IKT-Minimalstandard: Verbesserung der IKT-Resilienz
In einer Welt, in der Cyberkriminelle die neuen Bankräuber und digitale Prozesse das neue Gold sind, wird die IKT-Resilienz für Unternehmen immer wichtiger. Was steckt hinter dem IKT-Minimalstandard, und warum ist es für Schweizer relevant? Tauchen wir ein – praxisnah und auf den Punkt gebracht.
Was ist der IKT-Minimalstandard überhaupt?
Der IKT-Minimalstandard enthält Massnahmen und Empfehlungen und stellt grundlegende Sicherheitsanforderungendar, die Organisationen umsetzen sollten, um ihre Infrastrukturen vor Cyberbedrohungen zu schützen. Er richtet sich primär an Betreiber kritischer Infrastrukturen, ist aber auch für andere Unternehmen eine wertvolle Orientierungshilfe zur Erhöhung der Cybersicherheit. Herausgegeben wird der IKT-Minimalstandard vom Bundesamt für wirtschaftliche Landesversorgung BWL.
Ergänzend zum vorliegenden IKT-Minimalstandard wurden von der wirtschaftlichen Landesversorgung weitere branchenspezifische Standards erarbeitet, die einen höheren (technischen) Detaillierungsgrad aufweisen. Betreibern kritischer Infrastrukturen wird empfohlen, sich neben dem IKT-Minimalstandard auch an den detaillierten branchenspezifischen Standards zu orientieren.
Massnahmen umsetzen und überprüfen
Der IKT-Minimalstandard basiert auf dem NIST Cybersecurity Framework und umfasst fünf Kernbereiche: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen (Identify, Protect, Detect, Respond and Recovery). Jeder Bereich bietet dem Anwender ein Bündel an Massnahmen an, wobei über 100 Massnahmen beschrieben werden.
Mittels dieser Massnahmen kann eine periodische Überprüfung der Vollständigkeit und Wirksamkeit resp. des Reifegrads der eigenen Cybersicherheit ermittelt werden. Durch die Prüfung lassen sich potenzielle Lücken identifizieren und entsprechende Verbesserungsmassnahmen ableiten. Der Standard empfiehlt, die Prüfung mindestens einmal jährlich durchzuführen.
Zur Vereinfachung der Überprüfung stehen integrierte Kontrollsets in Tools wie fortControl https://www.fortcontrol.io zur Verfügung, die Unternehmen bei der gesamtheitlichen Evaluierung ihrer Sicherheitsmassnahmen unterstützen. Diese Systeme unterstützen die Einhaltung der IKT-Minimalstandards systematisch zu überprüfen und Anpassungen gezielt vorzunehmen, ohne dabei zusätzlichen Aufwand zu verursachen.
Praxisbeispiel: Netzwerksegmentierung und Verschlüsselung
Ein konkretes Beispiel: Stellen Sie sich vor, Ihre Organisation verwendet ein Netzwerk, das über mehreren Abteilungen verteilt ist. Der IKT-Minimalstandard empfiehlt, dieses Netzwerk logisch und physisch zu segmentieren, sodass ein potenzieller Angriff nicht das gesamte Unternehmen lahmlegen kann. Oder nehmen wir das Thema Verschlüsselung: Der IKT-Minimalstandard sieht vor, dass sensible Daten – etwa Kundendaten oder Finanzinformationen – sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt werden, um einen unbefugten Zugriff zu verhindern.
Im Grunde genommen ist der IKT-Minimalstandard wie eine Grundversicherung für Cybersicherheit: Er stellt sicher, dass das Unternehmen durch die angegebenen Massnahmen vor den häufigsten und gefährlichsten Bedrohungen geschützt ist, ohne dabei unnötig kompliziert zu sein.
Die Zügel in die Hand nehmen: Wie ein ISMS langfristigen Schutz bietet
Während der IKT-Minimalstandard ein wichtiger erster Schritt ist, reicht es nicht aus, ihn einmalig umzusetzen. Um einen nachhaltigen Schutz zu gewährleisten, sollten Unternehmen ein Informationssicherheits-Managementsystem (ISMS) einführen, dass die Risiken kontinuierlich überwacht und die Sicherheitsmassnahmen entsprechend anpasst.
Rolf Wagner
Information Security Management enthusiast.
