Jul 6, 2021 von Dario Walder
Mit der Publikation des IKT-Minimalstandards durch den Bund verfügt die Schweiz seit 2018 über eine einheitliche, branchenübergreifende Vorgabe zum Schutz vor Cyber-Risiken. Doch wie genau sieht das aktuelle Sicherheitsniveau in der Schweiz aus? Besteht überhaupt noch Handlungsbedarf oder verfügen die Schweizer Organisationen und Unternehmen bereits über ein ausreichendes Sicherheitsniveau? Diese Fragen werden im Redguard Security Survey 2021 (PDF) beantwortet.
Zum dritten Jahr infolge publiziert die Redguard AG die Resultate ihrer Umfrage zum IKT-Minimalstandard. Auch dieses Jahr haben wir wieder weit über 1'000 Organisationen angeschrieben und sie gebeten, eine Selbsteinschätzung zu ihrem aktuellen Sicherheitsniveau abzugeben. Um letzteres zu erheben, haben wir basierend auf dem IKT-Minimalstandard einen Quick-Test entwickelt.
Immer noch ist eine grosse Anzahl von Organisationen unzureichend vorbereitet für Cyber-Security-Vorfälle. Sowohl präventive Massnahmen aber insbesondere auch reaktive Aspekte werden laut Aussagen der Umfrageteilnehmenden nur unzureichend adressiert. So gaben beispielsweise knapp zwei Drittel der befragten Organisationen an, nur unzureichend auf einen Vorfall vorbereitet zu sein (z.B. mit einer Incident Management Planung oder einem Business Continuity Plan).
Informationssicherheit ist kein Zustand, welchen man endgültig erzielen kann, sondern ein Prozess, welchen man lebt, sowie ständig überprüft und weiterentwickelt. So muss man auch der Realität entgegentreten, dass eine Organisation nie hundertprozentig gegen Cyber-Risiken gewappnet ist und ein Vorfall trotz aller Massnahmen grundsätzlich jederzeit eintreten kann. Die Vorbereitung auf einen Vorfall mit einem entsprechenden Backup, dessen Wiederherstellung regelmässig getestet wird, ist ein erster Schritt in die richtige Richtung. Jedoch sollte sich jede Organisation auch Gedanken machen, wie konkret bei einem Vorfall reagiert werden kann (Incident Management) und welche Prozesse noch aufrechterhalten werden können (Business Continuity Management). Das letzte Jahr hat uns gezeigt, dass die unzureichende Vorbereitung auf einen Vorfall gar über die weitere Existenz einer Organisation mitentscheiden kann. Die Swiss Windows AG beispielsweise sah sich nach einem Ransomware-Angriff, welcher zu einem Produktionsausfall führte, gezwungen, Konkurs anzumelden. Solche Produktionsausfälle müssen nicht sein und um diesen entgegenzuwirken, hat das Bundesamt für wirtschaftliche Landesversorgung den IKT-Minimalstandart publiziert. Mit dessen Hilfe kann sich eine Organisation sowohl präventiv vor Vorfällen schützen, aber auch eine Systematik entwickeln, durch welche die Organisation ihre Kernprozesse möglichst resilient gestaltet (BCM) und rasch betroffene Systeme wiederherstellen kann.
Die Ergebnisse der Redguard Security Survey basieren auf einer Selbsteinschätzung der teilnehmenden Unternehmen. Unternehmen und Organisationen erhalten mit dem Quick-Test die Chance, ihr Sicherheitsniveau in kurzer Zeit einzuschätzen und darauf basierend weitergehende Massnahmen abzuleiten.
Der von Redguard entwickelte Quick-Test zum IKT-Minimalstandard besteht aus zehn Fragen, welche auf die Kernelemente des IKT-Minimalstandards abzielen. Dabei werden die Themen Risikomanagement, Cyber-Security-Strategie, Awareness & Training, Überwachung von Systemen, Incident Management, Business Continuity Management, Disaster Recovery sowie Krisenkommunikation abgedeckt.
Abbildung 1: Befragte Unternehmen nach Branche (%)
Redguard hat über 1’000 Schweizer Organisationen eingeladen, ihr Sicherheitsniveau mittels Quick-Test zum IKT-Minimalstandard einzuschätzen. Auch dieses Jahr haben sich mit 179 Organisationen aus verschiedenen Branchen eine grosse Anzahl für den Standard interessiert und ihre Selbsteinschätzung abgegeben.
Abbildung 2: Befragte Unternehmen
nach Anzahl Mitarbeitenden
Abbildung 3: Ergebnisse der Redguard Security Survey
Ein Blick auf die Antworten (Tabelle 1) aufgeteilt in die fünf Funktionen des IKT-Minimalstandards verdeutlicht, dass nur gerade 36% der Organisationen der Ansicht sind, das vom IKT-Minimalstandard geforderte Sicherheitsniveau zu erreichen.
Auffällig dabei ist, dass sich Unternehmen bei den Funktionen Identifizieren, Schützen und Erkennen deutlich besser bewerten als bei den zwei Funktionen Reagieren und Wiederherstellen.
Eine mögliche Erklärung dafür ist, dass Ransomware-Vorfälle erstens erhebliches Verbesserungspotential bei der korrekten Reaktion auf Cyber-Security-Vorfälle und zweitens die Wichtigkeit von Reaktions- und Wiederherstellungsplänen aufgezeigt haben.
Ausserdem fällt auf, dass sich das Sicherheitsniveau in den letzten beiden Jahren stagniert oder sich gar kontinuierlich verschlechtert hat. So haben sich, wie in Tabelle 2 ersichtlich, die Funktionen Schützen, Erkennen und Reagieren über die letzten beiden Jahre gesehen verschlechtert, während sich die Wiederherstellungsfähigkeiten leicht verbessert haben und die Fähigkeiten im Bereich Identifizieren gleichgeblieben sind. Dies lässt darauf schliessen, dass Organisationen (insbesondere KMU) den IKT-Minimalstandard nur bedingt selbständig umsetzen können und auf externe Unterstützung, beispielsweise durch Redguard angewiesen sind.
Tabelle 1: Survey Ergebnisse bezüglich der fünf Funktionen
Tabelle 2: Ergebnisse in Zahlen im Jahresvergleich
Abbildung 4: Incident Management Prozess für Cyber-Security-Vorfälle
Abbildung 5: Definierte und getestete Disaster Recovery /
Business Continuity Management
Abbildung 6: Vorhandensein eines Kommunikationsplans
Der IKT-Minimalstandard ist so konzipiert, dass er von allen Unternehmen unabhängig von Branche und Grösse umgesetzt werden kann. Trotz Leitfaden und Assessment Tool des Bundesamts für wirtschaftliche Landesversorgung ist fundiertes Fachwissen sowie eine pragmatische Handhabung für eine erfolgreiche Umsetzung des IKT-Minimalstandards essentiell. Redguard unterstützt Unternehmen bei der Umsetzung des IKT-Minimalstandards:
Die kompletten Resultate des Redguard Security Survey 2021 stehen Ihnen auch als PDF zum Herunterladen zur Verfügung:
Redguard Security Survey 2021 (deutsch)
Redguard Security Survey 2021 (französisch)
Lesen Sie alle Redguard Security Surveys: