In diesem Artikel erläutern wir, wie wir unsere Rapid Security Assessment- und GV.PO-Pakete entwickelt haben, um speziell KMU bei der Sicherheitsbewertung und -Optimierung zu unterstützen. Wir erläutern, wie wir die strategische Ausrichtung mit der technischen Umsetzung in Einklang bringen, um praktische Lösungen anzubieten. Wir geben Einblicke, wie Unternehmen ihre Sicherheitslage realistisch einschätzen, gezielte Massnahmen ableiten und ihre Widerstandsfähigkeit schrittweise stärken können. Darüber hinaus zeigen wir auf, wie das NIST Cybersecurity Framework (CSF) in der Praxis funktioniert, was sich in den letzten zehn Jahren geändert hat, welche Herausforderungen besonders KMU betreffen und wie unsere beiden Pakete konkrete, anpassungsfähige Unterstützung bieten.

Mit NIST CSF schnell und effektiv die Sicherheit bewerten

Vor zehn Jahren begannen wir, die NIST CSF als Grundlage für unser Rapid Security Assessment zu verwenden. Damals war das Framework für uns in erster Linie ein Werkzeug, um Ordnung in eine oft verwirrende Welt zu bringen. Die Sicherheitsanforderungen wurden immer komplexer. Viele Organisationen wussten nicht, wo sie anfangen sollten. Der Rahmen half uns, ein gemeinsames Verständnis zu schaffen und spezifische Lücken zu identifizieren. Heute, nach vielen Jahren praktischer Anwendung, hat sich unsere Herangehensweise an den Rahmen erheblich verändert. Wir sehen ihn nicht als starres Raster, sondern als modularen Aufbau, den wir je nach Unternehmensgrösse, Branche und Risikoprofil individuell anpassen. Dieser Ansatz bietet insbesondere für kleine und mittlere Unternehmen Vorteile. Diese Unternehmen verfügen selten über umfassende Sicherheitsressourcen. Sie brauchen pragmatische Lösungen, die schnell greifen. Unser Ansatz verzichtet bewusst auf komplexe Reifegradmodelle oder langwierige Audits. Stattdessen setzen wir auf präzise Bewertungen, konkrete Handlungsempfehlungen und verständliche Sprache. Ziel ist es, Sicherheit greifbar und praktikabel zu machen, auch ohne eigene Sicherheitsabteilung oder langjährige Erfahrung im Bereich der Cybersecurity.

Wie funktionieren Rapid Security Assessments (RSA)

Rapid Security Assessments (RSA) ist ein Ansatz zur schnellen und präzisen Bewertung der Sicherheitslage eines Unternehmens. Die Methode basiert auf dem NIST CSF und ist bewusst so aufgebaut, dass sie in kurzer Zeit umsetzbare Erkenntnisse liefert. Der Schwerpunkt liegt nicht auf technischen Details, sondern auf der systematischen Bewertung von Risiken. Wir kombinieren strukturierte Interviews, Dokumentenanalyse und gezielte technische Überprüfungen. Anstatt einer starren Checkliste zu folgen, passen wir unseren Ansatz an die spezifischen Bedürfnisse jeder Organisation an und verwenden gegebenenfalls reduzierte oder massgeschneiderte Prüfungen zur Bewertung der CSF-Kontrollen. Unsere Arbeit mit den Kunden ist sehr kooperativ. In Workshops und Diskussionen ermitteln wir gemeinsam mit dem Unternehmen, welche Bedrohungen wirklich relevant sind. Faktoren wie die Branche, das Geschäftsmodell und die aktuelle Bedrohungslage spielen dabei eine wichtige Rolle. Auf dieser Grundlage erstellen wir einen prägnanten Bericht mit klar priorisierten Empfehlungen. So erhalten Unternehmen nicht nur ein Sicherheitsinventar, sondern auch eine konkrete Grundlage für fundierte Entscheidungen. Das Rapid Security Assessment (RSA) hilft Unternehmen, begrenzte Ressourcen effektiv zu verteilen und dort zu investieren, wo der grösste Nutzen erzielt werden kann.

Vom Rahmenkonzept zum flexiblen Werkzeug

Von Anfang an sahen wir den NIST CSF nicht als endgültiges Modell, sondern als Ausgangspunkt. Wir waren uns bewusst, dass kein Unternehmen vollständig in ein vorgegebenes Raster passt. Deshalb haben wir den Ansatz frühzeitig so erweitert, dass er an reale Geschäftsprozesse und Unternehmensgrössen angepasst werden kann. In der Praxis bedeutet das, dass wir von Fall zu Fall entscheiden, welche Teile des Rasters vertieft untersucht werden müssen und wo eine grobe Einordnung ausreicht. Manchmal genügt ein Name, ein Kommentar oder die Reihenfolge der Einträge, um zu erkennen, wo mehr Aufmerksamkeit erforderlich ist. In der Regel reichen einige wenige spezifische Fragen aus, um zu erkennen, ob ein Thema bereits gut behandelt wird oder ob weitere Massnahmen erforderlich sind. Das Ziel ist es, kritische Themen schnell sichtbar zu machen, damit die nächsten Schritte priorisiert werden können, ohne interne Ressourcen unnötig zu belasten. Unser Ansatz ist anpassbar und richtet sich nach der tatsächlichen Komplexität und den Anforderungen der Umgebung, sei es eine gezielte Bewertung eines Identitätsanbieters oder eine breitere Sicht auf die gesamte Infrastruktur. Wir haben uns schon früh an den NIST-Standards orientiert, so dass die Einführung des NIST CSF ein naheliegender Schritt war. In komplexeren Szenarien nutzen wir ergänzende Modelle wie das Secure Control Framework (SCF). Damit können verschiedene Standards wie ISO 27001, PCI-DSS oder NIST 800-53 miteinander verknüpft werden. Dies schafft eine Grundlage für Organisationen, die nicht nur die Sicherheit verbessern, sondern auch gesetzliche Anforderungen erfüllen müssen. Durch diesen flexiblen Einsatz von Methoden entsteht ein Gesamtbild, das technische, organisatorische und strategische Aspekte gleichermassen berücksichtigt. Das ist genau das, was unsere Kunden schätzen: Eine Methode, die sich anpasst, nicht andersherum.

Was sich in zehn Jahren geändert hat

Die Cybersicherheit unterscheidet sich heute grundlegend von der vor zehn Jahren. Damals lag der Schwerpunkt auf Virenschutz, Netzwerksegmentierung und Zugangskontrollen. Heute sind Unternehmen mit komplexen Angriffsketten, Industriespionage, Desinformationskampagnen und professionell organisierten Angreifergruppen konfrontiert. Die Bedrohungslandschaft ist dynamischer, globaler und unvorhersehbarer geworden. Gleichzeitig hat das Management erkannt, dass Cybersicherheit ein strategisches Thema ist. Es geht nicht mehr nur um den Schutz einzelner Systeme, sondern um die Sicherung der Geschäftsgrundlage. Dieser Wandel spiegelt sich in den Rahmenwerken wieder. Das NIST CSF wurde in seiner aktuellen Version 2.0 um die Funktion Govern erweitert und betont, dass Sicherheit nicht nur eine technische, sondern auch eine Managementaufgabe ist. Die Funktion Govern verknüpft die strategische Kontrolle mit den technischen Prozessen und bietet eine breitere Sicht auf das Sicherheitsmanagement.

Der blosse Schutz von Vermögenswerten reicht nicht mehr aus, die Unternehmensführung muss die Richtung der Cybersicherheit aktiv definieren, verwalten und weiterentwickeln. Heute sind Begriffe wie NIST CSF, CIS und SCF in den IT- und Compliance-Abteilungen aller Branchen Standard. Was früher erklärungsbedürftig war, ist heute Grundwissen. Andere Modelle, wie die CIS Controls, haben sich ebenfalls weiterentwickelt. Sie sind jetzt in Version 8 mehr auf reale Angriffsszenarien und moderne Technologien abgestimmt. Ihre Struktur ist stärker aufgabenorientiert, mit Umsetzungshilfen und Reifegradgruppen, die Organisationen dabei helfen, sie je nach ihrer Grösse und ihren Fähigkeiten einzusetzen. Der SCF hat sich als übergreifender Standard durchgesetzt. Er fungiert als Metamodell, das verschiedene Standards und Best Practices vereint, eine umfassende Sicht ermöglicht und regulatorische Anforderungen wie ISO 27001, NIST 800-53, SOC 2 und PCI DSS überbrückt. Dadurch wird die Cybersicherheit nicht nur besser kontrollierbar, sondern auch überprüfbar. Wir stellen fest, dass die Funktion Protect in vielen Unternehmen gut etabliert ist, mit Massnahmen wie Zugangskontrollen, Endpunktschutz und Verschlüsselung. Gleichzeitig wird zunehmend in die Funktionen Identify und Detect investiert, die für das Verständnis von Risiken, die Inventarisierung von Systemen und die frühzeitige Erkennung von Bedrohungen entscheidend sind. Fortgeschrittene Funktionen wie automatisierte Reaktion, Integration von Cyber-Bedrohungsdaten und die Verankerung der Cybersicherheit auf Managementebene befinden sich bei vielen Unternehmen noch in der Entwicklung. Diese Lücke stellt sowohl eine Herausforderung als auch eine Chance für gezielte Verbesserungen dar.

Was noch fehlt

Trotz erheblicher Fortschritte gibt es nach wie vor Schwächen bei der Umsetzung. Vor allem die Funktion Govern im NIST CSF wird häufig unterschätzt. Viele Organisationen reduzieren sie auf das Schreiben von Richtlinien und übersehen dabei ihre Rolle als strategischer Motor einer effektiven Cybersicherheit. Govern bedeutet nicht nur Dokumentation, sondern aktive Kontrolle. Es verbindet die operative Sicherheit mit strategischen Zielen und stellt sicher, dass die Initiativen aufeinander abgestimmt und nicht isoliert sind. In kleinen und mittleren Unternehmen wird Govern oft als eine Sammlung von Richtlinien missverstanden, die abgeheftet werden, anstatt eine lebendige Verbindung zwischen Management und technischen Teams zu sein. Ähnlich wie CP- und CPS-Dokumente in einer Public-Key-Infrastruktur sollte Governance nicht als Endpunkt betrachtet werden, sondern als Architektur, die die Grundlage und Richtung aller Aktivitäten definiert. Ein gut definierter Governance-Rahmen bindet die Geschäftsziele an die Cybersicherheitsbemühungen, klärt die Verantwortlichkeiten und treibt die kontinuierliche Verbesserung durch messbare, anpassbare Richtlinien voran.

Branchen wie das Bank- und Versicherungswesen, die pharmazeutische Industrie, die Automobilbranche und das Militär betrachten die Cybersicherheit als strategisches Gut und verfügen über strenge Governance-Verfahren. Im Gegensatz dazu betrachten viele kleinere Unternehmen die Cybersicherheit immer noch als reine IT-Angelegenheit. Ihnen fehlt zuweilen das Verständnis dafür, dass zu einer guten Unternehmensführung die Eigenverantwortung des Managements, klare Verantwortungsstrukturen und eine regelmässige Bewertung der Effektivität gehören. Ohne diesen übergreifenden Rahmen geraten viele Initiativen ins Stocken oder verlieren sich in technischen Details. Eine strukturierte Governance schafft jedoch Klarheit, baut Vertrauen zu den Beteiligten auf und ermöglicht die nachhaltige Entwicklung der Sicherheitsstrategie.

Nicht nur grosse Unternehmen sind betroffen

Cybersecurity-Risiken betreffen nicht mehr nur internationale Konzerne oder technologiegetriebene Unternehmen. Kleine und mittlere Unternehmen (KMU) werden zunehmend zur Zielscheibe. Der Grund dafür ist einfach: Grosse Unternehmen investieren massiv in die Sicherheit, wodurch kleinere, weniger geschützte Organisationen attraktiver werden. Angreifer sind nicht nur auf der Suche nach Daten, sondern auch nach Zugangspunkten, die sie für weitere Angriffe nutzen können. Dazu auch das Stichwort Supply Chain Security. Die Vorstellung, dass zu klein oder uninteressant zu sein, Schutz bietet, ist überholt.

Gesundheitssektor

Der Gesundheitssektor ist eine der am stärksten betroffenen Branchen. Laut enisa betrafen 76 Prozent der gemeldeten Cybervorfälle in der EU im Jahr 2021 medizinische Einrichtungen oder forschungsorientierte Unternehmen. Dazu gehörten Webangriffe, Systemeinbrüche und menschliches Versagen. Angreifer haben es in der Regel auf Patientendaten, Forschungsergebnisse oder Geschäftsgeheimnisse abgesehen. In der pharmazeutischen Industrie, wo Innovation von entscheidender Bedeutung ist, kann ein erfolgreicher Angriff erhebliche Folgen haben. Unternehmen müssen daher nicht nur ihre Technologie auf den neuesten Stand bringen, sondern auch starke organisatorische Sicherheitsvorkehrungen treffen. Eine wichtige Initiative auf europäischer Ebene ist der Europäische Gesundheitsdatenraum, der 2022 ins Leben gerufen wurde, um den Schutz und die Verwaltung von Patientendaten zu verbessern.

Banken- und Versicherungen

Auch im Finanzsektor hat das Risiko zugenommen. Zwischen Januar 2023 und Juni 2024 wurden im europäischen Finanzsektor 488 öffentlich bekannte Vorfälle registriert enisa. Der Gesetzgeber reagierte darauf mit dem “Digital Operational Resilience Act” (DORA), der im Dezember 2022 verabschiedet wurde und darauf abzielt, die Widerstandsfähigkeit des Sektors in ganz Europa zu harmonisieren. Versicherungsunternehmen, Banken und Finanzdienstleister müssen nun sicherstellen, dass sie nicht nur über wirksame Sicherheitsmassnahmen verfügen, sondern auch Vorfälle schnell erkennen, melden und darauf reagieren können. Diese Anforderungen machen deutlich: Sicherheit ist kein Wettbewerbsvorteil mehr – sie ist eine Grundvoraussetzung für den Betrieb.

KMUs in der Europäische Union (EU)

Mit der Einführung der NIS2-Richtlinie werden nun auch kleine und mittlere Unternehmen stärker in die Verantwortung genommen. Die Richtlinie trat im Oktober 2024 in Kraft und verlangt eine verbesserte Cyber-Resilienz in allen Sektoren, einschliesslich KMU. Obwohl detaillierte Daten nur begrenzt verfügbar sind, ist allgemein anerkannt, dass KMU aufgrund ihrer begrenzten Ressourcen häufig mit Herausforderungen im Bereich der Cybersicherheit konfrontiert sind. Je nach Branche und Bedeutung für die kritische Infrastruktur müssen sie ähnliche Anforderungen erfüllen wie grosse Unternehmen. Dazu gehören ein strukturiertes Risikomanagement, klar definierte Verantwortlichkeiten, Meldepflichten und technische Schutzmassnahmen. Für viele KMU stellt dies sowohl eine Herausforderung als auch eine Chance dar, ihre Sicherheitsstrategien zu verbessern und ihre Zukunftsfähigkeit zu sichern. Um diesen Übergang zu unterstützen, bietet der NIST CSF 2.0 Quick Start for SME praktische, skalierbare Leitlinien, die auf kleine und mittlere Unternehmen zugeschnitten sind. Die Umsetzung des NIST Cybersecurity Framework 2.0 hilft KMU bei der Anpassung an die NIS2-Anforderungen, indem es einen modularen Ansatz für Cybersicherheit fördert. Es fördert ein klares Verständnis der Risiken, definiert Verantwortlichkeiten, strukturiert Compliance-Massnahmen und fördert kontinuierliche Verbesserungen – alles wesentliche Elemente für die Erfüllung der NIS2-Verpflichtungen.

Angreifer entwickeln sich weiter, KMUs sollten das auch

In den Anfängen digitaler Angriffe konzentrierten sich Cyberkriminelle hauptsächlich auf einfache Täuschungsmanöver, Identitätsdiebstahl oder schnelle finanzielle Gewinne. Diese Angriffe waren oft opportunistisch, technisch einfach und breit angelegt. Heute sieht die Situation ganz anders aus. Angreifer gehen viel strukturierter, strategischer und professioneller vor. Sie nutzen gezielte Spionage, Social Engineering, technische Raffinessen und automatisierte Schwachstellenscans, um genau die Systeme anzugreifen, die den grössten Nutzen bieten. Dies gilt zunehmend auch für kleinere Unternehmen. Waren KMU früher durch ihre vermeintliche Bedeutungslosigkeit geschützt, sind sie heute attraktive Ziele. Cyberkriminelle haben ihren Fokus auf Datendiebstahl verlagert, insbesondere auf proprietäre Informationen und geistiges Eigentum. Besonders gefährdet sind Branchen wie Fertigung, Maschinenbau und spezialisierte Entwicklungsdienstleistungen. KMU werden zunehmend als wertvolle Einstiegspunkte in grössere Ökosysteme oder als unzureichend geschützte Träger hochsensibler Daten angesehen.

Bedrohungsstatistiken zeigen, dass Cyberangriffe in Europa zwischen 2022 und 2023 um 57 Prozent zugenommen haben. Davon waren 41 Prozent Phishing-Angriffe, 40 Prozent webbasierte Angriffe und 39 Prozent betrafen generische Malware. Darüber hinaus standen 45 Prozent der Vorfälle in Verbindung mit Akteuren aus China und 39 Prozent mit Akteuren aus Russland, was auf ein hohes Mass an Koordination und geopolitische Motive hindeutet. Gleichzeitig fehlen vielen KMU die personellen und finanziellen Ressourcen, um einen robusten Schutz aufzubauen. Im Gegensatz zu Unternehmen aus den Bereichen Pharma, Banken oder Versicherungen verfügen KMU oft weder über das nötige Budget noch über Fachpersonal. Das macht sie besonders anfällig, obwohl sie denselben Risiken ausgesetzt sind. KMU müssen sich nicht nur selektiv, sondern strukturell weiterentwickeln. Sie benötigen ein realistisches Verständnis der Bedrohungen, gezielte Risikobewertungen und priorisierte Schutzmassnahmen. Der Erfolg hängt nicht von den teuersten Tools ab, sondern von den richtigen – kostengünstig, strategisch ausgewählt, korrekt konfiguriert und kontinuierlich gewartet. Durch die Kombination von technischen Abwehrmassnahmen, organisatorischem Bewusstsein und fokussierter Governance kann die Angriffsfläche erheblich reduziert und die Widerstandsfähigkeit langfristig gestärkt werden.

Unsere Dienstleistungen entwickeln sich ständig weiter

In der Vergangenheit waren viele Analysen manuell, zeitaufwändig und konnten Wochen dauern. Heute kann mit den richtigen Tools das, was früher Wochen dauerte, viel schneller erledigt werden. Wir verwenden moderne Tools, die viele Aufgaben beschleunigen, strukturieren und verfeinern. Dazu gehören automatisierte Scans, vordefinierte Regelsätze und KI-gestützte Analyse-Tools. Plattformen wie beispielsweise OpenSCAP ermöglichen automatisierte Überprüfungen auf Basis von CIS-Benchmarks. Künstliche Intelligenz hilft mittlerweile sogar beim Entwurf erster Versionen von Sicherheitsrichtlinien. Diese Technologien ermöglichen uns schnellere und genauere Ergebnisse, entlasten unsere Teams und bieten unseren Kunden einen klaren Mehrwert.

Eine häufig gestellte Frage lautet: Warum externe Beratung in Anspruch nehmen, wenn moderne Tools so viel automatisieren? Die Antwort lautet Erfahrung. Tools können Daten verarbeiten, aber sie können keine Muster mit der Tiefe menschlicher Erfahrung erkennen. Unser Team verfügt über mehr als 30 Jahre praktische Erfahrung mit verschiedenen Technologien – von TCP/IP-Stacks auf OS/2, Windows 3.11, AS400 und Novell bis hin zu SIEM-Entwicklung, Containerisierung, softwaredefinierten Netzwerken und Cloud-Infrastrukturen.

Wir erkennen Fehler schnell, weil wir sie selbst gemacht und bereits gelöst haben.

Zu wissen, wo man suchen muss und was wirklich wichtig ist, macht den Unterschied zwischen einer blossen Erledigung einer Aufgabe und einer guten Ausführung aus. Es geht nicht nur darum, Werkzeuge einzusetzen, sondern auch darum, das grosse Ganze zu verstehen, Schwachstellen zu priorisieren und Massnahmen in der richtigen Reihenfolge umzusetzen.

Fazit

Die Cybersicherheit hat sich in den letzten zehn Jahren erheblich weiterentwickelt. Das NIST CSF spielt dabei eine zentrale Rolle, da es als flexible, modulare Struktur dient, die an die Grösse und das Risikoprofil des Unternehmens angepasst werden kann. Die Einführung von Governance-Funktionen in Sicherheitsstrategien, wie vom NIST CSF gefordert, zeigt, dass Cybersicherheit nicht nur als technisches Problem, sondern als strategische Unternehmensaufgabe betrachtet werden muss. Insbesondere KMUs profitieren von pragmatischen und schnell umsetzbaren Sicherheitsbewertungen, wie sie beispielsweise im Rahmen der Rapid Security Assessments (RSA) angeboten werden. Unternehmen, die sich nicht nur auf technische Lösungen verlassen, sondern auch ihre organisatorische und strategische Ausrichtung an die aktuelle Bedrohungslage anpassen, stärken langfristig ihre Widerstandsfähigkeit. Die erhöhte Bedrohungslage, insbesondere durch professionell organisierte Angreifer, zeigt, dass sich kein Unternehmen, egal wie gross oder klein, vor Cyberangriffen sicher fühlen kann. Daher ist es für Unternehmen wichtig, ein robustes Governance-Modell zu etablieren, das Cybersicherheit auf allen Ebenen integriert. Dies wird durch massgeschneiderte Dienstleistungen wie das RSA-Paket und das GV.PO-Paket für KMU unterstützt. Wir beraten Sie gerne!

Über die Autoren

Michèle Trebo hat an der ZHAW einen Bachelor in Informatik sowie einen Master in Wirtschaftsinformatik erworben und war sechs Jahre lang als Polizistin, unter anderem zur Aufklärung und Auswertung von Cybercrime, tätig. Sie zeichnet sich im Bereich Forschung für kriminalistische Themen wie Darknet, Cyber Threat Intelligence, Ermittlungen und Forensik verantwortlich. (ORCID 0000-0002-6968-8785)

Andrea Covello ist seit den 1990er Jahren im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen traditionell im Engineering, wobei er als Spezialist im Bereich Windows-Sicherheit, Firewalling und Virtualisierung gilt.

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Security Frameworks, Routing, Firewalling und Log Management.

Links

• https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
• https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space-regulation-ehds_en
• https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1300.pdf
• https://vuldb.com/?cti
• https://www.enisa.europa.eu/publications
• https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023
• https://www.scip.ch/?labs.20161124
• https://www.scip.ch/?labs.20170216
• https://www.scip.ch/?labs.20211007
• https://www.scip.ch/?labs.20230406
• https://www.scip.ch/?labs.20240916