Lesen Sie, wie sich das Cyber-Sicherheitsniveau von Schweizer Organisationen und Unternehmen in den letzten acht Jahren entwickelt hat. Die Ergebnisse orientieren sich am IKT-Minimalstandard und decken unter anderem wichtige Kernelemente wie Risikomanagement, Lieferantenmanagement, Awareness und Training, Monitoring und Log-Management, Backup, Incident Management, Business Continuity Management sowie Krisenkommunikation ab. Die teilnehmenden Unternehmen schätzten jeweils ihr aktuelles Sicherheitsniveau anhand unseres Quick-Tests ein. Erfahren Sie, welche Massnahmen wir aufgrund der Umfrageergebnisse besonders empfehlen.

Inhalt

• IKT-Minimalstandard wird für immer mehr Branchen zur Pflicht
• Cyber-Sicherheit gewinnt an Gewicht
• Wie funktioniert das Redguard Quick-Test-Assessment?
• Beinahe 100 Schweizer Organisationen haben mitgemacht
• Gesteigertes Maturitätsniveau bei fast allen Funktionen – dennoch knapp unter dem Minimalwert
• Ausblick: Besserer Schutz für kritische Infrastrukturen werden gesetzlich verankert
• Wir helfen Ihnen, den IKT-Minimalstandard zu erfüllen
• Empfohlene Massnahmen: Ganzheitliche Umsetzung des IKT-Minimalstandards

IKT-Minimalstandard wird für immer mehr Branchen zur Pflicht

Mit der Publikation des IKT-Minimalstandards durch den Bund verfügt die Schweiz seit 2018 über eine einheitliche, branchenübergreifende Vorgabe zum Schutz vor Cyber-Risiken. Die Einhaltung dieses Standards wird nun für Betreiber kritischer Infrastrukturen zunehmend zur Pflicht. So sind seit 1. Juli 2024 für die Strombranche und seit 1. Juli 2025 für die Gasbranche spezifische Maturitätswerte verpflichtend. Es ist davon auszugehen, dass vergleichbare Vorgaben für weitere Branchen folgen. Doch wie steht es um das aktuelle Sicherheitsniveau von Schweizer Unternehmen? Bereits zum achten Mal publiziert die Redguard AG die Resultate ihrer Umfrage zum IKT-Minimalstandard.

Cyber-Sicherheit gewinnt an Gewicht

Grundsätzlich kann festgestellt werden, dass das Thema Cyber-Sicherheit im Verlauf der vergangenen Jahre massgeblich an Gewicht gewonnen hat und auch in den Führungsebenen der Unternehmen ernst genommen wird. Laut der diesjährigen Umfrage geben mittlerweile 85% (Vorjahr: 77%) der Unternehmen an, dass das Thema Cyber Security die volle Unterstützung des Managements geniesst. Auch auf personeller Ebene zeigt sich diese Professionalisierung. In 75% der befragten Organisationen ist die Zuständigkeit für Cyber Security definiert und auch personell besetzt. Beim Thema der finanziellen Mittel zeigt sich ein recht stabiles Bild: 70% (Vorjahr: 71%) der Unternehmen geben an, dass sie über ein ausreichendes Security-Budget verfügen.

Wie funktioniert das Redguard Quick-Test-Assessment?

Der von Redguard entwickelte Quick Test zum IKT-Minimalstandard besteht in diesem Jahr aus 18 Fragen, welche auf die Kernelemente des IKT-Minimalstandards abzielen. Die teilnehmenden Organisationen und Unternehmen beantworten die Fragen basierend auf einer Selbsteinschätzung. Anhand der Auswertung können sie ihr Sicherheitsniveau in kurzer Zeit einschätzen und weitergehende Massnahmen ableiten.

Beinahe 100 Schweizer Organisationen haben mitgemacht

Redguard hat auch dieses Jahr wieder zahlreiche Schweizer Organisationen eingeladen, ihr Sicherheitsniveau einzuschätzen. Beinahe 100 Organisationen aus verschiedenen Branchen haben sich für den Standard interessiert und ihre Selbsteinschätzung abgegeben.

Abbildung 3 zeigt, dass die Ergebnisse des Security Surveys wieder einmal breit abgestützt sind. Die teilnehmenden Unternehmen und Organisationen stammen aus den unterschiedlichsten Branchen, wobei die Ausprägung sehr ausgewogen ist. Allen voran die Öffentliche Verwaltung mit 28%, gefolgt von Technologie (10%) und Gesundheit (10%). Gleichzeitig haben Unternehmen unterschiedlichster Grösse zum Redguard Security Survey beigetragen, wie wir in der Abbildung 4 sehen. Bei 28% handelt es sich nach Angaben der Teilnehmenden um grosse Unternehmen mit über 500 Mitarbeitenden. Den grösseren Anteil machen wiederholt die KMUs aus mit 37% Kleinunternehmen (1-50 MA) und 25% mittelgrossen Unternehmen (51-200 MA).

Gesteigertes Maturitätsniveau bei fast allen Funktionen – dennoch knapp unter dem Minimalwert

Im Rahmen der diesjährigen Umfrage bewerteten die Teilnehmenden ihr Maturitätsniveau über vier von fünf Funktionen hinweg deutlich höher als im Vergleich zum vergangenen Jahr. Zwar bewegt sich der Gesamtscore aller Unternehmen mit 2.5 noch immer unter dem «inoffiziellen» Minimalwert von 2.6, dennoch konnte im Vergleich zum Vorjahr (Score = 2.3) eine deutliche Steigerung der Maturität festgestellt werden. Dennoch muss darauf hingewiesen werden, dass insbesondere die aktuell bereits regulierten Branchen (Strom / Gas) auf einen Zielwert von 3 (und somit «umgesetzt») hinarbeiten sollen.

Den höchsten Wert verzeichnet, wie schon in den vergangenen Jahren, die Funktion «Schützen» mit 2.9 (Vorjahr: 2.7). Das neu abgefragte Thema «Backups» erreichte hierbei auf Anhieb einen erstaunlichen Wert von 3.3, was massgeblich zu dieser Steigerung beigetragen hat. Die Umsetzung technischer Sicherheitsmassnahmen scheint damit den Befragten deutlich einfacher zu fallen als die relativ stark von prozess- und organisationsbehafteten Themen wie Business Continuity Management (BCM) oder Risikomanagement.

Die Auswertung zeigt, dass sich die Teilnehmenden in fast allen Funktionen verbessert haben. Die einzige Ausnahme bildet die Funktion «Erkennen», dort ist der Wert im Vergleich zur letzten Auswertung identisch geblieben. Eine Begründung dafür könnte sein, dass 37% der teilnehmenden Unternehmen kleinere Unternehmen sind (<50 MA), welche tendenziell im Bereich «Erkennen» wie auch besonders im Bereich Log-Management schlechter aufgestellt sind als mittlere und grosse Unternehmen.

Die beiden Funktionen «Reagieren» und «Wiederherstellen» bilden seit Jahren das Schlusslicht der Auswertung. Über mögliche Gründe dafür lässt sich spekulieren. Unsere Erfahrungen zeigen jedoch, dass manche Unternehmen dazu tendieren, das Thema BCM aufgrund seiner Komplexität länger nicht in Angriff zu nehmen. Ein weiterer Grund könnte sein, dass Unternehmen immer noch denken, dass sie nicht für einen Cyber-Angriff in Frage kommen – und sich deshalb weniger Gedanken um die Reaktion auf Incidents oder den Wiederaufbau nach einem solchen machen. Dazu können wir leider nur immer wieder betonen, dass es jeden treffen kann, auch – und manchmal besonders – KMUs.

Ausblick: Besserer Schutz für kritische Infrastrukturen werden gesetzlich verankert

Die Bemühungen der Schweizer Unternehmen spiegeln eine Entwicklung wider, die auch auf nationaler und politischer Ebene stark vorangetrieben wird. Am 18. Februar 2026 hat der Bundesrat entschieden, den Schutz kritischer Infrastrukturen, die für die Bevölkerung und die Wirtschaft essenziell sind, weiter zu stärken. Durch die Umsetzung zweier Motionen sollen zeitgemässe rechtliche Grundlagen geschaffen werden, um die allgemeine Resilienz proaktiv auszubauen.

Die erste überwiesene Motion trägt den Titel «Zeitgemässe Rechtsgrundlagen für den Schutz kritischer Infrastrukturen». Sie fordert eine Anpassung der bestehenden gesetzlichen Bestimmungen, damit der Bund künftig verbindliche Vorgaben für die Ausfallsicherheit und die Störungsbehebung erlassen kann. Dies soll sicherstellen, dass kritische Versorgungssysteme robuster werden und im Falle von Ereignissen wie gezielten Angriffen oder Naturkatastrophen ihre Dienstleistungen für die Gesellschaft besser aufrechterhalten können.

Die zweite Motion mit dem Titel «Mehr Sicherheit bei den wichtigsten digitalen Daten der Schweiz» verlangt die Schaffung einer Rechtsgrundlage für den besseren Schutz sicherheitsrelevanter Informationen. Dadurch wird es möglich, klare und verbindliche Vorgaben an den Bund, die Kantone sowie die Betreiberinnen kritischer Infrastrukturen zu richten.

Bis Ende 2026 wird das Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) in enger Kooperation mit weiteren Stellen die Eckwerte für entsprechende Gesetzesentwürfe erarbeiten. Dies unterstreicht die wachsende regulatorische Bedeutung der Cyber-Sicherheit nochmals sehr deutlich.

Wir helfen Ihnen, den IKT-Minimalstandard zu erfüllen

Der IKT-Minimalstandard ist so konzipiert, dass er von allen Unternehmen, unabhängig von Branche und Grösse, umgesetzt werden kann. Trotz Leitfaden und Assessment Tool des Bundesamts für wirtschaftliche Landesversorgung ist fundiertes Fachwissen sowie eine pragmatische Handhabung für eine erfolgreiche Umsetzung des IKT-Minimalstandards essenziell. Redguard unterstützt Unternehmen bei der Umsetzung des IKT-Minimalstandards:

Identifizieren – Kennen Sie Ihre Risiken und gehen Sie Informationssicherheit strategisch an
Redguard unterstützt Sie dabei, die Cyber-Risiken Ihrer Organisation zu identifizieren und systematisch zu erheben. Basierend auf Ihren Risiken erstellen wir gemeinsam mit Ihnen eine Informationssicherheitsstrategie, um diese Risiken zu behandeln sowie zu kontrollieren.
Prüfen Sie, inwiefern Ihre Daten ausserhalb ihrer Infrastruktur bearbeitet werden und erlassen Sie entsprechende Vorgaben zum Umgang mit Ihren Unternehmensdaten durch Dritte. Redguard hilft Ihnen dabei.

Schützen – Schützen Sie ihre Systeme und schulen Sie Ihre Mitarbeitenden
Erarbeiten Sie Vorgaben zum Schutz Ihrer Systeme und setzen Sie diese um. Redguard hilft Ihnen bei der Definition der richtigen Massnahmen, z. B. in den Bereichen Zugriffsmanagement, Firewalling, Netzwerksegmentierung sowie dem Schutz vor Malware.
Technische Massnahmen allein reichen nicht: Schulen Sie Ihre Mitarbeitenden und zeigen Sie Ihnen, welchen Beitrag diese zur Informationssicherheit leisten können. Redguard unterstützt Sie mit E-Learning-Einheiten, klassischen Schulungsangeboten, Live-Hackings und Phishing-Kampagnen oder einem kompletten Managed Service im Bereich Awareness.

Erkennen – Kennen Sie Ihre Schwachstellen und testen Sie Ihre Verteidigung
Richten Sie Ihre Systeme und Prozesses so ein, dass Sie in der Lage sind, mögliche Sicherheitsvorfälle und Anomalien zu erkennen.
Sammeln Sie alle relevanten Log-Daten an einem zentralisierten Ort, um die lückenlose Nachvollziehbarkeit zu erhöhen und im Falle eines Angriffs die Arbeit der Incident Responder und IT-Forensiker zu erleichtern.
Stellen Sie Ihre Systeme und Informationssicherheit mit Penetration Tests oder einer Angriffssimulation auf die Probe. Die Spezialisten von Redguard führen in Ihrem Auftrag zielgerichtete Tests sowie Angriffe durch und zeigen Ihnen damit Verbesserungsmöglichkeiten auf.

Reagieren – Planen und üben Sie Ihre Reaktion auf Cyber-Security-Vorfälle
Reaktionspläne helfen Ihnen, im Ernstfall richtig zu reagieren und Zeit zu gewinnen. Mit einem Reaktionsplan haben Sie viele Fragen bereits im Vorfeld beantwortet: Wer ist in Ihrer Organisation zuständig bei einem Cyber Security-Vorfall? Wie informieren Sie Ihre Mitarbeitenden und Kunden? Stellen Sie die Systeme komplett ab oder halten Sie einen Notbetrieb aufrecht?
Mit Redguard können Sie den Ernstfall mittels einer Tabletop-Übung trainieren. Spielen Sie ein auf Ihre Organisation abgestimmtes Szenario Schritt für Schritt durch und leiten Sie daraus Verbesserungsmöglichkeiten und Massnahmen ab.

Wiederherstellen – Zurück zur Normalität
Erstellen Sie einen Wiederherstellungsplan und setzen Sie sich konkrete Wiederherstellungsziele: Wie lange können Sie maximal ohne Ihre Systeme auskommen? Wie viel Datenverlust können Sie in Kauf nehmen?
Definieren Sie Ihre Kommunikationsstrategie bereits im Vorfeld, um selbst in Krisensituationen souverän gegenüber Ihren Stakeholdern auftreten zu können.
Redguard hilft Ihrer Organisation, das empfohlene minimale Sicherheitsniveau bei der Funktion Wiederherstellen zu erreichen, indem wir gemeinsam mit Ihnen Wiederherstellungspläne erarbeiten.

Empfohlene Massnahmen: Ganzheitliche Umsetzung des IKT-Minimalstandards

Konzentrieren Sie sich auf Ihr Kerngeschäft, während wir Ihre Informationssicherheit auf ein neues Level heben. Mit einem Team von rund 100 Sicherheitsspezialisten bieten wir vollumfängliche Dienstleistungen aus einer Hand.

Standortbestimmung nach IKT-Minimalstandard

Lassen Sie die Maturität im Bereich Informationssicherheit durch eine unabhängige Stelle detailliert bestimmen. Unsere Spezialisten prüfen Ihre Systeme, Dokumente und Prozesse. Daraus gewonnene Erkenntnisse werden in Interviews vertieft thematisiert. Als Lieferobjekt erhalten Sie einen Bericht mit den identifizierten Schwachstellen sowie konkreten Handlungsempfehlungen zu deren Behandlung und somit zur Verbesserung der Informationssicherheit Ihres Unternehmens.

CISOaaS – Umsetzung und Aufrechterhaltung des IKT-Minimalstandards

Mit der Dienstleistung «Security Officer as a Service» verfügen Sie über Ihren persönlichen Ansprechpartner, der Ihnen mit dem gesamten Know-how von Redguard zur Verfügung steht. Ihr Ansprechpartner setzt die Handlungsempfehlungen aus der Standortbestimmung als Security Berater und Projektleiter bei Ihrer Organisation um. Gleichzeitig sorgt er dafür, dass der IKT-Minimalstandard eingehalten und der Maturitätsgrad kontinuierlich verbessert wird.

Business Continuity Management (BCM)

Die Sicherstellung des Geschäftsbetriebes in einem Notfall oder einer Krise ist elementar. Viele Schritte können diesbezüglich bereits im Vorfeld in Ruhe geplant und vorbereitet werden, um bestmöglich für den Ernstfall gewappnet zu sein. Wir unterstützen Sie in der Analyse ihrer kritischen Geschäftsprozesse und Assets in Form einer Business Impact Analyse (BIA) und erarbeiten gemeinsam mit Ihnen die notwendigen Notfallpläne. Die praxisnahen Erfahrungen unserer Incident-Responder aus echten Vorfällen fliessen dabei in Ihre Notfallvorsorge ein.

Incident Management

Präventiv: Neben präventiven Massnahmen unterstützen wir Sie auch beim Aufbau einer geeigneten Cyber-Incident-Organisation und der Erstellung eines Cyber-Incident-Planning.
Im Notfall nicht allein: Wir unterstützen Sie rund um die Uhr bei der Eindämmung und der Analyse von Cyber-Vorfällen und bei der Wiederherstellung Ihres Geschäftsbetriebs. Unser Incident Response Team deckt alle notwendigen Expertisen ab (Technologie, regulatorische Vorgaben usw.) und ist mit Behörden sowie anderen Incident Response Teams in ständigem Kontakt. Wir sorgen für einen strukturierten Ablauf und kühle Köpfe.

Darknet Monitoring

Angreifer werden immer raffinierter und nutzen zunehmend das Darknet, um gestohlene Informationen von Unternehmen zu verkaufen oder zu veröffentlichen. Der Schutz sensibler Unternehmensdaten vor Abfluss und Missbrauch ist daher wichtiger denn je. Unser Service bietet Ihnen eine proaktive Lösung, um Ihr Unternehmen vor solchem Missbrauch zu schützen.

SOC as a Service

Überlassen Sie Ihre Cyber-Sicherheit den Profis: Unser Cloud-basiertes SOC wird von unserer Tochterfirma FusionOne betrieben, wo Experten von Redguard und FusionOne Hand in Hand für Ihren Schutz arbeiten. Das Serviceangebot ist für alle Organisationen und Unternehmen zugänglich, die Microsoft 365 nutzen. Das SOC wurde auch mit KMUs entwickelt und getestet und erfüllt deren Bedürfnisse an ihren Alltag und ihr Budget.

OT-Security im Blick

Der IKT-Minimalstandard richtet sich sowohl an die IT- als auch an die OT-Infrastruktur. Beide Bereiche verschmelzen zunehmend. Dementsprechend ist ein ganzheitlicher Ansatz zur Sicherung der OT-Komponenten notwendig. Unsere Security-Experten verbinden die Sichten beider Welten und helfen Ihnen dabei, ein ganzheitliches Sicherheitsdispositiv für beide Teilbereiche aufzubauen.

Sie möchten die Sicherheit Ihrer Organisation in guten Händen wissen? Rufen Sie uns an – Wir beraten Sie unverbindlich.

---

Cet article de blog est également disponible en français :

Redguard Security Survey 2026 (français)

---

Lesen Sie den letzten Redguard Security Survey:

Redguard Security Survey 2025