Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Fachartikel Swiss Infosec AG

ISMS für KMU: Sinnvoll, machbar und ein Wettbewerbsvorteil?

03/2025 – Fachartikel Swiss Infosec AG

Ein pragmatischer und risikoorientierter Ansatz für mehr Informationssicherheit

Informationssicherheit ist heute nicht mehr nur ein Thema für grosse Konzerne. Auch kleine und mittlere Unternehmen (KMU) stehen zunehmend vor vielfältigen Herausforderungen, wenn es um den Schutz sensibler Informationen, die Einhaltung rechtlicher und regulatorischer Anforderungen und die Abwehr von Cyberbedrohungen geht. Doch während grosse Unternehmen in umfangreiche Sicherheitsmassnahmen investieren, fragen sich KMU:

  • Brauchen wir wirklich ein Informationssicherheitsmanagementsystem (ISMS)?
  • Ist eine Zertifizierung nach ISO 27001 für uns realistisch oder nur unnötiger Aufwand?
  • Wie können wir ein ISMS pragmatisch und ressourcenschonend einführen?

Die Antwort ist klar: Ein ISMS lohnt sich – auch ohne sofortige Zertifizierung!  Ein systematischer und pragmatischer Ansatz zur Einführung eines ISMS sorgt für den nötigen Schutz, ohne KMU mit unnötiger Bürokratie zu belasten. Und wenn die Zeit reif ist, kann eine ISO-27001-Zertifizierung das i-Tüpfelchen sein.

Brauchen wir wirklich ein Informationssicherheitsmanagementsystem (ISMS)?

Ein ISMS nach ISO 27001 hilft Unternehmen dabei, systematisch Risiken zu identifizieren, zu bewerten und wenn notwendig und wirtschaftlich geeignet Massnahmen zur Absicherung umzusetzen. Doch braucht ein KMU das wirklich? Die einfache Antwort lautet: Ja, wenn Sie Ihre Informationen, Kunden und Ihren Betrieb effektiv vor Bedrohungen schützen wollen.

Insbesondere KMU stehen oft vor den Herausforderungen:

  • Knappe personelle und finanzielle Ressourcen
  • Wachsende rechtliche und regulatorische Anforderungen (z. B. Datenschutzgesetze wie DSG in der Schweiz oder DSGVO in der EU, Anforderungen von Kunden)
  • Steigende Bedrohung durch Cyberangriffe und gezielte Attacken auf KMU

Kleine und mittlere Unternehmen gehen fälschlicherweise davon aus, dass sie zu klein sind, um ins Visier von Cyberkriminellen zu geraten. Doch Studien zeigen, dass gerade KMU häufig Ziel von Angriffen sind, da ihre Schutzmassnahmen oft weniger ausgeprägt sind als bei Grossunternehmen. Ein gut umgesetztes ISMS schützt nicht nur vor Cyberbedrohungen, sondern stärkt auch die Geschäftsbeziehungen mit Kunden, Lieferanten und Partnern.

Ist eine Zertifizierung nach ISO 27001 für uns realistisch oder nur unnötiger Aufwand?

Eine Zertifizierung ist kein Muss, aber ein ISMS lohnt sich trotzdem. Viele KMU glauben, dass sie sofort eine offizielle Zertifizierung benötigen oder eine Zertifizierung für ein KMU zu aufwändig ist. Doch das ist nicht der Fall. Wichtig ist, zuerst ein funktionierendes ISMS aufzubauen, das pragmatisch an die bestehenden Strukturen angepasst wird.

Die Vorteile eines ISMS – auch ohne Zertifizierung – sind zahlreich:

  • Ressourcen- und risikoorientierter Ansatz – Massnahmen werden gezielt dort eingesetzt, wo das grösste Bedrohungspotenzial besteht, wodurch Zeit, Budget und personelle Ressourcen optimal genutzt werden.
  • Strukturierte Sicherheit – Risiken werden proaktiv gemanagt statt reaktiv auf Vorfälle zu reagieren.
  • Erfüllung rechtlicher und regulatorischer Anforderungen – Schweizer Datenschutzgesetz (DSG), EU-DSGVO oder branchenspezifische Vorgaben lassen sich effizienter umsetzen.
  • Vertrauensvorsprung im Markt – Eine Zertifizierung signalisiert Professionalität und Seriosität, was besonders bei internationalen Kunden von Vorteil ist.
  • Effiziente Prozesse – Ein ISMS reduziert Unsicherheiten und erleichtert den Umgang mit Risiken.

Eine ISO 27001-Zertifizierung ist realistisch, wenn der Fokus auf einem pragmatischen, schrittweisen Aufbau des ISMS liegt. Der eigentliche Mehrwert entsteht bereits durch die strukturierte Herangehensweise an Informationssicherheit – unabhängig vom Zertifikat. Unternehmen profitieren von klaren Prozessen, besserem Risikomanagement und einer gestärkten Compliance, während die Entscheidung zur Zertifizierung jederzeit flexibel bleibt. Ist das ISMS einmal gut strukturiert aufgebaut und im Betrieb verankert, ist die Zertifizierung nur noch ein kleiner Schritt, der mit vertretbarem Aufwand realisiert werden kann.

Wie können wir ein ISMS pragmatisch und ressourcenschonend einführen?

Oftmals schrecken Unternehmen vor der Einführung eines ISMS zurück, weil sie einen hohen administrativen Aufwand oder enorme Kosten befürchten. Doch ein ISMS darf kein Bürokratiemonster sein!

Integration statt Neuerfindung: Nutzung vorhandener Strukturen

Ein häufiges Missverständnis ist, dass die Einführung eines ISMS eine Flut neuer Richtlinien und Weisungen erfordert. In der Praxis können bestehende Dokumente und Prozesse angepasst werden, um den Anforderungen der ISO 27001 zu entsprechen. Die meisten Unternehmen haben bereits zahlreiche Massnahmen zur Informationssicherheit implementiert, auch wenn diese nicht formal dokumentiert sind. Passwortrichtlinien, regelmässige Datensicherungen, Zugriffsbeschränkungen und Schulungen für Mitarbeitende sind oft bereits vorhanden. Es geht also nicht darum, bei null zu starten, sondern darum, Bestehendes zu strukturieren und gezielt zu ergänzen.

Falls noch keine spezifischen Regelungen vorhanden sind, genügen wenige, gezielte zielgruppenorientierte Dokumente, um die wichtigsten Anforderungen zu erfüllen.

Die Swiss Infosec AG empfiehlt einen risikoorientierten und pragmatischen Ansatz, der Schritt für Schritt umgesetzt wird:

Schritt 1: Bestandesaufnahme – Wo stehen wir aktuell?

Bevor Massnahmen ergriffen werden, sollte der Ist-Zustand der Informationssicherheit erfasst werden:

  1. Welche Vorgaben und Dokumentationen bestehen?
  2. Welche Schutzmassnahmen gibt es bereits?
  3. Gibt es bekannte Sicherheitslücken oder bereits Vorfälle?
Schritt 2: Risikobewertung – Was ist wirklich kritisch?

Nicht alle Risiken sind gleich relevant. Deshalb sollte sich ein KMU auf die wirklich kritischen Bedrohungen für die schützenswerten Informationen und Systeme konzentrieren, beispielsweise:

  1. Abfluss oder Diebstahl von Geschäftsgeheimnissen
  2. Datenverluste durch Ransomware
  3. Phishing-Angriffe auf Mitarbeitende
  4. Fehlkonfigurationen von Systemen
  5. Manipulation von Quellcode in der Software-Entwicklung
Schritt 3: Massnahmen umsetzen – Einfach, aber wirksam!

Die Massnahmen sollten sich an den identifizierten Risiken orientieren und ressourcenschonend umgesetzt werden, beispielsweise:

  1. Festlegen klarer Verantwortlichkeiten und Prozesse
  2. Passwörter und Multi-Faktor-Authentifizierung
  3. Sensibilisierung der Mitarbeitenden
  4. Backup- und Notfallkonzept
Schritt 4: ISMS kontinuierlich verbessern

Nach den ersten drei wichtigen Schritten können noch fehlende Bestandteile eines ISMS kontinuierlich hinzugefügt werden. Ein ISMS ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Es lohnt sich, regelmässig zu überprüfen, ob die Sicherheitsmassnahmen noch wirksam sind und ob neue Bedrohungen hinzugekommen sind.

ISO 27001-Zertifizierung: Das i-Tüpfelchen, aber nicht der erste Schritt

Die Zertifizierung nach ISO 27001 ist dann der letzte Schritt und bietet unter anderem folgende Vorteile:

  • Offizielle Bestätigung der Sicherheitsmassnahmen
  • Wettbewerbsvorteil bei Kunden und Partnern
  • Vertrauensvorsprung im Markt

Doch auch ohne Zertifizierung profitieren KMU von einem gut umgesetzten ISMS. Es geht nicht darum, ein perfektes System zu haben, sondern schrittweise die Informationssicherheit zu verbessern.

Mehrwert durch die Unterstützung der Swiss Infosec AG

Dank unserer umfassenden Praxiserfahrung unterstützen wir gezielt bei der pragmatischen Umsetzung, individuell angepasst an die Unternehmensgrösse und bestehende Prozesse. Wir verfügen über umfassende Erfahrung in der Adaptierung des Standards auf unterschiedliche Unternehmensgrössen und bringen bewährte Vorlagen und Hilfsmittel mit, die den Aufbau eines ISMS erheblich erleichtern – das Rad muss nicht neu erfunden werden.

Durch diesen Ansatz profitieren KMU von einer strukturierten Informationssicherheit, die sich nahtlos in den Unternehmensalltag integrieren lässt.

Fazit: Informationssicherheit ist ein Prozess, kein Projekt!

Für KMU ist ein ISMS keine unnötige Last, sondern eine wichtige Grundlage, um Risiken zu minimieren, Kundenanforderungen zu erfüllen und langfristig wettbewerbsfähig zu bleiben.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, wie unsere Spezialistinnen und Spezialisten Sie bei der ressourcenschonenden und praxisnahen Umsetzung eines ISMS unterstützen können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 04.03.2025
Kompetenzzentrum Consulting

Kategorie: Fachartikel Swiss Infosec AG | Informationssicherheit
Ardiana Krasniqi
Consultant
Anfrage
Ardiana Krasniqi
Consultant
Anfrage

Verordnung über Datenschutzzertifizierungen (VDSZ)

01/2025 – Fachartikel von Boris Wanzeck & Dominic Zbinden, Swiss Infosec AG

Die digitale Transformation stellt Unternehmen und Institutionen vor immer neue Herausforderungen in Bezug auf Datenschutz und Datensicherheit. Mit der am 1. September 2023 in Kraft getretenen Verordnung über Datenschutzzertifizierungen (VDSZ) hat die Schweiz nebst dem Datenschutzgesetz (DSG), der Datenschutzverordnung (DSV) und anderen Regularien ein weiteres Mittel , um einheitliche Standards für den Schutz von Personendaten zu schaffen.

In diesem Fachbeitrag möchten wir Ihnen einen Überblick über die Grundlagen, Anforderungen und Ziele der VDSZ geben. Wie kann Ihr Unternehmen von einer Zertifizierung profitieren? Welche Voraussetzungen müssen erfüllt sein? Und wie trägt die Verordnung dazu bei, das Vertrauen in digitale Dienstleistungen zu stärken?

Erfahren Sie in diesem Fachbeitrag alles Wichtige rund um das Thema Datenschutzzertifizierungen und wie Sie die Regelungen der VDSZ für Ihre Organisation optimal nutzen können.

1 Gesetzliche Ausgangslage

Hersteller von Datenbearbeitungssystemen oder -programmen sowie die Verantwortlichen und Auftragsbearbeiter können ihre Systeme, Produkte, Prozesse, Hardware und Dienstleistungen einer Bewertung durch eine anerkannte unabhängige Zertifizierungsstelle unterziehen (Art. 13 Abs. 1 DSG). Ein Unternehmen kann eine Zertifizierung nur bei einer akkreditierten Stelle absolvieren. Die Akkreditierung erfolgt durch die Schweizerische Akkreditierungsstelle (SAS), welche für das Verfahren, die Nachkontrolle sowie für Sanktionen den EDÖB beizieht (Art. 2 VDSZ).

Auch ausländische Zertifizierungen können unter Umständen in der Schweiz anerkannt werden. Die Anerkennung ausländischer Zertifizierungsstellen sowie Datenschutzzertifizierungen erfolgt dabei durch den EDÖB in Rücksprache mit der Schweizerischen Akkreditierungsstelle (Art. 3 Abs. 2 und Art. 9 VDSZ).

Eine Zertifizierung soll insbesondere die Transparenz fördern, indem Datenbearbeitungsvorgänge, die zunehmend komplexer werden, von einer unabhängigen Stelle analysiert werden. Dies soll den von einer Datenbearbeitung betroffenen Personen die Möglichkeit geben, sich bewusst für datenschutzfreundliche Systeme, Produkte oder Dienstleistungen zu entscheiden, womit der Datenschutz und die Datensicherheit gesamthaft gestärkt werden.

2 Wichtige Änderungen

Art. 6 VDSZ erwähnt die Norm ISO/IEC 27701, die eine Erweiterung der Norm für Informationssicherheitsmanagementsysteme ISO/IEC 27001 ist. Eine Zertifizierung nach ISO/IEC 27701 kann jedoch nur erlangt werden, wenn eine Organisation auch nach ISO/IEC 27001 zertifiziert ist. Hier könnte es sich anbieten, beide Zertifizierungen zeitnah zu erreichen. Mit der Erweiterung des ISO/IEC 27001 um datenschutzrelevante Komponenten (ISO/IEC 27701) soll der Datenschutz bei der Erbringung von Dienstleistungen noch weiter verbessert werden.

Ferner wurden in der VDSZ einige Begrifflichkeiten angepasst. Die Akkreditierung nach Art. 1 Buchstabe a VDSZ erfolgt auf Basis der SN EN ISO/IEC 170211 und SN EN ISO/IEC 27006 (Informationssicherheit, Cybersicherheit und Datenschutz – Anforderungen an Stellen, die Informationssicherheitsmanagementsysteme auditieren und zertifizieren – Teil 1: Allgemeines) sowie auf einem entsprechenden Zertifizierungsprogramm. Die Vorgaben für Art. 1 Buchstabe b VDSZ werden von der SN EN ISO/IEC 17065 und einem entsprechenden Zertifizierungsprogramm abgedeckt.

Der Begriff «Prozesse» wurde hinzugefügt, um die Übereinstimmung mit verschiedenen ISO-Normen zu gewährleisten, insbesondere mit der Norm SN EN ISO 9001 (Qualitätsmanagementsysteme – Anforderungen), die im Allgemeinen zwischen dem Prozess («Inputs, Outputs, Aktivitäten») und dem Verfahren («Beschreibung» dieser Elemente) unterscheidet. Der Begriff «Zertifizierungsprogramm» ersetzt den Begriff «Kontrollprogramm», um eine Terminologie zu verwenden, die den ISO-Normen entspricht.

Weiterhin besteht in der Schweiz, abgesehen von privatwirtschaftlichen Modellen, zudem kein allgemein gültiges offizielles staatliches Qualitätszeichen im Bereich Datenschutz. Die Delegationsnorm in Art. 13 Abs. 2 DSG besteht weiterhin, jedoch wurde keine ausführende Regelung dazu in der VDSZ erlassen.

3 Zielgruppe

Eine generelle Pflicht zur Durchführung einer Zertifizierung für gewisse Datenbearbeitungen (bspw. Bearbeitungen mit einem hohen Risiko) wollte der Schweizer Gesetzgeber nicht, weil auch die DSGVO eine solche nicht verlangt. Die Zertifizierung spielt in der Praxis eine wichtige Rolle, wo Rechtsvorschriften eine Zertifizierung verlangen, dies bspw., wenn eine solche im Rahmen von Ausschreibungen verlangt wird oder wo sich ein Anbieter davon verspricht, den eigenen Ruf fördern zu können. Ein Beispiel stellt Art. 59a Abs. 6 der Verordnung über die Krankenversicherung (KVV; SR 832.102) dar. Jede Datenannahmestelle eines Krankengrundversicherers muss zertifiziert sein.

4 Zertifizierungsprozess

Der Gegenstand der Zertifizierung richtet sich nach Art. 4 ff. VDSZ. Im datenschutzrechtlichen Bereich können Managementsysteme, Produkte, Dienstleistungen und Prozesse zertifiziert werden, obwohl letztere nicht explizit im DSG erwähnt werden. Durch die Aufnahme von Prozessen in die Verordnung wird einerseits der Norm SN EN ISO/IEC 17021-1 (Konformitätsbewertung – Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren – Teil 1: Anforderungen) und andererseits der Norm SN EN ISO/IEC 17065 (Konformitätsbewertung – Anforderung an Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren) Rechnung getragen. Des Weiteren kann, obgleich eine explizite Erwähnung im Gesetz fehlt, auch eine Datenbearbeitung Gegenstand einer Zertifizierung sein. Unter Produkten werden Internetbrowser, Software für den Betrieb von Webservern, Applikationen zur Betreibung von Websites, aber z.B. auch Logistiksysteme, die auf RFID- oder GPS-Technologien beruhen, verstanden. Dienstleistungen und Prozesse können zertifiziert werden, wenn sie hauptsächlich der Bearbeitung von Personendaten dienen oder Personendaten erzeugen.

Drei Aspekte sind für die Ausarbeitung eines organisationsspezifischen Zertifizierungsprozesses und der Verfahren massgebend: erstens die von der Bearbeitung betroffenen Personendaten (dabei handelt es sich um den sachlichen Geltungsbereich), zweitens die für die Bearbeitung der Personendaten verwendete elektronische Infrastruktur (namentlich die technischen Systeme wie Hard- und Software) und schliesslich die organisatorischen Massnahmen im Zusammenhang mit der Bearbeitung von Personendaten. Die Berücksichtigung und Gewichtung der obengenannten Aspekte kann je nach Zertifizierungsgegenstand variieren. Bei der Festlegung der Schritte (Prüfkriterien, Verfahren etc.) sind zudem die datenschutzrechtlichen Grundsätze zu berücksichtigen, insbesondere die Rechtmässigkeit, die Verhältnismässigkeit und die Zweckbindung der Bearbeitung sowie die Richtigkeit der Daten.

Wird den regulatorischen Anforderungen genüge getan, wird eine Zertifizierung mit einer Gültigkeit von drei Jahren ausgestellt. Es besteht die Möglichkeit, dass die Zertifizierung mit Auflagen verbunden werden kann. Dadurch wird es dem Hersteller von Datenbearbeitungssystemen oder -programmen sowie dem Verantwortlichen oder dem Auftragsbearbeiter ermöglicht, sich im Hinblick auf die (Re)-Zertifizierung eines Managementsystems, eines Produkts, einer Dienstleistung oder eines Prozesses innerhalb einer bestimmten Frist auf den erforderlichen Stand zu bringen.

Stellt der EDÖB schwere Mängel bei einem zertifizierten Hersteller von Datenbearbeitungssystemen oder -programmen, einem Verantwortlichen oder einem Auftragsbearbeiter fest, informiert er die Zertifizierungsstelle. Behebt der Verantwortliche den Mangel nicht innert 30 Tagen und leitet die Zertifizierungsstelle keine Massnahmen ein, kann der EDÖB selbst die Zertifizierung sistieren oder entziehen (Art. 12 Abs. 4 VDSZ).

5 Wirkung einer Zertifizierung

Für private Verantwortliche wird eine Ausnahme von der Pflicht zur Erstellung einer Datenschutz Folgenabschätzung nach Art. 22 Abs. 5 DSG statuiert, falls eine Zertifizierung beim entsprechenden System, Produkt oder Dienstleistung durchgeführt wurde. Zudem erlaubt die DSV bei Vorliegen einer Zertifizierung sodann die Bekanntgabe von Personendaten ins Ausland (siehe Art. 12 DSV der sich auf Art. 16 Abs. 3 DSG stützt), falls der Verantwortliche oder Auftragsbearbeiter im Drittstaat sich verbindlich und durchsetzbar zur Anwendung der enthaltenen Massnahmen verpflichtet. Diese ersetzt die im alten Recht bestehende Möglichkeit, von der Pflicht zur Anmeldung von Datensammlungen entbunden zu werden. Dieser Ansatz wurde im aktuellen DSG nicht weiterverfolgt.

Des Weiteren eröffnet eine Zertifizierung den Herstellern und Verantwortlichen die Möglichkeit, das Einhalten des Datenschutzgesetzes zu dokumentieren und zu kommunizieren. Dadurch wird das Verantwortungsbewusstsein der Beteiligten gestärkt.

6 Weitere nützliche Hinweise

Eine Kombination der VDSZ mit den Managementsystemnormen ISO/IEC 9001 (Qualitätsmanagementsystem) und ISO/IEC 27001 (Informationssicherheitsmanagementsystem) ist möglich. In der VDSZ sind sämtliche Anforderungen des ISO/IEC 27001:2022 enthalten.

Ein Managementsystem (MS) nach Art. 6 VDSZ genügt den Mindestanforderungen, wenn es die bestehenden internationalen Normen erfüllt, insbesondere die Norm ISO/IEC 27001. Die Mindestanforderungen werden in Punkt 4 der Richtlinien über die Mindestanforderungen an ein Managementsystem aufgelistet. Die Zertifizierung eines Datenschutzmanagementsystems unterstützt die Einhaltung und Beachtung der zentralen Datenschutzgrundsätze nach Art. 6 ff. DSG (z.B. Zweckbindung, Datenrichtigkeit und Datensicherheit), die Verbesserung der Prozessqualität und Erhöhung der Kundenzufriedenheit. Eine Zertifizierung verbessert weiter das Risikomanagement und die kontinuierliche Verbesserung sowie die Einhaltung der rechtlichen und regulatorischen Anforderungen und steigert die interne Motivation und das Mitarbeiterengagement, das Vertrauen bei Geschäftspartnern und Stakeholdern und die Transparenz und Nachvollziehbarkeit.

Nützliche Links:

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen Datenschutz für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 01.01.2025
Kompetenzzentrum Datenschutz

Autoren: Boris Wanzeck & Dominic Zbinden

Kategorie: Datenschutz | Fachartikel Swiss Infosec AG
Boris Wanzeck
Senior Consultant
Anfrage
Boris Wanzeck
Senior Consultant
Anfrage
© Swiss Infosec AG 2025