Digitale Hygiene im Alltag: Die 7 wichtigsten Verhaltensweisen für jeden Mitarbeiter eines Schweizer KMU

Auteur: Peter Senn
23. Januar 2026
Aktualisiert am: 10. April 2026
Temps de lecture: 13 min

Wichtige Erkenntnisse

Jedes sechste Schweizer KMU (16 %) war in den letzten fünf Jahren mindestens einer Cyberattacke ausgesetzt (AXA, 2025)
70 % der Phishing-bedingten Verstöße zielen auf KMU ab, nicht auf Großunternehmen (Verizon DBIR, 2025)
94 % der Passwörter werden wiederverwendet oder zwischen mehreren Konten dupliziert (CyberNews, 2025)
32 % der Ransomware-Angriffe beginnen mit der Ausnutzung nicht aktualisierter Software (ExpertInsights, 2025)
Die hier vorgestellten 7 Verhaltensweisen erfordern keine technischen Vorkenntnisse
Schweizer revDSG: Pflicht zur Meldung einer Verletzung so schnell wie möglich nach Entdeckung (Art. 24)

Digitale Hygiene bezeichnet alle alltäglichen Verhaltensweisen, die es jedem Mitarbeiter ermöglichen, das Risiko von Cyberangriffen und Datenverstößen ohne besondere IT-Kenntnisse zu reduzieren. In der Schweiz war jedes sechste KMU (16 %) in den letzten fünf Jahren mindestens einer Cyberattacke ausgesetzt — bei Unternehmen mit 50 bis 250 Mitarbeitern steigt diese Zahl auf 35 % (AXA, 2025). Sieben einfache Verhaltensweisen — Sitzung sperren, verdächtige E-Mails prüfen, starke Passwörter verwenden, Software aktuell halten, Download-Ordner bereinigen, sich von Online-Diensten abmelden und Daten regelmäßig sichern — reichen aus, um eine wirksame kollektive Verteidigung aufzubauen. Diese Reflexe, die in den Alltag jedes Mitarbeiters integriert werden, bilden die erste Verteidigungslinie jedes Schweizer KMU.

« Eine einzige Nachlässigkeit, ein einziger Klick auf den falschen Link, und das gesamte Unternehmen kann durch einen Cybersecurity-Vorfall lahmgelegt werden. »

1/6 Schweizer KMU waren in den letzten fünf Jahren mindestens einer Cyberattacke ausgesetzt. Bei Unternehmen mit 50 bis 250 Mitarbeitern steigt diese Zahl auf 35 %.

[AXA — Studie zum Arbeitsmarkt für KMU 2025]

Verhaltensweise 1 — Sitzung immer sperren, wenn man sich entfernt

Definition: Sitzungssperre Die Sitzungssperre ist eine physische Sicherheitsmaßnahme, die einen Arbeitsplatz unzugänglich macht, sobald sich der Benutzer entfernt, und so unbefugten Zugriff auf Daten, Anwendungen und offene Konten verhindert.

Wichtige Tastenkombinationen

System	Tastenkombination	Dauer der Aktion
Windows	Windows + L	Sofort
macOS	Befehl + Control + Q	Sofort
Linux (GNOME)	Super + L	Sofort

Risiken einer nicht gesperrten Sitzung

Ein unbeaufsichtigter Arbeitsplatz — selbst für 30 Sekunden — setzt das Unternehmen folgenden Risiken aus: Zugriff auf geschäftliche E-Mails, Einsicht in vertrauliche Dokumente, Installation von Schadsoftware über USB-Sticks und Identitätsdiebstahl auf internen Systemen. Diese Verhaltensweise ist besonders wichtig in gemeinsam genutzten Bereichen: Großraumbüros, Besprechungsräume, Coworking-Spaces.

Verhaltensweise 2 — Absender prüfen, bevor eine E-Mail oder ein Anhang geöffnet wird

Definition: Phishing Phishing ist eine Social-Engineering-Angriffstechnik, bei der sich ein Angreifer als vertrauenswürdige Instanz (Bank, Lieferant, Management) ausgibt, um das Opfer dazu zu bringen, Anmeldedaten preiszugeben, auf einen bösartigen Link zu klicken oder eine betrügerische Überweisung zu tätigen.

+35 % Zunahme der Meldungen von CEO-Betrug in der Schweiz im Jahr 2025 (970 Fälle gegenüber 719 im Jahr 2024). 82 % der Phishing-Kampagnen werden inzwischen von KI generiert, wodurch die Nachrichten mit bloßem Auge nicht mehr erkennbar sind.

[OFCS, Jahresbericht 2025]

Checkliste für verdächtige E-Mails

Warnsignal	Wie man es überprüft
Unbekannter oder ungewöhnlicher Absender	Auf den Anzeigenamen klicken, um die vollständige Adresse anzuzeigen
Leicht veränderte Domain	Z. B. `bexxo-ch.com` anstelle von `bexxo.ch` → melden
Link im Nachrichtentext	Mit der Maus darüberfahren, ohne zu klicken — die tatsächliche URL überprüfen
Unerwarteter Anhang	Absender telefonisch kontaktieren, um dies zu bestätigen
Dringlichkeit oder Zeitdruck	Starker Hinweis auf Betrug — vor dem Handeln überprüfen
Anforderung einer Überweisung oder von Anmeldedaten	Obligatorisches zweistufiges Validierungsprotokoll

Empfohlenes Tool: PhishTrainer von Bexxo — realistische Phishing-Angriffssimulationen, um Teams darin zu schulen, diese Nachrichten zu erkennen, bevor sie klicken.

Verhaltensweise 3 — Starke und einzigartige Passwörter verwenden

Definition: Passwort-Manager Ein Passwort-Manager ist eine Anwendung, die komplexe und einzigartige Passwörter für jeden Dienst generiert, speichert und automatisch ausfüllt, die durch ein einziges Master-Passwort und idealerweise durch eine Zwei-Faktor-Authentifizierung (2FA) geschützt sind.

94 % der Passwörter werden wiederverwendet oder zwischen mehreren Konten dupliziert. Nur 3 % entsprechen den NIST-Empfehlungen. Gestohlene Anmeldedaten werden auf kriminellen Märkten für durchschnittlich 10 USD verkauft.

[CyberNews, Analyse von 19 Milliarden Passwörtern, 2025 — Verizon DBIR 2025]

Schlechte Praxis	Risiko	Gute Praxis
Überall dasselbe Passwort	1 Verstoß = alle Konten kompromittiert	1 eindeutiges Passwort pro Dienst
Kurzes Passwort (< 12 Zeichen)	In wenigen Stunden knackbar	20+ zufällig generierte Zeichen
Merkbare Passwörter	Leicht zu erraten	Passwort-Manager
Keine 2FA	Gestohlene Anmeldedaten = direkter Zugriff	2FA für alle kritischen Konten

Definition: Zwei-Faktor-Authentifizierung (2FA / MFA) Die Zwei-Faktor-Authentifizierung ist eine Sicherheitsmethode, die zwei separate Identitätsnachweise erfordert, bevor der Zugriff gewährt wird: typischerweise ein Passwort (was Sie wissen) und ein temporärer Code, der von einer Anwendung generiert wird (was Sie besitzen).

Empfohlene Lösung für Schweizer KMU: Proton Pass — Schweizer Passwort-Manager, End-to-End-Verschlüsselung, 2FA-Integration inklusive.

Ressource: Vollständiger Leitfaden zur Passwortsicherheit

Verhaltensweise 4 — Tools und Anwendungen regelmäßig aktualisieren

Definition: Sicherheitspatch Ein Sicherheitspatch ist ein Software-Update, das eine identifizierte Schwachstelle behebt und eine von Angreifern ausnutzbare Sicherheitslücke beseitigt, bevor ein Einbruch stattfindet.

21.500 CVEs (bekannte Schwachstellen) im ersten Halbjahr 2025 offengelegt — ein Rekord. 32 % der Ransomware-Angriffe nutzen ungepatchte Software aus. Die Ausnutzung von Schwachstellen macht 20 % der Verstöße im Jahr 2025 aus, ein Anstieg von +34 % innerhalb eines Jahres.

[Recorded Future H1 2025 — ExpertInsights — Verizon DBIR 2025]

« Ein einziger nicht aktualisierter Computer, der mit dem Netzwerk verbunden ist, kann als Ausgangspunkt dienen, um die gesamte Infrastruktur eines KMU mit Ransomware zu infizieren. »

System	Wie man es aktiviert	Empfohlene Häufigkeit
Windows	Einstellungen → Windows Update → Automatisch	Sofort nach Verfügbarkeit
macOS	Systemeinstellungen → Updates → Automatisch	Sofort nach Verfügbarkeit
Mobile Anwendungen	App Store / Google Play → Automatische Updates	Wöchentlich
Webbrowser	Standardmäßig in Chrome, Firefox, Edge aktiviert	Kontinuierlich

Ressource: Automatische Updates für Schweizer KMU

Verhaltensweise 5 — Download-Ordner regelmäßig bereinigen

Definition: Datenminimierung (revDSG, Art. 6) Die Datenminimierung ist ein in der Schweizer revDSG verankertes Prinzip, wonach nur die unbedingt notwendigen Daten erhoben, verarbeitet und aufbewahrt werden dürfen — und gelöscht werden müssen, sobald sie nicht mehr benötigt werden.

Der Download-Ordner ist einer der unsichersten Orte auf einem Arbeitsplatzrechner. Verträge, Rechnungen, E-Mail-Anhänge, Installationsdateien — alles sammelt sich dort unkontrolliert an, oft ohne Verschlüsselung. Eine wöchentliche Bereinigung reduziert die Angriffsfläche und trägt zur Einhaltung der revDSG bei.

Ressource: AMF- und revDSG-Leitfaden für Schweizer KMU

Verhaltensweise 6 — Nach der Nutzung von Online-Diensten abmelden

Die explizite Abmeldung — und nicht nur das Schließen des Tabs — ist eine oft vernachlässigte Maßnahme. Ein angemeldetes Konto bleibt für jeden zugänglich, der auf das Gerät zugreift oder die Sitzung abfängt.

Kontext	Risiko bei Nichtabmeldung	Empfohlene Aktion
Gemeinsam genutzter Computer (Büro, Schulung)	Direkter Zugriff durch den Nächsten	Obligatorische Abmeldung vor dem Verlassen
Öffentliches WLAN (Café, Hotel)	Sitzungsabfang (Session Hijacking)	VPN + systematische Abmeldung
Verlorenes oder gestohlenes Gerät	Zugriff auf alle offenen Dienste	Fernwiderruf aktiver Sitzungen
Bankdienstleistungen oder Zahlungen	Betrügerische Überweisung	Sofortige Abmeldung nach jeder Transaktion

Absolute Regel: Niemals "Angemeldet bleiben" auf einem gemeinsam genutzten Computer, einem Leihgerät oder einem unsicheren Netzwerk aktivieren. Dieses Kästchen ist eine ständige Einladung für jeden, der später auf das Gerät zugreift.

Verhaltensweise 7 — Arbeit regelmäßig sichern und Sicherungen überprüfen

Definition: 3-2-1-Sicherungsregel Die 3-2-1-Regel ist eine Sicherungsstrategie, die empfiehlt, 3 Kopien der Daten auf 2 verschiedenen Medien aufzubewahren, darunter 1 ausgelagerte Kopie außerhalb des Standorts, um die Datenwiederherstellung im Falle von Ransomware, Katastrophen oder Hardwareausfällen zu gewährleisten.

Vorfall	Ohne Sicherung	Mit 3-2-1-Regel
Ransomware	Totalverlust oder Lösegeld	Wiederherstellung von der unverschlüsselten Kopie
Hardwareausfall	Verlust der Daten auf dem Gerät	Wiederherstellung vom sekundären Medium
Katastrophe (Feuer, Überschwemmung)	Totalverlust, wenn alles vor Ort ist	Wiederherstellung von der ausgelagerten Kopie
Versehentliches Löschen	Nicht wiederherstellbar	Wiederherstellung von der vorherigen Version

Empfohlene Lösungen für Schweizer KMU

Microsoft 365 / Google Workspace — Sicherung von E-Mails und Dokumenten in Echtzeit
kDrive von Infomaniak — dreifache Replikation in zwei Schweizer Rechenzentren (Genf), revDSG-konform
Swiss Backup von Infomaniak — Cloud-Sicherung, Server ausschließlich in der Schweiz, garantierte revDSG-Konformität

Wichtig: Eine nicht getestete Sicherung ist eine Sicherung, deren Integrität nicht garantiert werden kann. Testen Sie die Wiederherstellung mindestens einmal pro Quartal.

Ressource: Sicherheitsplan für Sicherungen

Checkliste der 7 Verhaltensweisen zur Anbringung in Ihren Büros

Sitzung sperren, sobald man sich entfernt (Win+L / Cmd+Ctrl+Q)
Vollständige Adresse des Absenders vor jedem Klick überprüfen
Ein eindeutiges Passwort pro Dienst + 2FA aktiviert
Updates unverzüglich installieren
Download-Ordner jede Woche leeren
Sich nach jeder Nutzung von sensiblen Diensten abmelden
Gemäß der 3-2-1-Regel sichern und die Wiederherstellung testen

Häufig gestellte Fragen — Digitale Hygiene Schweizer KMU

Was ist digitale Hygiene?

Digitale Hygiene ist die Gesamtheit der täglichen Praktiken, die es jedem Benutzer ermöglichen, die Risiken von Cyberangriffen und Datenverstößen ohne besondere IT-Kenntnisse zu reduzieren. Sie basiert auf sieben einfachen Verhaltensweisen — Sitzungssperre, E-Mail-Prüfung, starke Passwörter, regelmäßige Updates, Bereinigung von Downloads, systematische Abmeldung und Sicherungen — die, wenn sie kollektiv praktiziert werden, eine echte Sicherheitskultur im Unternehmen schaffen.

Warum ist digitale Hygiene für Schweizer KMU im Jahr 2026 so wichtig?

In der Schweiz war jedes sechste KMU (16 %) in den letzten fünf Jahren mindestens einer Cyberattacke ausgesetzt, und 70 % der Phishing-bedingten Verstöße zielen auf KMU ab (Verizon DBIR, 2025). KMU sind bevorzugte Ziele, da sie oft über wertvolle Daten, aber nur begrenzte Sicherheitsressourcen verfügen. Darüber hinaus schreibt die revDSG seit September 2023 die Meldung von Verletzungen personenbezogener Daten so schnell wie möglich vor (Art. 24).

Wie lange dauert es, diese Verhaltensweisen in den Alltag zu integrieren?

Die Verhaltensforschung zeigt, dass die Bildung einer Gewohnheit durchschnittlich 21 bis 66 Tage bewusster Übung erfordert. Im beruflichen Kontext integrieren die meisten Mitarbeiter diese 7 Verhaltensweisen mit einer wöchentlichen Erinnerung und einem zusammenfassenden Plakat in 3 bis 4 Wochen.

Was tun, wenn ein Mitarbeiter versehentlich auf einen verdächtigen Link klickt?

Sofort handeln: (1) Gerät vom WLAN und vom Kabelnetz trennen, (2) IT-Abteilung oder externen Dienstleister kontaktieren, (3) Gerät nicht ausschalten (Sicherung forensischer Spuren), (4) Passwörter von einem anderen Gerät aus ändern, (5) Zugriffe auf Geschäftskonten in den nächsten 24 Stunden überwachen.

Reicht digitale Hygiene aus, um ein Schweizer KMU zu schützen?

Diese 7 Verhaltensweisen bilden das unverzichtbare Fundament — sie eliminieren die meisten gängigen Angriffsvektoren. Sie ersetzen keine zusätzlichen technischen Maßnahmen: Firewall, Antivirus, ausgelagerte Sicherungen, Sicherheitsaudit. Für einen umfassenden Schutz wird die Unterstützung durch einen spezialisierten Partner empfohlen. Die Kombination aus guten menschlichen Praktiken und angepassten technischen Lösungen stellt die optimale Verteidigung für KMU in der Westschweiz, Bern, Lausanne und Genf dar.

Wie sensibilisiert man Mitarbeiter effektiv für digitale Hygiene?

Drei Methoden haben sich als wirksam erwiesen: (1) regelmäßige kurze Sitzungen von 15-20 Minuten anstelle einer großen jährlichen Schulung, (2) realistische Phishing-Simulationen mit PhishTrainer, um durch Erfahrung zu schulen, (3) zusammenfassendes Plakat der 7 Verhaltensweisen in den Arbeitsbereichen. Das Lernen am Beispiel — das Aufzeigen der konkreten Konsequenzen — ist effektiver als die reine Theorie.

Fazit

Digitale Hygiene ist weder kompliziert noch technisch. Diese 7 Verhaltensweisen — Sitzungssperre, E-Mail-Prüfung, eindeutige Passwörter und 2FA, regelmäßige Updates, Bereinigung von Downloads, systematische Abmeldung und überprüfte Sicherungen — bilden die erste Verteidigungslinie jedes Schweizer KMU. Kollektiv praktiziert schaffen sie eine Sicherheitskultur, die die Angriffsfläche für Cyberbedrohungen erheblich reduziert. Nach einigen Wochen werden sie zu Automatismen.

Möchten Sie Ihre Mitarbeiter sensibilisieren oder die Sicherheitslage Ihres KMU bewerten? Unsere Experten unterstützen KMU in der Westschweiz, Bern, Lausanne und Genf. Kontaktieren Sie Bexxo →

Quellen

AXA — Studie zum Arbeitsmarkt für KMU 2025 (Dezember 2025)
Bundesamt für Cybersicherheit (BACS) — Jahresbericht 2025
Verizon — Data Breach Investigations Report (DBIR) 2025
CyberNews — Password Leak Study 2025: Analyse von 19 Milliarden Passwörtern
ExpertInsights — Patch Management Statistics and Trends 2025
Recorded Future — H1 2025 Malware and Vulnerability Trends
revDSG — Bundesgesetz über den Datenschutz (SR 235.1), in Kraft seit dem 1. September 2023