Digitale Hygiene im Alltag: Die 7 wichtigsten Maßnahmen für jeden Mitarbeiter
Digitale Hygiene bezeichnet die Gesamtheit der täglichen Mikro-Gewohnheiten, die eine Organisation vor Cyberbedrohungen schützen, so wie das Händewaschen vor Infektionen schützt. Laut dem Bericht Cyber Security Report 2024 des Bundesamts für Cyber Security (BACS) sind mehr als 60 % der Cyber Security-Vorfälle, die Schweizer KMU betreffen, auf vermeidbare menschliche Fehler zurückzuführen. Die gute Nachricht: Die sieben hier vorgestellten Verhaltensweisen dauern nur wenige Sekunden pro Tag und erfordern keine besonderen technischen Kenntnisse.
Schlüsselzahl: Laut BACS belaufen sich die durchschnittlichen Kosten eines Cyber Security-Vorfalls für ein Schweizer KMU auf über 50.000 CHF — eine Summe, die durch diese 7 einfachen Maßnahmen vermieden werden kann.
1. Sitzung systematisch sperren, wenn man sich entfernt
Ein nicht gesperrter Computer ist das digitale Äquivalent eines offen gelassenen Büros, in dem alle Kundendateien sichtbar sind. In einem KMU-Umfeld, in dem Besucher, Praktikanten und Dienstleister regelmäßig verkehren, reichen wenige Sekunden aus, damit eine Person mit böswilliger Absicht sensible Daten kopiert oder in Ihrem Namen eine Nachricht versendet.
Wie geht das?
- PC Windows: Tastenkombination Windows + L — sofortige Sperrung
- Mac: Tastenkombination Befehl + Control + Q — sofortige Sperrung
- Automatisch: Sperrung nach 2–5 Minuten Inaktivität konfigurieren (bitten Sie Ihren IT-Dienstleister, dies auf allen Arbeitsplätzen zu implementieren)
Goldene Regel: Sie verlassen Ihren Arbeitsplatz? Sie sperren. Ohne Ausnahme.
2. Absender überprüfen, bevor Sie eine E-Mail oder einen Anhang öffnen
Phishing ist die am weitesten verbreitete Angriffstechnik gegen Schweizer KMU. Betrügerische E-Mails imitieren perfekt die offizielle Kommunikation — Logos, Ton, Layout — und der Unterschied liegt im Detail: eine leicht veränderte Absenderadresse (z. B. comptabilite@ihr-unternehmen.ch anstelle von comptabilite@ihrunternehmen.ch), ein subtiler Fehler oder ein ungewöhnliches Gefühl der Dringlichkeit.
Checkliste vor dem Öffnen einer verdächtigen E-Mail
- Überprüfen Sie die vollständige E-Mail-Adresse des Absenders (nicht nur den angezeigten Namen)
- Fahren Sie mit der Maus über die Links, ohne zu klicken, um die tatsächliche URL anzuzeigen
- Rufen Sie im Zweifelsfall den Absender direkt telefonisch an, um dies zu bestätigen
- Bestätigen Sie niemals eine Änderung der Bankverbindung nur per E-Mail
In der Schweiz verpflichtet das revDSG (revidierte Datenschutzgesetz, in Kraft seit September 2023) Unternehmen, jede Datenpanne innerhalb von 72 Stunden zu melden. Ein erfolgreicher Phishing-Angriff kann daher neben den direkten finanziellen Verlusten auch schwerwiegende rechtliche Konsequenzen haben. Tools wie PhishTrainer ermöglichen es Ihren Teams, diese Versuche in einer kontrollierten Umgebung zu erkennen.
3. Verwenden Sie starke und eindeutige Passwörter für jeden Dienst
Ein starkes Passwort ist eine Kette von mindestens 16 Zeichen, die Groß- und Kleinbuchstaben, Zahlen und Symbole kombiniert, ohne Wörter aus dem Wörterbuch. Die Verwendung desselben Passworts für mehrere Dienste ist wie die Verwendung desselben Schlüssels für Ihr Haus, Ihr Auto und Ihren Safe: Wenn es einmal kompromittiert ist, ist alles gefährdet.
Vergleich der Ansätze
| Ansatz | Sicherheit | Benutzerfreundlichkeit | Empfohlen? |
|---|---|---|---|
| Überall dasselbe Passwort | ❌ Sehr schwach | ✅ Einfach | Nein |
| Verschiedene gespeicherte Passwörter | ⚠️ Mittel | ⚠️ Schwierig | Teilweise |
| Passwort-Manager | ✅ Hoch | ✅ Einfach | Ja |
| Manager + 2FA aktiviert | ✅✅ Sehr hoch | ✅ Einfach | Sehr empfehlenswert |
Lösungen wie Proton Pass (Schweizer Hosting) generieren und speichern automatisch komplexe und eindeutige Passwörter für jeden Dienst. Aktivieren Sie auch die Zwei-Faktor-Authentifizierung (2FA) für alle Ihre wichtigen Konten: Selbst wenn ein Passwort gestohlen wird, bleibt der Zugriff ohne den zweiten Faktor blockiert.
4. Aktualisieren Sie Ihre Tools und Anwendungen regelmäßig
Die Sicherheitsupdates beheben bekannte Schwachstellen, die Cyberkriminelle aktiv ausnutzen. Laut Microsoft nutzen 85 % der erfolgreichen Cyberangriffe Schwachstellen aus, für die es bereits einen Patch gab, der aber nicht angewendet wurde. In einem KMU kann ein einziger nicht aktualisierter Arbeitsplatz ausreichen, damit sich ein Ransomware im gesamten Netzwerk ausbreitet.
Was und wann aktualisieren?
- Betriebssystem (Windows, macOS): Sobald das Update verfügbar ist
- Webbrowser: Automatische Updates aktivieren
- Office-Suite (Microsoft 365, LibreOffice): Wöchentlich
- Antivirus: Täglich (automatisch)
- Branchenanwendungen: Gemäß den Empfehlungen des Herausgebers
Praktischer Tipp: Planen Sie die Neustarts für die Updates außerhalb der Arbeitszeiten (z. B. Freitagabend um 20 Uhr), um Ihre Arbeit nicht zu unterbrechen.
5. Bereinigen Sie regelmäßig Ihren Download-Ordner
Jede aus dem Internet heruntergeladene Datei stellt ein potenzielles Einfallstor für Schadsoftware dar. Eine per E-Mail erhaltene PDF-Datei, eine von einer Website heruntergeladene Rechnung, eine von einem Partner gesendete Excel-Datei: Alle können bösartigen Code enthalten. Ein nicht verwalteter Download-Ordner sammelt Dateien an, deren Ursprung man sich nicht mehr erinnert — und die man versehentlich Monate später öffnet.
Empfohlene wöchentliche Routine (5 Minuten)
- Verschieben Sie wichtige Dateien an ihren endgültigen Speicherort (Projektordner, Kundenordner)
- Löschen Sie alle temporären Dateien und unnötigen Archive
- Stellen Sie sicher, dass keine Dokumente mit sensiblen Daten (Personal, Finanzen, Kunden) an einem unsicheren Ort verbleiben
Für Schweizer KMU, die personenbezogene Daten verarbeiten, ist diese Praxis direkt in den Verpflichtungen des revDSG verankert, das vorschreibt, Daten nur so lange wie unbedingt nötig und unter angemessenen Sicherheitsbedingungen aufzubewahren.
6. Melden Sie sich nach der Verwendung von Online-Diensten ab
Wenn Sie ständig bei allen Ihren professionellen Tools angemeldet bleiben, entsteht eine unnötige Angriffsfläche. Wenn jemand während Ihrer Abwesenheit auf Ihren Computer zugreift — ein Kollege, der Ihren Arbeitsplatz ausleiht, ein Besucher, der für ein paar Augenblicke allein gelassen wird — hat er sofort vollständigen Zugriff auf Ihre E-Mails, Ihr CRM, Ihre Buchhaltungstools, alles unter Ihrer Identität.
Bewährte Praktiken je nach Situation
| Situation | Empfohlene Aktion |
|---|---|
| Gemeinsam genutzter Computer oder Arbeitsplatz Dritter | Aktivieren Sie niemals «Angemeldet bleiben» — melden Sie sich nach jeder Verwendung explizit ab |
| Ihr eigener Arbeitsplatz, Feierabend | Melden Sie sich von sensiblen Diensten ab (Bank, Zahlung, Personal) |
| Kurze Pause im Büro | Das Sperren der Sitzung (Maßnahme Nr. 1) reicht aus |
| Telearbeit in einem unsicheren Netzwerk | Verwenden Sie ein VPN + melden Sie sich nach jeder Sitzung ab |
Schließen Sie auch unnötige Tabs in Ihrem Browser: Jeder gleichzeitig aktive Dienst stellt eine zusätzliche Möglichkeit der Kompromittierung dar.
7. Sichern Sie Ihre Arbeit regelmäßig und überprüfen Sie die Backups
Die Datensicherung ist die letzte Verteidigungslinie gegen Ransomware, Hardwareausfälle und versehentliches Löschen. Laut Veeam's Data Protection Trends Report 2024 konnten 76 % der Organisationen, die einen Ransomware-Angriff erlitten hatten, ihre Daten dank Backups wiederherstellen — gegenüber nur 13 % bei denen, die das Lösegeld bezahlt hatten.
Die 3-2-1-Regel: Der Referenzstandard
- 3 Kopien Ihrer Daten
- 2 verschiedene Medien (z. B. lokale Festplatte + Cloud)
- 1 ausgelagerte Kopie (Cloud oder Remote-Server)
Lösungen wie Swiss Backup von Infomaniak ermöglichen es, diese Regel einzuhalten und gleichzeitig die Daten in der Schweiz zu halten, gemäß den Anforderungen des revDSG. Lesen Sie auch unseren Leitfaden zum Sicherheits- und Backup-Plan für KMU.
Oft vernachlässigter kritischer Punkt: Ein nicht getestetes Backup ist kein Backup. Planen Sie einen monatlichen Wiederherstellungstest von mindestens einer repräsentativen Datei, um zu überprüfen, ob Ihr System tatsächlich funktioniert.
Zusammenfassung: Die 7 Maßnahmen der digitalen Hygiene
| # | Maßnahme | Häufigkeit | Benötigte Zeit |
|---|---|---|---|
| 1 | Sitzung sperren | Bei jeder Abwesenheit vom Arbeitsplatz | 2 Sekunden |
| 2 | Absender von E-Mails überprüfen | Bei jeder verdächtigen E-Mail | 30 Sekunden |
| 3 | Verwenden Sie einen Passwort-Manager + 2FA | Einmalige Konfiguration, dann automatisch | 1 Stunde (Setup) |
| 4 | Updates installieren | Sobald verfügbar | 10 Minuten |
| 5 | Download-Ordner bereinigen | Wöchentlich | 5 Minuten |
| 6 | Melden Sie sich von sensiblen Diensten ab | Täglich (Feierabend) | 2 Minuten |
| 7 | Backups überprüfen | Monatlich | 10 Minuten |
Häufig gestellte Fragen
Ist eine technische Ausbildung erforderlich, um diese Maßnahmen anzuwenden?
Nein. Die 7 hier vorgestellten Verhaltensweisen sind so konzipiert, dass sie von jedem Mitarbeiter übernommen werden können, unabhängig von seinem technischen Niveau. Es sind keine besonderen IT-Kenntnisse erforderlich.
Reichen diese Maßnahmen aus, um ein Schweizer KMU zu schützen?
Diese 7 Praktiken decken die häufigsten Angriffsvektoren ab und bilden eine solide Grundlage. Für einen vollständigen Schutz müssen sie durch technische (Firewall, Antivirus, Netzwerksegmentierung) und organisatorische Maßnahmen (Sicherheitsrichtlinie, Reaktion auf Vorfälle) ergänzt werden. Bexxo begleitet Schweizer KMU bei diesem globalen Ansatz.
Wie sensibilisiert man ein ganzes Team für digitale Hygiene?
Die effektivste Methode kombiniert kurze Schulungen (30 Minuten), Phishing-Simulationen mit Tools wie PhishTrainer und regelmäßige Erinnerungen. Studien zeigen, dass eine wiederholte Schulung die Klickrate auf Phishing-Links um durchschnittlich 65 % reduziert (Proofpoint, 2024).
Schreibt das revDSG diese Praktiken Schweizer KMU vor?
Das revDSG (in Kraft seit September 2023) verlangt, dass Unternehmen, die personenbezogene Daten verarbeiten, geeignete technische und organisatorische Maßnahmen ergreifen, um diese zu schützen. Die Maßnahmen Nr. 2 (Anti-Phishing), Nr. 3 (Passwörter), Nr. 5 (Datenbereinigung) und Nr. 7 (Backups) erfüllen diese Verpflichtungen direkt.
Wenn Sie die Sensibilisierung Ihrer Teams weiter vertiefen möchten, zögern Sie nicht, Bexxo zu kontaktieren. Wir unterstützen Schweizer KMU bei der Implementierung von Cyber Security-Praktiken, die an ihre Realität angepasst sind — ohne technischen Jargon und mit konkreten Lösungen.