Unternehmen der kritischen Infrastruktur (KRITIS) stehen im Zentrum unserer Gesellschaft. Sie liefern Strom, Wasser, medizinische Versorgung, Transport oder Telekommunikation. Fällt eine dieser Leistungen aus, hat das weitreichende Folgen, für die Bevölkerung, für die Wirtschaft und für die nationale Sicherheit.

Darum gelten für KRITIS-Unternehmen besondere Anforderungen an Informationssicherheit. In der Schweiz gibt der IKT-Minimalstandard eine Orientierung vor. Viele Führungskräfte halten ihn für zu technisch oder sehen ihn nur als Compliance-Übung. Doch in meiner Arbeit mit KRITIS-Unternehmen habe ich gelernt, wer die Prinzipien versteht, gewinnt Resilienz und Handlungsfähigkeit, weit über Regulierung hinaus.

Warum der IKT-Minimalstandard wichtig ist?

Angriffe auf Energieversorger, Spitäler oder Transportunternehmen sind keine Fiktion mehr. Sie können die Versorgung unterbrechen und Vertrauen zerstören. Der IKT-Minimalstandard ist deshalb ein Kompass. Er hilft, die richtigen Prioritäten zu setzen, ohne sich in technischen Details zu verlieren.

Die 3 Kernbotschaften für Führungskräfte

1. Schutz der kritischen Geschäftsprozesse sicherstellen

Im Fokus stehen nicht einzelne IT-Systeme, sondern die Prozesse, die das Überleben sichern:

  • Stromversorgung
  • Trinkwasserqualität
  • Patientenversorgung

Die zentrale Frage lautet: Welche Prozesse dürfen auf keinen Fall ausfallen und wie stellen wir ihre Verfügbarkeit sicher?

2. Ganzheitlicher, risikobasierter Sicherheitsansatz

Sicherheit darf nicht nur in der IT-Abteilung stattfinden. Risiken entstehen auch in der OT (Operational Technology), bei Lieferanten oder durch menschliches Fehlverhalten.

In Assessments sehe ich oft, dass die IT ist abgesichert ist, aber die Produktionsanlagen oder Zulieferer bleiben aussen vor. Genau hier entstehen Lücken, die Angreifer nutzen.

3. Kontinuierliche Verbesserung und Reifegradsteigerung

KRITIS-Unternehmen sind besonders exponiert. Angreifer entwickeln sich permanent weiter. Deshalb darf Sicherheit nie „abgehakt“ werden. Der IKT-Minimalstandard betont, nur wer regelmässig überprüft, lernt und nachbessert, bleibt widerstandsfähig.

Meine Beobachtung aus der Praxis

In Projekten mit Energieversorgern habe ich gesehen:

  • Dort, wo die Geschäftsleitung die Prinzipien verstand, wurde Informationssicherheit Teil der Unternehmensstrategie und Krisen konnten beherrscht werden.
  • Dort, wo es als reine Pflichtübung abgearbeitet wurde, entstanden zwar Checklisten, aber keine echte Resilienz.

Der IKT-Minimalstandard ist kein technisches Dokument, sondern eine Orientierung für Führungskräfte in der kritischen Infrastruktur. Wer die drei Kernbotschaften versteht, Kritische Prozesse schützt, Risiken ganzheitlich managt, Sicherheit kontinuierlich verbessert, legt den Grundstein für Resilienz und Vertrauen.