Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen erhalten Sie in unserer Datenschutzerklärung.

mehr Informationen

itsm_gmbh__de

Suchen
Kontakt

Kontakt per Telefon

MO-FR 08:00 - 12:00 und 13:00 - 17:00

Blog

 

Cyberresilienz: 14 Verhaltensregeln für den digitalen Alltag

Cyberresilienz stärken: 14 konkrete Verhaltensregeln für den digitalen Alltag.

3D-Illustration Cybersicherheit mit Schutzschild, Schloss und vernetzten IT-Symbolen

Kriminelle Organisationen kaufen Angriffs-Werkzeuge heute wie Software-Abonnements ein – bereit einsetzbar, günstig gemietet im Darknet. Die Frage ist längst nicht mehr, ob Sie ein lohnendes Ziel sind, sondern ob Sie schwer genug zu knacken sind. Denn Cyberkriminalität funktioniert nach dem Prinzip der grossen Zahl: Wer erreichbar ist, wird geprüft.

Auch in der Schweiz sind immer mehr KMU von Cyberangriffen betroffen. Die gute Nachricht: Viele der wirksamsten Schutzmassnahmen sind keine Frage der Technologie, sondern des Verhaltens.

In diesem Artikel zeigen wir Ihnen 14 konkrete Verhaltensregeln, die Ihre Cyberresilienz spürbar stärken – ohne grosse IT-Investitionen.

Was ist Cyberresilienz – und warum reicht Technik allein nicht?

Cyberresilienz beschreibt die Fähigkeit eines Unternehmens oder einer Person, Cyberangriffen standzuhalten, sich schnell davon zu erholen und handlungsfähig zu bleiben. Es geht nicht nur darum, Angriffe zu verhindern – sondern darum, den Betrieb aufrechtzuerhalten, wenn trotzdem etwas passiert.

Firewalls, Antivirensoftware und verschlüsselte Verbindungen sind wichtige Bausteine. Aber die schwächste Stelle im System ist meistens nicht die Technik – es ist das menschliche Verhalten. Genau hier setzen die folgenden Regeln an.

Wie erkennen Sie Phishing und Quishing zuverlässig?

Regel 1: Zu gute Angebote gibt es nicht

Erhalten Sie eine E-Mail oder SMS mit einem Angebot, das unglaublich günstig wirkt? Ignorieren Sie es. "Nur heute 90% Rabatt", "Sie haben gewonnen" oder dringende Nachrichten von Ihrer Bank sind klassische Köder. Im Zweifelsfall: Direkt auf der offiziellen Website einloggen – nie über den Link in der Nachricht.

Regel 2: QR-Codes mit Vorsicht scannen (Quishing)

Quishing ist Phishing über QR-Codes. Angreifer kleben gefälschte QR-Codes auf Parkuhren, Flyer oder Restaurantmenüs. Die Weiterleitung führt auf eine täuschend echte, aber gefälschte Website.

Grundregel: Scannen Sie nur QR-Codes, die Sie selbst angefordert haben. An öffentlichen Orten – Parkuhren, Plakatwände, Ladesäulen – rufen Sie die Ressource lieber manuell über die offizielle App oder Website auf.

Regel 3: Suchmaschinen sind kein sicherer Einstiegspunkt

Phishing-Seiten schaffen es immer häufiger in die vorderen Suchergebnisse. Wer "Postfinance Login" googelt und auf den ersten Link klickt, landet möglicherweise auf einer Fälschung.

Besser: Legen Sie wichtige Websites als Lesezeichen ab. Noch besser: Starten Sie vom Passwortmanager aus – dort ist die korrekte URL hinterlegt und wird direkt eingetragen.

Warum sind Passkeys und MFA heute Pflicht?

Regel 4: Passkeys nutzen, wo immer möglich

Passkeys sind kryptografische Schlüsselpaare, die klassische Passwörter ersetzen. Sie sind von Grund auf phishing-resistent: Da kein Geheimnis übertragen wird, kann es auch nicht gestohlen werden. Immer mehr Dienste – von Google über Apple bis zu Microsoft – unterstützen Passkeys. Wir empfehlen, diese wo immer möglich zu aktivieren, idealerweise gesichert mit zwei physischen FIDO2-Sicherheitsschlüsseln.

Mehr dazu in unserem Artikel Passkeys überlegt einsetzen.

Regel 5: MFA ist Pflicht – für alle Accounts

Wo keine Passkeys möglich sind, ist TOTP-MFA (Time-based One-Time Password – ein zeitbasierter Einmalcode per Authenticator-App) heute Mindeststandard. Aktivieren Sie die Zwei-Faktor-Authentifizierung auf sämtlichen Ressourcen: E-Mail, Cloud-Dienste, VPN, Buchhaltungssoftware, Ticketsysteme.

Regel 6: Zugangsdaten und TOTP getrennt aufbewahren

Ein Passwortmanager für Zugangsdaten ist wichtig. Aber: Speichern Sie den TOTP-Code nicht im gleichen Tool wie das Passwort. Wer Zugriff auf Ihren Passwortmanager erhält, hat sonst sofort beides. Nutzen Sie eine separate Authenticator-App (z.B. Microsoft Authenticator oder Google Authenticator).

Wie trennen Sie Privates und Geschäftliches konsequent?

Regel 7: Separate Geräte und Netzwerke

Auf privaten Geräten fehlt oft ein professionelles EDR (Endpoint Detection and Response – eine Sicherheitslösung zur Erkennung von Schadsoftware). Ausserdem werden dort häufig beliebige Apps, Browser-Plugins und Software installiert – jede davon ein potenzielles Einfallstor.

Nutzen Sie für geschäftliche Tätigkeiten ausschliesslich verwaltete Unternehmensgeräte. Ebenso wichtig ist die Segmentierung Ihrer Netzwerke: Durch die logische Trennung in separate Bereiche wird verhindert, dass ein kompromittiertes Gerät auf alle anderen zugreifen kann.

Müssen Sie Software testen oder eine unbekannte Datei öffnen? Nutzen Sie dafür eine isolierte Umgebung: Windows Sandbox, eine virtuelle Maschine (die klar vom Basissystem getrennt ist und keinen Zugriff auf Unternehmensdaten hat) oder ein dediziertes Testgerät, das von allen Unternehmensressourcen abgeschottet ist.

Regel 8: Separate Admin-Accounts – und kein Dauerbetrieb mit Admin-Rechten

Erstellen Sie separate Administrator-Konten für lokale Systeme und Webanwendungen. Arbeiten Sie im Alltag nie mit dem Admin-Account – nur wenn eine konkrete administrative Aufgabe es erfordert. Das begrenzt den Schaden erheblich, falls ein regulärer Account kompromittiert wird.

Regel 9: Geräte und Software regelmässig aktualisieren

Viele erfolgreiche Cyberangriffe setzen auf bekannte Sicherheitslücken, für die es längst Updates gibt. Stellen Sie sicher, dass Betriebssysteme, Anwendungen und die Firmware von Netzwerkgeräten – Router, Switches, NAS – zeitnah und kontrolliert aktualisiert werden. Geräte, die keine Sicherheitsupdates mehr erhalten, gehören ersetzt oder vom restlichen Netzwerk isoliert.

Wie schützt die 3-2-1-Backup-Regel Ihre Daten wirklich?

Regel 10: Backup nach der 3-2-1-Methode

Die 3-2-1-Regel ist einfach zu merken: 3 Kopien Ihrer Daten, auf 2 verschiedenen Medientypen, davon 1 ausserhalb des Unternehmens (oder in der Cloud). So verlieren Sie selbst bei einem Ransomware-Angriff oder einem Hardwareausfall keine Daten unwiederbringlich.

Wichtig: Auch das Backup-Ziel selbst – zum Beispiel ein NAS (Network Attached Storage, ein zentrales Speichergerät im Netzwerk) – muss abgesichert sein. Aktivieren Sie auch dort, wo möglich, Passkeys oder zumindest Zwei-Faktor-Authentifizierung. Ein kompromittiertes Backup-System kann im schlimmsten Fall den gesamten Wiederherstellungsprozess gefährden.

Regel 11: Restore regelmässig testen

Ein Backup, dessen Wiederherstellung nie getestet wurde, ist keine Versicherung – es ist eine Hoffnung. Planen Sie mindestens einmal pro Jahr einen kontrollierten Restore-Test ein. Nur so wissen Sie, dass Ihre Daten im Ernstfall wirklich zugänglich sind.

Sind Sie auf einen Sicherheitsvorfall vorbereitet?

Regel 12: Die richtige Haltung gegenüber Cyberangriffen

"Meine Daten interessieren doch niemanden" – das ist ein weit verbreiteter, aber gefährlicher Irrtum. Kriminelle Organisationen arbeiten heute systematisch: Sie mieten Angriffs-Tools im Darknet, scannen automatisiert Millionen von Adressen und testen jedes erreichbare Ziel. Nicht weil Sie interessant sind – sondern weil Sie da sind.

Regel 13: Incident Response Plan erstellen

Was tun, wenn es passiert? Halten Sie zumindest schriftlich fest, wen Sie zuerst informieren, wer Entscheidungen trifft und wo die Notfallkontakte (IT-Dienstleister, Cyberversicherung, Rechtsberatung) zu finden sind. Ehrliche Kommunikation nach einem Vorfall wird von Kunden und Partnern deutlich besser aufgenommen als Verschweigen.

Ein vollständiger Incident Response Plan umfasst deutlich mehr – von einer aktuellen Geräte- und Software-Übersicht bis zu klar definierten Verantwortlichkeiten. Das Thema ist einen eigenen Blog-Artikel wert, den wir zu einem späteren Zeitpunkt vertiefen werden.

Passwortmanager und Zahlungssicherheit im Alltag

Regel 14: Passwortmanager nutzen und Zahlungskonten trennen

Verwenden Sie für jeden Account ein eigenständiges, zufällig generiertes Passwort. Ohne Passwortmanager ist das im Alltag nicht realistisch umsetzbar – merken Sie sich also nur ein starkes Master-Passwort und überlassen den Rest dem Tool.

Ein Tipp für Twint-Nutzer: Die Zahlungslimite bei Twint kann je nach App bis zu CHF 3'000.– betragen – ein Betrag, den niemand einfach so verlieren möchte. Wir empfehlen deshalb, Twint nicht direkt mit Ihrem Hauptkonto zu verknüpfen. Es gibt zwei Möglichkeiten:

  • Twint mit separatem Bankkonto: Richten Sie ein Konto ein, auf das Sie nur den monatlich benötigten Betrag überweisen. Im Fall eines Vorfalls ist nur dieses begrenzte Guthaben betroffen.
  • Twint Prepaid App: Diese Variante funktioniert ohne Bankkonto. Sie laden ein Guthaben auf und nutzen die App vollständig unabhängig von Ihren übrigen Bankverbindungen – praktisch für alle, die Twint bewusst vom Rest ihrer Finanzen trennen möchten.

Häufig gestellte Fragen zur Cyberresilienz

Was ist Cyberresilienz genau?

Cyberresilienz ist die Fähigkeit eines Unternehmens oder einer Person, Cyberangriffe zu überstehen, sich davon zu erholen und handlungsfähig zu bleiben – auch wenn ein Angriff erfolgreich war. Sie geht über reine Prävention hinaus und schliesst Reaktionsfähigkeit und Kommunikation mit ein.

Sind Passkeys sicherer als starke Passwörter?

Ja. Passkeys sind kryptografische Schlüsselpaare – es gibt kein Geheimnis, das übertragen oder gestohlen werden könnte. Selbst eine täuschend echte Phishing-Website kann keinen Passkey abgreifen, weil dieser an die echte Domain gebunden ist.

Brauche ich als Einzelperson einen Passwortmanager?

Ja. Die Alternative – überall gleiche oder ähnliche Passwörter – ist aus Sicherheitssicht nicht tragbar. Ein einziger Datenleak bei einem Onlinedienst reicht, um sämtliche Ihrer Accounts zu gefährden. Passwortmanager wie Bitwarden, 1Password oder KeePass sind einfach zu bedienen und erhöhen Ihre Sicherheit erheblich.

Wie teste ich mein Backup richtig?

Stellen Sie eine Datei oder einen Ordner aus dem Backup in einem separaten Verzeichnis wieder her und prüfen Sie, ob der Inhalt vollständig und lesbar ist. Für produktive Systeme empfiehlt sich ein jährlicher, vollständiger Restore-Test in einer isolierten Umgebung.

Fazit: Cyberresilienz ist eine Haltung, keine Checkliste

Die 14 Verhaltensregeln in diesem Artikel kosten wenig – aber ihre konsequente Umsetzung reduziert Ihr Risiko erheblich. Kein System ist unfehlbar, aber wer es Angreifern schwerer macht als der Durchschnitt, wird seltener zum Ziel.

Sie möchten wissen, wie gut Ihr Unternehmen heute aufgestellt ist? Wir analysieren Ihre Situation in einem kostenlosen Erstgespräch und zeigen Ihnen, wo der grösste Handlungsbedarf besteht. Jetzt unverbindlich Termin vereinbaren

Kontaktieren Sie uns