lesen, oder direkt anrufen, wie es am besten für Sie passt.

Empfohlen · 30 min

30-Min Erstgespräch · technische Klärung.

Wir prüfen mit Ihnen den aktuellen Stack, hören die offenen Punkte und sagen ehrlich, ob ein Wechsel sich lohnt oder nicht. Online via Microsoft Teams, kostenlos und unverbindlich.

SYSINFRAWerktagsantwort ≤ 4 h · Mo bis Fr 08:00 bis 18:00
Termin buchenVerfügbar werktags · 30 min · CH-Zeit
Anfrage schreiben

Detaillierte Anfrage via Kontaktformular.

Längere Beschreibung Ihres Setups, Anhänge möglich (Screenshots, Verträge, Systemlisten). Wir lesen, sortieren und antworten mit nächstem sinnvollem Schritt.

  • Freie Beschreibung statt fixem Slot
  • Anhänge bis 10 MB pro Datei
  • Antwort werktags ≤ 4 h
  • Optionales Erstgespräch im Anschluss
Anfrage öffnen