Zwei Begriffe, ein Ziel In fast jedem Projekt, das ich begleite, fällt irgendwann dieser Satz: “Datenschutz? Das macht bei uns der Jurist. Informationssicherheit? Die IT.” Und genau hier beginnt das Problem. Ich habe diverse Unternehmen gesehen, die Datenschutz und Informationssicherheit getrennt behandeln – als zwei verschiedene Disziplinen. Der eine denkt [...]
Viele Unternehmen reagieren auf Sicherheitsprobleme reflexartig. Sie kaufen ein neues Tool. Ein Security-Informationssystem hier, ein Endpoint-Tool da und schon scheint das Unternehmen geschützt. Doch meine mehrjährige Erfahrung zeigt: Technik allein schafft keine Sicherheit. Sicherheit scheitert selten an der Technologie, sondern fast immer am fehlenden Verständnis und an fehlenden Verantwortlichkeiten. Ein [...]
Wenn Unternehmen über Cybersecurity sprechen, höre ich in der Geschäftsleitung oft den gleichen Satz: "Das ist doch Sache der IT." Nach mehreren Jahren Tätigkeit im Security-Umfeld kann ich sagen, genau hier liegt das Problem. Meine Erfahrung aus Assessments Im Rahmen von Assessments sehe ich regelmässig, dass die Geschäftsleitung Cyberrisiken nicht [...]
In vielen Security-Assessments zeigt sich dasselbe Bild, Lieferanten haben ständigen Remote-Zugriff auf IT- oder OT-Systeme. Häufig wird dafür Teamviewer oder eine vergleichbare Lösung genutzt. Die Zugänge sind rund um die Uhr aktiv, die Accounts sind generisch, und die Aktivitäten werden weder überwacht noch protokolliert. Damit entsteht ein erhebliches Risiko. Denn [...]
In vielen Security-Assessments beobachte ich ein wiederkehrendes Muster. Gebäude und IT-Räume sind technisch gut ausgestattet, aber beim physischen Zutritt gibt es erhebliche Lücken. Besucher und externe Wartungsmitarbeitende bewegen sich unbeaufsichtigt. Zutritts-Badges sind zu breit vergeben und gewähren Zugriff auf sensible Bereiche. Die Aufmerksamkeit liegt oft bei Firewalls und Passwörtern, während [...]
Zu viele Rechte, zu wenig Klarheit In vielen Unternehmen verfügen Mitarbeitende über mehr Zugriffsrechte, als sie tatsächlich für ihre Arbeit benötigen. Das verstösst nicht nur gegen das Need-to-Know-Prinzip, sondern öffnet auch Tür und Tor für Sicherheitsvorfälle. Der Grund dafür liegt selten in böser Absicht. Vielmehr sind Rollen und Funktionen in [...]
Als CISO sehe ich in vielen Unternehmen, wie unklare Rollen und Verantwortlichkeiten die Reaktion auf Sicherheitsvorfälle verlangsamen. Oftmals sind Teams nicht klar darüber informiert, wer für welche Aufgaben zuständig ist, was zu Verwirrung und Verzögerungen führt. In kritischen Situationen kann das fatale Folgen haben z.B. unkontrollierte Risiken oder ein schwacher [...]
Ich habe schon diverse Sicherheitsvorfälle erlebt, die auf mangelnde Klarheit, fehlende Standards und Prozesse zurückzuführen waren. Als CISO sehe ich es als meine Aufgabe, diese Risiken zu minimieren. Der IKT-Minimalstandard ist dabei ein wichtiger Leitfaden, der Führungskräften hilft, diese Anforderungen effektiv umzusetzen zu können. Warum ist ein IKT-Minimalstandard wichtig? Mit [...]
In der heutigen digitalen Landschaft sind Unternehmen mit einer ständig wachsenden Anzahl von Cyberbedrohungen konfrontiert. Viele Organisationen unterschätzen jedoch die kritische Bedeutung klar definierter Rollen und Verantwortlichkeiten im Bereich der Cybersicherheit. Als CISO habe ich in zahlreichen Projekten beobachtet, wie mangelnde Verantwortlichkeiten zu unvollständigen Sicherheitsanalysen, unzureichenden Schutzmassnahmen und letztendlich zu [...]
In der heutigen digitalen Landschaft sind die Informationssicherheit und der Datenschutz keine blosse Checkliste, sondern eine strategische Notwendigkeit. Oftmals vernachlässigen Unternehmen jedoch einen kritischen Baustein. Die Abbildung und Dokumentation der Kommunikations- und Datenflüsse. Was versteht man unter der Abbildung der Kommunikations- und Datenflüsse? Die Abbildung der Kommunikations- und Datenflüsse bezieht [...]
In der heutigen digitalen Landschaft ist die Sicherheit der IT-Infrastruktur von entscheidender Bedeutung. Die Einhaltung des IKT-Minimalstandards ist nicht nur eine regulatorische Anforderung, sondern ein fundamentaler Schritt, um Risiken zu minimieren und die Widerstandsfähigkeit des Unternehmens zu stärken. Ein oft übersehener, aber kritischer Aspekt dieser Einhaltung ist das vollständige Inventar [...]
Eine persönliche Reflexion über Kommunikation, Awareness und Cybersicherheit Als Cybersicherheits-Experte mit über fünf Jahren Erfahrung in unterschiedlichen Bereichen der IT- und OT-Security durfte ich viele spannende und herausfordernde Situationen erleben. Besonders prägend war meine Zeit als CISO eines Energieversorgungsunternehmens, in dem ich die Grundlagen der Informationssicherheit aufbaute und nachhaltige Strukturen [...]
In der heutigen digitalen Welt ist es wichtig, dass Unternehmen ihre Daten und Systeme vor Cyberangriffen schützen. Doch viele Unternehmen sind nicht ausreichend vorbereitet, um mit solchen Angriffen umzugehen. Die Folgen können katastrophal sein: Verlust von Kundendaten, finanzielle Einbussen, Schädigung des Rufes und sogar die Existenz des Unternehmens können bedroht [...]
Die Funktion “Schützen (Protect)” ist eine der zentralen Säulen des IKT-Minimalstandards. Sie umfasst alle Massnahmen, um die Verfügbarkeit, Integrität und Vertraulichkeit von Daten und Systemen zu gewährleisten. Datensicherheit Der Schutz von Daten ist eine der wichtigsten Aufgaben eines jeden Unternehmens. Der IKT-Minimalstandard fordert, dass gespeicherte und übertragene Daten vor unbefugtem [...]
Die Funktion “Identifizieren (Identify)” bildet das Fundament für jede wirksame IT-Sicherheitsstrategie. Sie umfasst alle Massnahmen, um das organisatorische Umfeld zu verstehen und die zu schützenden Ressourcen zu identifizieren. Inventar Management (Asset Management) Ein umfassendes und aktuelles Inventar ist unerlässlich. Es hilft, den Überblick über alle IT-Betriebsmittel zu behalten, Schwachstellen zu [...]