Als ehemaliger CISO eines Energieversorgungsunternehmens sah ich es als meine Verantwortung, nicht nur präventive Massnahmen zu ergreifen und auf Cybervorfälle zu reagieren, sondern auch sicherzustellen, dass wir aus jeder Erfahrung lernten. Die Funktion “Reagieren (Respond)” des IKT-Minimalstandards ist für mich weit mehr als nur die Reaktion auf einen Vorfall. Sie umfasst entscheidende Schritte zur Analyse und Verbesserung, die ich für die langfristige Resilienz als absolut unverzichtbar erachte.
Analyse und Ursachenforschung (Analysis)
Nach jedem Vorfall, ob gross oder klein, war für mich die tiefgehende Analyse entscheidend. Der IKT-Minimalstandard fordert, dass wir Vorfälle umfassend analysieren, um ihre Auswirkungen zu verstehen und die Ursachen zu ermitteln. In meiner Praxis bedeutet das, dass wir die Vorfälle auf ihre Methodik und Schwachstellen untersuchen und Optimierungen an den Prozessen ableiten.
Dabei geht es nicht nur um die technische Forensik, wer hat was wann gemacht? Es geht auch darum zu verstehen, warum unsere bestehenden Kontrollen möglicherweise nicht gegriffen haben. War es ein Prozessfehler, eine technologische Lücke oder menschliches Versagen? Diese ehrliche Selbstreflexion war für mich der Schlüssel, um zukünftige Vorfälle zu verhindern oder ihre Auswirkungen zu minimieren.
Implementierung von Verbesserungen (Improvements)
Die Analyse allein ist nutzlos, wenn daraus keine konkreten Massnahmen abgeleitet werden. Der IKT-Minimalstandard betont, dass wir die Ergebnisse unserer Analysen nutzen müssen, um unsere bestehenden Strategien und Prozesse kontinuierlich zu verbessern. Als CISO sehe ich es als meine Aufgabe, dafür zu sorgen, dass identifizierte Schwachstellen nicht nur dokumentiert, sondern auch zeitnah behoben werden.
Das kann die Anpassung von Sicherheitsrichtlinien bedeuten, die Implementierung neuer Schutztechnologien, die Verbesserung unserer Detektionsmechanismen oder die Intensivierung von Mitarbeiterschulungen. Meine Erfahrung zeigt, dass es hier entscheidend ist, eine Kultur der kontinuierlichen Verbesserung zu etablieren, bei der jeder im Team dazu beitragen kann, unsere Sicherheit zu stärken.
Dokumentation und Kommunikation (Documentation and Communication)
Jeder Vorfall und die daraus abgeleiteten Massnahmen müssen klar und transparent dokumentiert werden. Das ist für mich als CISO nicht nur wichtig für die Nachvollziehbarkeit und für Audits, sondern auch für das Gedächtnis. Zudem ist die Kommunikation der Erkenntnisse und Verbesserungen an relevante Stakeholder (intern wie extern) von grosser Bedeutung, um Vertrauen zu erhalten und die Zusammenarbeit zu fördern. Dies ist ein Punkt, den ich persönlich sehr ernst nehme.
Meine persönliche Meinung
Als CISO bin ich der festen Überzeugung, dass unsere Fähigkeit, aus jedem Cybersecurity-Vorfall zu lernen und uns anzupassen, unsere grösste Stärke ist. In der schnelllebigen Bedrohungslandschaft gibt es keinen Stillstand. Die konsequente Umsetzung der Analyse- und Verbesserungsphasen des “Respond”-Bereichs im IKT-Minimalstandard ist für mich der Beweis, dass wir nicht nur reagieren, sondern proaktiv unsere Resilienz steigern. Es ist diese ständige Reflexion und Anpassung, die uns ermöglicht, die Sicherheit des Unternehmens langfristig zu gewährleisten.