Die Landesversorgung und die gesamte Wirtschaft sind zunehmen von Cyberrisken bedroht. Zum Schutz dagegen hat das Bundesamt für wirtschaftliche Landesversorgung (BWL) einen Minimalstandard für die Informations- und Kommunikationstechnologien (IKT) erarbeitet. Die vorliegenden Dokumente bieten grundsätzlich jedem interessierten Unternehmen und jeder Organisation eine Hilfestellung und konkrete Handlungsanweisungen zur Verbesserung des eigenen Schutzes gegen die Cyberrisiken.

Minimalstandard für jedes Unternehmen anwendbar

Im Rahmen der vom Bundesrat 2012 beschlossenen Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) führte das Bundesamt für wirtschaftliche Landesversorgung Verwundbarkeitsanalysen zu Cyberrisiken in verschiedenen lebenswichtigen Branchen durch. Untersucht wurden etwa die Stromversorgung, die Trinkwasser- und Lebensmittelversorgung oder auch der Strassen- und Schienenverkehr. Auf Basis der Ergebnisse ist der Minimalstandard zur Stärkung des Schutzes gegen die Cyberrisiken entwickelt worden. Der Standard richtet sich insbesondere an die Betreiber von kritischen Infrastrukturen in der Schweiz. Er ist aber für jedes Unternehmen anwendbar.

«Identifizieren», «Schützen», «Detektieren», «Reagieren»

Der «Minimalstandard zur Stärkung der IKT-Resilienz» (Download PDF) umfasst die Funktionen «Identifizieren», «Schützen», «Detektieren», «Reagieren» und «Wiederherstellen». Der Standard bietet den Anwendern 106 konkrete Handlungsanweisungen zur Verbesserung ihrer «Informations- und kommunikationstechnologischen(IKT)-Resilienz» gegenüber Cyberrisiken. Die vorgeschlagenen Massnahmen sind organisatorischer oder technischer Natur. Dazu gehören Vorgaben zur Erstellung eines vollständigen Inventars für Hard- und Software, Schulung und Training für Mitarbeitende, Vorgaben zum Datenschutz oder zur Früherkennung von Bedrohungen.

International anerkannte Minimalstandards sind eingebaut

Der Schweizer «Informations- und kommunikationstechnologische(IKT)-Minimalstandard» beruht auf den international anerkannten Empfehlungen der US-Bundesbehörde National Institute of Standards and Technology (NIST) und ist kompatibel mit weiteren Cybersecurity-Standards. Zusammen mit verschiedenen Wirtschaftsverbänden wurde der Minimalstandard für einzelne Branchen bereits weiter spezifiziert. So entstand in Zusammenarbeit mit dem Verband Schweizerischer Elektrizitätsunternehmen (VSE) bereits ein Standard für die Strombranche.

Dreiteiliger IKT-Minimalstandard

Der IKT-Minimalstandard gliedert sich in drei Teile:

1. Grundlagen: Dieser Teil dient als Nachschlagewerk und vermittelt Informationen zur IKT-Resilienz.
2. Framework: Es bietet den Anwendern, gegliedert nach den fünf Themenbereichen «Identifizieren», «Schützen», «Detektieren», «Reagieren» und «Wiederherstellen» ein Bündel konkreter Handlungsanweisungen.
3. Bewertungstool: Mit diesem können Unternehmen den Grad ihres Schutzes gegen Cyberrisiken selbst beurteilen oder durch externe Unternehmen prüfen lassen. (Download Exceldatei - Bewertungstool)