InfoGuard Cyber Security & Cyber Defence Blog

Warum ein Gap-Assessment für die Unternehmenssicherheit zentral ist

Geschrieben von Markus Limacher | 25. Jan 2024

Im stetigen Wandel der technologischen Landschaft ist die Sicherheit von Unternehmensdaten und -systemen zu einer zentralen Herausforderung für IT- und Cyber-Security-Verantwortliche geworden. Angesichts der steigenden Bedrohungen und der fortschreitenden Digitalisierung ist es für Unternehmen daher unerlässlich, proaktiv Sicherheitsmassnahmen sowie regelmässig Schwachstellenscans, Audits und Assessments durchzuführen, um die eigene Cyber-Security-Strategie aktiv zu überprüfen und zu optimieren. Ein zentrales und besonders effektives Instrument ist die Durchführung eines Gap-Assessments. Warum und welche Bedeutung dies für Ihre Unternehmenssicherheit im Jahr 2024 hat, zeigen wir Ihnen in diesem Artikel auf.

Die zunehmende Digitalisierung birgt für Unternehmen eine Vielzahl an attraktiven Möglichkeiten und eröffnet grosses ökonomisches Potenzial. Damit einhergehend entstehen neue Risiken, denen ein Unternehmen schnell, konsequent und effizient begegnen muss.

IKT-Sicherheitsmanagement

 

Nebst dem NIST Cyber Security Framework (NIST CSF v1.1) gibt es spezifische Richtlinien und Gesetzgebungen, die Unternehmen in der Schweiz berücksichtigen sollten, um eine umfassende und effektive Sicherheitsstrategie zu entwickeln. Beispielsweise der IKT-Minimalstandard des BWL (Bundesamt für wirtschaftliche Landesversorgung). Dieser dient als Empfehlung zur Verbesserung der IKT-Resilienz. Er richtet sich hauptsächlich an Betreiber von kritischen Infrastrukturen. Grundsätzlich ist der IKT-Minimalstandard aber für jedes Unternehmen oder jede Organisation anwendbar.

Die Bedeutung einer Gap-Analyse für Ihre Unternehmenssicherheit

Das Jahr 2024 ist bereits in vollem Gange und es zeichnet sich bereits ab: Die Cyber-Bedrohungslage verschärft sich weiter. Cyberangriffe und «Hacktivismus» nehmen weiter zu. So ist jetzt der richtige Zeitpunkt, sich eingehend mit den Sicherheitspraktiken Ihres Unternehmens auseinanderzusetzen. Ein Gap-Assessment bietet hierbei einen klaren Mehrwert. Sie fragen sich nun bestimmt, ob und warum Sie dies auch für Ihr Unternehmen zwingend in Erwägung ziehen sollten?

5 gute Gründe für eine NIST CSF Gap-Analyse

  1. Schutz des Firmen-Reputation
    Cyber-Security-Vorfälle können nicht nur grosse finanzielle Schäden und Verluste verursachen, sondern auch den Ruf eines Unternehmens schwer beschädigen. Ein Gap-Assessment – vorzugsweise nach NIST CSF – trägt nachhaltig dazu bei, das Vertrauen von Kunden, Partnern und weiteren Stakeholdern in die Sicherheitspraktiken Ihres Unternehmens erfolgreich zu stärken.
  2. Umfassende Bewertung der Sicherheitslage
    Ein GAP-Assessment ermöglicht eine eingehende Analyse der aktuellen Sicherheitsinfrastruktur Ihres Unternehmens. Indem es die bestehenden Sicherheitspraktiken mit den bewährten Standards des NIST CSF abgleicht, identifiziert es Schwachstellen und Risiken und ermöglicht es so Ihrem Unternehmen, proaktiv auf potenzielle Bedrohungen zu reagieren.
  3. IKT-Minimalstandard des Bundesamts für wirtschaftliche Landesversorgung (BWL)
    Die Schweiz hat den IKT-Minimalstandard für die Positionsbestimmung durch das BWL eingeführt, um einen klaren Rahmen für die Sicherheitspraktiken von branchenspezifischen Unternehmen zu schaffen. Ein Assessment gegen den IKT-Minimalstandard bietet die Möglichkeit, die vorhandenen Sicherheitsmassnahmen mit diesem Standard erfolgreich abzugleichen. Dies ermöglicht eine präzise Positionsbestimmung in Bezug auf den IKT-Minimalstandard und schafft die Grundlage für gezielte Optimierungen.
  4. Compliance und regulatorische Anforderungen erfüllen
    Im Jahr 2024 werden die Anforderungen an Datenschutz und Informationssicherheit weiter zunehmen. Ein Gap-Assessment hilft dabei, die Einhaltung von Compliance-Standards sicherzustellen. Hübscher (Neben-)Effekt: Dies vermeidet nicht nur rechtliche Konsequenzen, sondern stärkt auch das Vertrauen der Kunden.
  5. Kontinuierliche Anpassung an neue Bedrohungen
    Die Bedrohungslandschaft entwickelt sich ständig weiter. Ein Gap-Assessment hilft Unternehmen, sich kontinuierlich an neue Gefahren anzupassen. Durch die Integration und das Einfliessen von Erkenntnissen aus dem Assessment in die Sicherheitsstrategie können Unternehmen sicherstellen, dass ihre Verteidigungslinien stets auf dem neuesten Stand sind.

Schweizer Vorgaben für Cybersicherheit

Im Jahr 2024 werden die Anforderungen an Datenschutz und Informationssicherheit weiter steigen. Für die kritischen Infrastrukturen Strom- und Gasversorgung sowie öffentlicher Verkehr sind wichtige Gesetzesrevisionen im Gange. Diese Revisionen beinhalten verbindliche Umsetzungen von Mindestwerten.

Cyber-Sicherheit Eisenbahn (RL CySec-Rail) vom Bundesamt für Verkehr, BAV

Die Cyber-Sicherheit wird immer wichtiger – auch bei den Eisenbahnen. Ab Juli 2024 treten die neuen Regelungen auf Grundlage von Art. 5c die revidierte Verordnung über Bau und Betrieb der Eisenbahnen in Kraft. Die revidierte Verordnung über Bau und Betrieb der Eisenbahnen (EBV) verpflichtet die Eisenbahnunternehmen, ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen. In diesem Zusammenhang hat das Bundesamt für Verkehr die Richtlinie (RL CySec-Rail) erarbeitet. Es definiert sieben Mindestanforderungen an ein ISMS und 29 Massnahmen, die umgesetzt werden müssen. Um die Einhaltung der Vorschriften zu überprüfen, sind periodische Audits der Informationssicherheit vorgeschrieben.

Eine regelmässige Überprüfung der Informationssicherheit / Audits ermöglicht es Unternehmen, die Richtlinien der RL CySec-Rail effektiv umzusetzen. Die Durchführung regelmässiger Audits liefert Informationen darüber, in welchen Bereichen die Informationssicherheit zu verbessern ist. Dabei sind auch Lieferanten und Dienstleister zu berücksichtigen. Durch die Identifizierung von Abweichungen, Schwachstellen und Risiken können Unternehmen sicherstellen, dass ihre Cyber-Sicherheitsstrategie den nationalen Standards entspricht und somit einen robusten und effektiven Schutz vor digitalen Bedrohungen bietet. 

Cyber-Sicherheit öffentlicher Verkehr

Lieferanten Audit der NOVA-Plattform (Prüfen der Lieferanten) für die Nutzer der an NOVA angeschlossenen Systeme und deren Benutzer (NOVA-Nutzende).

Im öffentlichen Verkehr müssen gemäss dem Übereinkommen der Alliance SwissPass (Ue500, Kapitel 4.2.4), die Vorgaben zur Cyber Protection und Datensicherheit eingehalten werden. Zur Überprüfung der Einhaltung dieser Vorgaben sind Sicherheitsüberprüfungen der Dienstleister erforderlich. Es müssen verschiedene Massnahmen des IKT-Minimalstandards (Details siehe V591) umgesetzt sein.

Strom Branche (StromVV)

Von besonderer Bedeutung für alle Stromversorger ist das revidierte Stromversorgungsgesetz, das voraussichtlich bereits im Juli 2024 in Kraft treten wird. Das StromVV schreibt vor das Netzbetreiber je nach transportierter Menge an Elektrizität nach Schutzniveau (A ≥ 450 GWh/Jahr; B ≥ 112 GWh/Jahr und < 450 GWh/Jahr; C < 112 GWh/Jahr) unterschiedliche Minimalanforderungen mit einer Übergangsfrist von 24 Monaten umzusetzen sind. Zur Überprüfung des Umsetzungsstandes sind jährliche Audits durchzuführen.

Gasversorgung (GAS 2.0)

Die Revision der Verordnung über die Sicherheitsvorschriften für Rohrleitungsanlagen (RLSV; SR 746.12) hat zum Ziel, den IKT-Mindeststandard mit unterschiedlichen Anforderungen an das Schutzniveau verbindlich zu machen und tritt voraussichtlich am 1.07.2025 in Kraft.

Im überarbeiteten IKT-Minimalstandard für die Gasversorgung 2.0 (Kapitel 5.2) wurden wie bereits in der Strom Branche drei Schutzniveaus (A, B und C) geschaffen, die auf zwei Hauptkriterien basieren: der Druck des Netzes oder der Anlage (bar) in Verbindung mit der Leitungslange (km) und der transportierten Energiemenge (GWh/Jahr). Jedes Schutzniveau entspricht einer spezifischen Maturitätsstufe. Betreiber von Gasanlagen (Rohrleitungsanlagen) mit einem Druck von mehr als 5 bar und einer Leitungslang von über 15 Kilometern werden automatisch der Schutzniveau A zugeordnet. Bei anderen Gasnetzbetreibern wird der Durchschnittswert der transportierten Energie der letzten fünf Jahre berücksichtigt (A > 2’600 GWh/Jahr; B > 400 GWh und ≤ 2’600 GWh/Jahr; C ≤400 GWh/Jahr).

Die Mindestanforderungen unterscheiden sich gegenüber der StromVV nur im Schutzniveau A, wobei die StromVV in diesem Niveau höhere Mindestwerte vorschreibt.

Fazit – und eine dringende Empfehlung

Ein Gap-Assessment im aktuellen Jahr durchzuführen, ist mehr als nur eine effiziente und sinnvolle Massnahme zur Einhaltung von Standards. Viel mehr: Es ist ein strategischer Schutzmechanismus für die Zukunft Ihres Unternehmens. Durch die Identifikation von Sicherheitslücken und Risiken, die Anpassung an neue Cyber-Bedrohungen und die Erfüllung von Compliance-Anforderungen können Sie für Ihr Unternehmen eine solide Basis für Ihre Cyber-Security-Strategie erzielen. Investitionen in die Sicherheit zahlen sich nicht nur in finanzieller Hinsicht aus, sondern tragen auch zur nachhaltigen Stabilität und Reputation des Unternehmens bei.

  • IKT-Minimalstandard (Strom, Gas, Öffentlicher Verkehr)
  • FINMA 23/1 Compliance
  • Swift Customer Security Controls Framework (CSCF) Version 2024 Compliance
  • Datenschutz: Schweizer revidiertes Datenschutzgesetz
  • Europäische NIS2-Richtlinie und Cyber Resillience Act (CRA)
  • ISO/IEC 27001:2022
  • Crypto Agility
  • M365 Cloud Security
  • Incidence Response Readiness
  • Cyber-Sicherheit Eisenbahn (RL CySec-Rail)

Wie steht es um die Cyber Security in Ihrem Unternehmen?

Finden Sie es heraus und verschaffen Sie sich volle Transparenz – dank einem Gap-Assessment. Sie profitieren von einer Übersicht über die aktuelle Situation Ihrer Cybersicherheit, einer Risikoeinschätzung, einem Stärken-/Schwächen-Profil und konkreten Handlungs- und Massnahmenempfehlungen. Jetzt ist der richtige Zeitpunkt für eine gezielte Risiko-Minimierung Ihrer Cybersicherheit.