Abacus News

IT-Sicherheitsaudit für KMU:
Risiken erkennen, bevor es zu spät ist

Bild von Yanik Schürmann

Yanik Schürmann

Autor
Publiziert am 12.08.2025

Ein IT-Sicherheitsaudit zeigt, wo Sicherheitslücken bestehen – in Technik, Organisation und Prozessen. In der Schweiz steigt die Zahl digitaler Straftaten seit Jahren, besonders im Bereich der Wirtschaftskriminalität. Für KMU heisst das: Wer die eigene Sicherheit nicht regelmässig prüfen lässt, riskiert Datenverlust, Betriebsunterbruch und rechtliche Probleme. Ein Audit schafft Klarheit, Prioritäten und messbare Verbesserungen.

Warum IT-Sicherheitsaudits für KMU unverzichtbar sind

Cyberangriffe sind längst kein Randphänomen mehr. Laut dem Bundesamt für Statistik wurden 2024 insgesamt 59'034 Straftaten mit digitalem Hintergrund registriert – fast doppelt so viele wie 2021. Über 90 Prozent dieser Delikte betreffen die Cyber-Wirtschaftskriminalität, also gezielte Angriffe auf Unternehmen.
Für KMU bedeutet das: Die Frage ist nicht, ob ein Angriff kommt, sondern wann. Ein IT-Sicherheitsaudit ist dabei weit mehr als eine Pflichtübung – es ist eine strukturierte Standortbestimmung der Informationssicherheit. Das Audit deckt Schwachstellen auf, die im Alltag oft unentdeckt bleiben, und liefert der Geschäftsleitung eine klare Entscheidungsbasis, um gezielt in Sicherheit zu investieren.

Was ein IT-Sicherheitsaudit leistet

Ein IT-Sicherheitsaudit ist eine umfassende, methodische Überprüfung der Sicherheitsmassnahmen in einem Unternehmen. Es betrachtet technische, organisatorische und prozessuale Aspekte und bewertet diese anhand anerkannter Standards und aktueller Bedrohungslagen. Anders als ein Penetrationstest, der primär technische Angriffspfade simuliert, erfasst das Audit auch Strukturen, Verantwortlichkeiten, Prozesse und den Umgang mit gesetzlichen Pflichten.
Das Bundesamt für Cybersicherheit (BACS) empfiehlt KMU ausdrücklich, den eigenen Schutz regelmässig zu überprüfen und dabei sowohl technische wie auch organisatorische Aspekte einzubeziehen. Im «Merkblatt Informationssicherheit für KMU» weist das BACS darauf hin, dass Geschäftsleitungen Verantwortung für das Risikomanagement übernehmen und die Sicherheitslage regelmässig bewerten sollten.

Ablauf eines Audits – von der Planung bis zur Umsetzung

Der Auditprozess beginnt mit der Definition des Umfangs und der Kritikalität der zu prüfenden Systeme und Prozesse. In dieser Phase wird festgelegt, welche Bereiche besonders schützenswert sind – beispielsweise Produktionssysteme, Kundendatenbanken oder Kommunikationsplattformen.
Es folgt eine Risikoanalyse, in der mögliche Bedrohungen, Schwachstellen und deren potenzielle Auswirkungen bewertet werden. Dieser Schritt liefert ein strukturiertes Risikoregister, das die Grundlage für die weiteren Prüfungen bildet.

Anschliessend werden organisatorische Aspekte beleuchtet: Gibt es klare Sicherheitsrichtlinien? Sind Rollen und Verantwortlichkeiten eindeutig geregelt? Werden Mitarbeitende regelmässig sensibilisiert? Auch die Abhängigkeit von Lieferantinnen und Lieferanten und die Notfallorganisation spielen hier eine Rolle.
Die technische Prüfung umfasst unter anderem das Patch- und Asset-Management, Identitäts- und Zugriffskontrollen, die Sicherung und Isolierung von Backups sowie die Protokollierung sicherheitsrelevanter Ereignisse. Hier zeigt sich oft, dass zwar Massnahmen vorhanden sind, diese jedoch nicht konsequent umgesetzt werden.

Ein weiterer Bestandteil ist die Prüfung der rechtlichen und regulatorischen Anforderungen. Für KMU ist insbesondere das revidierte Datenschutzgesetz (revDSG) relevant, das seit dem 1. September 2023 in Kraft ist. Es schreibt unter anderem vor, dass Unternehmen «Privacy by Design» umsetzen und bei hohem Risiko eine Datenschutz-Folgenabschätzung durchführen müssen.

Zum Abschluss erstellt die Prüfstelle einen Bericht, in dem alle Findings nach Schweregrad priorisiert werden. Daraus leitet sich ein Massnahmenplan ab, der konkrete Schritte zur Behebung der Schwachstellen enthält. Nach der Umsetzung erfolgt idealerweise ein Re-Test, um den Erfolg der Massnahmen zu überprüfen.

Was konkret geprüft wird

Ein Audit deckt alle sicherheitsrelevanten Bereiche ab:

  • Organisatorisch: Sicherheitsverantwortliche, Schulungs- und Awareness-Programme, Lieferantenmanagement, Notfallorganisation.
  • Technisch: Netzwerksegmentierung, Mehrfaktor-Authentisierung (MFA), Schwachstellenmanagement, Backup-Strategien, Protokollierung.
  • Prozesse: Incident-Handling, Change- und Patch-Prozesse.

Diese Punkte orientieren sich an der BACS-Checkliste für KMU und bieten einen strukturierten Rahmen, um den Sicherheitsstatus umfassend zu erfassen.

Risiken, wenn Audits ausbleiben

Unternehmen, die ihre IT-Sicherheit nicht regelmässig prüfen lassen, laufen Gefahr, kritische Lücken zu übersehen. Das kann dazu führen, dass Angriffe unbemerkt bleiben, gesetzliche Pflichten verletzt werden oder im Ernstfall keine geeigneten Notfallmassnahmen greifen. Das BACS warnt regelmässig vor konkreten Bedrohungen wie Ransomware, CEO-Fraud oder Angriffen auf Lieferketten. Gerade KMU sind häufig Ziel solcher Attacken, weil sie für Angreifer einfacher zu kompromittieren sind als grosse, stärker geschützte Organisationen.

Schnelle Massnahmen – Quick Wins für KMU

Das BACS nennt in seiner Checkliste mehrere Massnahmen, die schnell umsetzbar und besonders wirksam sind: MFA auf allen kritischen Systemen aktivieren, Backups regelmässig und physisch getrennt sichern, Systeme zeitnah patchen, Mitarbeitende für Phishing sensibilisieren und Zugriffsrechte regelmässig überprüfen. Diese Schritte senken das Risiko deutlich – auch ohne grossen Investitionsaufwand.

Mini-Audit-Checkliste für KMU

Mit diesen zehn Fragen können KMU ihren Sicherheitsstatus grob einschätzen:

  • Sind alle IT-Assets und kritischen Prozesse inventarisiert?
  • Werden Updates und Patches zeitnah eingespielt?
  • Sind alle Rechte nach dem «need to know» oder «least privlege» Prinzip vergeben und werden regelmässig überprüft?
  • Ist für alle wichtigen Systeme MFA aktiviert?
  • Sind Backups isoliert und Restores regelmässig getestet?
  • Werden Zulieferer, Partner etc regelmässig überprüft?
  • Ist ein Incident-Response-Plan vorhanden und getestet?
  • Werden Logfiles zentral gesammelt und ausgewertet?
  • Haben Mitarbeitende in den letzten 6 Monaten ein Awareness-Training absolviert?
  • Ist ein Business-Continuity-Plan dokumentiert und aktuell?

Ein IT-Sicherheitsaudit ist für KMU keine Kür, sondern ein entscheidender Schritt, um Stabilität, Vertrauen und Rechtssicherheit zu gewährleisten. Wer jetzt handeln will, sollte die BACS-Checkliste für KMU durcharbeiten, Zuständigkeiten festlegen und zeitnah einen unabhängigen Audit-Termin vereinbaren. So entsteht ein klarer Fahrplan, um die eigene Sicherheitslage zu stärken – bevor ein Vorfall dazu zwingt.

  • Bundesamt für Statistik (BFS), Digitale Kriminalität – 59 034 Straftaten 2024, 24.03.2025, Link (Abruf: 08.08.2025)
  • Bundesamt für Cybersicherheit (BACS), Merkblatt Informationssicherheit für KMU, 17.03.2025, Link (Abruf: 08.08.2025)
  • Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Datenschutz-Folgenabschätzung, Link (Abruf: 08.08.2025)
  • Bundesamt für Cybersicherheit (BACS), Cyberangriffe gegen Unternehmen – aktuelle Warnungen, 01.01.2024, Link (Abruf: 08.08.2025)

Häufig gestellte Fragen

Es gibt keine verbindliche gesetzliche Vorgabe für die Häufigkeit. In der Praxis empfehlen Fachstellen, die Sicherheitslage mindestens einmal pro Jahr oder bei wesentlichen Änderungen der IT-Infrastruktur zu prüfen.

Ein IT-Sicherheitsaudit bewertet technische, organisatorische und prozessuale Aspekte umfassend. Ein Penetrationstest simuliert gezielte Angriffe, um technische Schwachstellen zu finden. Das Bundesamt für Cybersicherheit (BACS) empfiehlt, beides zu kombinieren, um ein vollständiges Bild der Sicherheitslage zu erhalten.

Typisch sind: IT-Asset- und Systeminventar, Sicherheitsrichtlinien, Rollen- und Verantwortlichkeitsdokumente, Protokolle über Updates und Patches, Backup- und Wiederherstellungsnachweise, Bearbeitungsverzeichnis nach revDSG sowie Aufzeichnungen zu Sicherheitsvorfällen.

Gesetzlich ist das für KMU nicht zwingend vorgeschrieben, aber externe Audits bringen den Vorteil einer unabhängigen Sicht und aktueller Fachkenntnisse.

Das revidierte Datenschutzgesetz (revDSG) und die Datenschutzverordnung (DSV) bilden die wichtigsten Grundlagen für den Schutz von Personendaten. Für KMU in kritischen Lieferketten können zusätzlich das Informationssicherheitsgesetz (ISG) und die dazugehörigen Verordnungen relevant sein.

Die Kosten für ein IT-Sicherheitsaudit variieren je nach Anbieter. Bei Arcon haben wir eine schlanke Methode entwickelt, die es uns ermöglicht, ein IT-Sicherheitsaudit für KMU ab 2 Personentagen anzubieten.

Interesse geweckt?

Wir beraten Sie gerne individuell zu Ihrer IT-Sicherheit. Kontaktieren Sie uns, um mehr zu erfahren und Ihr Audit zu planen.

Kontakt aufnehmen

Weitere Beiträge

Das könnte Sie auch interessieren

Microsoft Copilot vs Copilot Studio

Microsoft Copilot unterstützt direkt beim Schreiben, Analysieren und Zusammenfassen von Inhalten. Copilot Studio geht einen Schritt weiter: Unternehmen können eigene KI-Agenten erstellen und interne Datenquellen einbinden.
Mehr erfahren

Arcon WRAPPED 2025: Vielen Dank!

Arcon Wrapped 2025 gibt Einblick in unser Jahr in Zahlen. Gemeinsam mit unseren Kundinnen und Kunden konnten wir Projekte realisieren und Services weiterentwickeln. Danke für das Vertrauen – wir blicken mit Freude auf 2026.
Mehr erfahren

Arcon Datacenter Tour 2025: Vielen Dank!

Ein exklusiver Blick ins Arcon Datacenter: Anfang November führten wir unsere Kundinnen und Kunden durch das CO₂-neutral betriebene Rechenzentrum im ewl Stollen in Luzern.
Mehr erfahren

Arcon Kundenevent 2025: Vielen Dank!

Mit inspirierenden Vorträgen, regem Austausch und einer köstlichen Auswahl an Speisen konnten wir in der OYM hall Zug einen grossartigen Abend erleben. Wir danken allen Teilnehmenden für den gelungenen Event!
Mehr erfahren

ChatGPT Neuerungen 2025

Künstliche Intelligenz entwickelt sich rasant weiter und OpenAI steht mit ChatGPT an vorderster Front dieser Revolution. Zwischen 2024 und 2025 hat sich ChatGPT von einem reinen Textgenerator zu einem vielseitigen, multimodalen KI-Assistenten entwickelt. Erfahren Sie jetzt mehr.
Mehr erfahren
IT-Sicherheitsaudit

IT-Sicherheitsaudits von Arcon: Massgeschneidert für Schweizer KMU

Die IT ist das Rückgrat jedes KMU – fällt sie aus, steht der Betrieb still. Mit unseren IT-Sicherheitsaudits bieten wir KMU eine fundierte, praxisnahe und faire Lösung für Klarheit und Sicherheit – ohne unnötigen Ballast.
Mehr erfahren
IT-Sicherheitsaudit für Schweizer KMU in der Schweiz

IT-Sicherheitsaudit für KMU: Risiken erkennen, bevor es zu spät ist

Erfahren Sie jetzt, wie ein IT-Sicherheitsaudit KMU ermöglicht, Schwachstellen früh zu erkennen und sich wirksam vor Cyberangriffen zu schützen.
Mehr erfahren

Digitaler Mitarbeitenden Check-in mit Abacus: Effizient, sicher, innovativ

Den Einstieg neuer Mitarbeitenden mit digitalen Check-ins der Abacus Business Software reibungslos gestalten – ganz ohne grossen Aufwand. Erfahren Sie jetzt mehr!
Mehr erfahren

AbaTreuhand Next – Die Zukunft Ihres Treuhandunternehmens

AbaTreuhand Next bringt frischen Wind in die Treuhandwelt. Die Lösung basiert auf der Plattform AbaPlato und ermöglicht effiziente, vernetzte und zukunftsgerichtete Zusammenarbeit.
Mehr erfahren
KI-Integration

KI-Integration bei Abacus: Effizientere Prozesse für KMU

Entdecken Sie die neuen KI-Funktionen von Abacus Intelligence, die mit dem Servicepack 1 für die Version 2025 eingeführt werden. KMU profitieren von innovativen Tools, die Geschäftsprozesse effizienter, intuitiver und sicherer machen.
Mehr erfahren

Läuft mit uns!

Sie wollen uns unverbindlich kennenlernen, haben eine Frage oder Anregung? Wir sind gerne für Sie da.

Kontakt aufnehmen

Wir verwenden Cookies auf unserer Webseite. Über die Browsereinstellungen können Sie Ihre Cookie-Präferenzen einstellen. Mehr dazu erfahren Sie in unserer Datenschutzerklärung.

Akzeptieren
Mehr erfahren

Social Media

Insights

Linkedin

Support