Blog

Redguard Security Survey 2025 – Wie steht es um die Cyber Security von Schweizer Unternehmen?

Apr 11, 2025 von Yanik Botta

Lesen Sie, wie sich das Cyber-Sicherheitsniveau von Schweizer Organisationen und Unternehmen in den letzten sieben Jahren entwickelt hat. Die Ergebnisse orientieren sich am IKT-Minimalstandard und decken unter anderem wichtige Kernelemente wie Risikomanagement, Lieferantenmanagement, Awareness und Training, Monitoring und Log-Management, Incident Management, Business Continuity Management sowie Krisenkommunikation ab. Die teilnehmenden Unternehmen schätzten jeweils ihr aktuelles Sicherheitsniveau anhand unseres Quick-Tests ein. Erfahren Sie, welche Massnahmen sich in Anbetracht der erhobenen Resultate besonders anbieten.

Inhalt

Redguards Security Survey zum siebten Jahr in Folge

Mit der Publikation des IKT-Minimalstandards durch den Bund verfügt die Schweiz seit 2018 über eine einheitliche, branchenübergreifende Vorgabe zum Schutz vor Cyber-Risiken. Die Einhaltung dieses Standards wird nun zunehmend für Betreiber kritischer Infrastrukturen zur Pflicht. So wurden beispielsweise sowohl im Strom- als auch im Gassektor verbindliche Maturitätswerte für die betroffenen Unternehmen definiert. Es ist davon auszugehen, dass eine ähnliche Regulierung in anderen Branchen folgen wird. Doch wie steht es um das aktuelle Sicherheitsniveau von Schweizer Unternehmen? Bereits zum siebten Mal publiziert die Redguard AG die Resultate ihrer Umfrage zum IKT-Minimalstandard.

Cybersicherheit in der Chefetage: Unterstützung bleibt essenziell

Cybersicherheit bleibt ein wichtiges Thema auf Führungsebene, und die Unterstützung durch das Management zeigt sich weiterhin deutlich. In diesem Jahr geben 77% der Unternehmen an, dass sie die volle Rückendeckung der Führungsetage genießen – ein leichter Rückgang im Vergleich zum Vorjahr (80%), der jedoch zeigt, dass das Thema nach wie vor ernst genommen wird. Gleichzeitig bleibt der Anteil der Unternehmen, die kaum Unterstützung spüren, mit 3% gering (Vorjahr: 2%).

Beim Budget zeichnet sich eine positive Entwicklung ab: Über zwei Drittel der Unternehmen empfinden ihre finanziellen Mittel für die Cyber-Resilienz als ausreichend – ein Anstieg im Vergleich zum Vorjahr. Dennoch gibt rund ein Drittel der Befragten an, dass die vorhandenen Mittel nicht ausreichen, was zeigt, dass die Ressourcenverteilung weiterhin eine wichtige Herausforderung bleibt.

Abbildung 1: Ist Unterstützung des Managements vorhanden?
Abbildung 2: Reicht das vorhandene Security-Budget?

Redguards Quick-Test-Assessment

Die Ergebnisse der Redguard Security Surveys basieren auf einer Selbsteinschätzung der teilnehmenden Unternehmen und Organisationen. Diese erhalten mit dem Quick Test die Chance, ihr Sicherheitsniveau in kurzer Zeit einzuschätzen und darauf basierend weitergehende Massnahmen abzuleiten.

Der von Redguard entwickelte Quick-Test zum IKT-Minimalstandard besteht aus 17 Fragen, welche auf die Kernelemente des IKT-Minimalstandards abzielen. Dabei werden die Themen Inventarisierung, Risikomanagement, Lieferantenmanagement, Fernzugriffe, Awareness und Training, Monitoring und Log-Management, Business Continuity Management sowie Krisenkommunikation abgedeckt.

Abbildung 3: Befragte Unternehmen nach Branche (%)

An der Umfrage teilnehmende Organisationen

Redguard hat rund 2’000 Schweizer Organisationen eingeladen, ihr Sicherheitsniveau mittels Quick-Test zum IKT-Minimalstandard einzuschätzen. Auch dieses Jahr haben sich über 100 Organisationen aus verschiedenen Branchen für den Standard interessiert und ihre Selbsteinschätzung abgegeben.

Abbildung 3 zeigt, dass die Ergebnisse des Security Surveys wieder einmal breit abgestützt sind. Die teilnehmenden Unternehmen und Organisationen stammen aus den unterschiedlichsten Branchen, wobei die Ausprägung sehr ausgewogen ist. Gleichzeitig haben Unternehmen unterschiedlichster Grösse zum Redguard Security Survey beigetragen, wie wir in der Abbildung 4 sehen. Bei 23% handelt es sich nach Angaben der Teilnehmenden um grosse Unternehmen mit über 500 Mitarbeitenden. Den grösseren Anteil machen KMUs aus mit 37% Kleinunternehmen (1-50 MA) und 17% mittelgrossen Unternehmen (50-200 MA).

Abbildung 4: Befragte Unternehmen nach Anzahl Mitarbeitenden

IKT-Minimalstandard – gesteigertes Maturitätsniveau

Im Rahmen der diesjährigen Umfrage bewerteten die Teilnehmenden ihr Maturitätsniveau über alle fünf Funktionen entweder als gleichbleibend oder sogar tiefer als letztes Jahr. So bewegt sich der Gesamtscore aller Unternehmen mit 2.34 um ein Zehntel tiefer als letztes Jahr und auch noch immer unter dem «inoffiziellen» Minimalwert von 2.6.

Den höchsten Wert verzeichnet, wie schon in den vergangenen Jahren, die Funktion «Schützen» mit 2.7. Die Umsetzung technischer Sicherheitsmassnahmen scheint damit den Befragten deutlich einfacher zu fallen als die doch relativ stark von prozess- und organisationsbehafteten Themen wie zum Beispiel BCM (Wiederherstellen) oder Risikomanagement (Identifizieren).

Der stärkste Rückgang (-0.18) der Maturitätseinschätzung wurde im Bereich Reagieren verzeichnet. Dies könnte mutmasslich damit begründet werden, dass in diesem Jahr mehr Kleinunternehmen (<50 Mitarbeitende) an der Umfrage teilgenommen haben, welche tendenziell im Bereich der Notfallvorsorge schlechter aufgestellt sind als mittlere und grosse Unternehmen. Redguard hat diesen Bedarf erkannt und betreut Kunden einerseits bei der Vorbereitung auf Vorfälle im Rahmen von CISOaaS-Mandaten und seit rund drei Jahren in Form eines Incident Response Teams, welches Ihnen im Falle einer Cyberattacke zur Seite steht und wertvolle Unterstützung leisten kann.

Schlusslicht bezüglich des Maturitätsniveaus bildet seit Jahren die Funktion «Wiederherstellen». Über mögliche Gründe dafür lässt sich spekulieren, die Erfahrungen in den Kundenprojekten der Redguard haben jedoch gezeigt, dass die Unternehmen das Thema Business Continuity Management (BCM) aufgrund seiner Komplexität lange Zeit vor sich hergeschoben haben.

Abbildung 5: Ergebnisse des Redguard Security Surveys 2025
Abbildung 6: Entwicklung Maturitätslevel und Vergleich zum Vorjahr
Tabelle 1: Ergebnisse in Zahlen im Jahresvergleich

Redguard hilft Ihnen, den IKT-Minimalstandard zu erfüllen

Der IKT-Minimalstandard ist so konzipiert, dass er von allen Unternehmen unabhängig von Branche und Grösse umgesetzt werden kann. Trotz Leitfaden und Assessment Tool des Bundesamts für wirtschaftliche Landesversorgung ist fundiertes Fachwissen sowie eine pragmatische Handhabung für eine erfolgreiche Umsetzung des IKT-Minimalstandards essenziell. Redguard unterstützt Unternehmen bei der Umsetzung des IKT-Minimalstandards:

Identifizieren – Kennen Sie Ihre Risiken und gehen Sie Informationssicherheit strategisch an

  • Redguard unterstützt Sie dabei, die Cyber-Risiken Ihrer Organisation zu identifizieren und systematisch zu erheben. Basierend auf Ihren Risiken erstellen Sie gemeinsam mit uns eine Informationssicherheitsstrategie, um diese Risiken zu behandeln sowie zu kontrollieren.
  • Prüfen Sie, inwiefern Ihre Daten ausserhalb ihrer Infrastruktur bearbeitet werden und erlassen Sie entsprechende Vorgaben zum Umgang mit Ihren Unternehmensdaten durch Dritte. Redguard hilft Ihnen dabei.

Schützen – Schulen Sie Ihre Mitarbeitenden und schützen Sie Ihre Systeme

  • Erarbeiten Sie Vorgaben zum Schutz Ihrer Systeme und setzen Sie diese um. Redguard hilft Ihnen bei der Definition der richtigen Massnahmen in den Bereichen Zugriffsmanagement, Firewall und Netzwerkzonenkonzept sowie Schutz vor Malware.
  • Technische Massnahmen allein reichen nicht: Schulen Sie Ihre Mitarbeitenden und zeigen Sie Ihnen, welchen Beitrag diese zur Informationssicherheit leisten können. Redguard unterstützt Sie mit E-Learning-Einheiten, klassischen Schulungsangeboten, Live Hackings und Phishing-Kampagnen oder einem kompletten Managed Service im Bereich Awareness.

Erkennen – Kennen Sie Ihre Schwachstellen und testen Sie Ihre Verteidigung

  • Richten Sie Ihre Systeme und Prozesses so ein, dass Sie in der Lage sind, mögliche Sicherheitsvorfälle und Anomalien zu erkennen.
  • Sammeln Sie zentralisiert Log-Dateien um die Nachvollziehbarkeit zu erhöhen und im Falle eines Angriffs die Arbeit der Incident Responder und IT-Forensiker zu erleichtern.
  • Stellen Sie Ihre Systeme und Informationssicherheit mit Penetration Tests oder einer Angriffssimulation auf die Probe. Die Spezialisten von Redguard führen in Ihrem Auftrag zielgerichtete Tests sowie Angriffe durch und zeigen Ihnen damit Verbesserungsmöglichkeiten auf.

Reagieren – Planen und üben Sie Ihre Reaktion auf Cyber-Security-Vorfälle

  • Reaktionspläne helfen Ihnen, um im Ernstfall richtig zu reagieren und Zeit zu gewinnen. Mit einem Reaktionsplan haben Sie viele Fragen bereits im Vorfeld beantwortet: Wer ist in Ihrer Organisation zuständig bei einem Cyber Security-Vorfall? Wie informieren Sie Ihre Mitarbeitenden und Kunden? Stellen Sie die Systeme komplett ab oder halten Sie einen Notbetrieb aufrecht?
  • Bei Redguard können Sie den Ernstfall mittels einer Tabletop-Übung trainieren. Spielen Sie ein auf Ihre Organisation abgestimmtes Szenario Schritt für Schritt durch und leiten Sie daraus Verbesserungsmöglichkeiten und Massnahmen ab.

Wiederherstellen – Zurück zur Normalität

  • Erstellen Sie einen Wiederherstellungsplan und setzten Sie sich konkrete Wiederherstellungsziele: Wie lange können Sie maximal ohne Ihre Systeme auskommen? Wie viel Datenverlust können Sie in Kauf nehmen?
  • Definieren Sie ihre Kommunikationsstrategie bereits im Vorfeld, um selbst in Krisensituationen souverän gegenüber Ihren Stakeholder auftreten zu können.
  • Redguard hilft Ihrer Organisation, das empfohlene minimale Sicherheitsniveau bei der Funktion Wiederherstellen zu erreichen, indem wir gemeinsam mit Ihnen Wiederherstellungspläne erarbeiten.

Ganzheitliche Umsetzung des IKT-Minimalstandards

Konzentrieren Sie sich auf Ihr Kerngeschäft, während wir Ihre Informationssicherheit auf ein neues Level heben. Durch ein Team mit rund 100 Sicherheitsspezialisten bieten wir vollumfängliche Dienstleistungen aus einer Hand.

Standortbestimmung nach IKT-Minimalstandard

Bestimmen Sie Ihre Maturität im Bereich Informationssicherheit durch eine unabhängige Stelle. Unsere Spezialisten prüfen Ihre Systeme, Dokumente und Prozesse. Daraus gewonnene Erkenntnisse werden in Interviews vertieft thematisiert. Als Lieferobjekt erhalten Sie einen Bericht mit den identifizierten Schwachstellen wie auch Massnahmen und konkreten Handlungsempfehlungen zu deren Behandlung und Verbesserung der Informationssicherheit.

CISOaaS – Umsetzung und Aufrechterhaltung des IKT-Minimalstandards

Mit der Dienstleistung «Security Officer as a Service» verfügen Sie über Ihren persönlichen Ansprechpartner, der Ihnen mit dem gesamten Know-how von Redguard zur Verfügung steht. Ihr Ansprechpartner setzt die Handlungsempfehlungen aus der Standortbestimmung als Projektleiter bei Ihrer Organisation um. Gleichzeitig sorgt er dafür, dass der IKT-Minimalstandard eingehalten und der Maturitätsgrad kontinuierlich verbessert wird.

Unterstützung bei einem Incident

Sollten Sie aller Massnahmen zum Trotz von einem Cyber Security-Vorfall betroffen sein, so steht Ihnen unser Incident Response Team jederzeit zur Verfügung. Garantierte Verfügbarkeit mit vorgängigem Agreement.

OT-Security im Blick

Der IKT-Minimalstandard richtet sich sowohl an die IT- als auch an die OT-Infrastruktur. Beide Bereiche verschmelzen zunehmends. Dementsprechend ist ein ganzheitlicher Ansatz zur Sicherung der OT-Komponenten notwendig. Unsere Security-Experten verbinden die Sichten beider Welten und helfen Ihnen dabei, ein ganzheitliches Sicherheitsdispositiv für beide Teilbereiche aufzubauen.

Empfohlene Massnahmen

Business Continuity Management (BCM)

Die Sicherstellung des Geschäftsbetriebes in einem Notfall oder eine Krise ist elementar. Viele Schritte können diesbezüglich bereits im Vorfeld in Ruhe geplant und vorbereitet werden um bestmöglichst gewappnet zu sein. Wir unterstützen Sie in der Analyse ihrer kritischen Geschäftsprozesse und Assets in Form einer Business Impact Analyse (BIA) und erarbeiten gemeinsam mit Ihnen die notwendigen Notfallpläne. Die praxisnahen Erfahrungen unserer Incident-Responder aus echten Vorfällen fliessen dabei in Ihre Notfallvorsorge ein.

Incident Response Team – Im Notfall nicht allein

Wir unterstützen Sie rund um die Uhr bei der Eindämmung und der Analyse von Cyber-Vorfällen und bei der Wiederherstellung Ihres Geschäftsbetriebs. Ihr Incident Response Team deckt alle notwendigen Expertisen ab (Technologie, regulatorische Vorgaben usw.) und ist mit Behörden und anderen IR-Teams im ständigen Kontakt. Wir sorgen für einen strukturierten Ablauf und kühle Köpfe.
Weitere Informationen: www.redguard.ch/security-incident

SOC as a Service

Mit unserem cloud-basierten Security Operations Center lagern Sie Ihre Cybersicherheit an Redguard-Experten unserer Schwesterfirma FusionOne aus. Das Serviceangebot ist für alle Organisationen und Unternehmen zugänglich, die Microsoft 365 nutzen. Das SOC wurde auch mit KMUs entwickelt und getestet und erfüllt deren Bedürfnisse an ihren Alltag und ihr Budget.
Weitere Informationen: www.fusionone.ch

Machen Sie jetzt den Test

Machen Sie jetzt unseren Cyber Security Quick Test (DE: www.ikt-redguard.ch / FR: www.ikt-fr.redguard.ch) und leiten Sie daraus Massnahmen ab. Sie möchten die Sicherheit Ihrer Organisation in guten Händen wissen? Rufen Sie uns an – Wir beraten Sie unverbindlich.


Cet article de blog est également disponible en français :

Redguard Security Survey 2025 (français)

Lesen Sie den letzten Redguard Security Survey:

Redguard Security Survey 2024


< zurück