Der IKT-Minimalstandard sorgt in vielen Organisationen für Verunsicherung. Neue Begriffe, neue Erwartungen und der Eindruck, alles müsse sofort und vollständig umgesetzt werden, führen schnell zu Aktionismus oder Blockade. Beides hilft nicht weiter.

Richtig verstanden ist der IKT-Minimalstandard kein Kontrollinstrument, sondern ein Orientierungsrahmen. Er soll Organisationen befähigen, Cyberrisiken systematisch zu erkennen, zu priorisieren und nachvollziehbar zu steuern – abgestimmt auf Grösse, Kritikalität und vorhandene Ressourcen.

Der entscheidende Unterschied liegt in der Einordnung: Was ist Pflicht, was Kür und wo beginnt ein pragmatischer Einstieg?

Was der IKT-Minimalstandard wirklich verlangt

Der IKT-Minimalstandard richtet sich insbesondere an Betreiber kritischer Infrastrukturen, wird aber zunehmend auch von Kunden, Partnern und Aufsichtsstellen als Referenz genutzt. Im Kern verfolgt er drei Ziele:

  • Transparenz über digitale Abhängigkeiten
  • Klare Verantwortlichkeiten auf Management-Ebene
  • Nachweisbare Steuerung zentraler Cyberrisiken

Dabei geht es nicht um perfekte Dokumente oder maximale technische Absicherung, sondern um Führungs- und Entscheidungsfähigkeit im Ernstfall.

Pflicht – das unverzichtbare Fundament

Die Pflicht umfasst jene Elemente, ohne die der Standard nicht erfüllt werden kann. Diese Punkte bilden das Minimum, das jede betroffene Organisation umsetzen muss – unabhängig von Branche oder Grösse.

1. Klare Verantwortung

Es muss eindeutig geregelt sein, wer für Informations- und Cybersicherheit verantwortlich ist. Diese Verantwortung liegt nicht bei der IT allein, sondern bei der Geschäftsleitung. Operative Aufgaben können delegiert werden – die Verantwortung nicht.

2. Kenntnis der kritischen Systeme

Organisationen müssen wissen:

  • Welche Systeme für den Betrieb kritisch sind
  • Welche Abhängigkeiten zu Dienstleistern und Cloud-Anbietern bestehen
  • Welche Ausfälle den Geschäftsbetrieb wesentlich beeinträchtigen würden

Ohne diese Transparenz ist keine wirksame Priorisierung möglich.

3. Risikobasierte Betrachtung

Der IKT-Minimalstandard verlangt keine vollständige Risikoanalyse nach Lehrbuch, wohl aber eine nachvollziehbare Einschätzung der wesentlichen Cyberrisiken – aus Geschäftssicht, nicht nur technisch.

4. Grundlegende Schutz- und Notfallmassnahmen

Dazu gehören unter anderem:

  • Basismassnahmen zur Zugriffssicherheit
  • Regelmässige Datensicherungen
  • Ein einfacher, verständlicher Notfallplan für Cybervorfälle

Nicht Perfektion ist entscheidend, sondern Umsetzbarkeit und Wirksamkeit.

Kür – Reifegrad gezielt erhöhen

Die Kür beginnt dort, wo Organisationen über das Minimum hinausgehen und ihre Cyberresilienz systematisch weiterentwickeln. Diese Massnahmen sind nicht zwingend vorgeschrieben, erhöhen aber Stabilität, Sicherheit und Entscheidungsqualität deutlich.

Typische Elemente der Kür sind:

  • Ein strukturiertes Informationssicherheits-Managementsystem (ISMS)
  • Regelmässige Management-Reports zu Cyberrisiken
  • Vertiefte Lieferanten- und Cloud-Risikobewertungen
  • Awareness-Programme für Mitarbeitende
  • Tests von Notfall- und Krisenprozessen

Wichtig: Die Kür ist kein Selbstzweck. Sie lohnt sich dort, wo digitale Abhängigkeiten hoch sind oder die Auswirkungen eines Vorfalls erheblich wären.

Der pragmatische Einstieg – so starten Sie sinnvoll

Viele Organisationen scheitern nicht an der Umsetzung, sondern am falschen Startpunkt. Ein pragmatischer Einstieg folgt drei einfachen Schritten:

Schritt 1: Einordnung statt Umsetzung

Bevor Massnahmen definiert werden, braucht es Klarheit:

  • Was ist für unseren Betrieb wirklich kritisch?
  • Wo bestehen reale Risiken – nicht theoretische?
  • Welche Anforderungen betreffen uns tatsächlich?

Diese Einordnung schafft Ruhe und Fokus.

Schritt 2: Pflicht sauber abdecken

Konzentrieren Sie sich bewusst auf die Pflicht:

  • Verantwortung klären
  • Kritische Systeme identifizieren
  • Risiken grob, aber ehrlich bewerten
  • Einfache, funktionierende Basisprozesse etablieren

Damit erfüllen Sie den Kern des Standards – ohne Überforderung.

Schritt 3: Kür priorisieren – nicht sammeln

Erst danach lohnt sich die Frage:

  • Welche zusätzlichen Massnahmen bringen uns konkret mehr Sicherheit?
  • Was passt zu unseren Ressourcen und unserer Organisation?

Weniger Massnahmen, dafür konsequent umgesetzt, sind wirksamer als ambitionierte Konzepte, die im Alltag verpuffen.

Häufige Missverständnisse und warum sie gefährlich sind

In der Praxis begegnen mir immer wieder dieselben Irrtümer:

„Wir brauchen zuerst neue Tools.“

Falsch. Der IKT-Minimalstandard ist primär ein Management-Thema, kein Technologieprojekt.

„Das betrifft nur die IT.“

Ebenfalls falsch. Cyberrisiken sind Geschäftsrisiken – mit Auswirkungen auf Betrieb, Haftung und Reputation.

„Wir müssen alles sofort umsetzen.“

Nein. Der Standard verlangt Nachvollziehbarkeit und Priorisierung, nicht Vollständigkeit.

Diese Missverständnisse führen oft zu unnötiger Panik oder ineffizientem Aktionismus.

Pflicht verstehen, Kür gezielt nutzen

Der IKT-Minimalstandard ist weder Panikmache noch Bürokratiemonster. Richtig angewendet schafft er:

  • Klarheit über Risiken und Abhängigkeiten
  • Struktur für Entscheidungen auf Geschäftsleitungsebene
  • Eine belastbare Grundlage für weitere Sicherheitsmassnahmen

Entscheidend ist nicht, wie viel umgesetzt wird, sondern wie bewusst und nachvollziehbar.