Veraltete Software zählt zu den grössten Risiken für die IT-Sicherheit. Sie öffnet Angreifern Tür und Tor, untergräbt moderne Sicherheitsmechanismen und gefährdet regulatorische Compliance. Das Risiko ist in der Schweiz real: Laut Swisscybersecurity.net gab es im ersten Quartal 2025 durchschnittlich 1279 Cyberangriffe pro Woche und Unternehmen. Dies bedeutet einen Anstieg von 113 Prozent im Vergleich zum Vorjahr. Besonders betroffen sind KMUs, deren IT-Infrastruktur häufig auf veralteten Systemen basiert. Nicht nur klassische IT-Systeme werden angegriffen, sondern auch vernetzte Geräte wie Drucker, Router oder industrielle Steuerungen.

Unsichtbare Schwachstellen mit fatalen Folgen

Die Folgen sind vielfältig: Ransomware-Angriffe verschlüsseln Daten und es wird ein Lösegeld gefordert. Malware schleicht sich über veraltete Browser oder E-Mail-Programme ein. Phishing wird besonders effektiv, wenn Mail-Clients keine modernen Filtermechanismen unterstützen. Veraltete Verschlüsselungsprotokolle ermöglichen Man-in-the-Middle-Angriffe. Und Zero-Day-Schwachstellen bleiben auf nicht mehr unterstützten Systemen dauerhaft offen.

Ein eindrückliches Beispiel aus der Praxis ist der Fall eines bekannten Schweizer Maschinenbauunternehmens. Im August 2024 wurde es Opfer eines grossangelegten Cyberangriffs. Interne Ermittlungen deuten darauf hin, dass Schwachstellen in veralteten Systemkomponenten den Angreifern als Einfallstor dienten. Die Folge waren erhebliche Betriebsunterbrechungen, finanzielle Einbussen und ein vorübergehender Produktionsstillstand.

«Prevention First» – proaktive Sicherheit als Prinzip

Während viele Unternehmen noch immer auf reaktive Massnahmen setzen, ist längst klar: Effektiver Schutz beginnt vor dem Angriff. Der «Prevention First»-Ansatz zielt darauf ab, Sicherheitslücken nicht erst zu schliessen, wenn sie bereits ausgenutzt wurden. Sicherheitssysteme müssen Gefahren proaktiv identifizieren und beseitigen. Dieser Ansatz verlagert den Fokus von der Schadensbegrenzung zur Risikovermeidung. Folgende Massnahmen sind essenziell:

Schwachstellen- und Patchmanagement: Sicherheitsrelevante Updates müssen zeitnah und automatisiert auf allen Systemen eingespielt werden. Eine vollständige und periodisch aktualisierte Inventarisierung der IT-Infrastruktur ist dabei Grundvoraussetzung.

Regelmässige und professionelle Datensicherung: Nur wenn aktuelle Backups sicher verfügbar sind (etwa offline und/oder in geschützten Cloud-Umgebungen), lässt sich im Ernstfall ein vollständiger Datenverlust vermeiden.

Isolation gefährdeter Systeme: Für Unternehmen, die aus betriebsbedingten Gründen nicht auf veraltete Systeme verzichten können, etwa in der industriellen Fertigung oder im Gesundheitswesen, bedeutet Prevention First vor allem, diese Systeme zu isolieren. Durch Netzwerksegmentierung oder den Einsatz virtueller Patches lassen sich Altsysteme absichern, ohne deren Kernfunktionen zu beeinträchtigen.

Auch auf organisatorischer Ebene, wie etwa durch Gesetze oder Anforderungen von Cyberversicherungen, wächst der Handlungsdruck. Unternehmen stehen heute stärker denn je in der Verantwortung, ihre IT-Sicherheit strukturiert und nachvollziehbar zu gestalten. Dazu gehören turnusmässige Audits, dokumentierte Prozesse und eine klar definierte Zuständigkeit für Schwachstellenmanagement. Wer hier proaktiv handelt, schützt nicht nur seine Infrastruktur, sondern auch seine Glaubwürdigkeit gegenüber Partnern, Kunden und Investoren.

« Das Sicherheitsrisiko wirkt abstrakt »

« Veraltete Software ist nicht nur ein Risiko, ­sondern kann auch zu ­einem Rechtsverstoss führen. »

Rainer Schwegler, Territory Manager ­Switzerland, Eset Deutschland 

Trotz bekannter Risiken tun sich viele Unternehmen schwer damit, alte Software rechtzeitig abzulösen. Warum das so ist und welche Rolle Automatisierung für mehr IT-Sicherheit spielt, sagt Rainer Schwegler, Territory Manager Switzerland bei Eset Deutschland. Interview: Tanja Mettauer

Warum gelingt es Unternehmen trotz bekannter Risiken oft nicht, veraltete Software konsequent abzulösen?

Rainer Schwegler: Das liegt an mehreren Faktoren. Zunächst sind viele IT-Abteilungen personell und finanziell stark ausgelastet. Sie kämpfen täglich mit operativen Aufgaben, da bleiben strategische Themen wie Update-Prozesse oft liegen. Hinzu kommt, dass viele keinen akuten Handlungsbedarf sehen, wenn Systeme technisch noch funktionieren, ganz nach dem Motto: «Never ­change a running system.» Das Sicherheitsrisiko ist nicht sichtbar, es kündigt sich nicht lautstark an wie ein Maschinendefekt. Es wirkt abstrakt, bis es zu spät ist. Ein weiterer Punkt ist das fehlende Wissen über die eigene Systemlandschaft. Viele Unternehmen haben keinen exakten Überblick, welche Softwareversionen sie überhaupt im Einsatz haben. Ohne klare Inventarisierung und Bewertung lassen sich Risiken kaum priorisieren.

Welche Rolle spielt Automatisierung in der IT-Sicherheit?

Eine sehr zentrale. Nur mit Automatisierung lassen sich grosse IT-Landschaften effizient und konsistent absichern. Ein gutes Beispiel dafür sind unsere Sicherheitslösungen: Über sogenannte dynamische Gruppen kann man Geräte identifizieren, auf denen veraltete Software installiert ist. Dafür lassen sich spezifische Regeln definieren, etwa zur installierten Version einer Anwendung. Wenn mehrere Kriterien gleichzeitig zutreffen, etwa alte Software und fehlende Updates, wird das Gerät automatisch zugeordnet und kann gezielt überwacht werden. Das spart Zeit, minimiert menschliche Fehler und erhöht die Transparenz im Netzwerk.

Wie verändert sich das Risikobild durch Ransomware – und wie kann man sich konkret davor schützen?

Ransomware hat sich in den vergangenen Jahren zur dominierenden Bedrohung entwickelt. Im Jahr 2024 waren über 70 Prozent aller Cyberangriffe auf diese Methode zurückzuführen. Besonders häufig nutzen Angreifer bekannte Schwachstellen in veralteter Software, um in Systeme einzudringen. Wer keine aktuellen Back­ups hat, keine Multifaktor-Authentifizierung einsetzt oder nicht regelmässig patcht, läuft Gefahr, im Ernstfall vieles oder alles zu verlieren. Schutz entsteht durch eine Kombination aus technischer Absicherung, organisatorischen Prozessen und einem funktionierenden Notfallplan.

Welche rechtlichen und wirtschaftlichen Gründe sprechen für mehr Prävention?

In der Schweiz gilt seit 2023 das revidierte Datenschutzgesetz, das Unternehmen verpflichtet, personenbezogene Daten nach dem Stand der Technik zu schützen. Das bedeutet: Veraltete Software ist nicht nur ein Risiko, sondern kann auch zu einem Rechtsverstoss führen. In regulierten Branchen wie dem Finanzwesen macht die Finma klare Vorgaben zur IT-Sicherheit. Und international orientieren sich viele Unternehmen an ISO 27001. Ein weiterer Aspekt sind Cyberversicherungen. Diese verlangen zunehmend, dass Unternehmen Mindeststandards einhalten. Wer veraltete Systeme nutzt oder keine dokumentierten Patch-Prozesse vorweisen kann, bekommt unter Umständen gar keine Versicherung – oder bleibt im Schadensfall auf den Kosten sitzen. Sicherheit ist also längst nicht mehr nur technische Pflicht, sondern betriebswirtschaftliche Vernunft.

Haben Sie noch einen besonderen Tipp für uns?

Angesichts der aktuellen geopolitischen Verwerfungen kommen viele Fragen zum Thema Vertrauen auf. Bei der Wahl von Sicherheitslösungen sollten Unternehmen nicht nur auf technische Funktionen, sondern auch auf die Herkunft achten. Lösungen, die vollständig in Europa entwickelt und betrieben werden, bieten einen zusätzlichen Vertrauensvorsprung – etwa im Hinblick auf Datenschutz, regulatorische Anforderungen und Kontrollierbarkeit. Gerade in sensiblen Branchen kann diese europäische Verankerung ein strategischer Vorteil sein.