Mit dem Ausbau ihrer digitalen Services wuchs bei der Physiotopia Basel GmbH der Bedarf an mehr Transparenz in der IT-Sicherheit. Dank Cyber-Risk Discovery von Sunrise Business konnte das KMU innerhalb weniger Tage seine IT-Schwachstellen erkennen und beheben.

Kunde 

Die Physiotopia Basel GmbH* ist ein Physiotherapie-Zentrum mit rund 20 Mitarbeitenden. Die Praxis bietet klassische Physiotherapie-Behandlungen und unterstützt ihr Angebot zunehmend durch digitale Services. Patientinnen und Patienten können Termine online buchen, Gesundheitsprodukte im Onlineshop erwerben oder sich über Social-Media-Kanäle informieren. Die IT-Landschaft ist dabei überschaubar: eine Website, ein CRM- und Abrechnungssystem sowie geschäftliche E-Mail-Konten. Für die IT ist eine Teilzeit-Administratorin verantwortlich, die diese Aufgaben zusätzlich zu ihren administrativen Tätigkeiten übernimmt. Eine eigene IT-Abteilung gibt es nicht, und spezifisches Cybersecurity-Know-how ist nicht vorhanden.

Ausgangslage

Mit dem Wachstum der Praxis stieg die Zahl der digitalen Kontaktpunkte kontinuierlich. Immer mehr Patientinnen und Patienten buchten ihre Termine online, suchten auf der Website nach Informationen oder bestellten Gesundheitsprodukte im Onlineshop. Auch Social Media entwickelte sich zu einem wichtigen Kanal für Kundenanfragen. Diese Entwicklung war aus geschäftlicher Sicht positiv, erhöhte aber die Angriffsfläche im Netz. So wurde die Praxis zunehmend mit Phishing-E-Mails konfrontiert: Einzelne Mitarbeitende erhielten betrügerische Nachrichten, teilweise mit Links, die zu gefälschten Login-Websites führten. Parallel tauchten Domains auf, die den Namen der Praxis imitierten und offenbar darauf abzielten, Patientinnen und Patienten zu täuschen. Für die Leitung war klar: Obwohl die Praxis klein ist und nur eine begrenzte IT-Infrastruktur betreibt, war sie kürzlich in den Fokus von Cyberkriminellen geraten.

Die Unsicherheit war entsprechend gross. Es fehlte ein Überblick, wo genau Cyberrisiken bestehen, wie gross sie sind und welche Massnahmen am dringendsten erforderlich wären. Bisher wurden IT-Fragen eher reaktiv behandelt, zum Beispiel, wenn ein Zertifikat ablief oder ein System-Update fällig war. Einen strukturierten Ansatz, Schwachstellen systematisch zu identifizieren und zu bewerten, gab es nicht. Die Geschäftsführung wusste, dass Cybersecurity ein zentrales Thema ist, hatte jedoch weder die personellen Ressourcen noch die Expertise, um sich vertieft damit zu beschäftigen. Die Gefahr, dass Patientendaten kompromittiert werden könnten oder die Reputation der Praxis durch Betrugsfälle Schaden nähme, wurde zunehmend real.

Warum Cyber-Risk Discovery von Sunrise Business

Aus diesem Grund war Physiotopia Basel auf der Suche nach einer Lösung, die Transparenz schafft – ohne den Betrieb zu sehr zu belasten oder hohe Investitionskosten zu erfordern. Entscheidend war, dass eine Analyse schnell, unkompliziert und für ein kleines Unternehmen verständlich durchgeführt werden konnte. Cyber-Risk Discovery erfüllte diese Anforderungen. Die KI-basierte Lösung arbeitet vollständig von aussen, also aus derselben Perspektive, die auch Angreifer einnehmen. Sie identifiziert Domains, Subdomains, Cloud-Dienste, E-Mail-Adressen, Login-Seiten, Zertifikate, Social-Media-Profile und sogar Daten, die im Darknet kursieren. Für die Praxis bedeutete das: keine komplizierte Implementierung, keine internen Systemzugriffe, keine aufwendige Untersuchung. Lediglich die Website-Adresse, eine geschäftliche E-Mail-Adresse und ein Internetanschluss sind nötig, um den Prozess mit der KI-basierten Analyseplattform zu starten.

Lösung und Zusammenarbeit

Sunrise Business legte in Zusammenarbeit mit ImmuniWeb das Kundenprofil für die Plattform an, mit der die Physiotopia Basel GmbH die Analyse durchführen konnte. Nach nur wenigen Tagen lagen die Ergebnisse der Analyse vor, die mehrere kritische Punkte ans Licht brachten. Zwei Subdomains, die schon lange nicht mehr genutzt wurden, waren noch aktiv und wurden mit veralteter Software betrieben, die bekannte Sicherheitslücken aufwies. Ein SSL-Zertifikat war abgelaufen, wodurch die verschlüsselte Übertragung von Daten nicht mehr gewährleistet war. Zudem fanden sich im Darknet gestohlene Zugangsdaten zu geschäftlichen E-Mail-Konten, die potenziell als Einstiegspunkt für Angriffe hätten genutzt werden können. Schliesslich wurden im DNS fehlerhafte Konfigurationen aufgedeckt, die es Angreifern erleichtern könnten, täuschend echte Kopien der Domain zu erstellen.

Für die Verantwortlichen war der Bericht nicht nur wegen der Ergebnisse beeindruckend, sondern auch wegen seiner Verständlichkeit. Statt langer technischer Listen enthielt er eine klare Priorisierung: welche Risiken sofort zu beheben sind, welche mittelfristig adressiert werden sollten und welche lediglich überwacht werden müssen. So konnte die Teilzeit-Administratorin konkrete Massnahmen umsetzen, ohne sich durch Fachjargon kämpfen zu müssen. Besonders hilfreich war der 24/7-Support, über den sie Rückfragen stellen konnte. Dort erhielt sie praxisnahe Hinweise, etwa wie ein SSL-Zertifikat erneuert wird oder welche Passwort-Richtlinien für kleine Unternehmen ohne interne Cybersecurity-Expertise sinnvoll sind.

Resultat

Physiotopia Basel konnte aufgrund der ersten Analyse insgesamt rund 70 Prozent aller ursprünglich identifizierten kritischen Schwachstellen erfolgreich beheben – ein klarer Nachweis für den unmittelbaren Sicherheitsgewinn. Die ungenutzten Subdomains wurden deaktiviert, das SSL-Zertifikat erneuert und für alle Mitarbeitenden wurden neue, strengere Passwort-Richtlinien eingeführt. Zusätzlich entschied sich die Geschäftsführung, Multi-Faktor-Authentifizierung für die E-Mail-Konten einzuführen – eine Massnahme, die von Cyber-Risk Discovery empfohlen wurde.

Nach rund vier Monaten erfolgte über die Plattform das Re-Assessment. Dieses bestätigte, dass kritische Lücken erfolgreich geschlossen wurden. Darüber hinaus zeigte die zweite Analyse neue Aspekte auf, darunter Social-Media-Profile, die vorgeben, im Namen der Praxis erstellt worden zu sein.

Der Mehrwert für Physiotopia Basel war gross: Die Praxis hatte in kürzester Zeit eine vollständige Übersicht über ihre digitale Angriffsfläche und bestehende Cyberrisiken gewonnen. Sie konnte konkrete Massnahmen einleiten, um einem Cyberangriff vorzubeugen und um die Patientendaten und Geschäftsinformationen besser zu schützen. Die Praxisleitung gewann Vertrauen in die Stabilität der eigenen Systeme und eine Grundlage, auf der sie künftige IT-Entscheidungen gezielt treffen kann.

Vorteile

• Analyse aller relevanten digitalen Angriffsflächen in kürzester Zeit 

• Verständliche und priorisierte Handlungsempfehlungen, die ohne Fachwissen umsetzbar sind 

• Aufdeckung von kritischen Schwachstellen wie veraltete Software, abgelaufene Zertifikate oder gestohlene Zugangsdaten 

• Sofortige Umsetzung von Massnahmen mit minimalem internem Aufwand 

• 24/7-Experten-Support bei Rückfragen und Hilfestellung in Echtzeit 

• Neubewertung durch Zweitanalyse als Nachweis, dass Sicherheitslücken nachhaltig geschlossen worden sind 

• Verbesserter Schutz von Patientendaten und der Markenreputation 

*Dieses praxisnahe Beispiel der Physiotopia Basel GmbH ist fiktiv. Die geschilderten Erfahrungen sind jedoch für viele KMU von hoher Relevanz.