Cybersicherheit ist längst kein Thema mehr, das nur Grossunternehmen betrifft. Spätestens seit der verpflichtenden Einführung des IKT-Minimalstandards für Betreiber kritischer Infrastrukturen in der Schweiz stehen auch viele KMUs, insbesondere in der Energie- und Industriebranche, vor einer klaren regulatorischen Realität: Wer bestimmte Anforderungen nicht erfüllt, riskiert nicht nur einen Cybervorfall, sondern auch rechtliche Konsequenzen und den Verlust von Geschäftsbeziehungen.
Dieser Beitrag erklärt, was der IKT-Minimalstandard konkret bedeutet, wen er betrifft, welche fünf Bereiche er abdeckt und vor allem was Sie als Geschäftsführerin, IT-Leiter oder Verwaltungsrat heute schon tun können, um handlungsfähig zu werden.
Was ist der IKT-Minimalstandard und woher kommt er?
Der IKT-Minimalstandard wurde vom Bundesamt für wirtschaftliche Landesversorgung (BWL) in Zusammenarbeit mit weiteren Bundesstellen entwickelt. Er basiert auf dem NIST Cybersecurity Framework, einem international etablierten Rahmenwerk für Informationssicherheit, und wurde auf die Schweizer Verhältnisse und Anforderungen angepasst.
Das Ziel ist klar: Unternehmen, die für die Gesellschaft wichtige Dienstleistungen erbringen, sollen ein Mindestniveau an IT-Sicherheit nachweisen können. Der Standard beschreibt dabei nicht, welche Technologien eingesetzt werden müssen, sondern welche Fähigkeiten und Prozesse vorhanden sein sollen. Das macht ihn flexibel, aber auch interpretationsbedürftig.
Wen betrifft der IKT-Minimalstandard in der Schweiz?
Direkt verpflichtet sind Betreiber kritischer Infrastrukturen: Energieversorger, Wasserversorgung, Gesundheitswesen, Transport und weitere Sektoren, die für das Funktionieren der Gesellschaft essenziell sind. Für diese Unternehmen ist die Einhaltung des Standards keine Empfehlung, sie ist Pflicht.
Für andere KMUs gilt: Der Standard ist zwar nicht gesetzlich vorgeschrieben, aber er wird zunehmend zur faktischen Anforderung. Grossabnehmer in der Industrie verlangen von ihren Lieferanten Nachweise über Informationssicherheit. Versicherungen stellen bei Cyberpolizzen ähnliche Fragen. Und Banken sowie Investoren schauen genauer hin, ob ein Unternehmen seine digitalen Risiken im Griff hat.
Kurz: Wer heute nicht vorbereitet ist, wird morgen unter Druck geraten, ob durch Regulierung, Kundenforderungen oder einen Vorfall.
Die 5 Bereiche des IKT-Minimalstandards – verständlich erklärt
Der Standard gliedert sich in fünf Funktionsbereiche, die aufeinander aufbauen:
1. Identifizieren
Bevor Sie irgendetwas schützen können, müssen Sie wissen, was Sie haben. Welche Systeme, Daten und Prozesse sind für Ihr Unternehmen kritisch? Wer hat Zugriff auf welche Informationen? Diese Bestandsaufnahme ist der Ausgangspunkt jeder sinnvollen Sicherheitsstrategie.
2. Schützen
Hier geht es um technische und organisatorische Massnahmen: Zugriffskontrollen, regelmässige Software-Updates, sichere Passwortrichtlinien, verschlüsselte Kommunikation und die Schulung von Mitarbeitenden. Schutz bedeutet nicht, alles abzuriegeln, sondern die richtigen Türen zu schliessen.
3. Erkennen
Viele Cyberangriffe bleiben wochenlang unbemerkt. Wer nicht aktiv überwacht, erfährt von einem Einbruch oft erst dann, wenn der Schaden bereits angerichtet ist. Monitoring-Systeme, Protokollierung und klare Meldewege sind hier entscheidend.
4. Reagieren
Was passiert, wenn trotz aller Schutzmassnahmen ein Vorfall eintritt? Ein dokumentierter Notfallplan, klare Verantwortlichkeiten und geübte Abläufe entscheiden darüber, ob ein Unternehmen einen Angriff kontrolliert bewältigt oder im Chaos versinkt.
5. Wiederherstellen
Nach einem Vorfall zählt jede Stunde. Regelmässige, getestete Backups und definierte Wiederherstellungsprozesse sind die Grundlage dafür, dass ein Unternehmen nach einem Angriff oder Ausfall schnell wieder arbeitsfähig ist.
Typische Lücken, was in KMUs häufig fehlt
In der Praxis zeigen sich immer wieder dieselben Schwachstellen. Nicht weil Unternehmen nachlässig wären, sondern weil IT-Sicherheit im Alltag zwischen Tagesgeschäft, Ressourcenmangel und fehlender Priorisierung untergeht.
Die häufigsten Lücken:
- Keine aktuelle Übersicht der IT-Systeme, Zugriffsrechte und Verantwortlichkeiten
- Backups vorhanden, aber nie auf Wiederherstellbarkeit getestet
- Kein definierter Ansprechpartner für den Ernstfall
- Mitarbeitende wissen nicht, wie und wo sie einen Sicherheitsvorfall melden sollen
- Fehlende Dokumentation, die bei einem Audit oder einer Versicherungsanfrage vorgelegt werden könnte
Diese Lücken sind behebbar, aber nur, wenn man weiss, wo man steht.
Praxisbeispiel
Ein Unternehmen mit rund 80 Mitarbeitenden stand vor der Frage, ob er die Anforderungen des IKT-Minimalstandards erfüllt. Die IT wurde von einem kleinen Team betreut, das primär mit dem Betrieb der Systeme ausgelastet war. Eine strukturierte Sicherheitsstrategie fehlte.
Im Rahmen eines Gap-Assessments wurden die fünf Bereiche des Standards systematisch überprüft. Das Ergebnis: In den Bereichen «Identifizieren» und «Wiederherstellen» bestanden die grössten Lücken. Es gab keine vollständige Inventarliste der IT/OT-Systeme, und die Backup-Prozesse waren zwar vorhanden, aber nie getestet worden.
Innerhalb von drei Monaten wurden die kritischsten Massnahmen umgesetzt: eine Systemübersicht erstellt, Backup-Tests durchgeführt und ein einfacher Notfallplan dokumentiert. Das Unternehmen war damit nicht zertifiziert, aber handlungsfähig und nachweisbar auf dem richtigen Weg.
Was Sie heute konkret tun können
Der erste Schritt muss kein grosses Projekt sein. Drei Massnahmen, die Sie sofort angehen können:
- Bestandsaufnahme: Listen Sie Ihre kritischen IT-Systeme und Zugriffsrechte auf. Wer hat Zugriff auf was und warum?
- Backup-Test: Prüfen Sie, ob Ihre Backups aktuell sind und ob Sie im Ernstfall tatsächlich darauf zurückgreifen können.
- Verantwortlichkeit klären: Bestimmen Sie eine Person, die im Ernstfall die Koordination übernimmt, und kommunizieren Sie das intern.
Diese drei Schritte kosten keine grossen Ressourcen, aber sie schaffen Klarheit. Und Klarheit ist der Anfang jeder wirksamen Sicherheitsstrategie.
Mein Experten-Tipp
Der IKT-Minimalstandard ist kein bürokratisches Hindernis. Er ist ein strukturierter Rahmen, der Ihnen hilft, die richtigen Fragen zu stellen und die richtigen Prioritäten zu setzen. Wer heute damit beginnt, ist morgen besser aufgestellt, regulatorisch, operativ und gegenüber Kunden und Partnern.
Der erste Schritt ist eine ehrliche Bestandsaufnahme. Alles andere baut darauf auf.
Jetzt handeln
Sie möchten wissen, wo Ihr Unternehmen beim IKT-Minimalstandard steht? Wir bieten einen strukturierten Check an, der Ihnen in kurzer Zeit einen klaren Überblick gibt, ohne Fachchinesisch, ohne unnötigen Aufwand.
