Wenn Zeit der knappste Faktor ist Ein Cybervorfall kündigt sich selten klar an. Häufig beginnt er mit Unregelmässigkeiten - Systeme reagieren verzögert, Daten sind nicht verfügbar, Mitarbeitende melden Unsicherheiten. In diesem Moment entscheidet sich nicht primär an der Firewall, wie gross der Schaden wird, sondern im Führungsraum. Die zentrale Frage [...]
Wenn Verantwortung delegiert wird, ohne gesteuert zu werden Viele Unternehmen haben ihre IT ganz oder teilweise an externe Dienstleister ausgelagert. Das schafft Effizienz, reduziert interne Aufwände und bringt spezialisiertes Know-how ins Haus. Gleichzeitig entsteht jedoch ein verbreitetes Missverständnis - mit der Delegation operativer Aufgaben werde auch die Verantwortung für Risiken, [...]
Praxisrisiken erkennen, priorisieren und wirksam entschärfen Cyberrisiken in KMU’s entstehen selten durch hochkomplexe Angriffsszenarien. In der Praxis sind es meist alltägliche Schwachstellen, die über Jahre toleriert wurden und im falschen Moment gravierende Auswirkungen entfalten. Gerade deshalb ist eine klare Priorisierung entscheidend um nicht möglichst viele Massnahmen umzusetzen, sondern die richtigen. [...]
Der IKT-Minimalstandard sorgt in vielen Organisationen für Verunsicherung. Neue Begriffe, neue Erwartungen und der Eindruck, alles müsse sofort und vollständig umgesetzt werden, führen schnell zu Aktionismus oder Blockade. Beides hilft nicht weiter. Richtig verstanden ist der IKT-Minimalstandard kein Kontrollinstrument, sondern ein Orientierungsrahmen. Er soll Organisationen befähigen, Cyberrisiken systematisch zu erkennen, [...]
Cybersicherheit ist kein IT-Projekt - sondern eine Management-Entscheidung In vielen Unternehmen ist Cybersicherheit organisatorisch klar verortet - in der IT. Firewalls, Backups, Monitoring, externe Dienstleister. Auf den ersten Blick wirkt diese Zuordnung logisch. In der Praxis führt sie jedoch zu einem gefährlichen Missverständnis. Cyberrisiken sind keine rein technischen Risiken. Sie [...]
Warum Selbsteinschätzung oft trügt und wo die blinden Flecken wirklich liegen Viele KMUs sind überzeugt, in der Cybersicherheit solide aufgestellt zu sein. Die IT funktioniert, ein externer Dienstleister ist mandatiert, Firewalls und Backups sind vorhanden. Auf den ersten Blick wirkt das beruhigend. Die unbequeme Wahrheit ist jedoch: Diese Einschätzung basiert [...]
Viele KMUs investieren in moderne IT-Lösungen und verlassen sich auf kompetente Dienstleister. Trotzdem entstehen die meisten Sicherheitsvorfälle genau dort, wo man es am wenigsten erwartet: im Alltag, in Prozessen und in Gewohnheiten. Die folgenden drei Schwachstellen begegnen mir in praktisch jedem Audit und sie lassen sich mit einfachen Massnahmen deutlich [...]
Der Entscheid, eine sichere Stelle aufzugeben und sich selbständig zu machen, gehört zu den Momenten, die man nicht aus dem Bauch heraus fällt. Er entsteht langsam. Er reift und irgendwann merkt man, dass Nicht-Handeln das grössere Risiko wäre. Genau so hat mein Jahr 2025 begonnen. 2025 war für mich ein [...]
Viele KMU verfügen über moderne IT-Lösungen, gut ausgelagerte Systeme und verlässliche Dienstleister. Dennoch sind sie im Ernstfall unzureichend geschützt. Der Grund liegt selten in fehlender Technik. Die entscheidende Lücke beginnt häufig im oberen Stockwerk. Cybersicherheit ist und bleibt eine Führungsaufgabe. Warum Cybersicherheit zur strategischen Verantwortung gehört Digitale Abhängigkeiten sind für [...]
Viele Organisationen bestehen Audits. Trotzdem scheitern sie im Alltag. Denn zu viele interpretieren den IKT-Minimalstandard als Dokumentenübung statt als Steuerinstrument für echte Risikoreduktion. Einleitung Der IKT-Minimalstandard wurde in der Schweiz eingeführt, um Unternehmen auf ein einheitliches und praxistaugliches Sicherheitsniveau zu bringen. Das Ziel ist klar: Risiken verstehen, Prioritäten setzen, Schutzmassnahmen [...]
Zwei Begriffe, ein Ziel In fast jedem Projekt, das ich begleite, fällt irgendwann dieser Satz: “Datenschutz? Das macht bei uns der Jurist. Informationssicherheit? Die IT.” Und genau hier beginnt das Problem. Ich habe diverse Unternehmen gesehen, die Datenschutz und Informationssicherheit getrennt behandeln – als zwei verschiedene Disziplinen. Der eine denkt [...]
Wenn Sicherheit zur Routine wird, nicht zur Pflicht Ich erlebe es immer wieder: In Unternehmen gibt es detaillierte Sicherheitsrichtlinien, Policies, Audits, Zertifizierungen und trotzdem passiert ein sicherheitsrelevanter Vorfall. Nicht, weil Regeln fehlen. Sondern weil sie nicht gelebt werden. Das ist der Unterschied zwischen Sicherheitsmanagement und Sicherheitskultur. Sicherheitsmanagement sorgt dafür, dass [...]
Schulungen, die keiner versteht Ich habe in den letzten Jahren als CISO und Berater für Informationssicherheit diverse Awareness-Programme gesehen. PowerPoint-Trainings, E-Learning-Module, E-Mail-Kampagnen – professionell gemacht, gut gemeint und trotzdem wirkungslos. Wenn ich dann mit Mitarbeitenden spreche, höre ich immer wieder denselben Satz: „Ich weiss gar nicht, warum wir das machen [...]
In meiner Arbeit mit Unternehmen der kritischen Infrastruktur begegne ich einer Herausforderung immer häufiger: Die Grenzen zwischen IT und OT verschwimmen. Produktionsanlagen, Steuerungssysteme und Sensoren, die früher isoliert liefen, sind heute mit dem Firmennetzwerk und oft sogar mit der Cloud verbunden. Diese Vernetzung bietet enorme Effizienzvorteile, aber auch neue Angriffsflächen. [...]
In meiner Rolle als CISO, Projektleiter und Berater habe ich unzählige Projekte begleiten dürfen. Dabei habe ich gesehen, dass es unabhängig von Grösse oder Branche immer wieder zu dieselben Stolperfallen kommt. Technik, Budgets und Tools sind selten das Problem, es sind Menschen, Prozesse und Prioritäten. Hier sind die fünf Fehler, [...]