In vielen Security-Assessments beobachte ich ein wiederkehrendes Muster. Gebäude und IT-Räume sind technisch gut ausgestattet, aber beim physischen Zutritt gibt es erhebliche Lücken. Besucher und externe Wartungsmitarbeitende bewegen sich unbeaufsichtigt. Zutritts-Badges sind zu breit vergeben und gewähren Zugriff auf sensible Bereiche. Die Aufmerksamkeit liegt oft bei Firewalls und Passwörtern, während [...]
Zu viele Rechte, zu wenig Klarheit In vielen Unternehmen verfügen Mitarbeitende über mehr Zugriffsrechte, als sie tatsächlich für ihre Arbeit benötigen. Das verstösst nicht nur gegen das Need-to-Know-Prinzip, sondern öffnet auch Tür und Tor für Sicherheitsvorfälle. Der Grund dafür liegt selten in böser Absicht. Vielmehr sind Rollen und Funktionen in [...]
Wenn Abhängigkeiten zur Falle werden In einer Notfallübung erlebte ich einen Fall, der das ganze Problem auf den Punkt bringt. Ein Unternehmen musste eine zentrale Steuerungsanlage ersetzen. Als die Verantwortlichen das Projekt aufsetzten, kam die böse Überraschung. Die Lieferzeit für die Anlage betrug mehr als ein Jahr. Niemand im Unternehmen [...]
In den letzten Monaten habe ich diverse Gespräche mit CEOs, CIOs und Führungskräften geführt, die eines gemeinsam hatten: Unsicherheit. Der IKT-Minimalstandard ist gesetzlich vorgeschrieben, doch viele Organisationen wissen nicht, wie sie das Thema praktisch anpacken sollen. Die Folgen sind Sicherheitslücken, unklare Verantwortlichkeiten und ein Management, das glaubt, Cybersecurity sei allein [...]
Als CISO sehe ich in vielen Unternehmen, wie unklare Rollen und Verantwortlichkeiten die Reaktion auf Sicherheitsvorfälle verlangsamen. Oftmals sind Teams nicht klar darüber informiert, wer für welche Aufgaben zuständig ist, was zu Verwirrung und Verzögerungen führt. In kritischen Situationen kann das fatale Folgen haben z.B. unkontrollierte Risiken oder ein schwacher [...]
Ich habe schon diverse Sicherheitsvorfälle erlebt, die auf mangelnde Klarheit, fehlende Standards und Prozesse zurückzuführen waren. Als CISO sehe ich es als meine Aufgabe, diese Risiken zu minimieren. Der IKT-Minimalstandard ist dabei ein wichtiger Leitfaden, der Führungskräften hilft, diese Anforderungen effektiv umzusetzen zu können. Warum ist ein IKT-Minimalstandard wichtig? Mit [...]
In der heutigen digitalen Landschaft sind die Informationssicherheit und der Datenschutz keine blosse Checkliste, sondern eine strategische Notwendigkeit. Oftmals vernachlässigen Unternehmen jedoch einen kritischen Baustein. Die Abbildung und Dokumentation der Kommunikations- und Datenflüsse. Was versteht man unter der Abbildung der Kommunikations- und Datenflüsse? Die Abbildung der Kommunikations- und Datenflüsse bezieht [...]
In der heutigen digitalen Landschaft ist die Sicherheit der IT-Infrastruktur von entscheidender Bedeutung. Die Einhaltung des IKT-Minimalstandards ist nicht nur eine regulatorische Anforderung, sondern ein fundamentaler Schritt, um Risiken zu minimieren und die Widerstandsfähigkeit des Unternehmens zu stärken. Ein oft übersehener, aber kritischer Aspekt dieser Einhaltung ist das vollständige Inventar [...]
Eine persönliche Reflexion über Kommunikation, Awareness und Cybersicherheit Als Cybersicherheits-Experte mit über fünf Jahren Erfahrung in unterschiedlichen Bereichen der IT- und OT-Security durfte ich viele spannende und herausfordernde Situationen erleben. Besonders prägend war meine Zeit als CISO eines Energieversorgungsunternehmens, in dem ich die Grundlagen der Informationssicherheit aufbaute und nachhaltige Strukturen [...]
Als ehemaliger CISO eines Energieversorgungsunternehmens sah ich es als meine Verantwortung, nicht nur präventive Massnahmen zu ergreifen und auf Cybervorfälle zu reagieren, sondern auch sicherzustellen, dass wir aus jeder Erfahrung lernten. Die Funktion “Reagieren (Respond)” des IKT-Minimalstandards ist für mich weit mehr als nur die Reaktion auf einen Vorfall. Sie [...]
Als CISO weiss ich, dass die Sicherheit der IT-Infrastruktur von der Fähigkeit abhängt, potenzielle Bedrohungen nicht nur abzuwehren, sondern vor allem auch frühzeitig zu erkennen. Die Funktion “Erkennen (Detect)” des IKT-Minimalstandards ist für mich daher von zentraler Bedeutung, da sie die Grundlage für eine proaktive Cyberabwehr bildet. Auffälligkeiten und Vorfälle [...]
Als ehemaliger CISO eines Energieversorgungsunternehmens war das Thema “Schützen (Protect)” für mich von wichtiger Bedeutung. Für die Absicherung der kritischen Infrastruktur sind ein funktionierendes Zugriffsmanagement und eine funktionierende Zugriffssteuerung (Access Control) unerlässlich. Meine Erfahrungen zeigen, dass hier oft die grössten Schwachstellen liegen, wenn Prozesse nicht sauber definiert und konsequent umgesetzt [...]
Als ehemaliger CISO eines Unternehmens in der kritischen Infrastruktur sehe ich die Digitalisierung als Segen und gleichzeitig als Herausforderung. Sie eröffnet enorme Möglichkeiten, doch sie birgt auch Risiken, die wir nicht ignorieren dürfen. Deshalb liegt mein Fokus neben dem Schutz vor Cyber-Angriffen auch stark auf der Fähigkeit, sich schnell nach [...]
Die Funktionen “Erkennen (Detect)” und “Reagieren (Respond)” sind entscheidend für die Widerstandsfähigkeit von Unternehmen gegenüber Cyberangriffen. In diesem Beitrag teile ich meine persönlichen Erfahrungen und gebe praktische Tipps zur Umsetzung des IKT-Minimalstandards in diesen Bereichen. Erkennen (Detect) Ein effektives Detektionssystem ist wie ein Frühwarnsystem. Es hilft, Angriffe frühzeitig zu erkennen [...]
Die Funktion “Schützen (Protect)” ist eine der zentralen Säulen des IKT-Minimalstandards. Sie umfasst alle Massnahmen, um die Verfügbarkeit, Integrität und Vertraulichkeit von Daten und Systemen zu gewährleisten. Datensicherheit Der Schutz von Daten ist eine der wichtigsten Aufgaben eines jeden Unternehmens. Der IKT-Minimalstandard fordert, dass gespeicherte und übertragene Daten vor unbefugtem [...]