Das nDSG (in Kraft seit September 2023) schreibt organisatorische Massnahmen zum Datenschutz vor, einschliesslich der Sensibilisierung der Mitarbeiter. Über die rechtliche Verpflichtung hinaus ist die Schulung der rentabelste Präventionshebel: 91 % der Cyberangriffe beginnen mit einer Phishing-E-Mail (KnowBe4) — eine Bedrohung, die durch Schulung vollständig vermieden werden kann.

Das nDSG (Schweizer Bundesgesetz über den Datenschutz, seit September 2023 in Kraft) verlangt von Unternehmen, organisatorische Massnahmen zum Schutz personenbezogener Daten zu ergreifen. Die Schulung des Personals wird vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ausdrücklich als wesentliche organisatorische Massnahme empfohlen. Im Falle einer Datenschutzverletzung kann das Fehlen einer dokumentierten Schulung die Haftung des Unternehmens verschärfen. Bexxo stellt einen Nachweisbericht zur Verfügung, der als Sorgfaltsbeweis bei einer EDÖB-Prüfung dient. Bussen bis zu 250 000 CHF für Verantwortliche bei Verstössen.

Ja. PhishTrainer ist 100 % schweizerisch: von Bexxo (Ins, Kanton Bern) entwickelt und auf Servern in der Schweiz gehostet. Kein Datentransfer ins Ausland. Die Daten Ihrer Mitarbeiter und die Kampagnenergebnisse verbleiben auf Schweizer Territorium, gemäß den Anforderungen des nDSG. PhishTrainer bietet optional eine clientseitige Verschlüsselung (client-side encryption): Die Daten werden im Browser des Benutzers verschlüsselt, bevor sie an unsere Server übertragen werden. Konkret bedeutet dies, dass selbst unsere Infrastruktur nicht auf die Klardaten zugreifen kann — eine maximale Vertraulichkeitsgarantie, die nur wenige Simulationstools bieten können.

Ja. Das nDSG (neues Datenschutzgesetz, in Kraft seit September 2023) schreibt organisatorische Sicherheitsmaßnahmen vor, darunter die Sensibilisierung der Mitarbeiter für Risiken. Im Falle einer Datenverletzung riskiert ein Unternehmen, das nicht nachweisen kann, dass es seine Teams geschult hat, Bußgelder von bis zu 250 000 CHF. Die Kampagnenberichte von PhishTrainer dienen als Sorgfaltsnachweis: Sie dokumentieren die durchgeführten Simulationen, die Klickraten im Zeitverlauf und die eingeleiteten Korrekturmaßnahmen.

Ja. Obwohl die ANSSI die französische Behörde ist, sind ihre 42 IT-Hygienemassnahmen universell und besonders relevant für frankophone Schweizer KMU. Der Leitfaden ist kostenlos, pragmatisch und kompatibel mit NIST CSF und ISO 27001. Er ist ein ausgezeichneter Ausgangspunkt für Unternehmen in der Westschweiz.

Ja, bedingungslos. Die erste Analyse wird von Bexxo im Rahmen unseres Engagements für die Sensibilisierung für Cybersicherheit bei Schweizer KMU angeboten. Es wird keine Kreditkarte verlangt, kein Vertrag wird unterzeichnet. Am Ende der Analyse erhalten Sie, wenn Sie zusätzliche Leistungen (eingehende Prüfung, Paket, Schulung) wünschen, ein detailliertes Angebot — das Sie annehmen oder ablehnen können. 68 % der Schweizer KMU haben noch keine Cybersicherheitsbilanz durchgeführt (NCSC): Diese Analyse ist darauf ausgelegt, diese Hürde zu überwinden.

Nein, die ISO 27001 ist in der Schweiz nicht gesetzlich vorgeschrieben. Allerdings verlangt das nDSG geeignete technische und organisatorische Massnahmen zum Schutz der Daten. Die ISO 27001 bietet den anerkanntesten Rahmen zum Nachweis dieser Konformität. Einige Branchen (Finanzen, Gesundheit) fordern sie vertraglich.

Das nDSG (Bundesgesetz über den Datenschutz, in Kraft seit September 2023) verpflichtet Unternehmen zur Umsetzung verhältnismässiger technischer und organisatorischer Massnahmen zum Schutz personenbezogener Daten. Obwohl es keinen jährlichen Netzwerk-Audit explizit vorschreibt, ist die Dokumentation der Sicherheitsmassnahmen obligatorisch. Bei einem Datenschutzvorfall kann das Fehlen nachgewiesener Sorgfalt zu Bussen von bis zu 250 000 CHF für die Verantwortlichen führen. Ein Auditbericht dient als Sorgfaltsnachweis beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Ja. Unsere Audits folgen den Kontrollen der ISO 27001:2022 (Anhang A — technologische und physische Kontrollen) und dem NIST CSF als Referenzrahmen. Der Auditbericht stellt einen dokumentarischen Nachweis der Sorgfaltspflicht gegenüber ISO-Auditoren, dem EDÖB und Ihren Geschäftspartnern dar.

Ja, ein Penetrationstest kann potenziell die Produktion beeinträchtigen, aber dies hängt stark von der verwendeten Methodik, dem zulässigen Aggressivitätsgrad und der Reife der getesteten Infrastruktur ab. Beispielsweise kann die Ausnutzung bestimmter Schwachstellen zu Neustarts von Diensten, Zugriffssperren oder einer Beeinträchtigung der Leistung führen.

Daher ist es unerlässlich, vor jedem Test einen klaren Rahmen festzulegen, der die zulässigen Zeitfenster, die auszuschließenden Systeme (oder die in einer Testumgebung zu duplizierenden Systeme) und die Sicherheitsmaßnahmen umfasst. Professionelle Pentester wenden zerstörungsfreie Techniken an, aber eine enge Kommunikation mit dem IT-Team ist unerlässlich, um mögliche Auswirkungen zu antizipieren und zu bewältigen.

Ein Pentest kann manchmal eine Zero-Day-Schwachstelle aufdecken, dies ist jedoch nicht garantiert. Pentester stützen sich hauptsächlich auf bekannte Schwachstellen (CVEs, Fehlkonfigurationen, riskante Praktiken), aber es kann vorkommen, dass ein manueller Test, eine bestimmte Angriffslogik oder Intuition die Entdeckung einer bisher unbekannten Schwachstelle ermöglicht.

Die Entdeckung von Zero-Day-Schwachstellen im Rahmen eines Pentests ist jedoch selten und hängt vom Detaillierungsgrad der Analyse, der Erfahrung der Tester und der Komplexität des getesteten Systems ab. Aus diesem Grund beinhalten einige sehr fortschrittliche Pentests Fuzzing- oder Code-Audit-Phasen, die speziell auf die Suche nach Zero-Day-Schwachstellen ausgerichtet sind, insbesondere in Kontexten mit hohen Risiken (Verteidigungssektor, Finanzen, kritische Infrastrukturen).

Ja, jede Vorlage ist zur Personalisierung konzipiert. Die Dokumente liegen im PDF-Format vor, mit klar gekennzeichneten Abschnitten zur Anpassung (Unternehmensname, Geltungsbereich, Verantwortliche). Bexxo kann Sie auch bei der Personalisierung im Rahmen eines Compliance-Audits begleiten.

Ja, in vielen Fällen. Unsere Datenwiederherstellungsexperten — dieselben Teams wie SOS Data Recovery, tätig seit 2006 — können Daten direkt auf den physischen Datenträgern (Festplatten, SSD, Server, NAS) mittels fortgeschrittener forensischer Techniken extrahieren. Ransomware verschlüsselt Dateien, vernichtet sie nicht notwendigerweise auf physischer Ebene. Die Wiederherstellungsrate hängt vom Ransomware-Typ und dem Zustand der Datenträger ab.

Ja, diese Rahmenwerke ergänzen sich. Bei Bexxo empfehlen wir einen schrittweisen Ansatz: mit dem Schweizer IKT-Minimalstandard oder dem ANSSI-Leitfaden beginnen, mit dem NIST CSF strukturieren und anschliessend die ISO 27001-Zertifizierung anstreben. Jede Stufe stärkt die vorherige, ohne von vorn beginnen zu müssen.

In der Mehrzahl der Fälle nein. Lösegeldzahlung garantiert keine Wiederherstellung: 56 % der zahlenden Organisationen erhielten ihre Daten nur teilweise zurück (Sophos 2024), und 80 % werden innerhalb eines Jahres erneut angegriffen. Bexxo evaluiert zunächst alle technischen Optionen — Entschlüsselung, Backups, forensische Extraktion — bevor eine Verhandlung erwogen wird, die immer nur letztes Mittel bleibt.