Wenn Unternehmen über Cybersecurity sprechen, höre ich in der Geschäftsleitung oft den gleichen Satz: "Das ist doch Sache der IT." Nach mehreren Jahren Tätigkeit im Security-Umfeld kann ich sagen, genau hier liegt das Problem. Meine Erfahrung aus Assessments Im Rahmen von Assessments sehe ich regelmässig, dass die Geschäftsleitung Cyberrisiken nicht [...]
In vielen Security-Assessments zeigt sich dasselbe Bild, Lieferanten haben ständigen Remote-Zugriff auf IT- oder OT-Systeme. Häufig wird dafür Teamviewer oder eine vergleichbare Lösung genutzt. Die Zugänge sind rund um die Uhr aktiv, die Accounts sind generisch, und die Aktivitäten werden weder überwacht noch protokolliert. Damit entsteht ein erhebliches Risiko. Denn [...]
In vielen Security-Assessments beobachte ich ein wiederkehrendes Muster. Gebäude und IT-Räume sind technisch gut ausgestattet, aber beim physischen Zutritt gibt es erhebliche Lücken. Besucher und externe Wartungsmitarbeitende bewegen sich unbeaufsichtigt. Zutritts-Badges sind zu breit vergeben und gewähren Zugriff auf sensible Bereiche. Die Aufmerksamkeit liegt oft bei Firewalls und Passwörtern, während [...]
Zu viele Rechte, zu wenig Klarheit In vielen Unternehmen verfügen Mitarbeitende über mehr Zugriffsrechte, als sie tatsächlich für ihre Arbeit benötigen. Das verstösst nicht nur gegen das Need-to-Know-Prinzip, sondern öffnet auch Tür und Tor für Sicherheitsvorfälle. Der Grund dafür liegt selten in böser Absicht. Vielmehr sind Rollen und Funktionen in [...]
Wenn Abhängigkeiten zur Falle werden In einer Notfallübung erlebte ich einen Fall, der das ganze Problem auf den Punkt bringt. Ein Unternehmen musste eine zentrale Steuerungsanlage ersetzen. Als die Verantwortlichen das Projekt aufsetzten, kam die böse Überraschung. Die Lieferzeit für die Anlage betrug mehr als ein Jahr. Niemand im Unternehmen [...]
In den letzten Monaten habe ich diverse Gespräche mit CEOs, CIOs und Führungskräften geführt, die eines gemeinsam hatten: Unsicherheit. Der IKT-Minimalstandard ist gesetzlich vorgeschrieben, doch viele Organisationen wissen nicht, wie sie das Thema praktisch anpacken sollen. Die Folgen sind Sicherheitslücken, unklare Verantwortlichkeiten und ein Management, das glaubt, Cybersecurity sei allein [...]
Als CISO sehe ich in vielen Unternehmen, wie unklare Rollen und Verantwortlichkeiten die Reaktion auf Sicherheitsvorfälle verlangsamen. Oftmals sind Teams nicht klar darüber informiert, wer für welche Aufgaben zuständig ist, was zu Verwirrung und Verzögerungen führt. In kritischen Situationen kann das fatale Folgen haben z.B. unkontrollierte Risiken oder ein schwacher [...]
Ich habe schon diverse Sicherheitsvorfälle erlebt, die auf mangelnde Klarheit, fehlende Standards und Prozesse zurückzuführen waren. Als CISO sehe ich es als meine Aufgabe, diese Risiken zu minimieren. Der IKT-Minimalstandard ist dabei ein wichtiger Leitfaden, der Führungskräften hilft, diese Anforderungen effektiv umzusetzen zu können. Warum ist ein IKT-Minimalstandard wichtig? Mit [...]
In der heutigen digitalen Landschaft sind Unternehmen mit einer ständig wachsenden Anzahl von Cyberbedrohungen konfrontiert. Viele Organisationen unterschätzen jedoch die kritische Bedeutung klar definierter Rollen und Verantwortlichkeiten im Bereich der Cybersicherheit. Als CISO habe ich in zahlreichen Projekten beobachtet, wie mangelnde Verantwortlichkeiten zu unvollständigen Sicherheitsanalysen, unzureichenden Schutzmassnahmen und letztendlich zu [...]
In der heutigen digitalen Landschaft sind die Informationssicherheit und der Datenschutz keine blosse Checkliste, sondern eine strategische Notwendigkeit. Oftmals vernachlässigen Unternehmen jedoch einen kritischen Baustein. Die Abbildung und Dokumentation der Kommunikations- und Datenflüsse. Was versteht man unter der Abbildung der Kommunikations- und Datenflüsse? Die Abbildung der Kommunikations- und Datenflüsse bezieht [...]
In der heutigen digitalen Landschaft ist die Sicherheit der IT-Infrastruktur von entscheidender Bedeutung. Die Einhaltung des IKT-Minimalstandards ist nicht nur eine regulatorische Anforderung, sondern ein fundamentaler Schritt, um Risiken zu minimieren und die Widerstandsfähigkeit des Unternehmens zu stärken. Ein oft übersehener, aber kritischer Aspekt dieser Einhaltung ist das vollständige Inventar [...]
Eine persönliche Reflexion über Kommunikation, Awareness und Cybersicherheit Als Cybersicherheits-Experte mit über fünf Jahren Erfahrung in unterschiedlichen Bereichen der IT- und OT-Security durfte ich viele spannende und herausfordernde Situationen erleben. Besonders prägend war meine Zeit als CISO eines Energieversorgungsunternehmens, in dem ich die Grundlagen der Informationssicherheit aufbaute und nachhaltige Strukturen [...]
In der heutigen digitalen Welt ist es wichtig, dass Unternehmen ihre Daten und Systeme vor Cyberangriffen schützen. Doch viele Unternehmen sind nicht ausreichend vorbereitet, um mit solchen Angriffen umzugehen. Die Folgen können katastrophal sein: Verlust von Kundendaten, finanzielle Einbussen, Schädigung des Rufes und sogar die Existenz des Unternehmens können bedroht [...]
Als ehemaliger CISO eines Energieversorgungsunternehmens sehe ich die Cybersicherheitslandschaft nicht als statisches Bild, sondern als ein sich ständig bewegendes und entwickelndes Terrain. Die aktuellen Cybersicherheitstrends bestätigen mir, dass wir uns nicht auf unseren Lorbeeren ausruhen dürfen. Die Angreifer werden immer raffinierter, und die potenziellen Auswirkungen auf Unternehmen können immens sein. [...]
Als ehemaliger CISO eines Energieversorgungsunternehmens sah ich es als meine Verantwortung, nicht nur präventive Massnahmen zu ergreifen und auf Cybervorfälle zu reagieren, sondern auch sicherzustellen, dass wir aus jeder Erfahrung lernten. Die Funktion “Reagieren (Respond)” des IKT-Minimalstandards ist für mich weit mehr als nur die Reaktion auf einen Vorfall. Sie [...]