Cybersicherheit: Zusammenarbeit mit externen Firmen ist klar geregelt
Häufig setzen KMU auf externe IT-Dienstleister, weil es ihnen beispielsweise an Fachexpertise mangelt, es kosteneffizienter ist oder sie den Fokus auf das Tagesgeschäft und ihre Kernkompetenzen legen möchten. Um sich vor Cyberattacken zu schützen, ist es wichtig, klare Zuständigkeiten zwischen dem eigenen Unternehmen und externen IT-Dienstleistern zu definieren. Dies bedeutet, dass die Rollen und Aufgaben der einzelnen Parteien im Bereich der IT-Sicherheit klar festgelegt und kommuniziert werden müssen.
Lesezeit: 3 Minuten Letztes Update: November 2025 1
Weshalb braucht es eine klare Aufgabenteilung?
Durch klare Definitionen wissen alle Beteiligten genau, wer für welche Aspekte der IT-Sicherheit verantwortlich ist. Die Verantwortung wird nicht verschoben, sondern effizient verteilt. Dadurch können Aufgaben konsequent und rasch erledigt werden, was die Reaktionszeit im Falle einer Cyberattacke verkürzt.
Eine eindeutige Verteilung hilft auch bei der Kommunikation zwischen Unternehmen und IT-Dienstleister: Informationen werden gezielter ausgetauscht, was zu einem besseren Verständnis der Anforderungen und Risiken führt.
Das Wichtigste auf einen Blick
Arbeiten Sie mit einem externen IT-Dienstleister zusammen, ist es wichtig, dass jede Partei weiss, welche Aufgaben und Verantwortlichkeiten bei ihr liegen. So kann bei einem Cyberangriff rasch und effizient reagiert werden. Doppelspurigkeit wird vermieden. Achten Sie bei der Regelung der Zusammenarbeit, dass Sie zu Beginn
eine Bestandsaufnahme machen.
die Zuständigkeiten klären.
ein Pflichtenheft erstellen.
Wie gehen Sie mit Cyberrisiken in Ihrem Unternehmen um?
In nur 5 Minuten finden Sie mit dem Selbsteinschätzungstest heraus, welche Cyber-Verhaltenstyp Sie sind. Sie erhalten zudem weitere Tipps, wie Sie Ihr Unternehmen noch besser vor Cyberattacken schützen können.
Wie kann ich vorgehen?
Bestandsaufnahme und Risikoanalyse
Erfassen Sie alle relevanten Informationen zu Ihrer aktuellen IT-Infrastruktur und den damit verbundenen Prozessen. Dazu gehören beispielsweise Netzwerktopologie, vorhandene Hardware und Software, Sicherheitsrichtlinien und Zugriffsrechte.
Identifizieren Sie (gemeinsam mit dem IT-Dienstleister) kritische IT-Bereiche und ermitteln Sie potenzielle Schwachstellen und Risiken. Bewerten Sie die Auswirkungen von Cyberattacken auf Ihr Unternehmen.
Klare Zuständigkeiten definieren
Benennen Sie die Person, welche intern für die IT-Sicherheit zuständig ist.
Legen Sie für jede IT-Aufgabe (z. B. Sicherheitsupdates, Datensicherung, Incident-Response) verantwortliche Parteien fest – sowohl intern als auch beim externen Dienstleister.
Prüfen Sie zudem regelmässig, ob die vereinbarten Zuständigkeiten und Pflichten im Pflichtenheft (siehe Absatz «Pflichtenheft erstellen») eingehalten werden. Aktualisieren Sie es bei Bedarf, um sich an neue Bedrohungen, Gegebenheiten und Gesetzgebungen anzupassen.
Wer ist intern für die Cybersicherheit zuständig?
Pflichtenheft erstellen
Ein Pflichtenheft ist ein Dokument, das die Aufgaben und Verantwortlichkeiten der einzelnen Parteien im Bereich der IT-Sicherheit festlegt. Das Pflichtenheft sollte von allen Parteien gelesen und verstanden werden.
Verfassen Sie ein umfassendes Pflichtenheft für den IT-Dienstleister. Es sollte alle Aufgaben, Verantwortlichkeiten, Service-Level-Vereinbarungen und Eskalationswege detailliert beschreiben.
Was, wenn doch etwas passiert?
Unsere Cyberversicherung für Unternehmen bietet Ihnen umfangreiche Unterstützung bei virtuellen Problemen: Ihre elektronischen Daten sind als Folge eines Datenlecks gestohlen worden? Wir sind für Sie da.
Möglicher Aufbau eines Pflichtenhefts
Ein Pflichtenheft für ein mittleres Schweizer KMU, das einen externen IT-Dienstleister beauftragt, könnte die folgenden Punkte umfassen:
