Informationssicherheit ist keine technische Last, sondern ein strategischer Hebel für Wertschaffung, der direkt in die Verantwortung des Verwaltungsrats fällt.
- Die richtige Governance, insbesondere ein vom IT-Chef unabhängiger Sicherheitsverantwortlicher, ist entscheidend, um Interessenkonflikte zu vermeiden und die Sorgfaltspflicht (OR Art. 717) zu erfüllen.
- Audit-Befunde („rote Ampeln“) sind keine Probleme, sondern quantifizierbare Investitionschancen, die das Unternehmen resilienter machen und neue Geschäftsfelder (z.B. nach ISO 27001) erschliessen können.
Empfehlung: Fokussieren Sie sich als Verwaltungsrat nicht auf technische Details, sondern auf das Design einer robusten Sicherheits-Governance, die den definierten Risikoappetit des Unternehmens widerspiegelt und überwacht.
Ein dicker Auditbericht landet auf Ihrem Tisch im Verwaltungsrat. Er ist gefüllt mit technischen Diagrammen, unverständlichem Jargon und einer Reihe von „roten Ampeln“. Die übliche Reaktion ist ein Seufzen, gefolgt von der Delegation an die IT-Abteilung – schliesslich ist das ein technisches Problem. Doch dieser Ansatz ist nicht nur veraltet, er ist gefährlich und teuer. In der heutigen digitalen Wirtschaft ist die Unterscheidung zwischen Business-Strategie und Cyber-Strategie obsolet geworden. Jede Geschäftsentscheidung hat eine digitale Komponente, und jedes digitale Risiko ist ein Geschäftsrisiko.
Viele Führungsgremien betrachten Sicherheit immer noch als reinen Kostenfaktor oder als notwendiges Übel zur Erfüllung von Compliance-Vorgaben. Sie managen die Sicherheit reaktiv, anstatt sie proaktiv zu gestalten. Doch was wäre, wenn die wahre Aufgabe des Verwaltungsrats nicht darin bestünde, technische Massnahmen zu genehmigen, sondern eine Governance zu entwerfen, die Sicherheit in einen messbaren Wettbewerbsvorteil verwandelt? Was, wenn jede „rote Ampel“ im Auditbericht nicht als Versäumnis, sondern als klar definierte Investitionschance betrachtet würde?
Dieser Artikel bricht mit der traditionellen Sichtweise. Er zeigt Ihnen als Verwaltungsratsmitglied oder CEO, wie Sie Ihre Rolle von der eines passiven Beobachters zu der eines aktiven Gestalters der Cyber-Resilienz Ihres Unternehmens wandeln. Wir werden nicht über Firewalls und Virenscanner sprechen, sondern über Kennzahlen, Governance-Strukturen und strategische Entscheidungen. Sie lernen, die richtigen Fragen zu stellen, die Verantwortung korrekt zu platzieren und Sicherheitsinvestitionen als das zu verkaufen, was sie sind: eine entscheidende Investition in die Zukunftsfähigkeit und den Wert Ihres Unternehmens.
Der folgende Leitfaden bietet Ihnen eine strukturierte Übersicht über die strategischen Hebel, die Ihnen als Führungsgremium zur Verfügung stehen. Anhand dieser Punkte können Sie die Maturität Ihrer aktuellen Sicherheits-Governance bewerten und gezielte Massnahmen zur Stärkung Ihrer unternehmerischen Resilienz einleiten.
Inhaltsverzeichnis: Informationssicherheit als strategisches VR-Mandat
- Welche Kennzahlen muss der Verwaltungsrat sehen, um die Sicherheitslage zu beurteilen?
- Wieviel Prozent des IT-Budgets sollte ein Schweizer KMU realistisch für Security ausgeben?
- Warum der Sicherheitschef nicht an den IT-Chef berichten sollte (Interessenkonflikt)?
- Wie stellen Sie sicher, dass Sicherheitsmassnahmen die Innovation nicht abwürgen?
- Wie überwacht der Verwaltungsrat die Einhaltung gesetzlicher Vorgaben ohne im Detail zu versinken?
- Warum isolierte IT- und Gebäudesicherheit Sie jährlich über 20’000 CHF kostet?
- Wie verkaufen Sie „rote Ampeln“ im Auditbericht als Investitionschance an den Verwaltungsrat?
- Wie designen Sie eine IT-Architektur, die Angriffe nicht nur abwehrt, sondern überlebt?
Welche Kennzahlen muss der Verwaltungsrat sehen, um die Sicherheitslage zu beurteilen?
Für einen Verwaltungsrat ist die grösste Gefahr, sich in technischen Details zu verlieren. Kennzahlen wie „Anzahl blockierter Viren“ oder „Anzahl Phishing-Mails“ sind operativ relevant, strategisch jedoch wertlos. Sie schaffen ein falsches Gefühl der Sicherheit. Die Dringlichkeit ist real: 4% der Schweizer KMU wurden Opfer schwerwiegender Cyberattacken in den letzten drei Jahren, was rund 24’000 Unternehmen entspricht. Bei 73% davon entstand erheblicher finanzieller Schaden. Ihre Aufgabe ist es, die richtigen, geschäftsorientierten Fragen zu stellen.
Strategische Sicherheitskennzahlen (Key Performance Indicators, KPIs) müssen direkt an die Geschäftsziele gekoppelt sein. Statt technischer Metriken benötigt der VR ein Dashboard, das den Business-Kontext beleuchtet. Dazu gehören:
- Risikoappetit-Abdeckung: Wie viele unserer kritischen Geschäftsprozesse („Kronjuwelen“) sind aktuell durch Sicherheitsmassnahmen geschützt, gemessen am vom VR definierten Risikoappetit? (z.B. „95% unserer kundenrelevanten Prozesse sind gegen die Top-5-Risiken abgesichert“).
- Mean Time to Recover (MTTR): Wie lange dauert es im Durchschnitt, um nach einem schwerwiegenden Vorfall (z.B. Ransomware) den Normalbetrieb wiederherzustellen? Dies ist eine direkte Messung der Cyber-Resilienz.
- Mitarbeiter-Awareness-Score: Ergebnis aus regelmässigen, simulierten Phishing-Kampagnen. Eine hohe Klickrate ist ein direkter Indikator für ein hohes Geschäftsrisiko.
- Anzahl der Sicherheitsausnahmen: Wie oft und warum wurden Sicherheitsrichtlinien umgangen? Dies zeigt, wo Sicherheit die Geschäftsprozesse möglicherweise behindert.
Ein exzellentes Beispiel für eine effektive Governance-Struktur bietet der Kanton Zürich. Mit dem 2022 etablierten kantonalen Zentrum für Cybersicherheit (CCSC) wurde eine Instanz geschaffen, die direkt an den Regierungsrat berichtet. Diese Struktur ermöglicht es der obersten Führungsebene, strategische Entscheidungen auf Basis konsolidierter und verständlicher Sicherheitskennzahlen zu treffen, während operative Details an die Experten im CCSC delegiert werden. Ein solches Modell ist direkt auf Verwaltungsräte in der Privatwirtschaft übertragbar: Es schafft Transparenz und eine klare Zuweisung der Verantwortung, ohne das Gremium mit technischen Details zu überlasten.
Wieviel Prozent des IT-Budgets sollte ein Schweizer KMU realistisch für Security ausgeben?
Die Frage nach dem „richtigen“ Prozentsatz ist irreführend, denn sie impliziert eine Einheitslösung. Die Realität ist, dass die Sicherheitsausgaben keine Funktion des IT-Budgets sein sollten, sondern eine direkte Ableitung Ihrer Geschäftsstrategie und Ihres Risikoappetits. Ein E-Commerce-Unternehmen mit sensiblen Kundendaten hat fundamental andere Anforderungen als ein Produktionsbetrieb. Der Markt hat die Dringlichkeit erkannt: 70% der Schweizer Unternehmen haben ihr Cyber-Budget für 2024 erhöht, was den steigenden Druck widerspiegelt.
Anstatt einer pauschalen Zahl sollte der Verwaltungsrat den strategischen Ansatz für Sicherheitsinvestitionen definieren. Die folgende Übersicht zeigt die gängigsten Modelle, die als Diskussionsgrundlage für die Budgetentscheidung im VR dienen können.
| Ansatz | Budget-Anteil | Vorteile | Nachteile |
|---|---|---|---|
| Compliance-getrieben (nDSG/FINMA) | 3-5% des IT-Budgets | Erfüllt Mindestanforderungen, vermeidet Strafen | Möglicherweise unzureichender Schutz |
| Risikobasiert | 5-8% des IT-Budgets | Fokus auf kritische Assets, optimales Kosten-Nutzen-Verhältnis | Erfordert detaillierte Risikoanalyse |
| Business-Enabling | 8-12% des IT-Budgets | Security als Wettbewerbsvorteil, ermöglicht neue Geschäftsmodelle | Höhere Initialkosten |
| Managed Security Services | 4-7% des IT-Budgets | Vorhersehbare Kosten, Zugang zu Experten, 24/7 Überwachung | Abhängigkeit von externem Provider |
Der risikobasierte Ansatz gilt für die meisten Schweizer KMU als der effektivste Kompromiss. Er erfordert jedoch eine klare Definition der „Kronjuwelen“ durch die Geschäftsleitung und den VR. Der Business-Enabling-Ansatz ist die strategisch reifste Form: Hier wird Sicherheit nicht als Bremse, sondern als Beschleuniger für die digitale Transformation verstanden. Ein hohes Sicherheitsniveau ermöglicht es beispielsweise, in stark regulierte Märkte vorzustossen oder innovative, datengetriebene Dienstleistungen anzubieten, die das Vertrauen der Kunden erfordern.
Warum der Sicherheitschef nicht an den IT-Chef berichten sollte (Interessenkonflikt)?
Die organisatorische Aufhängung des Chief Information Security Officers (CISO) oder des Sicherheitsverantwortlichen ist eine der kritischsten strategischen Entscheidungen, die ein Verwaltungsrat treffen muss. Sie entscheidet über die Wirksamkeit der gesamten Sicherheits-Governance. Wie die Experten von Continuum AG betonen, ist die Verantwortung klar geregelt:
Der Verwaltungsrat als Ganzes trägt die oberste Verantwortung für die Überwachung von Cyber-Risiko und Widerstandsfähigkeit. Eine unabhängige Risikokontrolle ist Teil der Sorgfaltspflicht nach OR Art. 717.
– Continuum AG, Cyber Security: Was tun als Verwaltungsratsmitglied?
Eine direkte Berichtslinie des Sicherheitschefs an den IT-Chef schafft einen inhärenten Interessenkonflikt. Die IT-Abteilung ist primär auf Verfügbarkeit, Geschwindigkeit und die Implementierung neuer Funktionalitäten ausgerichtet („Run the Business“). Die Sicherheitsfunktion hingegen hat die Aufgabe, Risiken zu kontrollieren und zu minimieren, was oft zu Reibung mit den Zielen der IT führt. Wenn der Kontrolleur dem Kontrollierten unterstellt ist, werden Sicherheitsbedenken im Zweifel zugunsten schnellerer Projektumsetzung oder geringerer Kosten zurückgestellt. Der „Bock wird zum Gärtner gemacht“.
Um die notwendige Unabhängigkeit und Autorität zu gewährleisten, muss der Sicherheitsverantwortliche eine von der IT getrennte Position innehaben. Die visuelle Trennung in der Architektur moderner Büros kann als Metapher für diese organisatorische Unabhängigkeit dienen: Transparente, aber klare Grenzen. Effektive Governance-Modelle sehen folgende Aufhängungen vor:
- Als Stabsstelle der Geschäftsleitung: Direkte Berichtslinie an den CEO. Dies stellt sicher, dass Sicherheitsrisiken auf der gleichen Ebene wie andere Geschäftsrisiken (Finanzen, Recht) behandelt werden.
- Unterstellung unter den CFO oder CRO: Wenn die Organisation bereits eine starke Risikomanagement-Funktion hat, kann die Integration des CISO dort sinnvoll sein.
- Direkter Zugang zum Verwaltungsrat: Unabhängig von der täglichen Berichtslinie muss der CISO ein fest verankertes Recht haben, sich quartalsweise oder bei kritischen Vorfällen direkt an den Verwaltungsrat oder dessen Audit & Risk Committee zu wenden.
Zusätzlich ist eine Trennung der Budgets entscheidend. Das Sicherheitsbudget darf nicht Teil des allgemeinen IT-Budgets sein, über das der IT-Chef entscheidet. Es muss als eigenständiger Posten direkt von der Geschäftsleitung oder dem VR genehmigt werden, um sicherzustellen, dass Sicherheitsinvestitionen nicht internen IT-Prioritäten zum Opfer fallen.
Wie stellen Sie sicher, dass Sicherheitsmassnahmen die Innovation nicht abwürgen?
Die häufigste Sorge in Unternehmen ist, dass eine Verschärfung der Sicherheitsmassnahmen die Agilität und Innovationskraft lähmt. Prozesse werden komplizierter, neue Projekte verzögern sich durch endlose Sicherheitsprüfungen. Dieser Zielkonflikt ist jedoch nur scheinbar. Wenn Sicherheit von Anfang an als integraler Bestandteil des Innovationsprozesses verstanden wird („Security by Design“), wird sie vom Bremsklotz zum Wettbewerbsvorteil und Innovationstreiber.
Ein perfektes Beispiel aus der Schweiz liefert der IT-Dienstleister Ontrex. Das Unternehmen hat die Zertifizierung nach ISO 27001 nicht als bürokratische Hürde, sondern als strategische Chance genutzt. Durch den nachweislich hohen Sicherheitsstandard konnte Ontrex das Vertrauen von Kunden in hochregulierten Branchen gewinnen und neue Geschäftsfelder im Bereich IT-Security Consulting und Cloud-Services erschliessen. In den Worten des Unternehmens: „Mit einer ISO/IEC 27001 Zertifizierung können wir zeigen, dass wir als Vertriebspartner das gleiche Verständnis von IT-Sicherheit mitbringen und unsere Position im Bereich IT-Security Consulting erheblich stärken.“ Die Zertifizierung wurde zum Enabler für Wachstum in Märkten, die ohne diesen Vertrauensbeweis verschlossen geblieben wären.
Für den Verwaltungsrat bedeutet das, einen Kulturwandel voranzutreiben. Anstatt Sicherheit als nachträgliche Kontrolle („Gatekeeper“) zu positionieren, sollte sie als beratende Funktion frühzeitig in strategische Initiativen eingebunden werden. Die Schlüsselfragen für den VR lauten:
- Ist unser Sicherheitsverantwortlicher in die Diskussion über neue Produkte und Geschäftsmodelle involviert? Er muss die Chance haben, Risiken frühzeitig aufzuzeigen und Lösungen vorzuschlagen, anstatt Projekte im Nachhinein zu blockieren.
- Investieren wir in Sicherheit, die Geschäftsprozesse vereinfacht? Moderne Sicherheitslösungen wie passwortlose Authentifizierung oder Single Sign-On können die Benutzerfreundlichkeit sogar erhöhen, anstatt sie zu verringern.
- Nutzen wir Sicherheitsstandards als Marketinginstrument? Eine anerkannte Zertifizierung wie ISO 27001 ist ein starkes Signal an den Markt und kann, wie das Beispiel Ontrex zeigt, zum entscheidenden Differenzierungsmerkmal werden.
Die Aufgabe der Führung ist es, die Denkweise im Unternehmen zu verändern: Weg von „Sicherheit vs. Business“ hin zu „Sicherheit *für das* Business“. Eine robuste Sicherheitsarchitektur schafft das Vertrauen, das notwendig ist, um mutige, innovative Schritte zu wagen.
Wie überwacht der Verwaltungsrat die Einhaltung gesetzlicher Vorgaben ohne im Detail zu versinken?
Das regulatorische Umfeld für Cybersicherheit wird zusehends komplexer. Mit dem neuen Datenschutzgesetz (nDSG) in der Schweiz und kommenden Regulierungen wie der NIS2-Richtlinie in der EU (die auch viele Schweizer Unternehmen als Zulieferer betrifft), wächst der Druck auf die Verwaltungsräte, die Compliance sicherzustellen. So zeigen Analysen, dass ab 2024/2025 das Informationssicherheitsgesetz (ISG) in der Schweiz und NIS2 in der EU für 18 kritische Branchen und deren Zulieferer gelten. Ein Versäumnis kann zu empfindlichen Bussen und Reputationsschäden führen.
Die Herausforderung für den VR besteht darin, seiner Aufsichtspflicht nachzukommen, ohne sich im Dschungel der Paragrafen und technischen Kontrollen zu verlieren. Die Lösung liegt in der Etablierung eines abstrahierten Compliance-Reportings. Anstatt detaillierte Audit-Berichte zu wälzen, benötigt der VR ein klares, übersichtliches Dashboard, das den Status der wichtigsten regulatorischen Anforderungen auf einen Blick darstellt.
Ein solches Dashboard ermöglicht es dem Gremium, sich auf die wesentlichen Fragen zu konzentrieren: Wo stehen wir? Wo gibt es Handlungsbedarf? Wer ist verantwortlich? Das folgende Beispiel illustriert, wie ein solches Werkzeug für ein Schweizer KMU aussehen könnte.
| Regulierung | Status | Nächste Deadline | Verantwortlich | VR-Handlungsbedarf |
|---|---|---|---|---|
| nDSG (Datenschutz) | ✓ Implementiert | Jährliche Überprüfung | Datenschutzbeauftragter | Quartalsbericht prüfen |
| FINMA-Rundschreiben | ⚠ In Umsetzung | Q2 2025 | Compliance Officer | Budget genehmigen |
| ISG (Informationssicherheit) | ✓ Konform | Revision 2025 | CISO | Strategie-Update |
| ISO 27001 | ✓ Zertifiziert | Re-Audit Q3 2025 | Quality Manager | Keine Aktion nötig |
Dieses Ampelsystem (z.B. ✓ für „konform“, ⚠ für „in Umsetzung“, ✗ für „nicht konform“) bietet eine sofort verständliche Übersicht. Die Verantwortung des VR ist es, sicherzustellen, dass ein solches System existiert, dass die Verantwortlichkeiten klar zugewiesen sind und dass bei Abweichungen (gelbe oder rote Ampeln) die notwendigen Ressourcen zur Behebung bereitgestellt werden. Eine weitere bewährte Methode, wie sie etwa die Health Info Net AG (HIN) praktiziert, ist die Nutzung externer Auditoren, deren zusammenfassende Berichte direkt an den VR gehen. Dies gewährleistet eine unabhängige und objektive Beurteilung der Lage.
Warum isolierte IT- und Gebäudesicherheit Sie jährlich über 20’000 CHF kostet?
In vielen Unternehmen existieren physische Sicherheit (Zutrittskontrolle, Videoüberwachung) und digitale Sicherheit (Firewalls, Virenschutz) als getrennte Silos mit eigenen Teams, Budgets und Technologien. Diese Trennung ist ein Relikt aus einer Zeit, in der ein Einbruch durch die Tür eine völlig andere Bedrohung darstellte als ein Hackerangriff über das Internet. Heute sind diese Welten konvergiert, und die getrennte Behandlung schafft gefährliche Sicherheitslücken und erhebliche Ineffizienzen, die weit über 20’000 CHF pro Jahr kosten können.
Die Kosten entstehen auf mehreren Ebenen. Erstens durch Redundanzen: Beide Abteilungen beschaffen und unterhalten oft separate Systeme für Identitätsmanagement, Alarmierung und Überwachung. Zweitens durch erhöhte Betriebskosten: Die manuelle Abstimmung zwischen den Teams bei Vorfällen ist langsam und fehleranfällig. Drittens, und am wichtigsten, durch unerkannte Risiken. Die AXA KMU-Arbeitsmarktstudie 2024 zeigt, dass 49% der betroffenen Unternehmen Opfer von Ransomware wurden, eine Bedrohung, die oft durch eine Kombination aus digitalen und physischen Schwächen ermöglicht wird.
Betrachten wir ein konkretes Szenario: Ein Mitarbeiter verlässt das Unternehmen. Die IT-Abteilung deaktiviert seinen Netzwerk-Login. Die Personalabteilung vergisst jedoch, die physische Sicherheitsabteilung zu informieren, um seinen Badge zu sperren. Der Ex-Mitarbeiter kann das Gebäude immer noch betreten und sich an einen freien Arbeitsplatz mit aktivem Netzwerkanschluss setzen. Die getrennten Systeme haben eine kritische Lücke geschaffen. Ein integriertes Identitäts- und Zugriffsmanagement (IAM), das sowohl digitale als auch physische Zugänge zentral verwaltet, hätte dies verhindert.
Für den Verwaltungsrat ist die Konvergenz von IT- und physischer Sicherheit keine technische, sondern eine strategische Notwendigkeit. Die zentrale Frage lautet: „Haben wir eine ganzheitliche Sicht auf unsere Sicherheitsrisiken oder operieren wir in Silos?“ Die Etablierung einer übergeordneten Sicherheitsstrategie, die beide Bereiche umfasst und idealerweise unter einer einzigen Verantwortung (z.B. einem Chief Security Officer) bündelt, eliminiert nicht nur Kosten, sondern schliesst auch gefährliche Angriffstore.
Wie verkaufen Sie „rote Ampeln“ im Auditbericht als Investitionschance an den Verwaltungsrat?
Ein Auditbericht voller „roter Ampeln“ wird oft als negatives Zeugnis für die IT- oder Sicherheitsabteilung wahrgenommen. Für den Verwaltungsrat ist es jedoch etwas anderes: ein klares, priorisiertes Inventar von Geschäftsrisiken. Das bewusste Ignorieren dieser bekannten Schwachstellen ist nicht nur fahrlässig, sondern kann auch rechtliche Konsequenzen haben. Wie die Redaktion von Inside-IT festhält, ist die Pflicht des VR gesetzlich verankert:
Gemäss Artikel 716a des Obligationenrechts ist der Verwaltungsrat gesetzlich verpflichtet, ein integrales Risikomanagement auszugestalten. Das bewusste Ignorieren von bekannten kritischen Schwachstellen kann als grobe Pflichtverletzung gewertet werden.
– Inside-IT Redaktion, Verwaltungsräte stehen bei Cyberattacken in der Verantwortung
Die Kunst besteht darin, diese technischen Befunde in die Sprache des Vorstands zu übersetzen: in die Sprache von Risiko, Kosten und strategischem Nutzen. Eine „rote Ampel“ ist keine technische Schwäche, sondern eine Investitionschance mit einem kalkulierbaren Return on Investment (ROI) in Form von Risikoreduktion. Der CISO oder Sicherheitsverantwortliche muss zum „Verkäufer“ werden, der dem VR nicht Probleme, sondern Lösungen mit klarem Business Case präsentiert. Statt zu sagen „Wir brauchen eine neue Firewall“, muss die Argumentation lauten: „Eine Investition von X CHF in Technologie Y reduziert das Risiko eines Produktionsausfalls, dessen potenzieller Schaden auf Z Mio. CHF geschätzt wird.“
Die folgende Methode hilft dabei, technische Schwachstellen systematisch in überzeugende Entscheidungsvorlagen für das Management umzuwandeln.
Ihre 5-Punkte-Checkliste: ‚Rote Ampeln‘ in Business Cases übersetzen
- Risiko quantifizieren: Quantifizieren Sie jede „rote Ampel“ in CHF. Berechnen Sie die potenzielle Schadenssumme (z.B. Kosten für Betriebsausfall, Datenwiederherstellung, Bussen) bei Nicht-Behebung.
- Benchmarken und Kontext geben: Vergleichen Sie die Situation mit der Branche. Zeigen Sie auf, dass Konkurrenten durch ähnliche Schwachstellen bereits konkrete Verluste erlitten haben.
- Quick Wins aufzeigen: Identifizieren Sie die Massnahmen, die mit dem geringsten Aufwand (z.B. 20%) die grösste Risikoreduktion (z.B. 80%) erzielen. Dies zeigt Handlungsfähigkeit und schafft Vertrauen.
- Mit Strategie verknüpfen: Verbinden Sie die Behebung der Schwachstelle mit strategischen Unternehmenszielen. (z.B. „Ohne die Absicherung unserer Kundendatenbank ist die geplante Expansion in den EU-Markt aufgrund der DSGVO nicht möglich.“)
- Szenarien anbieten: Präsentieren Sie dem VR klare Handlungsoptionen: eine Minimalinvestition zur Schadensbegrenzung, eine Optimalinvestition für nachhaltigen Schutz und die Konsequenzen des Nichtstuns.
Das Wichtigste in Kürze
- Sicherheitsführung ist Governance: Die Hauptaufgabe des VR ist nicht das Management technischer Details, sondern das Design einer robusten Governance-Struktur und die Definition des Risikoappetits.
- Unabhängigkeit ist nicht verhandelbar: Ein dem IT-Leiter unterstellter Sicherheitschef leidet unter einem strukturellen Interessenkonflikt. Die organisatorische Unabhängigkeit ist eine Grundvoraussetzung für effektive Kontrolle.
- Risiken sind Investitionschancen: Jede im Audit identifizierte Schwachstelle ist eine Gelegenheit, durch eine gezielte Investition die unternehmerische Resilienz zu stärken und Haftungsrisiken zu minimieren.
Wie designen Sie eine IT-Architektur, die Angriffe nicht nur abwehrt, sondern überlebt?
Die traditionelle Sicherheitsphilosophie war der Bau einer Festung: hohe Mauern und ein tiefer Graben (Firewalls, Perimeterschutz), um Angreifer draussen zu halten. Diese Metapher ist heute überholt. Angreifer sind bereits im Inneren oder finden immer einen Weg hinein. Die schockierende Realität, welche die Cyberstudie 2024 der FHNW enthüllt, ist, dass 40% der Schweizer Unternehmen keinen Notfallplan für schwerwiegende Cyberangriffe haben. Sie planen nicht für den Fall, dass die Festungsmauern fallen.
Die moderne strategische Antwort darauf ist Cyber-Resilienz. Resilienz geht davon aus, dass ein erfolgreicher Angriff unvermeidlich ist („Assumed Breach“-Mentalität). Das Ziel verschiebt sich daher von der reinen Abwehr zur Fähigkeit, einen Angriff zu überleben, den Schaden zu begrenzen und den Geschäftsbetrieb schnellstmöglich wiederherzustellen. Dies erfordert ein Umdenken in der IT-Architektur, weg von einem monolithischen Schutzwall hin zu einem dezentralen, segmentierten und wiederherstellbaren System.
Schlüsselprinzipien einer resilienten Architektur umfassen:
- Zero Trust: Vertraue niemandem, überprüfe alles. Jeder Zugriff auf Daten und Anwendungen – egal ob von innerhalb oder ausserhalb des Netzwerks – wird rigoros authentifiziert und autorisiert.
- Netzwerksegmentierung: Das Unternehmensnetzwerk wird in kleine, isolierte Zonen unterteilt. Gelingt es einem Angreifer, in ein Segment einzudringen, kann er sich nicht ohne Weiteres auf andere Bereiche ausbreiten. Die „Kronjuwelen“ befinden sich in einem hochgesicherten Segment.
- Unveränderliche Backups (Immutability): Regelmässige Backups werden so gespeichert, dass sie von Ransomware nicht verschlüsselt oder gelöscht werden können (z.B. auf getrennten Systemen oder speziellen Speichermedien).
- Georedundanz: Kritische Systeme und Daten werden an mehreren, geografisch getrennten Standorten gespiegelt. Im Falle eines Totalausfalls eines Rechenzentrums (z.B. durch Brand, Stromausfall oder Angriff) kann der Betrieb vom zweiten Standort aus übernommen werden.
Ein starkes Beispiel für gelebte Resilienz bietet das Schweizer Unternehmen OBT mit seiner ISO 27001-zertifizierten Infrastruktur. Durch die Nutzung georedundanter Rechenzentren unter Schweizer Recht stellt OBT sicher, dass die Systeme selbst bei einem Totalausfall eines Standorts innerhalb von vier Stunden wiederhergestellt werden können. Dies ist kein reines IT-Feature, sondern ein zentrales Versprechen der Business Continuity an die Kunden und ein strategischer Vorteil. Für den Verwaltungsrat ist die entscheidende Frage nicht mehr nur „Sind wir sicher?“, sondern „Wie schnell sind wir wieder handlungsfähig, wenn das Schlimmste passiert?“.
Die Verankerung von Informationssicherheit als strategisches Ziel ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess der Steuerung und Anpassung. Der nächste logische Schritt für Ihr Gremium besteht darin, die Maturität Ihres aktuellen Governance-Modells anhand der hier vorgestellten Prinzipien zu bewerten und einen klaren Fahrplan für dessen Weiterentwicklung zu definieren.