Zum Hauptinhalt springen
Szenario · Szenario · Managed Workplace & Hosting← Alle Szenarien

Sicherheitsbasis für KMU schaffen, ohne Schein-Sicherheit

Befund · 01

Zwei-Schritt-Anmeldung, Passwortmanager, Updates, Backup, Mail-Schutz und sichere Geräte fehlen oder sind unvollständig. Wir setzen die Grundlagen, nüchtern, prüfbar, ohne Schein-Sicherheit.

Typische Anzeichen im Alltag
  • Die Zwei-Schritt-Anmeldung ist nicht für alle Konten aktiv
  • Adminrechte sind breit verteilt und nicht dokumentiert
  • Passwörter werden in Browsern oder Excel-Listen geführt
  • Updates werden gemacht, wenn jemand Zeit hat
  • Backups existieren, aber die Wiederherstellung wurde nie geprüft
Antwort · 02

Sicherheit für ein KMU ist kein Programm. Es ist eine Reihe von Entscheidungen, die nachvollziehbar dokumentiert und im Alltag gelebt werden.

Viele KMU sind nicht ungeschützt, aber unklar geschützt. Es gibt Antivirus, Backup und Passwörter. Aber niemand kann auf einer Seite belegen, was wo aktiv ist, wer Adminrechte hat und wann zuletzt geprüft wurde.

Zielbild

Was nach 30 Tagen klar ist.

Nach 30 Tagen soll Ihr Sicherheits-Stand auf einer Seite belegbar sein und die wichtigsten schnellen Verbesserungen (Zwei-Schritt-Anmeldung, Passwortmanager, Wiederherstellungs-Test) sollen erledigt sein.

Tag 1Start
Tag 7Audit
Tag 14Befund
Tag 21Quick Wins
Tag 30Übergabe
Klarheit
Was sicher fertig ist8 Belege
Bestandsaufnahme aller Konten, Geräte und Zugänge
Status der Zwei-Schritt-Anmeldung pro Konto dokumentiert
Adminrechte inventarisiert und reduziert
Passwortmanager eingeführt
Wiederherstellungs-Test mit echten Daten durchgeführt
E-Mail-Schutz und Phishing-Grundschutz geprüft
Massnahmenplan mit Prioritäten und Aufwand
Dokumentation als Beleg für Versicherung oder Prüfung
Vorgehen·5 Phasen·So gehen wir Schritt für Schritt vor

Wie wir eine solide IT-Sicherheit in einem KMU einführen, pragmatisch und nachweisbar.

Fünf Phasen vom ehrlichen Bestand zum dokumentierten Fahrplan. Die Reihenfolge ist nicht beliebig: Bestand vor schnellen Massnahmen, schnelle Massnahmen vor Datensicherung, Datensicherung vor Absicherung, Absicherung vor Dossier.

01
Phase
Bestand & Risiko-Einstufung

Bestandsaufnahme und Risiko-Einstufung.

Bevor Massnahmen sinnvoll sind, brauchen wir einen ehrlichen Ist-Stand. Wir prüfen Konten, Admin-Rechte, Geräte, die Lage bei der Datensicherung, den E-Mail-Schutz und bestehende Dokumentation.

Sie bekommen: Inventar von Konten und Admin-Rechten, Übersicht über Geräte und ihren Update-Stand, Prüfung der Datensicherung und ob sich Daten wirklich wiederherstellen lassen, Risikoliste mit Prioritäten.

Wir liefern
  • Inventar von Konten und Admin-Rechten
  • Übersicht über Geräte und ihren Update-Stand
  • Prüfung von Datensicherung und Wiederherstellung
  • Risikoliste mit Prioritäten
Sie liefern
  • Zugang zu den Verwaltungs-Bereichen (Microsoft 365, Hosting, Netzwerk)
  • Liste der Mitarbeitenden mit Rolle
  • Bestehende IT-Dokumentation, soweit vorhanden
  • 60-Minuten-Workshop mit den Beteiligten
Ausstieg hier möglich · Risikoliste bleibt bei Ihnen
Risiko · Einstufung● prüfen
6 Risiken · sortiert
Globaler Admin · altcrit
Backup · nicht testcrit
MFA · 60 %high
DMARC · fehlthigh
Disk-Crypt · oklow
Patch-Stand · 14 dlow
2 CRIT · 2 HIGH · 2 LOWpriorisiert
02
Phase
Schnelle Massnahmen

Schnelle Massnahmen umsetzen.

Die ersten Massnahmen sind die mit dem grössten Hebel: Zwei-Schritt-Anmeldung für alle, Admin-Rechte reduzieren, einen Passwortmanager einführen. Kein grosser Umbau, sondern eine saubere Basis.

Sie bekommen: Zwei-Schritt-Anmeldung für alle Konten, Aufräumen der Admin-Rechte, Einführung eines Passwortmanagers mit Schulung, wichtige Updates eingespielt.

Wir liefern
  • Zwei-Schritt-Anmeldung für alle Konten
  • Aufräumen der Admin-Rechte
  • Passwortmanager einführen und schulen
  • Wichtige Updates einspielen
Sie liefern
  • Freigabe für die Zwei-Schritt-Anmeldung
  • Interne Kommunikation zu Mitarbeitenden
  • Entscheid zum Passwortmanager
Basis-Schutz steht · Datensicherungs-Phase folgt
Sofort · Top 3● an
Hebel · grösste Wirkung
MFAon
Adminclean
PW-Mgrlive
3/3 Massnahmen live
03
Phase
Datensicherung & Wiederherstellung

Datensicherung und Wiederherstellung prüfen.

Eine Datensicherung, die nie zurückgespielt wurde, ist keine Sicherung. Wir testen die Wiederherstellung mit echten Daten und dokumentieren das Resultat.

Sie bekommen: Konzept der Datensicherung dokumentiert, Test der Wiederherstellung mit echten Daten, Prüfung von Aufbewahrung und Verschlüsselung, Wiederherstellungs-Protokoll als Beleg für die Versicherung.

Wir liefern
  • Konzept der Datensicherung dokumentieren
  • Test der Wiederherstellung mit echten Daten
  • Prüfung von Aufbewahrung und Verschlüsselung
  • Wiederherstellungs-Protokoll als Beleg für die Versicherung
Sie liefern
  • Zugriff auf das Sicherungs-Ziel und die Quell-Systeme
  • Freigabe für einen Wiederherstellungs-Test in einer Testumgebung
  • Entscheid zu Aufbewahrungsfristen
Wiederherstellung bewiesen · Beleg dokumentiert
3-2-1 · Rückspiel-Test● getestet
3 Kopien · 2 Medien · 1 extern
Daten
Kopie
Extern
Rückspiel ok02:18:42
✓ datafile · 4.2 GB · 02:18
✓ db-snapshot · checksum ok
04
Phase
E-Mail-Schutz & Geräte-Absicherung

E-Mail-Schutz und sichere Geräte-Grundeinstellungen.

Betrugsmails (Phishing) und unkontrollierte Geräte sind die häufigsten Einbruchswege. Wir prüfen die E-Mail-Filter, den Schutz gegen gefälschte Mails (SPF, DKIM, DMARC) und richten sichere Grundeinstellungen für alle Geräte ein.

Sie bekommen: Schutz gegen gefälschte Mails geprüft (SPF, DKIM, DMARC), Schutz vor Betrugsmails und Regeln für Anhänge, sichere Geräte-Grundeinstellungen (Festplatten-Verschlüsselung, automatische Updates, automatische Sperre), Test mit einer Betrugsmail samt Erklärung.

Wir liefern
  • Schutz gegen gefälschte Mails prüfen (SPF, DKIM, DMARC)
  • Schutz vor Betrugsmails und Regeln für Anhänge
  • Sichere Geräte-Grundeinstellungen (Festplatten-Verschlüsselung, Updates, automatische Sperre)
  • Test mit einer Betrugsmail und anschliessender Erklärung
Sie liefern
  • Zugriff auf die DNS-Einstellungen und das Mail-Konto
  • Mitarbeitenden-Kommunikation zum Betrugsmail-Test
  • Freigabe für die Geräte-Regeln
Mail-Schutz geprüft · Geräte-Grundeinstellungen aktiv
Mail · Geräte● gesichert
DNS · Einträge · Schutz
SPFv=spf1
DKIMselector1
DMARCp=quar
Geräte-Grundschutz
Festplatte · BitLockeron
Auto-Update · 24 hon
Auto-Sperre · 5 minon
Betrugsmail-Test · okok
05
Phase
Dossier & Fahrplan

Dokumentation und 6-Monats-Fahrplan.

Sicherheit, die nicht dokumentiert ist, existiert nicht für die Versicherung. Wir schliessen mit einer Massnahmen-Doku und einem Plan für die nächsten 6 Monate.

Sie bekommen: Sicherheits-Dossier (eine Seite Status und Belege), Massnahmenplan über 6 Monate mit Aufwand, Übergabe-Workshop für die internen IT-Verantwortlichen, Empfehlung für Wartungsvertrag oder Eigenbetrieb.

Wir liefern
  • Sicherheits-Dossier (eine Seite Status und Belege)
  • Massnahmenplan 6 Monate mit Aufwand
  • Übergabe-Workshop für interne IT-Verantwortliche
  • Empfehlung Wartungsvertrag oder Eigenbetrieb
Sie liefern
  • Endabnahme der Dokumentation
  • Budgetentscheid für nächste Massnahmen-Phase
Wartungsvertrag oder Eigenbetrieb
Dossier · Fahrplan 6 Mt● geliefert
security-dossier.md1 Seite · Belege
Mt 0
Mt 2
Mt 4
Mt 6
Lieferumfang · Mitwirkung · Wirkung

Wer was liefert. Und was dabei besser wird.

Drei klare Spalten: was SYSINFRA übernimmt, was Sie liefern müssen, was an Risiko nachweisbar runtergeht. Damit niemand am Tag 1 überrascht wird.

Phase · Lieferumfang

Was SYSINFRA übernimmt

Bestandsaufnahme Konten, Geräte, Zugänge
Einführung der Zwei-Schritt-Anmeldung und Adminrechte-Bereinigung
Passwortmanager-Einführung und Schulung
Update-Verwaltung und Update-Strategie
Backup-Konzept und Wiederherstellungs-Test
E-Mail-Schutz (Echtheitsschutz SPF, DKIM, DMARC, Regeln für Anhänge)
Grundabsicherung der Geräte
Sicherheits-Dokumentation als Beleg für Prüfung und Versicherung
8 Liefer-Items→ verantwortet
Phase · Mitwirkung

Was Sie liefern müssen

Zugang zu Admin-Portalen
Liste der Mitarbeitenden mit Rolle
bestehende IT-Dokumentation
Entscheid zu Programmen (Passwortmanager, Methode der Zwei-Schritt-Anmeldung)
interne Kommunikation zu Mitarbeitenden
Budget für schnelle Verbesserungen und Folge-Massnahmen
Freigabe für Wiederherstellungs-Test und Phishing-Test
7 Input-Items→ von Ihnen
Phase · Wirkung

Risiken, die reduziert werden

Phishing führt zu Account-Übernahme
Erpressungs-Software verschlüsselt operative Daten
Backup ist nicht wiederherstellbar
Cyberversicherung zahlt nicht trotz Police
Adminrechte sind nicht nachvollziehbar
Geräte gehen verloren ohne Verschlüsselung
Phishing-Mails kommen durch, weil der Mail-Echtheitsschutz fehlt
Prüfung oder Sorgfaltsprüfung nicht beantwortbar
8 Risiken→ messbar tiefer
PraxisfallAnonymisiert

So lief es bei einem KMU mit ähnlicher Ausgangslage.

Anonymisierter Praxisfall · Sicherheitsbasis nach Phishing-Vorfall bei einem Treuhand-KMU. Ein Treuhandbüro erlebte einen Phishing-Vorfall mit Account-Übernahme. Zugriffsversuche auf Postfach und Dateispeicher wurden von einem Konto ohne Zwei-Schritt-Anmeldung aus durchgeführt.

01Ausgangslage

Ausgangslage.

Die Zwei-Schritt-Anmeldung war nur für die Geschäftsleitung aktiviert. Adminrechte waren über Jahre breit verteilt. Backups existierten, die Wiederherstellung wurde nie geprüft. Cyberversicherungs-Selbstauskunft war optimistisch ausgefüllt.

02Vorgehen

Vorgehen.

Konten, Adminrechte und Backup-Stand aufgenommen. Zwei-Schritt-Anmeldung für alle Konten eingeführt, Adminrechte reduziert, Passwortmanager eingeführt. Mail-Echtheitsschutz (SPF, DKIM, DMARC) geprüft, Grundabsicherung der Geräte und Wiederherstellungs-Test mit echten Daten dokumentiert.

03Ergebnis

Ergebnis.

Der Sicherheits-Stand ist heute auf einer Seite belegbar. Die Cyberversicherungs-Selbstauskunft kann faktentreu ausgefüllt werden. Der nächste Phishing-Versuch lief ins Leere, die Zwei-Schritt-Anmeldung hielt das Konto.

Lesson

Erkenntnis.

Sicherheit ist kein Programm, sondern eine Reihe von Entscheidungen, die dokumentiert und im Alltag gelebt werden. Wer Zwei-Schritt-Anmeldung und Wiederherstellungs-Test hat, hat 80 Prozent der Cyberversicherungs-Anforderungen abgedeckt.

Branche: digitales ProduktGrösse: KMUQuelle: SYSINFRA-Mandat 2024Details anonymisiert

FAQ · zuletzt geprüft 2026-04-28

Was wir oft im Erstgespräch hören.

Geprüft und ehrlich beantwortet. Bei Unklarheit: 30-Min-Erstgespräch direkt buchen.

S
SYSINFRA · Erstgesprächonline · antwortet meist innert 24 h
Heute · 2026-07-17
Auto-Play läuft · klicken Sie links eine Frage an30-Min-Erstgespräch buchen →