Cybersecurity-Schwerpunkte 2025

Mit diesem Beitrag starten wir unsere vierteilige Serie zu den Cybersecurity-Schwerpunkten, die uns in diesem Jahr besonders beschäftigt haben. Den Anfang machen Themen rund um Governance, Strategy and Culture.Die folgenden drei Themen begleiten uns schon länger und waren auch in diesem Jahr wichtig: Third-Party-Risk-Management, die Wahl des idealen SOC-Modells und Standortbestimmungen der Informations- und Cybersicherheit.

Third Party Risk Management – Aus den Augen aus dem Sinn?

Ein Angriff auf einen IT-Dienstleister hat drastisch gezeigt, wie weitreichend Supply-Chain-Risiken sein können. Ein Kunde des IT-Dienstleisters wurde kompromittiert. Dies ermöglichte es den Angreifern in die Infrastruktur des IT-Dienstleisters vorzudringen und in der Folge auch die Infrastruktur all seiner Kunden anzugreifen. So auch unser Kunde, ein klassisches Schweizer KMU. Sie legten zentrale Systeme per Ransomware lahm und brachten unseren Kunden an den Rand des Konkurses. Unser Kunde wiegte sich in falscher Sicherheit: Die IT war an einen vertrauensvollen Dienstleister ausgelagert, es existierten Backups und es bestand auch eine Cyberversicherung. Da die komplette Infrastruktur kompromittiert wurde, waren auch die Backups weg. Da ebenfalls kein Offline-Backup vorlag, drohte der komplette Datenverlust und somit der Konkurs. Glücklicherweise kam es nicht so weit, denn wir konnten eine Entschlüsselung der Daten veranlassen, diese Bereinigen und die Infrastruktur im Verbund mit den bisherigen Dienstleistern wiederherstellen und gleichzeitig härten. Nach gut einer Woche lief der Grossteil der Systeme wieder.

Oftmals wähnt man sich durch die Auslagerung der IT an einen professionellen Dienstleister in Sicherheit – das ist jedoch trügerisch. Die FINMA stellte erst kürzlich fest , dass bei mehr als der Hälfte der Cyberangriffe Lieferanten und Service-Provider involviert waren.

Um IT-Risiken zu verhindern, ist eine gezielte Auswahl und ein aktives Management der Lieferanten notwendig. Wir durften zahlreiche Kunden dabei unterstützen, Prozesse und Vorgaben für das Lieferantenmanagement aus Sicht der Cybersicherheit zu etablieren, Dienstleister zu evaluieren und zu überwachen. Welche Risiken in der Lieferkette lauern, wie man sie reduziert und worauf bei der Überprüfung von Dienstleistern zu achten ist, haben wir bereits letztes Jahr in einem Blog-Artikel ausführlich behandelt.

Die Organisation eines hybriden SOC

Ein Security Operations Center (SOC) dient der Überwachung von Systemen und der frühzeitigen Erkennung von Vorfällen, um schnell reagieren zu können. Viele Unternehmen lagern ihr SOC an einen Managed Security Service Provider (MSSP) aus. Häufig geschieht dies, weil ihnen die internen Ressourcen oder das Know-how fehlen. Doch damit ist es nicht getan: Der externe Dienstleister muss in die interne Organisation und Prozesse eingebunden werden. Es braucht somit eine Form eines hybriden SOCs.

Laut Gartner nutzen bereits 63 % der Unternehmen eine Kombination aus internen Teams und externen Ressourcen. Die Vorteile liegen auf der Hand: Interne Spezialisten behalten die Prozesshoheit, kennen die Systeme, verfügen über Domänen-Know-how und treffen im Ereignisfall die notwendigen Entscheide, während externe Analysten rund um die Uhr Alarmmeldungen triagieren, Bedrohungen verfolgen und die Belegschaft entlasten. Damit ein solches hybrides Modell funktioniert, müssen allerdings Voraussetzungen erfüllt sein.

Seit einigen Jahren unterstützen wir Kunden dabei, die Grundlagen für eine ganz oder teilweise Auslagerung des SOCs zu schaffen. Dazu gehört insbesondere die Ausrichtung der internen Organisation, sodass die Zusammenarbeit zwischen internen Teams und externen Spezialisten reibungslos funktioniert. Dies Umfasst unter anderem Schulungen, klar definierte Verantwortlichkeiten, Schnittstellen, ausgearbeitete Prozesse sowie Entscheidungs- und Eskalationsstufen. Der Auswahl des externen Partners sowie der Definition des passenden Angebots mit den dazugehörigen Vertragsbestimmungen gilt es ebenfalls besondere Beachtung zu schenken.

Standortbestimmung als Ausgangspunkt

Eine Bestandsaufnahme ist der erste Schritt zu mehr Cybersicherheit und beantwortet klassischerweise auch die Fragen wo die Organisation heute steht und wo die grössten Risiken bestehen. Im Zentrum steht dabei die Frage «Sind wir ausreichend gegen Cyberrisiken gewappnet?». Internen Stellen fällt es oft schwer die notwendigen Fragen zu stellen.

Eine unabhängige Standortbestimmung kann hierbei helfen. Mithilfe eines bewährten Standards, wie dem IKT-Minimalstandard oder dem NIST Cybersecurity Framework, werden technische, organisatorische und prozessuale Aspekte der Informationssicherheit systematisch analysiert. Das Ziel besteht darin, den aktuellen Reifegrad zu erfassen und die bestehenden Risiken objektiv zu bewerten.

Was wir dabei immer wieder beobachten, ist, dass alle Controls eines Frameworks über einen Kamm geschoren werden. Dabei ist eine Priorisierung aus Sicht des Unternehmens und seiner individuellen Bedrohungslage ein wichtiger Schritt. Nicht jedes Control ist für jedes Unternehmen von gleicher Bedeutung.

In unseren Mandaten belassen wir oft nicht bei der Analyse. Auf Basis der identifizierten Risiken entwickeln wir klare, risikobasierte Handlungsempfehlungen. Im Vordergrund steht, dass Unternehmen ihre Ressourcen dort einsetzen, wo sie den grössten Effekt erzielen, also dort, wo mit angemessenem Aufwand die grösste Risikoreduktion erreicht werden kann.

Das Ergebnis ist eine priorisierte Roadmap, die unter Berücksichtigung der verfügbaren Ressourcen aufzeigt, welche Massnahmen in welcher Reihenfolge ergriffen werden sollten.

In unseren Mandaten hat sich dieser Ansatz vielfach bewährt. Unternehmen gewinnen nicht nur Klarheit über ihren Sicherheitszustand, sondern auch eine fundierte Entscheidungsgrundlage für gezielte Massnahmen und Investitionen. Das Resultat: Mittel werden optimal eingesetzt und Risiken effektiv reduziert.

Fazit und Einladung zum Austausch

Unsere Erfahrung zeigt: Die wirksamsten Sicherheitsstrategien entstehen, wenn technische Lösungen, gelebte Verantwortung und klare Prioritäten zusammenkommen. Ob es um den richtigen Umgang mit Dienstleistern, ein passendes SOC-Modell oder die strategische Priorisierung von Massnahmen geht – entscheidend ist, Klarheit über die passenden Schritte zum richtigen Zeitpunkt zu gewinnen.

Sind dies Themen, die auch Sie beschäftigen? Dann nehmen Sie Kontakt mit uns auf und vereinbaren Sie ein kostenloses Erstgespräch mit unseren Expertinnen und Experten. Gemeinsam finden wir heraus, ob und wie wir Sie am besten unterstützen können.