Als ehemaliger CISO eines Unternehmens in der kritischen Infrastruktur sehe ich die Digitalisierung als Segen und gleichzeitig als Herausforderung. Sie eröffnet enorme Möglichkeiten, doch sie birgt auch Risiken, die wir nicht ignorieren dürfen. Deshalb liegt mein Fokus neben dem Schutz vor Cyber-Angriffen auch stark auf der Fähigkeit, sich schnell nach einem Vorfall erholen zu können. Die Funktion “Wiederherstellen (Recover)” des IKT-Minimalstandards ist für mich darum ein zentraler Punkt im ganzen Prozess.

Wiederherstellungsplanung (Recovery Planning)

Für mich ist ein Wiederherstellungsplan nicht nur eine Checkliste, sondern das absolute Rückgrat der IKT-Resilienz. Er muss detailliert sicherstellen, wie Systeme und Daten nach einem Vorfall schnellstmöglich wiederhergestellt werden können. Der IKT-Minimalstandard bestätigt meine Überzeugung, dass dieser Plan regelmässig gepflegt und getestet werden muss.

In meiner Praxis habe ich gelernt, dass es dabei nicht nur um technische Aspekte geht, z.B. Backups und redundante Systeme. Vielmehr müssen die organisatorischen Abläufe glasklar sein und die vier W-Fragen beantworten. Wer macht was, wann und in welcher Reihenfolge.

Wenn der Ernstfall eintritt, gibt es keine Zeit mehr für Interpretationen. Klare Verantwortlichkeiten und Kommunikationswege sind für mich als CISO entscheidend.

Regelmässige Tests der Wiederherstellungspläne sind für mich als CISO unerlässlich. Ich sehe sie als “Feuertaufe”. Nur so lässt sich sicherstellen, dass die Pläne in einem realen Szenario funktionieren. Diese Tests offenbaren oft Schwachstellen, die im normalen Betrieb unentdeckt bleiben würden, und geben die Möglichkeit, sich kontinuierlich zu verbessern.

Verbesserungen (Improvements)

Sicherheit ist für mich kein einmaliger Zustand, sondern ein dynamischer, kontinuierlicher Prozess. Das gilt insbesondere für den Wiederherstellungsprozesse. Der IKT-Minimalstandard betont völlig zu Recht, dass man aus vergangenen Cybersecurity-Vorfällen und den Erfahrungen bei Wiederherstellungen lernen und diese Erkenntnisse konsequent in die Verbesserung der Pläne einfliessen lassen soll.

Ich persönlich finde “Lessons Learned”-Workshops nach einem Vorfall unglaublich wertvoll. Sie helfen nicht nur, den konkreten Vorfall zu analysieren, sondern auch die Strategien und Prozesse kontinuierlich zu schärfen, um für zukünftige Ereignisse noch besser gerüstet zu sein. Das ist für mich der Kern der stetigen Verbesserung.

Kommunikation (Communications)

Im Falle eines schwerwiegenden Cybersecurity-Vorfalls ist die Kommunikation für mich als CISO absolut entscheidend, sowohl intern als auch extern. Der IKT-Minimalstandard fordert die Koordination der Wiederherstellungsaktivitäten mit allen internen und externen Partnern.

Aus meiner Sicht ist es unabdingbar, proaktiv zu kommunizieren, um das Vertrauen der Stakeholder zu erhalten und Spekulationen vorzubeugen. Eine transparente und zeitnahe Kommunikation hilft, die öffentliche Wahrnehmung aktiv zu steuern und das Unternehmen nach einem Vorfall wieder positiv darzustellen. Das ist eine grosse Verantwortung, die ich als CISO sehr ernst nehme.

Meine persönliche Meinung

Die Funktion “Wiederherstellen” wird aus meiner Sicht oft unterschätzt. Dabei ist sie das letzte Bollwerk unserer digitalen Verteidigung. Ein Unternehmen kann noch so gut geschützt sein, ein Restrisiko bleibt immer bestehen. Die Fähigkeit, schnell und effizient zu reagieren und wieder den Normalbetrieb aufzunehmen, ist daher für mich das ultimative Zeichen von Resilienz. Gerade in der kritischen Infrastruktur gibt es für mich keine Alternative zu einer exzellenten, geübten und stetig verbesserten Wiederherstellungsplanung.