Praxisrisiken erkennen, priorisieren und wirksam entschärfen Cyberrisiken in KMU’s entstehen selten durch hochkomplexe Angriffsszenarien. In der Praxis sind es meist alltägliche Schwachstellen, die über Jahre toleriert wurden und im falschen Moment gravierende Auswirkungen entfalten. Gerade deshalb ist eine klare Priorisierung entscheidend um nicht möglichst viele Massnahmen umzusetzen, sondern die richtigen. [...]
Viele KMUs investieren in moderne IT-Lösungen und verlassen sich auf kompetente Dienstleister. Trotzdem entstehen die meisten Sicherheitsvorfälle genau dort, wo man es am wenigsten erwartet: im Alltag, in Prozessen und in Gewohnheiten. Die folgenden drei Schwachstellen begegnen mir in praktisch jedem Audit und sie lassen sich mit einfachen Massnahmen deutlich [...]
Viele KMU verfügen über moderne IT-Lösungen, gut ausgelagerte Systeme und verlässliche Dienstleister. Dennoch sind sie im Ernstfall unzureichend geschützt. Der Grund liegt selten in fehlender Technik. Die entscheidende Lücke beginnt häufig im oberen Stockwerk. Cybersicherheit ist und bleibt eine Führungsaufgabe. Warum Cybersicherheit zur strategischen Verantwortung gehört Digitale Abhängigkeiten sind für [...]
Viele Organisationen bestehen Audits. Trotzdem scheitern sie im Alltag. Denn zu viele interpretieren den IKT-Minimalstandard als Dokumentenübung statt als Steuerinstrument für echte Risikoreduktion. Einleitung Der IKT-Minimalstandard wurde in der Schweiz eingeführt, um Unternehmen auf ein einheitliches und praxistaugliches Sicherheitsniveau zu bringen. Das Ziel ist klar: Risiken verstehen, Prioritäten setzen, Schutzmassnahmen [...]
Viele Unternehmen reagieren nervös, wenn sie das erste Mal von ISO-27001 hören. Zu aufwendig, zu bürokratisch, zu teuer, so lauten die typischen Reaktionen, die ich in meiner Arbeit als CISO und Berater immer wieder erlebe. Diese Einschätzung ist nachvollziehbar, aber sie greift zu kurz. ISO-27001 ist tatsächlich ein umfassender Standard, [...]
Wenn Unternehmen über Cybersecurity sprechen, höre ich in der Geschäftsleitung oft den gleichen Satz: "Das ist doch Sache der IT." Nach mehreren Jahren Tätigkeit im Security-Umfeld kann ich sagen, genau hier liegt das Problem. Meine Erfahrung aus Assessments Im Rahmen von Assessments sehe ich regelmässig, dass die Geschäftsleitung Cyberrisiken nicht [...]
In vielen Security-Assessments zeigt sich dasselbe Bild, Lieferanten haben ständigen Remote-Zugriff auf IT- oder OT-Systeme. Häufig wird dafür Teamviewer oder eine vergleichbare Lösung genutzt. Die Zugänge sind rund um die Uhr aktiv, die Accounts sind generisch, und die Aktivitäten werden weder überwacht noch protokolliert. Damit entsteht ein erhebliches Risiko. Denn [...]
In vielen Security-Assessments beobachte ich ein wiederkehrendes Muster. Gebäude und IT-Räume sind technisch gut ausgestattet, aber beim physischen Zutritt gibt es erhebliche Lücken. Besucher und externe Wartungsmitarbeitende bewegen sich unbeaufsichtigt. Zutritts-Badges sind zu breit vergeben und gewähren Zugriff auf sensible Bereiche. Die Aufmerksamkeit liegt oft bei Firewalls und Passwörtern, während [...]
In der heutigen digitalen Landschaft ist die Sicherheit der IT-Infrastruktur von entscheidender Bedeutung. Die Einhaltung des IKT-Minimalstandards ist nicht nur eine regulatorische Anforderung, sondern ein fundamentaler Schritt, um Risiken zu minimieren und die Widerstandsfähigkeit des Unternehmens zu stärken. Ein oft übersehener, aber kritischer Aspekt dieser Einhaltung ist das vollständige Inventar [...]
In der heutigen digitalen Welt ist es wichtig, dass Unternehmen ihre Daten und Systeme vor Cyberangriffen schützen. Doch viele Unternehmen sind nicht ausreichend vorbereitet, um mit solchen Angriffen umzugehen. Die Folgen können katastrophal sein: Verlust von Kundendaten, finanzielle Einbussen, Schädigung des Rufes und sogar die Existenz des Unternehmens können bedroht [...]
Als ehemaliger CISO eines Unternehmens in der kritischen Infrastruktur sehe ich die Digitalisierung als Segen und gleichzeitig als Herausforderung. Sie eröffnet enorme Möglichkeiten, doch sie birgt auch Risiken, die wir nicht ignorieren dürfen. Deshalb liegt mein Fokus neben dem Schutz vor Cyber-Angriffen auch stark auf der Fähigkeit, sich schnell nach [...]
Die Funktion “Schützen (Protect)” ist eine der zentralen Säulen des IKT-Minimalstandards. Sie umfasst alle Massnahmen, um die Verfügbarkeit, Integrität und Vertraulichkeit von Daten und Systemen zu gewährleisten. Datensicherheit Der Schutz von Daten ist eine der wichtigsten Aufgaben eines jeden Unternehmens. Der IKT-Minimalstandard fordert, dass gespeicherte und übertragene Daten vor unbefugtem [...]
Die Funktion “Identifizieren (Identify)” bildet das Fundament für jede wirksame IT-Sicherheitsstrategie. Sie umfasst alle Massnahmen, um das organisatorische Umfeld zu verstehen und die zu schützenden Ressourcen zu identifizieren. Inventar Management (Asset Management) Ein umfassendes und aktuelles Inventar ist unerlässlich. Es hilft, den Überblick über alle IT-Betriebsmittel zu behalten, Schwachstellen zu [...]
Die Digitalisierung ist ein zweischneidiges Schwert für die Energiebranche. Sie ermöglicht nicht nur die Optimierung von Prozessen und die Entwicklung neuer Geschäftsmodelle, sondern erhöht auch die Anfälligkeit für Cyber-Angriffe. Ein erfolgreicher Cyber-Angriff auf ein Energieversorgungsunternehmen kann verheerende Folgen haben, von Stromausfällen bis hin zu einem Vertrauensverlust in die kritische Infrastruktur. [...]
Die Digitalisierung hat sich in den letzten Jahren rasant beschleunigt und durchdringt heute fast alle Lebensbereiche. Für ein hochentwickeltes und industrialisiertes Land wie die Schweiz eröffnet dies enorme ökonomische und gesellschaftliche Potenziale. Wir können von Effizienzsteigerungen, neuen Geschäftsmodellen und einer verbesserten Lebensqualität profitieren. Doch diese Entwicklung bringt auch erhebliche Herausforderungen [...]