Gemeinsam gegen die Cyberunsicherheit
Das Wichtigste in Kürze
- Die ISG-Meldepflicht trifft Betreiber kritischer Infrastrukturen und auch ihre Lieferanten. Ohne Cybersicherheits-Nachweis droht der Auftragsverlust
- Burgwinkels Fünf-Schritte-Empfehlung: Betroffenheit klären, GAP-Analyse, Massnahmen umsetzen, Nachweise erbringen, regelmässig überprüfen
Die Meldepflicht von Cyberangriffen sollten Unternehmen nicht auf die leichte Schulter nehmen. Am Baggenstos Breakfast vom 1. Juli referierte Dr. Daniel Burgwinkel vom Beratungsunternehmen KRM zu diesem Thema und formulierte eine klare Haltung: «Sich proaktiv mit dem neuen Informationssicherheitsgesetz ISG und dem europäischen Pendant NIS2 auseinanderzusetzen, ist keine lästige Pflicht, sondern eine strategische Notwendigkeit. Es schützt nicht nur Ihr Unternehmen vor Angriffen und Bussen, sondern sichert Ihnen Ihren Platz in der Lieferkette von morgen.»
Welche Unternehmen sind vom neuen Informationssicherheitsgesetz (ISG) betroffen? In knapp acht Minuten fasst Daniel Burgwinkel den Stand der Dinge zusammen – für alle, die nicht am Baggenstos Breakfast teilnehmen konnten.
Das Fachmagazin Inside IT hat beim Bundesamt für Cybersicherheit (BACS) nachgefragt. Die Meldepflicht wirkt: Hauptsächlich seien Meldungen zu DoS/DDoS-Attacken eingegangen, so das BACS gegenüber Inside IT. Oft würden in einer Meldung gleich mehrere Angriffe gleichzeitig genannt. Besonders im Fokus: die öffentliche Verwaltung und das Finanzwesen.
Widerstandsfähige Wirtschaft
Um kritische Infrastrukturen zu schützen, die digitale Schweiz widerstandsfähiger zu machen, zieht der Bund die Zügel straffer und verteilt ab Herbst auch Bussen, wenn ein Unternehmen seiner Meldepflicht nicht nachkommt.
Wer ist nun aber betroffen? Offensichtlich die Betreiberinnen und Betreiber kritischer Infrastrukturen. Die entsprechenden Branchen sind im ISG aufgeführt. Wer dort nicht verzeichnet ist, sollte nicht aufatmen: Unter die Pflicht fallen auch Unternehmen der Lieferkette - sie sind indirekt betroffen.
Auftragsverlust droht
Unternehmen etwa der Energie-, Gesundheits- oder der Finanzbranche sind gesetzlich verpflichtet, die Cybersicherheit ihrer gesamten Lieferkette sicherzustellen und von Lieferanten Nachweise zu verlangen. Wer diese nicht liefern kann, verliert den Auftrag.
Freiwillig melden ist somit nur einem geringeren Teil der Unternehmen vorbehalten. Doch diese tun gut daran, Angriffe ebenfalls zu melden. Damit tragen auch sie zur Stärkung der Resilienz bei, indem die Fachleute des Bacs schon früh Trends erkennen und durch Aufklärung Angriffe bereits im Ansatz ersticken können.
Daniel Burgwinkel empfiehlt folgende Massnahmen:
- 🔍 Betroffenheit klären (direkt oder indirekt durch ISG, NIS2 oder Lieferkettengesetz)
- 📊 GAP-Analyse durchführen (Bestandsaufnahme vorhandener Sicherheitsmassnahmen)
- 🛠️ Massnahmen umsetzen (Informations- und Sicherheitsmanagementsystem, Mitarbeiterschulungen)
- 📋 Nachweise erbringen (Dokumentation, ggf. Zertifizierung nach ISO 27001 oder branchenspezifisches Assessment)
- 🔄 Regelmässige Überprüfung der Wirksamkeit und Anpassung an neue Bedrohungen
Bei Baggenstos unterstützen wir als Microsoft-Partner Unternehmen jeder Grösse dabei, die nötige Cybersicherheit aufzubauen und zu dokumentieren. Unser Expertenteam hilft ihnen, ihren Platz in der Lieferkette zu sichern und resilient gegen Cyberbedrohungen zu werden.
