Anfang Januar ist Vorsatz-Zeit. In den meisten Unternehmen heisst das: Budget durchsehen, Quartalsplanung, Strategiepapier. In zu wenigen Unternehmen heisst es: einmal kritisch auf die eigene Cybersicherheit schauen.
Das Bundesamt für Cybersicherheit (BACS) weist seit Wochen darauf hin, dass die Bedrohungslage in der Schweiz hoch bleibt – Angriffe werden gezielter, professioneller, zunehmend KI-getrieben. 2025 war kein gutes Jahr für Verteidiger: CEO-Fraud-Fälle stiegen von 719 auf 971, Ransomware-Vorfälle bei Schweizer KMU verdoppelten sich, das Bundesgesetz zum Schutz kritischer Infrastrukturen wird gerade verschärft. 2026 wird härter.
Wer im neuen Jahr nur drei Dinge anpacken kann, sollten es diese sein.
1. Backup-Restore-Test, einmal vollständig
Nicht: «wir haben Backups». Sondern: einen kritischen Server vollständig aus dem Backup wiederherstellen, durchgespielt von jemandem, der nicht der Backup-Admin ist. In einer separaten Testumgebung, mit Stoppuhr.
Was Du dabei lernst: ob das Backup-Repository tatsächlich erreichbar ist, ob die Credentials noch stimmen, wie lange ein Restore wirklich dauert, ob die Recovery-Procedure dokumentiert ist und ob jemand sie versteht. In neun von zehn Fällen entdeckt der erste ehrliche Restore-Test einen Showstopper. Lieber jetzt im Januar entdecken als beim echten Vorfall im Juli.
2. MFA für jeden Account, ohne Ausnahmen
Multi-Faktor-Authentifizierung ist 2026 keine Empfehlung mehr, sie ist Standard. Trotzdem haben in vielen KMU noch einzelne Service-Accounts, Admin-Logins oder externe Berater-Zugänge ein Single-Factor-Login. Genau diese Accounts sind das, was Angreifer in den letzten zwölf Monaten am häufigsten kompromittiert haben.
Inventur: welche Accounts haben kein MFA? Microsoft 365, AD/Entra ID, VPN, Backup-Software-Konsole, Cloud-Tenants, Lieferanten-Portale. Setze einen klaren Cutoff – z.B. Ende März – bis dahin haben alle Accounts MFA, und das nicht per SMS sondern per App oder FIDO2-Key. SMS-Codes sind seit Jahren angreifbar.
Bei Service-Accounts, die kein MFA können: trennen, ein Passwort-Vault einbauen, Just-in-Time-Vergabe der Credentials. Schmerzhaft, aber lösbar.
3. Sichtbarkeit, ehrlich
«Wir würden merken, wenn jemand im Netz ist.» Diese Aussage hört man oft, und in den meisten Fällen stimmt sie nicht. Median-Zeit, bis ein Angriff entdeckt wird, liegt international bei mehreren Wochen. Bei KMU ohne SIEM und ohne Log-Aggregation eher Monaten.
2026 sollte das Jahr sein, in dem zumindest die Basics stehen: zentrale Log-Sammlung der wichtigsten Systeme (Firewall, Active Directory, kritische Server), automatische Auswertung mit Alarmen für die offensichtlichen Anomalien (Login-Versuche aus fremden Ländern, Privilege-Escalation, Massenausführungen). Vollständiges SIEM-Setup ist ein grosses Projekt, aber Schritt eins – Log-Aggregation in einer zentralen Lösung – schaffst Du in einem Quartal.
Was 2026 sonst kommen wird
Was sich in den nächsten zwölf Monaten abzeichnet:
- KI-gestütztes Phishing wird die Norm. Klassische Erkennungsmerkmale (Rechtschreibung, generischer Tonfall) verschwinden. Schulungen müssen sich auf prozessuale Verifikation konzentrieren, nicht auf «Erkenne die schlechte Mail».
- Ransomware mit Datendiebstahl-Komponente bleibt Standard. Reine Backup-Strategie reicht nicht – Daten-Exfiltration muss separat verhindert werden.
- Lieferketten-Angriffe: über Software-Updates, MSPs, Cloud-Anbieter. Inventur der Drittsystem-Zugänge ist 2026 Pflicht.
- Schweizer KRITIS-Gesetzgebung wird konkreter. Wer in einem KRITIS-relevanten Sektor unterwegs ist, sollte den Bundesratsentwurf verfolgen und früh mit der Umsetzung anfangen.
Was Stefan und das Team in den Kundengesprächen hören
«Wir wollen keine grosse Compliance-Maschine, wir wollen einfach, dass nichts passiert.» Verständlich. Beides geht zusammen, wenn man die richtigen Hebel zieht. Backup-Restore-Test, MFA überall, Sichtbarkeit der wichtigsten Logs – das sind drei Sachen, die jedes KMU im ersten Quartal 2026 schaffen kann. Ohne externes Audit, ohne Berater-Tagessätze.
Wer mit dem Inventarisieren anfängt und keine drei Tage später eine konkrete Liste hat, weiss, wo der grösste Hebel liegt. Was danach kommt, ist Umsetzung.
UCC Pro begleitet Unternehmen bei dieser Inventur und der schrittweisen Umsetzung – im IT-Betrieb-Bereich Netzwerk- und Identitäts-Hardening mit FortiNet/Ubiquiti, im Datensicherungs-Bereich AirGap-Backup im UCC Secure Vault. Wenn das relevant wird: Kontakt.
Quellen: NCSC – Bundesamt für Cybersicherheit (ncsc.admin.ch); Halbjahresbericht zur Cyberbedrohungslage Schweiz; BSI IT-Grundschutz; SANS Top New Attacks 2026.