Penetrationstest KMU Schweiz – dieses Thema ist für viele Schweizer Unternehmen noch immer ein Fremdwort. Oder schlimmer: ein Begriff, den man mit Grosskonzernen und riesigen IT-Budgets verbindet. Ich sage: Das ist ein Irrtum. Und ein teurer dazu.
Als jemand, der seit Jahren Unternehmen auf ihre Schwachstellen testet, erlebe ich dieses Missverständnis regelmässig. Kleine und mittlere Betriebe denken, sie seien kein lohnendes Ziel für Angreifer. Doch die Realität sieht anders aus. Cyberkriminelle suchen nicht die grösste Beute. Sie suchen den einfachsten Weg.
Was ist ein Penetrationstest überhaupt?
Ein Penetrationstest ist ein kontrollierter, autorisierter Angriff auf die eigene IT-Infrastruktur. Ein Ethical Hacker versucht dabei, in Systeme einzudringen – mit denselben Methoden, die auch echte Angreifer nutzen. Der Unterschied: Es gibt einen Vertrag, einen definierten Umfang und am Ende einen Bericht, der zeigt, wo die Schwachstellen liegen.
Ich beschäftige mich seit Langem mit der Frage, wie man IT-Sicherheit nicht nur theoretisch, sondern praktisch durchsetzt. Ein Penetrationstest ist dabei das ehrlichste Instrument, das ich kenne. Nicht weil er alles aufdeckt. Sondern weil er aufdeckt, was wirklich ausnutzbar ist.
Es geht nicht um hypothetische Risiken. Es geht um konkrete Angriffspfade, die ein Angreifer heute nutzen könnte.
Warum KMU in der Schweiz besonders gefährdet sind
Hier beginnt meine Skepsis gegenüber dem weit verbreiteten Sicherheitsgefühl in Schweizer KMU. Viele Unternehmer glauben, dass ihre Grösse sie schützt. Das stimmt nicht.
Die Realität sieht so aus: Schweizer KMU sind aus mehreren Gründen attraktive Ziele. Erstens verfügen sie oft über wertvolle Kundendaten, Zahlungsinformationen oder Geschäftsgeheimnisse. Zweitens fehlen ihnen häufig dedizierte IT-Sicherheitsteams. Drittens sind sie oft Teil von Lieferketten grösserer Unternehmen – und damit ein indirekter Einstiegspunkt.
Wer nur verteidigt, verliert langfristig.
Ransomware-Angriffe auf Schweizer KMU haben in den letzten Jahren massiv zugenommen. Das Nationale Zentrum für Cybersicherheit (NCSC) verzeichnet jährlich Tausende von Meldungen – und das sind nur die, die gemeldet werden.
Die unbequeme Wahrheit: Ein erfolgreicher Angriff kostet ein mittleres Unternehmen in der Schweiz im Schnitt mehr als 50’000 Franken. Oft deutlich mehr. Ein Penetrationstest KMU Schweiz kostet einen Bruchteil davon.
Was ein Pentest konkret untersucht
Ein professioneller Penetrationstest für ein KMU untersucht typischerweise mehrere Bereiche. Die Netzwerkinfrastruktur steht dabei meist an erster Stelle: Firewalls, Router, interne Netzwerksegmentierung – alles, was zwischen dem Internet und den sensiblen Daten steht.
Dann kommen die Webanwendungen. Wer ein Kundenportal, einen Webshop oder auch nur ein WordPress-Backend betreibt, hat eine exponierte Angriffsfläche. SQL-Injection, Cross-Site-Scripting, unsichere Authentifizierung – das sind keine exotischen Angriffe. Das ist Alltag.
Aus meiner Erfahrung ist der grösste Schwachpunkt in vielen KMU jedoch weder die Firewall noch die Website. Es sind die Mitarbeitenden. Phishing-Simulationen zeigen immer wieder, wie einfach es ist, mit einer gut gestalteten E-Mail in ein Unternehmen einzudringen.
Das klingt hart. Aber es ist die Realität.
Der Ablauf eines professionellen Penetrationstests
Ich erkläre den Ablauf so, wie ich ihn bei jedem Projekt durchführe. Es beginnt mit einem klaren Auftrag und definierten Grenzen. Was darf getestet werden? Welche Systeme sind aus dem Scope ausgeschlossen? Diese Fragen klären wir vor jedem Einsatz schriftlich.
Dann folgt die Aufklärungsphase. Ich sammle Informationen über das Unternehmen, seine Infrastruktur und öffentlich zugängliche Daten – genau so, wie es ein Angreifer tun würde. Viele Unternehmen sind erstaunt, wie viel ich allein aus öffentlichen Quellen herausfinden kann.
Danach beginnt die aktive Testphase. Ich versuche, in Systeme einzudringen, Berechtigungen zu eskalieren und Zugang zu sensiblen Daten zu erlangen. Alles dokumentiert, alles kontrolliert.
Am Ende steht der Bericht. Kein technisches Kauderwelsch, das niemand versteht. Sondern klare Befunde, priorisiert nach Schweregrad, mit konkreten Handlungsempfehlungen.
Das sind substanzielle Massnahmen, kein politisches Symbolhandeln.
Was ein Penetrationstest kostet – und was er einspart
Die Frage nach den Kosten höre ich oft. Und ich beantworte sie direkt: Ein Penetrationstest KMU Schweiz beginnt je nach Umfang bei rund 3’000 Franken. Komplexere Projekte mit mehreren Systemen, Anwendungen und Social-Engineering-Komponenten können deutlich mehr kosten.
Ich sage: Das ist keine Ausgabe. Das ist eine Investition.
Wer einmal erlebt hat, wie ein Ransomware-Angriff ein Unternehmen tagelang lahmlegt, fragt nicht mehr nach dem Preis eines Pentests. Der Betriebsausfall, die Lösegeldforderungen, der Reputationsschaden, die Benachrichtigung betroffener Kunden gemäss Datenschutzgesetz – das summiert sich schnell auf das Zehnfache eines Pentests.
Und das Datenschutzgesetz (revDSG) in der Schweiz ist seit September 2023 in Kraft. Es schreibt vor, dass Unternehmen angemessene technische und organisatorische Massnahmen zum Schutz von Personendaten ergreifen müssen. Ein dokumentierter Penetrationstest ist eine solche Massnahme. Mehr dazu beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
Das ist keine Meinung, das ist die Realität.
Wann ist der richtige Zeitpunkt für einen Pentest?
Ich höre oft: „Wir machen das, wenn wir mehr Budget haben.“ Oder: „Zuerst müssen wir unsere IT modernisieren.“ Das ist verständlich. Aber es ist der falsche Ansatz.
Den richtigen Zeitpunkt für einen Penetrationstest gibt es nicht. Es gibt nur früh und zu spät.
Besonders sinnvoll ist ein Pentest in einigen konkreten Situationen. Vor dem Launch einer neuen Webanwendung oder eines Kundenportals. Nach einer grösseren IT-Migration oder einem Cloud-Wechsel. Bei der Aufnahme in eine Lieferkette, die Sicherheitsnachweise verlangt. Nach einem Sicherheitsvorfall, um zu verstehen, was wirklich passiert ist.
Und natürlich: als regelmässige Massnahme. Mindestens einmal jährlich. Die Bedrohungslandschaft verändert sich. Neue Schwachstellen entstehen. Was letztes Jahr sicher war, muss es heute nicht mehr sein.
Mehr zur langfristigen IT-Sicherheitsplanung für KMU findest du in unserem Überblick.
Was nach dem Penetrationstest passiert
Ein Penetrationstest ist kein Endpunkt. Er ist ein Startpunkt.
Nach dem Test erhalten meine Kunden einen detaillierten Bericht mit allen gefundenen Schwachstellen, deren Schweregrad und klaren Empfehlungen zur Behebung. Ich unterscheide dabei zwischen kritischen Lücken, die sofort geschlossen werden müssen, und mittelfristigen Optimierungen.
Ich begleite Unternehmen auch bei der Umsetzung der Massnahmen. Weil ein Bericht allein nichts bewegt. Was zählt, ist die Verbesserung der tatsächlichen Sicherheitslage.
Und ich sage: Wer nach einem Pentest nichts umsetzt, hat das Budget verschwendet. Wer umsetzt, hat investiert.
Mein Fazit: Sicherheit ist keine Ausgabe
Als jemand, der täglich mit Sicherheitslücken arbeitet, werde ich nie aufhören zu betonen: Die Frage ist nicht, ob ein Angriff auf dein Unternehmen versucht wird. Die Frage ist, wann – und ob du darauf vorbereitet bist.
Ein Penetrationstest KMU Schweiz ist das ehrlichste Instrument, das ich kenne, um diese Frage zu beantworten. Er zeigt, wo du wirklich stehst. Nicht wo du glaubst zu stehen.
Wer nur hofft, dass nichts passiert, überlässt die Kontrolle dem Zufall. Ich glaube nicht an Sicherheit durch Hoffnung. Ich glaube an Sicherheit durch Wissen.
Wenn du wissen möchtest, wie sicher dein Unternehmen wirklich ist, dann lass es uns herausfinden. Nicht mit einem Gefühl. Mit einem Test. Jetzt Kontakt aufnehmen.
Guido Marsch ist Cybersecurity-Experte, Ethical Hacker und Gründer von cybersecurity-schweiz.com. Er beschäftigt sich mit digitaler Souveränität, Penetration Testing und der Frage, wie wir Sicherheit wirklich denken müssen.
