Endlich Klarheit bei der Cybersecurity

Sprachnavigation

Zurück

Sicherheitsaudit Endlich Klarheit bei der Cybersecurity

Publiziert am 12.12.2023

Auch Logistikunternehmen stehen im Fokus von Cyberkriminellen. Um sich vor Cyberattacken zu schützen, hilft ihnen der IKT-Minimalstandard des Bundes. Der erste Schritt für mehr Cybersicherheit sollte ein Audit nach diesem Standard sein. Was es bringt und wie es funktioniert, erfahren Sie hier.

Es ist der Albtraum jedes Logistikunternehmens: Beim Aufstarten der Computer geht gar nichts mehr. Die Daten sind verschlüsselt, die Flotte kann nicht mehr rollen – Stillstand im ganzen Unternehmen. Hacker fordern Lösegeld und drohen damit, sensible Daten zu veröffentlichen.

Dass dieser Worst Case vermehrt auch die Logistikbranche trifft, ist kein Zufall. Erstens sind immer mehr Logistikprozesse digitalisiert und automatisiert, was neue IT-Risiken mit sich bringt. Zweitens handelt es sich um eine Wachstumsbranche mit vielen international tätigen, umsatzstarken Firmen. Hinzu kommt: Logistikunternehmen gehören zum Rückgrat der Schweizer Wirtschaft. Ihr Ausfall hat besonders gravierende Folgen und ist öffentlichkeitswirksam. Diese drei Gründe machen es für Cyberkriminelle interessant, Logistikfirmen anzugreifen.

Cybersicherheit gezielt stärken

Umso wichtiger ist es für die Unternehmen, Sicherheitslücken zu erkennen und zu beseitigen – etwa veraltete Server, fehlende Updates bei Systemen und unüberlegtes Verhalten der Mitarbeitenden.

Das Bundesamt für wirtschaftliche Landesversorgung unterstützt sie bei dieser Aufgabe. Es hat den Minimalstandard für die Informations- und Telekommunikationsinfrastruktur (IKT) geschaffen. Die mehr als 100 Sicherheitsempfehlungen und Orientierungspunkte zielen darauf ab, die Widerstandsfähigkeit gegen Cyberangriffe zu verbessern. Sie betreffen sowohl technische als auch organisatorische Aspekte und gliedern sich in fünf Funktionen:

Kreislaufgrafik Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen
Kreislaufgrafik ITK-Minimalstandard: Identifizieren, Schützen, Detektieren, Reagieren und Wiederherstellen

Der IKT-Minimalstandard arbeitet mit unterschiedlichen Maturitätsstufen, die für den Reifegrad bezüglich Cybersicherheit stehen. Denn nicht jedes Unternehmen benötigt in allen Funktionsbereichen einen gleich hohen Grad an Widerstandsfähigkeit gegen Cyberangriffe. Deshalb können die Firmen individuell festlegen, wie hoch ihr Sicherheitsbedarf ist und welche Maturitätsstufe sie pro Funktion anstreben. So lassen sich der Bedarf an Cybersicherheit, der Umfang der Massnahmen und das Budget in Einklang bringen.

Audit als Ausgangspunkt

Wer sein Security-Dispositiv verbessern will, benötigt zuerst einmal eine Übersicht und eine Analyse aller bestehenden Massnahmen sowie eine Vergleichsmöglichkeit mit anderen Unternehmen. Eine solche Standortbestimmung liefert ein Audit nach IKT-Minimalstandard.

Dieses eignet sich einerseits für Organisationen, die den Reifegrad ihrer Cybersicherheit kennen und verstehen möchten. Andererseits profitieren Unternehmen davon, die ein langfristiges Projekt zur Verbesserung ihrer Sicherheit planen.

Zu den Schweizer Anbietern von Audits nach IKT-Minimalstandard gehört das Aarauer Unternehmen terreActive AG (siehe Infobox). CEO Urs Rufer bringt die Vorteile eines Audits wie folgt auf den Punkt: «Es ist ein effektives Instrument, um durch die laufende Optimierung aller Security-Massnahmen das angestrebte Sicherheitsniveau zu erreichen.»

In vier Schritten Klarheit schaffen

Bei terreActive läuft ein Audit zur Sicherheitsprüfung grob in vier Schritten ab:

  1. Beim Kick-off werden der Zeitplan und der Umfang der Prüfung festgelegt.
  2. Bei der Selbsteinschätzung beurteilt das Unternehmen seinen eigenen Reifegrad. Dieser Schritt ist wichtig, um alle bereits ergriffenen Massnahmen zu bewerten.
  3. Für die Analyse der aktuellen Situation zieht terreActive die Selbsteinschätzung und interne Security-Dokumentationen heran. Zusätzlich führen die Fachpersonen Interviews mit den Verantwortlichen des geprüften Unternehmens durch.
  4. Das Audit endet mit der Präsentation der Ergebnisse. Für die nächsten Schritte erhält das Unternehmen einen detaillierten Bericht zu Stärken und Schwächen inklusive Massnahmenempfehlung.

Die IT-Fachleute des geprüften Unternehmens können den Auditbericht als Grundlage verwenden, um ein Sicherheitskonzept zu erstellen. Dazu sind die empfohlenen Massnahmen nach Prioritäten unterteilt. Ein spezieller Managementteil im Bericht erleichtert es zudem der Geschäftsleitung, die aktuelle Situation zu verstehen und Ressourcen zu planen, um die erkannten Sicherheitslücken zu schliessen.

Interessiert an einem Audit nach IKT-Minimalstandard? Kontaktieren Sie terreActive für weitere Informationen.

Portrait Urs Rufer

«Ein Audit nach IKT-Minimalstandard macht dem Unternehmen den aktuellen Stand seines Sicherheitsdispositivs bewusst. Darüber hinaus ermöglichen die Massnahmen, die wir aufgrund des Audits empfehlen, die Qualität der Cybersicherheit weiter zu verbessern.»

Urs Rufer, CEO terreActive AG

terreActive – eine Cybersecurity-Spezialistin der Post

Seit jeher ist die Post eine vertrauensvolle Transporteurin sensibler Kunden- und Unternehmensinformationen. Da liegt es nahe, den Firmen und Behörden in der Schweiz heute auch eine umfassende Palette an Cybersecurity-Lösungen anzubieten. Deshalb baut die Post ihre IT-Kompetenzen laufend aus – mit eigenen Mitarbeitenden und dem Know-how spezialisierter Tochterunternehmen. Dazu gehört die terreActive AG aus Aarau, an der die Post zu 80 Prozent beteiligt ist. Die rund 90 Fachpersonen engagieren sich dafür, dass die vertraulichen Informationen und Daten von Schweizer Unternehmen noch besser geschützt sind.

Mehr erfahren: www.terreactive.ch

Interessant

Teilen

Newsletter abonnieren

Melden Sie sich für den Newsletter an und bleiben Sie auf dem Laufenden.

Jetzt anmelden

Footer