Seit 2015 verwenden wir, die NIST CSF als Grundlage für unser Rapid Security Assessment. Damals war das Framework für uns in erster Linie ein Werkzeug, um Ordnung in eine oft verwirrende Welt zu bringen. Die Sicherheitsanforderungen wurden immer komplexer. Viele Organisationen wussten nicht, wo sie anfangen sollten. Der Rahmen half uns, ein gemeinsames Verständnis zu schaffen und spezifische Lücken zu identifizieren. Heute, nach vielen Jahren praktischer Anwendung, hat sich unsere Herangehensweise an den Rahmen erheblich verändert. Wir sehen ihn nicht als starres Raster, sondern als modularen Aufbau, den wir je nach Unternehmensgrösse, Branche und Risikoprofil individuell anpassen. Dieser Ansatz bietet insbesondere für kleine und mittlere Unternehmen Vorteile. Diese Unternehmen verfügen selten über umfassende Sicherheitsressourcen. Sie brauchen pragmatische Lösungen, die schnell greifen. Unser Ansatz verzichtet bewusst auf komplexe Reifegradmodelle oder langwierige Audits. Stattdessen setzen wir auf präzise Bewertungen, konkrete Handlungsempfehlungen und verständliche Sprache. Ziel ist es, Sicherheit greifbar und praktikabel zu machen, auch ohne eigene Sicherheitsabteilung oder langjährige Erfahrung im Bereich der Cybersecurity.

Rapid Security Assessments (RSA) ist ein Ansatz zur schnellen und präzisen Bewertung der Sicherheitslage eines Unternehmens. Die Methode basiert auf dem NIST CSF und ist bewusst so aufgebaut, dass sie in kurzer Zeit umsetzbare Erkenntnisse liefert. Der Schwerpunkt liegt nicht auf technischen Details, sondern auf der systematischen Bewertung von Risiken. Wir kombinieren strukturierte Interviews, Dokumentenanalyse und gezielte technische Überprüfungen. Anstatt einer starren Checkliste zu folgen, passen wir unseren Ansatz an die spezifischen Bedürfnisse jeder Organisation an und verwenden gegebenenfalls reduzierte oder massgeschneiderte Prüfungen zur Bewertung der CSF-Kontrollen. Unsere Arbeit mit den Kunden ist sehr kooperativ. In Workshops und Diskussionen ermitteln wir gemeinsam mit dem Unternehmen, welche Bedrohungen wirklich relevant sind. Faktoren wie die Branche, das Geschäftsmodell und die aktuelle Bedrohungslage spielen dabei eine wichtige Rolle. Auf dieser Grundlage erstellen wir einen prägnanten Bericht mit klar priorisierten Empfehlungen. So erhalten Unternehmen nicht nur ein Sicherheitsinventar, sondern auch eine konkrete Grundlage für fundierte Entscheidungen. Das Rapid Security Assessment (RSA) hilft Unternehmen, begrenzte Ressourcen effektiv zu verteilen und dort zu investieren, wo der grösste Nutzen erzielt werden kann.

Das RSA Paket

Viele KMU’s haben Schwierigkeiten, ihre Sicherheitslage genau einzuschätzen. Sie wissen zwar, dass Cyberrisiken bestehen, können diese jedoch oft nicht quantifizieren oder priorisieren. Begrenzte Zeit, Personal und Budgets erschweren die Umsetzung umfassender Strategien. Doch genau dieses Verständnis ist der erste entscheidende Schritt zur Verbesserung.

Hier kommt das RSA-Paket ins Spiel. Es wurde speziell für kleinere Unternehmen entwickelt und bietet eine schnelle und zuverlässige Bewertung ihrer Sicherheitslage, ohne dass wochenlange Projekte erforderlich sind. Das Ziel ist es, mit minimalen Unterbrechungen maximale Einblicke zu liefern. Es ist ideal für Unternehmen, die umsetzbare Empfehlungen ohne den Aufwand vollständiger Compliance-Programme suchen. Das Paket basiert auf dem bewährten NIST CSF und folgt einem strukturierten, aber flexiblen Ansatz. Gemeinsam mit dem Unternehmen wählen wir relevante Rahmenfunktionen aus, analysieren die vorhandene Dokumentation, führen Workshops zur Klärung von Fragen durch und überprüfen die technischen Konfigurationen. Das Ergebnis ist ein Bericht, der Abweichungen von der Baseline aufzeigt und priorisierte Empfehlungen liefert.

Dieser pragmatische Ansatz stellt sicher, dass auch kleinere Unternehmen ein realistisches Verständnis ihrer aktuellen Situation erhalten und genau wissen, wo Handlungsbedarf besteht.

Beispiel für eine Lagebewertung für KMU, strukturiert nach dem NIST CSF:

• Auswahl relevanter CSF-Funktionen: Identifizierung der am besten geeigneten NIST CSF-Funktionen und -Kategorien auf der Grundlage des Sektors, der Grösse und der Risikoexposition der Organisation. Der Schwerpunkt liegt auf der praktischen Relevanz und der Einhaltung gesetzlicher Vorschriften.
• Überprüfung der Kundendokumentation: Analyse bestehender Richtlinien, Verfahren, Netzwerkdiagramme und Risikobewertungen, um die aktuelle Cybersicherheitslage zu verstehen und potenzielle Lücken zu identifizieren.
• Workshops mit KMU zur Klärung von Fragen: Interaktive Sitzungen mit wichtigen Mitarbeitern, um die Ergebnisse der Dokumentation zu validieren, die Reife der Prozesse zu bewerten und unklare oder fehlende Informationen durch strukturierte Interviews zu klären.
• Überprüfung der technischen Konfiguration: Gezielte Bewertung ausgewählter Systeme und Infrastrukturkomponenten (z. B. Endpunkte, Firewalls, Identitätsdienste), um die Übereinstimmung mit Sicherheitsbest Practices und CSF-Kontrollen zu bewerten.
• Bericht über Abweichungen von der erwarteten Baseline: Zusammenfassung der Ergebnisse im Vergleich zu einer CSF-konformen Baseline, wobei Abweichungen, Lücken und vorrangige Verbesserungsbereiche in einem strukturierten und umsetzbaren Format hervorgehoben werden.
• Empfehlungen zur Behebung: Klare, priorisierte Empfehlungen, die auf die Fähigkeiten der Organisation zugeschnitten sind, mit praktischen Schritten zur Schließung von Lücken, zur Verbesserung der Kontrollen und zur Steigerung der allgemeinen Cybersicherheitsreife.

Das GV.PO Paket

Die neue Govern-Funktion im NIST CSF ermutigt Unternehmen, ihre Cybersicherheitsstrategie als integralen Bestandteil ihres Geschäfts zu verstehen. Sie ermöglicht eine langfristige Ausrichtung, klare Verantwortlichkeiten und nachhaltige Verbesserungen. Speziell für KMU, denen oft die personellen oder finanziellen Ressourcen fehlen, um diese Funktion selbstständig zu entwickeln, wurde das _GV.PO-Paket entwickelt.

Es bietet einen geführten und anpassungsfähigen Weg, um Governance-Richtlinien zu definieren, zu entwickeln und umzusetzen, die sowohl realistisch als auch effektiv innerhalb der Grenzen kleinerer Unternehmen sind. Das Paket unterstützt KMUs in zwei Phasen bei der Entwicklung und Umsetzung von Governance-Richtlinien, die nicht nur auf dem Papier existieren, sondern tatsächlich in den täglichen Betrieb des Unternehmens integriert werden können. In der ersten Phase, dem Design, analysieren wir gemeinsam mit dem Kunden die bestehenden Richtlinien, schlagen sinnvolle Standards vor und entwickeln auf dieser Grundlage individuelle Spezifikationen, die zur Grösse und Struktur des Unternehmens passen. Ein besonderer Fokus liegt dabei auf der Definition realistischer Parameter und einem klaren Plan, wie technische Systeme und Prozesse an die neuen Anforderungen angepasst werden können. In der zweiten Phase, der Implementierung, begleiten wir das Unternehmen über einen Zeitraum von mehreren Monaten. In regelmässigen Meetings setzen wir gemeinsam die geplanten Massnahmen um, passen sie an neue Erkenntnisse an und stellen sicher, dass sich das Unternehmen kontinuierlich verbessert.

Dieser kontinuierliche Unterstützungsprozess schafft Vertrauen, Sicherheit und einen echten Kulturwandel. Die technische Umsetzung wird nicht isoliert betrachtet, sondern als Teil der Unternehmensführung etabliert. So entsteht eine Cybersicherheitskultur, die nicht nur auf Audits reagiert, sondern proaktiv und vorausschauend handelt.

Die scip AG wurde mit der Überzeugung gegründet, dass Unternehmertum und Innovation ohne Security nicht nachhaltig ist.

Werte integral geschützt zu Wissen – das Bedürfnis.

Mit diesem fundamentalen und kundenorientierten Ziel prüfen und optimieren wir umfassend Ihre Security. Wir zeigen Ihnen auf, wie Sie digitalen Angreifern mit offensiven, defensiven und innovativen Techniken einen Schritt voraus sind.

Security is our Business – damit Sie sich auf Ihres konzentrieren können.

Unsere interdisziplinären und interprofessionellen Teams beraten weltweit Unternehmen aus allen Branchen. Mit einer langfristigen und eigenfinanzierten Unternehmensstrategie bewahren wir geschäftliche Flexibilität und Unabhängigkeit. Dank der kontinuierlichen Forschung bieten wir stets aktuelle und fundierte Expertisen. Dieses Wissen veröffentlichen wir in Fachmagazinen, Blogs und Büchern.