11.08.2022 / Kategorie: CISO
Während in anderen europäischen Ländern IKT-Standards verpflichtend sind, ist der IKT-Minimalstandard (Minimalstandard zur Verbesserung der IKT-Resilienz) in der Schweiz lediglich eine Empfehlung, vor allem für Betreiber von kritischen Infrastrukturen, wie z. B. Energieversorgungsunternehmen. Dabei kann und sollte der Standard von allen Unternehmen als Hilfestellung und konkrete Handlungsanweisung zur Verbesserung ihrer IKT-Resilienz herangezogen werden.
Mit der Digitalisierung von Wirtschaft und Gesellschaft gehen enorme Risiken einher, gegen die sich nicht nur die Betreiber kritischer Infrastrukturen, sondern aller Organisationen und Unternehmen bestmöglich schützen müssen. Der Schweizer IKT-Minimalstandard liefert dafür ein vielseitig einsetzbares Hilfsmittel, das dabei unterstützt, die Resilienz der IKT-Infrastruktur zu verbessern. Durch seinen risikobasierten Ansatz ermöglicht der Standard die Umsetzung unterschiedlich strenger Schutzniveaus, angepasst an die Bedürfnisse der Organisation.
Der Standard ist in drei grosse Themengebiete eingeteilt:
Die Empfehlungen des IKT-Minimalstandards basieren auf einer Defense-in-Depth-Strategie. Darunter versteht man einen koordinierten Einsatz mehrerer Sicherheitsmassnahmen, um die IKT-Betriebsmittel in einem Unternehmen zu schützen. Die Strategie basiert auf dem militärischen Prinzip, dass es für einen Feind schwieriger ist, ein komplexes und mehrschichtiges Abwehrsystem zu überwinden als eine einzige Barriere. Gleichzeitig werden die Methoden und Vorgehensweisen der potenziellen Angreifer beobachtet, um darauf basierend entsprechende Abwehrdispositive vorzubereiten. Im IKT-Sicherheitsumfeld zielt ein Defense-in-Depth-Konzept darauf ab, Verletzungen der IKT-Sicherheit zu erkennen, darauf zu reagieren, sowie die Konsequenzen der Sicherheitsverletzung zu minimieren. Defense-in-Depth verfolgt einen holistischen Ansatz, welcher alle (IKT-)Betriebsmittel gegen beliebige Risiken zu schützen versucht. Die Ressourcen des Unternehmens sollen so eingesetzt werden, dass ein effektiver Schutz vor bekannten Risiken sowie eine umfassende Überwachung potenzieller zukünftiger Risiken gewährleistet ist. Die entsprechenden Massnahmen müssen die Gesamtheit der IKT-Systeme schützen. Dazu gehören Personen, Prozesse, Objekte, Daten und Geräte. Ein Angreifer stellt erst dann eine Bedrohung für ein IKT-System dar, wenn es ihm gelingt, eine existierende Schwachstelle in einem dieser Elemente auszunutzen. Organisationen und Unternehmen sind gehalten, die Massnahmen laufend zu überwachen und, wo nötig, an neue Bedrohungen anzupassen. Der Defense-in-Depth-Ansatz erschwert direkte Angriffe auf IKT-Systeme und erhöht die Wahrscheinlichkeit, auffälliges oder unübliches Verhalten innerhalb des Systems frühzeitig zu entdecken. Dieser Ansatz ermöglicht auch die Schaffung von gesonderten Zonen für die Implementierung von Technologien, die ein Eindringen ins System erkennen können.
Für die Umsetzung der Schutzmassnahmen richtet sich der IKT-Minimalstandard nach den fünf Funktionen des NIST Cybersecurity Framework Core. Die fünf Funktionen heissen Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen und werden im Standard mit ihren jeweils zugehörigen Subthemen genau behandelt.
Der IKT-Minimalstandard enthält einen Prüfungsteil, der das Vorgehen zur periodischen Überprüfung der Vollständigkeit und Wirksamkeit der eingesetzten Massnahmen beschreibt. Als Ergebnis der Überprüfung soll eine Aussage zum Reifegrad der eigenen Cybersecurity vorliegen. Durch die Prüfung können Lücken erkannt und Verbesserungsmassnahmen durchgeführt werden. Der Standard empfiehlt, die Prüfung mindestens einmal jährlich durchzuführen und gibt ein Bewertungsschema als Grundlage für die Einschätzung des eigenen Resilienzniveaus vor.
Cyberangriffe sind eine ernste Bedrohung für Unternehmen aller Grössen. Jedes Unternehmen ist ein potenzielles Ziel, unabhängig davon, ob es gross oder klein, alt oder neu, lokal oder global tätig ist. Unternehmen müssen erkennen, dass IT-Sicherheit kein Zustand ist, der erreicht werden kann. IT-Sicherheit ist ein Prozess, der laufend ausgeführt, evaluiert, angepasst und verbessert werden muss. Nur wenn Unternehmen bereit sind, kontinuierlich in die Sicherheit ihrer IT-Systeme zu investieren, können sie sich vor den immer ausgeklügelteren Methoden der Cyberkriminellen schützen. Der IKT-Minimalstandard kann und sollte als wertvolle Unterstützung dafür herangezogen werden.
Auf welchem Level befindet sich Ihre IKT-Resilienz? Nutzen Sie den IKT-Minimalstandard und prüfen Sie, wo noch Lücken bestehen oder wo Optimierungen notwendig sind. Kontaktieren Sie uns und unsere erfahrenen Cybersecurity-Experten unterstützen Sie dabei.
Links zu den Grundlagen des BWL:
https://www.bwl.admin.ch/bwl/de/home/themen/ikt/ikt_minimalstandard.htmlhttps://www.bwl.admin.ch/bwl/de/home/themen/ikt/ikt_minimalstandard/ikt_branchenstandards/Wasserversorgung.htmlhttps://www.bwl.admin.ch/bwl/de/home/themen/ikt/ikt_minimalstandard/ikt_branchenstandards/abwasser.htmlhttps://www.bwl.admin.ch/bwl/de/home/themen/ikt/ikt_minimalstandard/ikt_branchenstandards/gasversorgun.htmlhttps://www.bwl.admin.ch/bwl/de/home/themen/ikt/ikt_minimalstandard/ikt_branchenstandards/minimalstandard_strom.html
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications