Nein, das nDSG (neues Schweizer Datenschutzgesetz) schreibt keine bestimmte Norm vor. Es verlangt «geeignete technische und organisatorische Massnahmen». Die ISO 27001, das NIST CSF oder der Schweizer IKT-Minimalstandard sind die anerkanntesten Rahmenwerke, um diese Konformität gegenüber dem EDÖB nachzuweisen.

Ja, in der großen Mehrheit der Fälle. Selbst wenn ein Angreifer Ihr Passwort über eine Phishing-Seite erhält, kann er sich ohne den zweiten Faktor (SMS-Code, Authenticator-App, physischer Schlüssel) nicht anmelden. MFA blockiert 99,9 % der automatisierten Angriffe auf Konten (Microsoft 2024). Die einzige Ausnahme ist Echtzeit-Phishing (MITM / Adversary-in-the-Middle-Angriff), der den MFA-Code im selben Moment abfängt — dieser Angriffsvektor bleibt für KMU marginal. Empfehlung: MFA auf allen beruflichen Konten ohne Ausnahme aktivieren.

Ja. KMU sind bevorzugte Angriffsziele, gerade weil sie über weniger Sicherheitsressourcen verfügen als Grossunternehmen, obwohl sie sensible Daten verarbeiten. In der Schweiz zielen 40 % der Cyberangriffe direkt auf KMU ab (NCSC). Im Gegensatz zu grossen Unternehmen verfügen sie häufig weder über ein dediziertes IT-Team, noch über einen getesteten Kontinuitätsplan, noch über ein ausreichendes Behebungsbudget — was erklärt, warum 60 % von ihnen ihre Tätigkeit innerhalb von 6 Monaten nach einem schweren Vorfall einstellen.

Ja. Das nDSG (neues Datenschutzgesetz, in Kraft seit September 2023) schreibt eine Meldung beim EDÖB schnellstmöglich vor, wenn eine Verletzung personenbezogener Daten ein hohes Risiko für die betroffenen Personen darstellt. Ein Ransomware-Angriff, der auf personenbezogene Daten zugegriffen oder sie exfiltriert hat, löst diese Pflicht aus. Bexxo begleitet Unternehmen in diesem regulatorischen Prozess im Rahmen seiner Intervention.

Ja, und sie können effektiver sein, gerade weil man weniger damit rechnet.

Smishing (SMS): SMS haben eine Öffnungsrate von über 90 %, gegenüber 20 bis 30 % bei E-Mails. Die Nachrichten imitieren typischerweise eine Lieferbenachrichtigung (Post, DHL), eine Bankwarnung oder eine Behördennachricht. Der Link leitet auf eine gefälschte Anmeldeseite weiter. Auf Mobilgeräten ist die URL häufig gekürzt und schwer zu überprüfen.

Vishing (Sprache): Der Angreifer ruft sein Opfer direkt an und gibt sich als IT-Support, Bank oder Microsoft aus. Der Echtzeit-Druck und die menschliche Stimme umgehen die üblichen Schutzreflexe. KI-generierte Stimmdeepfakes können mittlerweile die Stimme eines Kollegen oder Vorgesetzten imitieren.

Die goldene Regel in beiden Fällen: Niemals vertrauliche Informationen infolge einer unaufgeforderten Nachricht oder eines unaufgeforderten Anrufs weitergeben — sondern die Organisation direkt über eine bekannte offizielle Nummer zurückrufen.

Ja. Alle unsere Weissbücher, Vorlagen und Leitfäden sind 100 % kostenlos. Einige exklusive Inhalte erfordern lediglich das Folgen unserer LinkedIn-Seite und das Abonnieren unseres Newsletters (max. 2 Versendungen/Monat, Abmeldung mit einem Klick). Es wird keine Kreditkarte verlangt.

Nein. Die Lernpfade der Bexxo Akademie sind für alle Niveaus konzipiert, vom Mitarbeiter ohne IT-Kenntnisse bis zum IT-Verantwortlichen. Jeder Pfad passt sich dem Profil des Teilnehmers an. Die kurzen Module (10 bis 20 Minuten) lassen sich problemlos in einen Arbeitstag integrieren.

Unsere Berater helfen Ihnen, eine klare Roadmap zu entwickeln, Ihr Cybersecurity-Budget zu optimieren und konkrete Maßnahmen zu definieren, die auf Ihre geschäftlichen Herausforderungen abgestimmt sind.

Über 40 % der Cyberangriffe in der Schweiz richten sich gegen KMU. Ein Audit identifiziert Schwachstellen in Ihren Systemen (Netzwerk, Website, Zugänge), bevor sie ausgenutzt werden, und stellt die Konformität mit ISO 27001 und dem nDSG sicher.

Wir kombinieren technisches Fachwissen und modernste Methodik, um Schwachstellen schnell zu identifizieren, Korrekturen vorzuschlagen und Ihre Plattform gegen Cyberangriffe zu stärken.

Bexxo ist eine der wenigen Strukturen in der Schweiz, die zwei komplementäre Expertisen unter einem Dach vereint: Cybersicherheit und physische Datenwiederherstellung. Unsere Gruppe umfasst SOS Data Recovery (sdr.ch), Spezialist für Datenwiederherstellung seit 2006, mit einem Reinraum und forensischer Ausrüstung für Interventionen auf allen Datenträgertypen — Festplatten, SSD, RAID, NAS, Server. Konkret: Ein klassischer Cybersicherheitsanbieter kommt beim Software-Entschlüsseln und bei Backups an seine Grenzen. Wenn diese Optionen scheitern, hat er nichts mehr anzubieten. Bexxo kann einen Schritt weitergehen und eine physische Datenextraktion auf dem Datenträger versuchen — eine entscheidende Kapazität in den kritischsten Fällen.

Das Unternehmensnetzwerk ist das erste Angriffsziel: Es bietet Zugang zu allen Systemen, Daten und internen Kommunikationswegen. Drei Faktoren erhöhen die Gefährdung von KMU:

• Lange Erkennungsdauer — die durchschnittliche Zeit zur Erkennung eines Einbruchs beträgt 204 Tage (IBM Cost of a Data Breach 2024), was Angreifern Zeit zum Datenabfluss lässt.
• Standardkonfigurationen — Firewalls, Router und Switches mit nicht gehärteten Einstellungen sind ausnutzbare Einfallstore.
• Unkontrollierte Fernzugriffe — VPN, Homeoffice und Partnerzugänge erweitern die Angriffsfläche, ohne immer ausreichend gesichert zu sein.

Täglich werden mehr als 130 Schwachstellen veröffentlicht, und diese Zahl steigt von Jahr zu Jahr (+20 % zwischen 2024 und 2025). Ohne aktive Überwachung verwendet Ihr Unternehmen möglicherweise Software mit bekannten und ausnutzbaren Sicherheitslücken. 60 % der Datenverletzungen nutzen Schwachstellen aus, für die bereits ein Patch vorhanden war (Verizon DBIR).

Präzise und messbare Ziele ermöglichen es, die verfügbaren Ressourcen zu strukturieren, Bedrohungen zu antizipieren und gezielte Aktionspläne zu erstellen, um die Gesamtstärke Ihrer Infrastruktur zu erhöhen.

Die Schulung des Personals in Cybersicherheit ist von entscheidender Bedeutung, da der Mensch das schwächste Glied bei den meisten Sicherheitsvorfällen bleibt. Ob es sich um einen Klick auf einen Phishing-Link, ein zu schwaches Passwort oder die unbeabsichtigte Weitergabe sensibler Informationen handelt, menschliches Versagen ist die Ursache für viele Kompromittierungen.

Eine gute Schulung versetzt die Mitarbeiter in die Lage, Bedrohungen zu erkennen, sich im Alltag sicher zu verhalten (Passwortverwaltung, Wachsamkeit gegenüber verdächtigen E-Mails, Einhaltung von Verfahren) und im Zweifelsfall richtig zu reagieren. Dies stärkt die allgemeine Sicherheitsposition des Unternehmens und reduziert das Risiko eines erfolgreichen Angriffs erheblich.