IT-Sicherheit für KMU in der Schweiz

Cybersecurity-Marketing verspricht oft etwas, das ein KMU nicht braucht: ein Security-Operations-Center mit 24/7-Bereitschaft, ein Dutzend Werkzeuge, eine Zertifizierungs-Sammlung. Was ein Schweizer KMU stattdessen braucht, sind drei nüchterne Dinge: eine Firewall, die zur Realität des Geschäftsbetriebs passt; Endgeräte, die nicht beim ersten USB-Stick kapitulieren; und ein Mail-Setup, das verhindert, dass Phishing-Mails mit dem eigenen Absender-Namen verschickt werden. Solvia bietet Sicherheit als integrierten Teil der IT-Betreuung — nicht als getrennte Disziplin mit eigenem Tooling-Zoo.

Was wir abdecken

Endpoint Protection auf Notebooks und Workstations. Antivirus, Endpoint Detection and Response, Geräte-Verschlüsselung, USB-Restriktionen, Application Whitelisting wo sinnvoll. Wir setzen auf eine Endpoint-Plattform, die zum Mandat passt — Sophos, Microsoft Defender for Business, Kaspersky — statt einer pauschalen Empfehlung.

Firewall, Netzwerk und Segmentierung. pfSense-basierte Firewalls als Standard, Multi-WAN-Failover, VPN-Zugänge mit mehrstufiger Authentisierung, Segmentierung zwischen Anwender-Netz, Server-Netz und Vendor-VPNs. Bei Firewall-Konfigurationen erstellen wir eine schriftliche Dokumentation — bei uns aus dem laufenden Konfigurations-Zustand automatisiert generiert, damit sie nicht im ersten Monat veraltet ist.

Mail-Authentication und Anti-Phishing. SPF, DKIM und DMARC für Ihre Domains korrekt aufgesetzt, ein klar konfigurierter Return-Path, Anti-Spoofing-Regeln im Mail-Tenant. So verhindern Sie, dass Phishing-Mails mit Ihrem Absender-Namen verschickt werden — und dass Ihre eigenen Mails im Spam-Ordner Ihrer Geschäftspartner landen.

Identity-Sicherheit. Mehrstufige Authentisierung, Conditional Access (Zugriff nur aus bestimmten Netzwerken, nur mit verwalteten Geräten, nur mit aktuellem Endpoint-Schutz), Privileged Access Management für administrative Konten. Bei grösseren Identity-Vorhaben — rollenbasierte Berechtigungen, Audit-Spuren, Service-Konten-Bereinigung — bringen wir Erfahrung aus mehrjährigen Identity-Projekten grösserer Schweizer Unternehmen mit.

WordPress- und Web-Hardening. Bei den Web-Auftritten, die wir betreiben oder betreuen, ist Sicherheit Standard-Bestandteil: fail2ban gegen Brute-Force-Angriffe, Deaktivierung der XML-RPC-Schnittstelle, sichere Konfiguration der Theme- und Plugin-Quellen, Staging-Umgebungen für sicheres Testen vor Produktiv-Schaltung.

Patch- und Vulnerability-Management. Regelmässiges Patching von Betriebssystemen und Anwendungen in vereinbarten Wartungs-Fenstern. Bei sicherheits-kritischen Patches ausserplanmässig, mit Vorab-Information. Vulnerability-Scans bei Bedarf — wir empfehlen nicht ein „SIEM für jedes KMU”, sondern das, was zur Risiko-Lage Ihres Geschäfts passt.

Sicherheits-Vorfälle und Forensik. Bei einem Sicherheitsvorfall — Phishing-Klick, Ransomware-Verdacht, kompromittiertes Konto, Datenabfluss-Vermutung — übernehmen wir die initiale Eindämmung, sichern Beweismaterial (Log-Daten, Image-Snapshots) und begleiten die Wiederherstellung. Wo nötig, ziehen wir externe forensische Expertise hinzu und sagen das offen.

So gehen wir vor

Jedes Sicherheits-Engagement beginnt mit einem Sicherheits-Audit der Bestandsumgebung: Was ist heute geschützt, was nicht; welche Konfigurationen sind veraltet; welche Mail-Domains sind nicht korrekt authentisiert; welche administrativen Konten haben ungenutzte Vollberechtigungen; welche Endgeräte fehlen im Endpoint-Inventar. Das Audit liefert eine schriftliche Standortbestimmung mit priorisierten Empfehlungen und einer Risiko-Einschätzung.

Die Implementierung geht die Empfehlungen schrittweise ab — typischerweise in der Reihenfolge: Quick Wins zuerst (Mail-Authentication, MFA für administrative Konten, Backup-Verifikation), dann strukturierte Verbesserungen (Endpoint-Plattform vereinheitlichen, Firewall-Regelwerk aufräumen, Identity-Modell anpassen), dann längerfristige Vorhaben (rollenbasierte Berechtigungen, Vulnerability-Management, Logging-Architektur).

Im Regelbetrieb überwachen wir den Sicherheits-Stand laufend — Endpoint-Plattform-Status, Backup-Erfolg, Patch-Stand, auffällige Logins, Mail-Authentication-Reports. Auffälligkeiten werden im Hintergrund bearbeitet; ein monatliches Sicherheits-Reporting zeigt den Stand für die Geschäftsleitung.

Bei Sicherheitsvorfällen läuft ein definierter Eskalationspfad mit klar zugeteilter Verantwortung. Wir kommunizieren während des Vorfalls in kurzen Statusmeldungen — was wir wissen, was wir tun, was offen ist.

Was bei uns charakteristisch ist

Pragmatisches Sicherheits-Verständnis. Wir bauen keine Sicherheits-Architektur, die einem Konzern angemessen wäre, aber im KMU nach drei Monaten wieder abgeschaltet wird, weil sie den Alltag stört. Sicherheit funktioniert dann, wenn die Anwender sie nicht umgehen — das ist eine Konstruktions-Aufgabe, nicht eine reine Tooling-Frage.

Integriert statt isoliert. Sicherheit ist bei uns ein Querschnitt durch alle Service-Linien, nicht ein eigenständiger Tool-Stack. Endpoint Protection ist Teil des Workplace-Managements; Firewall-Härtung ist Teil des Netzwerk-Betriebs; Mail-Authentication ist Teil des M365-Setups; Backup ist Teil der Anti-Ransomware-Strategie.

Engineering-Disziplin im operativen Detail. Firewall-Konfigurationen werden bei uns aus dem laufenden System in eine schriftliche Dokumentation überführt (mit Eigenentwicklung, die pfSense-Konfigurations-XML in Word-Dokumente überführt) — damit die Dokumentation nicht im ersten Monat veraltet. Vorfall-Berichte werden in einer einheitlichen Form geliefert, mit Event-Log-Analyse und Timeline-Vergleich.

Ehrliche Werkzeugauswahl. Wir verwenden Werkzeuge, die wir kennen und betreiben können — Sophos, Microsoft Defender for Business, pfSense, fail2ban, Veeam, Proxmox Backup Server. Wir verkaufen keine SIEM-Lizenz, die wir nicht selbst betreiben würden; wir empfehlen kein Security-Operations-Center für ein 30-Mitarbeiter-KMU, das es nicht braucht.

Ehrliche Grenzen. Wir bieten kein offizielles forensisches Gutachten mit Gerichts-Verwendbarkeit; wir sind keine ISO-27001-Zertifizierungs-Werkstatt; wir führen keine offensive Sicherheits-Audits (Red Team, Penetration Tests mit Bug-Bounty-Rahmen) als Standard-Service. Wo solche Vorhaben sinnvoll sind, ziehen wir ausgewiesene Partner aus unserem Netzwerk hinzu und sagen das offen.

Typische Mandate

Quick-Win-Hardening nach einem Sicherheitsvorfall

Ein Vorfall hat aufgerüttelt — ein Phishing-Klick, ein kompromittiertes Konto, eine fehlgeschlagene Mail-Zustellbarkeit. Solvia analysiert die unmittelbare Ursache, behebt sie, und führt parallel ein Quick-Win-Audit durch: Mail-Authentication, MFA für administrative Konten, Endpoint-Plattform-Status, Backup-Verifikation. Innerhalb von zwei bis vier Wochen ist die unmittelbare Lücke geschlossen und ein längerfristiger Massnahmen-Plan entwickelt.

Firewall- und Netzwerk-Erneuerung mit Sicherheits-Fokus

Ihre Firewall ist End-of-Support, das interne Netzwerk ist nicht segmentiert, Vendor-VPNs laufen ohne Beschränkung. Solvia ersetzt die Firewall (typischerweise pfSense auf Netgate-Hardware mit Multi-WAN-Failover), führt eine Netzwerk-Segmentierung ein (Anwender, Server, Vendor-VPNs, Gäste) und dokumentiert die Konfiguration aus dem laufenden System.

Mail-Domain-Authentication und Anti-Phishing

Ihre Mails landen bei Geschäftspartnern im Spam, oder Sie haben Hinweise auf Phishing-Mails, die mit Ihrem Absender-Namen verschickt werden. Solvia analysiert SPF, DKIM und DMARC für Ihre Domains, behebt die Konfigurations-Lücken und richtet ein laufendes DMARC-Reporting ein, das auch zukünftige Auffälligkeiten sichtbar macht.

Identity-Härtung in einer gewachsenen M365-Umgebung

Ihre Microsoft-365-Umgebung ist über Jahre gewachsen, mit ad hoc vergebenen Berechtigungen, vergessenen Service-Konten und fehlenden Conditional-Access-Regeln. Solvia analysiert die Identity-Landschaft, schlägt ein rollenbasiertes Modell vor (mit MFA, Conditional Access, Privileged Identity Management) und führt die Umstellung schrittweise durch.

Website-Hardening für eine bestehende WordPress-Plattform

Ihre Website läuft auf WordPress, wurde aber nie systematisch gehärtet. Solvia richtet fail2ban gegen Brute-Force-Angriffe ein, deaktiviert die XML-RPC-Schnittstelle, dokumentiert die Plugin-Landschaft und schlägt eine Staging-Umgebung für sicheres Testen vor. Bei den Sites, die wir selbst hosten, ist diese Härtung Standard-Bestandteil.

Häufige Fragen

Brauchen wir wirklich Multi-Factor Authentication für alle Mitarbeiter?

Für alle Konten mit administrativen Berechtigungen: ja, ohne Ausnahme. Für alle Konten mit Zugriff auf E-Mail oder kritische Geschäftsdaten: praktisch ja — die Alternative ist, dass ein einzelnes erratenes Passwort den ganzen Tenant gefährdet. Die Hürde bei der Einführung liegt nicht in der Technik, sondern in der Anwender-Begleitung; wir übernehmen beides.

Was kostet Endpoint Protection pro Gerät?

Abhängig von der gewählten Plattform und vom Lizenz-Bündel; typischer Bereich ein einstelliger CHF-Betrag pro Endgerät pro Monat. Wir beziehen die Lizenzen über den Also Cloud Marketplace und integrieren sie in das laufende Subscription-Management. Eine konkrete Indikation entsteht im Onboarding-Gespräch.

Wir hatten gerade einen Phishing-Vorfall. Was machen wir jetzt?

Sofort-Massnahmen: betroffenes Konto sperren oder Passwort und MFA-Geräte zurücksetzen, aktive Sessions invalidieren, Mail-Regeln und Weiterleitungen prüfen (gängige Angreifer-Persistenz), Backup-Stand des Postfachs verifizieren, betroffene Drittsysteme informieren. Mittelfristig: Audit der Mail-Authentication, Conditional-Access-Regeln einführen, Sicherheits-Schulung für die betroffene Gruppe. Wir können den Vorfall ad hoc übernehmen, auch ohne bestehenden Vertrag — sprechen Sie uns telefonisch an.

Bieten Sie SIEM oder ein Security-Operations-Center an?

In klassischer Form mit eigenem Tooling und 24/7-Schicht: nein. Was wir bieten, ist ein laufendes Monitoring kritischer Sicherheits-Indikatoren (Endpoint-Plattform-Status, auffällige Logins, DMARC-Reports, Backup-Stand), das in unseren Service integriert ist. Für KMU ist das der angemessene Massstab; für Mandate mit höheren Compliance-Anforderungen ziehen wir spezialisierte Partner hinzu.

Führen Sie Penetration Tests durch?

Standard-Penetration-Tests mit formaler Methodik (etwa OSSTMM oder PTES) übernehmen wir nicht — solche Aufträge gehören in die Hand spezialisierter Anbieter. Was wir machen: pragmatische Sicherheits-Reviews der Bestandsumgebung mit klarem Fokus auf praktisch ausnutzbare Lücken (offene Dienste, schwache Authentisierung, fehlende Updates, gefährliche Vertrauensbeziehungen).

Wie schnell reagieren Sie bei einem Sicherheitsvorfall?

Innerhalb der vereinbarten Service-Zeit eine erste Rückmeldung in der Regel innert einer Stunde, bei höchster Dringlichkeitsstufe entsprechend schneller. Die konkrete Reaktionszeit wird im Vertrag festgehalten und richtet sich nach dem Geschäftsbetrieb.

Verwandte Services

• Managed IT — Server, Netzwerk, Firewall, Endpoint-Lifecycle.
• Microsoft 365 / Cloud — Identity, Conditional Access, Mail-Authentication als Teil eines breiteren M365-Engagements.
• Datensicherung & Veeam — Backup als zentrale Anti-Ransomware-Schicht.
• Web-Entwicklung — WordPress-Hardening und sichere Web-Setups.
• IT-Betreuung KMU — die Klammer-Seite, wenn Sie Sicherheit als integrierten Teil eines IT-Outsourcings beziehen möchten.