Der Entscheid, eine sichere Stelle aufzugeben und sich selbständig zu machen, gehört zu den Momenten, die man nicht aus dem Bauch heraus fällt. Er entsteht langsam. Er reift und irgendwann merkt man, dass Nicht-Handeln das grössere Risiko wäre. Genau so hat mein Jahr 2025 begonnen. 2025 war für mich ein [...]
Viele KMU verfügen über moderne IT-Lösungen, gut ausgelagerte Systeme und verlässliche Dienstleister. Dennoch sind sie im Ernstfall unzureichend geschützt. Der Grund liegt selten in fehlender Technik. Die entscheidende Lücke beginnt häufig im oberen Stockwerk. Cybersicherheit ist und bleibt eine Führungsaufgabe. Warum Cybersicherheit zur strategischen Verantwortung gehört Digitale Abhängigkeiten sind für [...]
Viele Organisationen bestehen Audits. Trotzdem scheitern sie im Alltag. Denn zu viele interpretieren den IKT-Minimalstandard als Dokumentenübung statt als Steuerinstrument für echte Risikoreduktion. Einleitung Der IKT-Minimalstandard wurde in der Schweiz eingeführt, um Unternehmen auf ein einheitliches und praxistaugliches Sicherheitsniveau zu bringen. Das Ziel ist klar: Risiken verstehen, Prioritäten setzen, Schutzmassnahmen [...]
Zwei Begriffe, ein Ziel In fast jedem Projekt, das ich begleite, fällt irgendwann dieser Satz: “Datenschutz? Das macht bei uns der Jurist. Informationssicherheit? Die IT.” Und genau hier beginnt das Problem. Ich habe diverse Unternehmen gesehen, die Datenschutz und Informationssicherheit getrennt behandeln – als zwei verschiedene Disziplinen. Der eine denkt [...]
Wenn Sicherheit zur Routine wird, nicht zur Pflicht Ich erlebe es immer wieder: In Unternehmen gibt es detaillierte Sicherheitsrichtlinien, Policies, Audits, Zertifizierungen und trotzdem passiert ein sicherheitsrelevanter Vorfall. Nicht, weil Regeln fehlen. Sondern weil sie nicht gelebt werden. Das ist der Unterschied zwischen Sicherheitsmanagement und Sicherheitskultur. Sicherheitsmanagement sorgt dafür, dass [...]
Schulungen, die keiner versteht Ich habe in den letzten Jahren als CISO und Berater für Informationssicherheit diverse Awareness-Programme gesehen. PowerPoint-Trainings, E-Learning-Module, E-Mail-Kampagnen – professionell gemacht, gut gemeint und trotzdem wirkungslos. Wenn ich dann mit Mitarbeitenden spreche, höre ich immer wieder denselben Satz: „Ich weiss gar nicht, warum wir das machen [...]
In meiner Arbeit mit Unternehmen der kritischen Infrastruktur begegne ich einer Herausforderung immer häufiger: Die Grenzen zwischen IT und OT verschwimmen. Produktionsanlagen, Steuerungssysteme und Sensoren, die früher isoliert liefen, sind heute mit dem Firmennetzwerk und oft sogar mit der Cloud verbunden. Diese Vernetzung bietet enorme Effizienzvorteile, aber auch neue Angriffsflächen. [...]
In meiner Rolle als CISO, Projektleiter und Berater habe ich unzählige Projekte begleiten dürfen. Dabei habe ich gesehen, dass es unabhängig von Grösse oder Branche immer wieder zu dieselben Stolperfallen kommt. Technik, Budgets und Tools sind selten das Problem, es sind Menschen, Prozesse und Prioritäten. Hier sind die fünf Fehler, [...]
Unternehmen der kritischen Infrastruktur (KRITIS) stehen im Zentrum unserer Gesellschaft. Sie liefern Strom, Wasser, medizinische Versorgung, Transport oder Telekommunikation. Fällt eine dieser Leistungen aus, hat das weitreichende Folgen, für die Bevölkerung, für die Wirtschaft und für die nationale Sicherheit. Darum gelten für KRITIS-Unternehmen besondere Anforderungen an Informationssicherheit. In der Schweiz [...]
Viele Unternehmen reagieren auf Sicherheitsprobleme reflexartig. Sie kaufen ein neues Tool. Ein Security-Informationssystem hier, ein Endpoint-Tool da und schon scheint das Unternehmen geschützt. Doch meine mehrjährige Erfahrung zeigt: Technik allein schafft keine Sicherheit. Sicherheit scheitert selten an der Technologie, sondern fast immer am fehlenden Verständnis und an fehlenden Verantwortlichkeiten. Ein [...]
Viele Unternehmen reagieren nervös, wenn sie das erste Mal von ISO-27001 hören. Zu aufwendig, zu bürokratisch, zu teuer, so lauten die typischen Reaktionen, die ich in meiner Arbeit als CISO und Berater immer wieder erlebe. Diese Einschätzung ist nachvollziehbar, aber sie greift zu kurz. ISO-27001 ist tatsächlich ein umfassender Standard, [...]
Wenn Unternehmen über Cybersecurity sprechen, höre ich in der Geschäftsleitung oft den gleichen Satz: "Das ist doch Sache der IT." Nach mehreren Jahren Tätigkeit im Security-Umfeld kann ich sagen, genau hier liegt das Problem. Meine Erfahrung aus Assessments Im Rahmen von Assessments sehe ich regelmässig, dass die Geschäftsleitung Cyberrisiken nicht [...]
In vielen Security-Assessments zeigt sich dasselbe Bild, Lieferanten haben ständigen Remote-Zugriff auf IT- oder OT-Systeme. Häufig wird dafür Teamviewer oder eine vergleichbare Lösung genutzt. Die Zugänge sind rund um die Uhr aktiv, die Accounts sind generisch, und die Aktivitäten werden weder überwacht noch protokolliert. Damit entsteht ein erhebliches Risiko. Denn [...]
In vielen Security-Assessments beobachte ich ein wiederkehrendes Muster. Gebäude und IT-Räume sind technisch gut ausgestattet, aber beim physischen Zutritt gibt es erhebliche Lücken. Besucher und externe Wartungsmitarbeitende bewegen sich unbeaufsichtigt. Zutritts-Badges sind zu breit vergeben und gewähren Zugriff auf sensible Bereiche. Die Aufmerksamkeit liegt oft bei Firewalls und Passwörtern, während [...]
Zu viele Rechte, zu wenig Klarheit In vielen Unternehmen verfügen Mitarbeitende über mehr Zugriffsrechte, als sie tatsächlich für ihre Arbeit benötigen. Das verstösst nicht nur gegen das Need-to-Know-Prinzip, sondern öffnet auch Tür und Tor für Sicherheitsvorfälle. Der Grund dafür liegt selten in böser Absicht. Vielmehr sind Rollen und Funktionen in [...]