Umsetzung, Sourcing und Betrieb | Cyber Security | Blog | Fähigkeiten | 8. Juli 2024

Eine Standortbestimmung im Bereich Cybersicherheit gibt Transparenz zur Maturität eines Unternehmens hinsichtlich Schutz vor Cyberangriffen und Cyberrisiken. Die darauf basierende Roadmap hilft bei der Priorisierung und Abstimmung von noch umzusetzenden Massnahmen in der Praxis.

Verfasst von: Peter Flütsch

Jedes Unternehmen und jede Organisation setzt Massnahmen zur Verbesserung der Cybersicherheit um. Dies kann sehr strukturiert und zielgerichtet im Rahmen eines Informationssicherheits-Managementsystems (ISMS) erfolgen oder auch nur punktuell im Rahmen der Einführung von IT-Lösungen. Doch wie steht es um die Resilienz des gesamten Unternehmens in Bezug auf Cyberrisiken? Gibt es blinde Flecken? Wie soll die oft unüberschaubare Anzahl von Massnahmen, Lösungen und Produkten priorisiert werden?

Eine neutrale, umfassende Standortbestimmung beinhaltet in der Regel alle Aspekte der Informationssicherheit wie Technik, Organisation, Management-Support, Weisungen, Personal, Awareness, Prozesse und physische Sicherheit. Zudem wird die Maturität in allen Phasen wie das Identifizieren von Assets/Risiken, der präventive Schutz, das Erkennen von Cybervorfällen, die Reaktion auf Cybervorfälle und die Wiederherstellung nach einem Cyberangriff analysiert.

Als Basis für eine Standortbestimmung gibt es zahlreiche Standards, Empfehlungen oder gesetzliche Vorgaben, welche je nach Unternehmensgrösse und Branche als Referenz dienen können:

Bei einer Standortbestimmung wählen wir zuerst gemeinsam mit dem Kunden, basierend auf den zu erreichenden Zielen, den passenden Referenz-Standard aus. Häufig werden Standortbestimmungen beruhend auf ISO 27001/27002 oder dem IKT-Minimalstandard durchgeführt. Danach wird die Standortbestimmung bei Bedarf auf das Unternehmen des Kunden zugeschnitten, z.B. unter Berücksichtigung der Branche, der aktuellen Maturität und des Scopes. Die eigentliche Standortbestimmung besteht aus Interviews mit den wichtigsten Stakeholdern. Je nach Fokus sind dies CISO, CIO, die wichtigsten Leistungsbezüger (Fachbereiche), IT-Systemadministratoren, Endanwender und ggf. die Personalabteilung. Die Maturität wird für die einzelnen Bereiche detailliert ausgewiesen und eine konkrete Roadmap mit Verbesserungsmassnahmen für den Kunden ausgearbeitet.

Für gewisse Branchen ist die zu erreichende Maturität im Bereich Cybersicherheit gesetzlich vorgeschrieben. Beispielsweise enthält die am 1. Juli 2024 in Kraft getretene revidierte Stromversorgungsverordnung Vorgaben an Unternehmen in der Energiebranche bezüglich zu erreichendem Maturitätsniveau im Bereich Cybersicherheit. Die ElCom als Aufsichtsorgan gibt den betroffenen Unternehmen eine Frist von 24 Monaten zur Umsetzung der Vorgaben.

Unsere Empfehlungen für die Durchführung von Standortbestimmungen im Bereich Cybersicherheit sind wie folgt:

  • Zugeschnitten auf den Bedarf und die jeweilige Situation eines Unternehmens (Branche, Scope, Ausgangslage und gewünschte Ziel-Maturität)
  • Einbezug der Sicht aller relevanter Stakeholder (360-Grad Beurteilung)
  • Beurteilung der Maturität sämtlicher Bereiche (Technik, Organisation, Vorgaben, Prozesse, Personal, physische Sicherheit usw.)
  • Erarbeitung einer praxisnahen Roadmap mit konkreten nächsten Schritten für die jeweilige Kundensituation

Wenn Sie mehr zu den Themen Informations- und Cyber-Sicherheit erfahren möchten, wenden Sie sich bitte an Peter Flütsch.