Blogeintrag

21 May 2024

Cyber-Resilienz in der Schweiz: Wichtige Schritte zur Sicherheit

Ab dem 1. Juli 2024 gelten neue Regelungen der Stromversorgungsverordnung (StromVV). Netzbetreiber, Erzeuger und Dienstleister müssen dann eine höhere Nachweis- und Sorgfaltspflicht erfüllen und ein verbindliches Schutzniveau vor Cyberbedrohungen erreichen und nachweisen. Basis für die Verordnung bietet die Nationale Strategie zum Schutz vor Cyberrisiken (2018) vom Bundesrat und der dort integrierte IKT-Minimalstandard.

In der Übersicht

  • Nationale Strategie zum Schutz vor Cyberrisiken (NCS): Gezielte Massnahmen zur Stärkung der Cyber Security in der Schweiz.
  • IKT-Minimalstandard: Grundlage zur Verbesserung der Cybersicherheit für kritische Infrastrukturen.
  • Sektorspezifische Minimalstandards: Ergänzende Vorgaben, die in Zusammenarbeit mit Branchenverbänden entwickelt wurden.
 

Wie erreicht man den IKT-Minimalstandard?

  1. Einführung: Grundlagen im Unternehmen erfassen. Hier werden verschiedene Aspekte behandelt, darunter Sicherheitsgrundsätze, Organisation und Verantwortlichkeiten, Politik, Weisungen und Richtlinien, Risikomanagement, Elemente einer Defense-in-Depth-Strategie sowie spezifische Themen wie industrielle Kontrollsysteme (ICS).
  2. Umsetzung: Basierend auf dem amerikanischen NIST Cyber Security Framework 1.1 wird die Maturität der Cybersicherheit eines Unternehmens in den 5 funktionalen Gruppen (sog. Funktionen) IDENTIFY, PROTECT, DETECT, RESPOND und RECOVER und entsprechenden Untergruppen bewertet. 
  3. Prüfung: Der dritte Teil ist ein Self-Assessment- und Bewertungstool Es bietet die praktische Möglichkeit zur Anwendung des Standards, indem es Organisationen erlaubt, ihre eigene Maturität der IKT-Sicherheit zu bewerten bzw. zu verbessern, und somit einen Überblick zur Gesamtreife der Cybersicherheit innerhalb der Organisation zu schaffen.
 

Was sind die Herausforderungen in Unternehmen?

Die IKT-Sicherheitsstrategie eines Unternehmens sollte darauf abzielen, die für die Geschäftsprozesse kritischen IKT-Werte (sog. Assets) zu schützen. Dazu gehören Systeme, Daten, Geräte, Prozesse, sowie Personen.

Herausforderung #1
Durch das schnelle und stark operativ fokussierte digitale Wachstum der Unternehmen besteht aktuell kein vollständiges Inventar der Assets oder Dokumentation kritischer Prozesse.
 
Herausforderung #2
Sicherheit wird oft funktional betrachtet.
Die IKT-Sicherheitsgrundsätze fordern aber zudem notwendige organisatorische Regeln, Prozesse, Metriken und Strukturen fest, um folgende Fragen zu beantworten:
  • Was wird getan?
  • Wie wird es getan?
  • Wer ist dafür verantwortlich?
  • Wie wird es gemessen?
 
Herausforderung #3
Ein aktives und kontinuierliches Risikomanagement ist Voraussetzung für die Verbesserung der IKT-Resilienz. Die für Betrieb und Wartung der IKT-Systeme zuständige Organisationseinheit muss die Risikomanagement-Methoden der Organisation kennen und anwenden. Der IKT-Risikoprozess umfasst:
  • Risikoanalyse: Identifizierung potenzieller Bedrohungen und Schwachstellen.
  • Risikobewertung: Bewertung der Wahrscheinlichkeit und Auswirkungen der Risiken.
  • Risikobewältigung: Umsetzung von Massnahmen zur Risikominderung oder -beseitigung.
 
Herausforderung #4
Ein mehrschichtiger Ansatz einer Sicherheitsstrategie welcher international als „Defense-in-Depth“ bekannt ist, soll verhindern, dass ein Angreifer existierende Schwachstellen in einem dieser Assets auszunutzen kann. Gleichzeitig werden potenzielle Angreifer und ihre Methoden beobachtet, um passende Abwehrmassnahmen zu entwickeln. 

Herausforderung #5
Die StromVV legt für die Akteure das geltende Schutzniveau fest und definiert somit das Anforderungslevel der umzusetzenden Aufgaben. Die Schutzniveaus (A/B/C) sowie die zugehörigen Kriterien wurden gemeinsam mit dem Verband Schweizerischer Elektrizitätsunternehmen (VSE) und Experten des Bundesamts für Energie (BFE) erarbeitet. Die Schutzniveaus, in Kombination mit den geforderten Minimalwerten (sog. Maturity Rating), legen fest, welcher Erfüllungsgrad gemäss dem IKT-Minimalstandard umgesetzt werden muss. 
 

Vertrauen durch Sicherheit

 Unser IKT-Assessment-Package bietet eine detaillierte Analyse Ihrer aktuellen OT-Umgebung in Bezug auf Cybersicherheit. Wir erstellen gemeinsam einen Report und unterstützen Sie sowohl bei der Identifizierung potenzieller Schwachstellen und Mängel, als auch durch klare Handlungsoptionen zur Verbesserung Ihrer Cyber-Resilienz.
  

Warum ein IKT-Assessment mit ALSEC?

  1. Einhaltung gesetzlicher Vorgaben: Unser Assessment hilft Ihnen als Energieversorgungsunternehmen (EVU) die regulatorischen Anforderungen zu bewerten, entsprechend zu mitigieren, um diese jederzeit auszuweisen zu können. 
  2. Transparenz und Einsicht: Erfahren Sie den aktuellen Zustand Ihrer OT-Umgebung und identifizieren Sie potenzielle Risiken und Schwachstellen.
  3. Stärkung der Resilienz: Wir unterstützen Sie bei der Absicherung Ihrer Infrastruktur, um auch den anspruchsvollsten Bedrohungen standzuhalten.
  4. Kosteneffiziente Lösungen: Gemeinsam erarbeiten wir eine Lösung, die nicht nur kritische regulatorische Anforderungen erfüllt, sondern auch Ihre Kosten im Blick behält.
  5. Unterstützung aus erster Hand: Die Branchenspezialisten von ALSEC waren bei der Entwicklung des «Handbuchs Grundschutz für Operational Technology in der Stromversorgung», massgeblich beteiligt.

 «Durch unsere weitreichende Vernetzung mit Hochschulen, Verbänden und Herstellern und langjährigen Kenntnisse in diesem Bereich, ist ALSEC der ideale Partner für die Durchführung von IKT-Assessments.»

 Starten Sie noch heute in eine zukunftssichere Cyber-Welt und lassen uns wissen, wenn wir Sie unverbindlich kontaktieren dürfen. https://alsec.ch/campaigns/ikt-ict

Lesen Sie jetzt unseren neusten Blogeintrag

Schweizer Energie-Unternehmen setzen Sicherheitsstandards