So gelingt die Zusammenarbeit mit dem richtigen IT-Dienstleister

Was macht einen guten IT-Dienstleister aus? Für viele KMU ist die Antwort einfach: Er muss erreichbar sein, zuverlässig liefern und sich «um alles kümmern». Doch was, wenn ausgerechnet der IT-Partner zur Schwachstelle wird?

Welche Kriterien helfen Ihnen dabei, den richtigen IT-Partner mit Sicherheitskompetenz zu erkennen?

Ein Beispiel: Ein KMU lagert seine IT an einen Dienstleister aus, inklusive Cloud-System für Offerten und Rechnungen. Die Zusammenarbeit läuft gut – bis plötzlich vermehrt Phishing-Mails durchrutschen und Kundendaten ungeschützt auf einem Testserver auftauchen. Auf Nachfrage zeigt sich: Wichtige Sicherheitsupdates wurden nicht eingespielt, und klare Zuständigkeiten fehlen.

IT-Sicherheit ist keine reine Technikfrage, sondern eine Frage der Zusammenarbeit, der Standards und der Kommunikation. Wer die richtigen Fragen stellt und klare Erwartungen definiert, ist besser geschützt.

1. Zertifizierungen: Standards schaffen Orientierung

Ein verlässlicher IT-Anbieter kann nachweisen, dass er IT-Sicherheit strukturiert angeht, z.B. mit Zertifizierungen wie:

  • ISO/IEC 27001 (internationaler Standard für Informationssicherheits-Managementsysteme)
  • CyberSeal (Schweizer Sicherheitslabel für IT-Dienstleister)
  • SOC 2 (Audit-Bericht zur Einhaltung von Datenschutz- und Sicherheitsstandards)

Auch die Qualifikationen einzelner Mitarbeitender geben Hinweise, z.B. CISSP (Certified Information Systems Security Professional), CEH (Certified Ethical Hacker) sowie anerkannte Anbieterzertifizierungen von Microsoft, Fortinet oder Cisco.

Bitten Sie um konkrete Nachweise oder Auditberichte. Sie zeigen, dass nicht nur versprochen, sondern auch umgesetzt wird.

2. Technische Schutzmassnahmen: Was konkret eingesetzt wird

Sicherheitsstandards sollten nicht nur auf dem Papier bestehen. Fragen Sie Ihren Anbieter nach den konkret eingesetzten technischen Massnahmen:

  • Ende-zu-Ende-Verschlüsselung: schützt Daten bei Übertragung und Speicherung
  • Firewalls und IDS/IPS: Systeme zur Abwehr bzw. Erkennung von Angriffen
  • Multi-Faktor-Authentifizierung (MFA): zusätzlicher Schutz neben Benutzername und Passwort
  • Patch-Management: regelmässiges Einspielen von Sicherheitsupdates

Verlangen Sie eine Übersicht oder ein IT-Sicherheitskonzept, das schafft Transparenz.

3. Datenschutz mitdenken und umsetzen

Ihr IT-Partner sollte die Anforderungen des Datenschutzgesetzes kennen und aktiv unterstützen:

  • Auftragsverarbeitungsvertrag (AVV) gemäss Datenschutzgesetz
  • Speicherung in Rechenzentren innerhalb von Ländern mit adäquatem Datenschutzniveau
  • Klare Richtlinien zur Datenaufbewahrung und Löschung

Datenschutz ist kein Nice-to-have, sondern Teil einer seriösen Sicherheitsstrategie.

4. Reaktionszeit und Erreichbarkeit: Wenn’s zählt, muss es schnell gehen

Cyber-Security ist Teamwork. Reaktionszeit, Erreichbarkeit und klare Absprachen im Ernstfall sind genauso wichtig wie Technik.

  • Gibt es einen 24/7-Support?
  • Wer ist Ihre Hauptansprechperson?

Reaktionszeiten sollten vertraglich (SLA = Service Level Agreement) geregelt sein, damit im Ernstfall keine Zeit verloren geht.

5. Wiederherstellungspläne: Nicht nur sichern, sondern auch retten

Wissen Sie, ob der IT-Anbieter über ein belastbares Notfallkonzept verfügt? Wer vorbereitet ist, kann im Ernstfall schneller reagieren. Lassen Sie sich erklären, welche Notfallpläne für Ausfälle, Angriffe oder Datenverluste bestehen, z.B:

  • Disaster Recovery Pläne: konkrete Schritte bei Ausfällen oder Angriffen
  • Backups, die regelmässig getestet werden
  • Angaben zu RTO/RPO: Wie schnell sind Systeme wieder einsatzbereit? Wie alt dürfen wiederhergestellte Daten maximal sein?

Fragen Sie nicht nur, ob Backups existieren, sondern auch, wie oft sie getestet werden.

6. Transparente Kommunikation auch in schwierigen Momenten

Im Fall eines Sicherheitsvorfalls braucht es klare Abläufe:

  • Wer informiert Sie und wann?
  • Was wird dokumentiert?
  • Wie läuft die Zusammenarbeit mit Behörden oder externen Stellen?

Eine offene, lösungsorientierte Kommunikation ist ein zentrales Qualitätsmerkmal; auch (oder gerade) im Krisenfall.

7. Schulung und Weiterentwicklung

Cyber-Security braucht Menschen, nicht nur Tools. Technik schützt nicht, wenn sie falsch angewendet wird. Ein Anbieter, der auf Schulung und Weiterentwicklung setzt, bleibt am Puls der Zeit und schützt damit auch Ihre Systeme besser. Er sollte also:

  • sein Personal regelmässig schulen;
  • Mitarbeitende für neue Bedrohungen sensibilisieren (z.B. Phishing, Social Engineering);
  • die Entwicklungen in Technologie und Bedrohungslage aktiv verfolgen.

Fragen Sie ruhig nach, wie die Teams geschult werden, das sagt viel über den Stellenwert von Sicherheit aus.

Checkliste für KMU: Woran Sie gute IT-Partner erkennen

  • Gibt es Zertifikate und konkrete Nachweise für Sicherheitsstandards?
  • Welche technischen Schutzmassnahmen werden eingesetzt und dokumentiert?
  • Unterstützt der Anbieter aktiv beim Datenschutz (AVV, DSGVO)?
  • Wie sind Reaktionszeit, Erreichbarkeit und Kommunikation geregelt?
  • Gibt es getestete Backup- und Wiederherstellungsprozesse mit RTO/RPO?
  • Werden Vorfälle offen kommuniziert und gemeinsam bearbeitet?
  • Gibt es ein Weiterbildungskonzept für das IT-Team?
 

Fazit: Wer die richtigen Fragen stellt, trifft bessere Entscheidungen

Die Zusammenarbeit mit einem IT-Dienstleister kann vieles vereinfachen, wenn die Rahmenbedingungen stimmen. Mit klaren Kriterien, etwas technischer Grundkenntnis und einem bewussten Blick auf Sicherheitsfragen wird der externe Partner zur echten Stütze für Ihr Unternehmen.

Brauchen Sie Hilfe im Bereich Cybersicherheit?

Wir unterstützen KMU in ihren Bedürfnissen rund um Cyber-Security

Mit einer durchdachten Strategie und gezielten Massnahmen wird IT-Sicherheit zu Ihrer Stärke. Gemeinsam mit Ihrem Team decken wir Schwachstellen auf, optimieren Abwehrmechanismen und reduzieren Risiken. Entdecken Sie unsere umfassenden Services – von Sicherheitstests über Notfallhilfe nach einem Cyberangriff bis hin zu individuell zugeschnittenen Cyberstrategien.

  • Cyber-Risikoanalyse und Schutzmassnahmen
  • Schulung und Sensibilisierung für Cyber-Bedrohungen
  • Incident Response und Schadensbegrenzung zur Minimierung wirtschaftlicher Schäden
  • Überprüfung von IT-Sicherheitsrichtlinien

Bleiben Sie auf dem Laufenden
mit den Newslettern von BDO Schweiz