Jedes Unternehmen und jede Organisation setzt Massnahmen zur Verbesserung der Cybersicherheit um. Dies kann sehr strukturiert und zielgerichtet im Rahmen eines Informationssicherheits-Managementsystems (ISMS) erfolgen oder auch nur punktuell im Rahmen der Einführung von IT-Lösungen. Doch wie steht es um die Resilienz des gesamten Unternehmens in Bezug auf Cyberrisiken? Gibt es blinde Flecken? Wie soll die oft unüberschaubare Anzahl von Massnahmen, Lösungen und Produkten priorisiert werden?
Eine neutrale, umfassende Standortbestimmung beinhaltet in der Regel alle Aspekte der Informationssicherheit wie Technik, Organisation, Management-Support, Weisungen, Personal, Awareness, Prozesse und physische Sicherheit. Zudem wird die Maturität in allen Phasen wie das Identifizieren von Assets/Risiken, der präventive Schutz, das Erkennen von Cybervorfällen, die Reaktion auf Cybervorfälle und die Wiederherstellung nach einem Cyberangriff analysiert.
Als Basis für eine Standortbestimmung gibt es zahlreiche Standards, Empfehlungen oder gesetzliche Vorgaben, welche je nach Unternehmensgrösse und Branche als Referenz dienen können:
- ISO 27001 (ISMS) und ISO 27002 (Massnahmen) für alle Unternehmen, die sich zertifizieren möchten oder wissen wollen, wie sie in Bezug auf eine Zertifizierung stehen
- NIST Cybersecurity-Framework (CSF) und NIST Publikation 800-53 (Massnahmen) als internationales Framework
- IKT-Minimalstandard des Bundesamtes für wirtschaftliche Landesversorgung (BWL) für Unternehmen in der Schweiz
- Branchenspezifische IKT-Minimalstandards des BWL (Strom, Wasser, Gas, Lebensmittelversorgung, öffentlicher Verkehr usw.)
- Empfehlungen des Bundesamtes für Cybersicherheit (BACS) für KMU
- Themenspezifische Standards wie beispielsweise die Empfehlungen für Operational Technology (OT) von ISSS oder der Kriterienkatalog für Cloud-Lösungen BSI C5
- Produkte- oder Lösungsspezifische Standards wie die CIS-Benchmarks für diverse IT-Lösungen und -Produkte.
- EU-weite Gesetzgebung zur Cybersicherheit wie die NIS2-Richtlinie
Bei einer Standortbestimmung wählen wir zuerst gemeinsam mit dem Kunden, basierend auf den zu erreichenden Zielen, den passenden Referenz-Standard aus. Häufig werden Standortbestimmungen beruhend auf ISO 27001/27002 oder dem IKT-Minimalstandard durchgeführt. Danach wird die Standortbestimmung bei Bedarf auf das Unternehmen des Kunden zugeschnitten, z.B. unter Berücksichtigung der Branche, der aktuellen Maturität und des Scopes. Die eigentliche Standortbestimmung besteht aus Interviews mit den wichtigsten Stakeholdern. Je nach Fokus sind dies CISO, CIO, die wichtigsten Leistungsbezüger (Fachbereiche), IT-Systemadministratoren, Endanwender und ggf. die Personalabteilung. Die Maturität wird für die einzelnen Bereiche detailliert ausgewiesen und eine konkrete Roadmap mit Verbesserungsmassnahmen für den Kunden ausgearbeitet.
Für gewisse Branchen ist die zu erreichende Maturität im Bereich Cybersicherheit gesetzlich vorgeschrieben. Beispielsweise enthält die am 1. Juli 2024 in Kraft getretene revidierte Stromversorgungsverordnung Vorgaben an Unternehmen in der Energiebranche bezüglich zu erreichendem Maturitätsniveau im Bereich Cybersicherheit. Die ElCom als Aufsichtsorgan gibt den betroffenen Unternehmen eine Frist von 24 Monaten zur Umsetzung der Vorgaben.
Unsere Empfehlungen für die Durchführung von Standortbestimmungen im Bereich Cybersicherheit sind wie folgt:
- Zugeschnitten auf den Bedarf und die jeweilige Situation eines Unternehmens (Branche, Scope, Ausgangslage und gewünschte Ziel-Maturität)
- Einbezug der Sicht aller relevanter Stakeholder (360-Grad Beurteilung)
- Beurteilung der Maturität sämtlicher Bereiche (Technik, Organisation, Vorgaben, Prozesse, Personal, physische Sicherheit usw.)
- Erarbeitung einer praxisnahen Roadmap mit konkreten nächsten Schritten für die jeweilige Kundensituation
Wenn Sie mehr zu den Themen Informations- und Cyber-Sicherheit erfahren möchten, wenden Sie sich bitte an Peter Flütsch.