Viele KMUs investieren in moderne IT-Lösungen und verlassen sich auf kompetente Dienstleister. Trotzdem entstehen die meisten Sicherheitsvorfälle genau dort, wo man es am wenigsten erwartet: im Alltag, in Prozessen und in Gewohnheiten. Die folgenden drei Schwachstellen begegnen mir in praktisch jedem Audit und sie lassen sich mit einfachen Massnahmen deutlich [...]
Der Entscheid, eine sichere Stelle aufzugeben und sich selbständig zu machen, gehört zu den Momenten, die man nicht aus dem Bauch heraus fällt. Er entsteht langsam. Er reift und irgendwann merkt man, dass Nicht-Handeln das grössere Risiko wäre. Genau so hat mein Jahr 2025 begonnen. 2025 war für mich ein [...]
Viele Organisationen bestehen Audits. Trotzdem scheitern sie im Alltag. Denn zu viele interpretieren den IKT-Minimalstandard als Dokumentenübung statt als Steuerinstrument für echte Risikoreduktion. Einleitung Der IKT-Minimalstandard wurde in der Schweiz eingeführt, um Unternehmen auf ein einheitliches und praxistaugliches Sicherheitsniveau zu bringen. Das Ziel ist klar: Risiken verstehen, Prioritäten setzen, Schutzmassnahmen [...]
Zwei Begriffe, ein Ziel In fast jedem Projekt, das ich begleite, fällt irgendwann dieser Satz: “Datenschutz? Das macht bei uns der Jurist. Informationssicherheit? Die IT.” Und genau hier beginnt das Problem. Ich habe diverse Unternehmen gesehen, die Datenschutz und Informationssicherheit getrennt behandeln – als zwei verschiedene Disziplinen. Der eine denkt [...]
Wenn Sicherheit zur Routine wird, nicht zur Pflicht Ich erlebe es immer wieder: In Unternehmen gibt es detaillierte Sicherheitsrichtlinien, Policies, Audits, Zertifizierungen und trotzdem passiert ein sicherheitsrelevanter Vorfall. Nicht, weil Regeln fehlen. Sondern weil sie nicht gelebt werden. Das ist der Unterschied zwischen Sicherheitsmanagement und Sicherheitskultur. Sicherheitsmanagement sorgt dafür, dass [...]
Schulungen, die keiner versteht Ich habe in den letzten Jahren als CISO und Berater für Informationssicherheit diverse Awareness-Programme gesehen. PowerPoint-Trainings, E-Learning-Module, E-Mail-Kampagnen – professionell gemacht, gut gemeint und trotzdem wirkungslos. Wenn ich dann mit Mitarbeitenden spreche, höre ich immer wieder denselben Satz: „Ich weiss gar nicht, warum wir das machen [...]
In meiner Arbeit mit Unternehmen der kritischen Infrastruktur begegne ich einer Herausforderung immer häufiger: Die Grenzen zwischen IT und OT verschwimmen. Produktionsanlagen, Steuerungssysteme und Sensoren, die früher isoliert liefen, sind heute mit dem Firmennetzwerk und oft sogar mit der Cloud verbunden. Diese Vernetzung bietet enorme Effizienzvorteile, aber auch neue Angriffsflächen. [...]
In meiner Rolle als CISO, Projektleiter und Berater habe ich unzählige Projekte begleiten dürfen. Dabei habe ich gesehen, dass es unabhängig von Grösse oder Branche immer wieder zu dieselben Stolperfallen kommt. Technik, Budgets und Tools sind selten das Problem, es sind Menschen, Prozesse und Prioritäten. Hier sind die fünf Fehler, [...]
In vielen Security-Assessments zeigt sich dasselbe Bild, Lieferanten haben ständigen Remote-Zugriff auf IT- oder OT-Systeme. Häufig wird dafür Teamviewer oder eine vergleichbare Lösung genutzt. Die Zugänge sind rund um die Uhr aktiv, die Accounts sind generisch, und die Aktivitäten werden weder überwacht noch protokolliert. Damit entsteht ein erhebliches Risiko. Denn [...]
Zu viele Rechte, zu wenig Klarheit In vielen Unternehmen verfügen Mitarbeitende über mehr Zugriffsrechte, als sie tatsächlich für ihre Arbeit benötigen. Das verstösst nicht nur gegen das Need-to-Know-Prinzip, sondern öffnet auch Tür und Tor für Sicherheitsvorfälle. Der Grund dafür liegt selten in böser Absicht. Vielmehr sind Rollen und Funktionen in [...]
Als CISO sehe ich in vielen Unternehmen, wie unklare Rollen und Verantwortlichkeiten die Reaktion auf Sicherheitsvorfälle verlangsamen. Oftmals sind Teams nicht klar darüber informiert, wer für welche Aufgaben zuständig ist, was zu Verwirrung und Verzögerungen führt. In kritischen Situationen kann das fatale Folgen haben z.B. unkontrollierte Risiken oder ein schwacher [...]
In der heutigen digitalen Landschaft sind die Informationssicherheit und der Datenschutz keine blosse Checkliste, sondern eine strategische Notwendigkeit. Oftmals vernachlässigen Unternehmen jedoch einen kritischen Baustein. Die Abbildung und Dokumentation der Kommunikations- und Datenflüsse. Was versteht man unter der Abbildung der Kommunikations- und Datenflüsse? Die Abbildung der Kommunikations- und Datenflüsse bezieht [...]
Eine persönliche Reflexion über Kommunikation, Awareness und Cybersicherheit Als Cybersicherheits-Experte mit über fünf Jahren Erfahrung in unterschiedlichen Bereichen der IT- und OT-Security durfte ich viele spannende und herausfordernde Situationen erleben. Besonders prägend war meine Zeit als CISO eines Energieversorgungsunternehmens, in dem ich die Grundlagen der Informationssicherheit aufbaute und nachhaltige Strukturen [...]
Als ehemaliger CISO eines Energieversorgungsunternehmens sehe ich die Cybersicherheitslandschaft nicht als statisches Bild, sondern als ein sich ständig bewegendes und entwickelndes Terrain. Die aktuellen Cybersicherheitstrends bestätigen mir, dass wir uns nicht auf unseren Lorbeeren ausruhen dürfen. Die Angreifer werden immer raffinierter, und die potenziellen Auswirkungen auf Unternehmen können immens sein. [...]
Als ehemaliger CISO eines Energieversorgungsunternehmens sah ich es als meine Verantwortung, nicht nur präventive Massnahmen zu ergreifen und auf Cybervorfälle zu reagieren, sondern auch sicherzustellen, dass wir aus jeder Erfahrung lernten. Die Funktion “Reagieren (Respond)” des IKT-Minimalstandards ist für mich weit mehr als nur die Reaktion auf einen Vorfall. Sie [...]