In einer zunehmend digitalisierten Welt sind Cyberangriffe an der Tagesordnung – auch in der Schweiz. Für Unternehmen lautet die Frage deshalb, wie sie ihre IT-Infrastruktur optimal schützen können. Ein bewährter Ansatz sind standardisierte Cybersecurity-Frameworks, wie die CIS Controls.
Für Unternehmen weltweit sind Cybersecurity-Frameworks die Basis für die Implementierung sicherer IT-Systeme. Sie umfassen Best Practices, Richtlinien und Empfehlungen zu unterschiedlichsten Aspekten der Cybersicherheit. Entwickelt werden sie von Behörden, Verbänden oder internationalen Organisationen.
Neben globalen Frameworks wie CIS, NIST oder ISO 27001/27002 gibt es auch nationale Varianten, wie in der Schweiz die Nationale Cybersicherheitsstrategie (NCS) des Bundes. Eine wichtige Rolle spielen daneben häufig auch branchenspezifische Standards
CIS, NCS, NIST oder ISO: Die wichtigsten Frameworks im Überblick
Das Center for Internet Security (CIS) ist eine unabhängige Non-Profit-Organisation, die sich zum Ziel gesetzt hat, die IT-Sicherheit von Unternehmen und Behörden zu fördern. Die CIS-Standards umfassen unter anderem die CIS Controls – weltweit anerkannte Best Practices für die Sicherung von IT-Systemen und Daten, die sich gut mit lokalen Anforderungen und anderen Frameworks kombinieren lassen.
Für Schweizer Unternehmen ist daneben die auf Schweizer Verhältnisse zugeschnittene Nationale Cybersicherheitsstrategie (NCS) relevant. Stark verbreitet sind hierzulande zudem der globale zertifizierbare Standard ISO 27001/27002 und das vom US-amerikanischen National Institute of Standards and Technology entwickelte NIST-Framework. Letzteres insbesondere im Tech- und Finanzsektor sowie unter Unternehmen mit US-Geschäftsbeziehungen.
Welches Framework passt zu wem?
Bei der Wahl des passenden Frameworks sind nebst branchenspezifischen und regulatorischen Anforderungen die Unternehmensgrösse und -komplexität wesentlich. Weitere Kriterien sind die verfügbaren Ressourcen, ein allfälliger Zertifzierungsbedarf sowie mögliche internationale Geschäftsbeziehungen.
Eine wichtige Rolle spielen zudem die Besonderheiten des föderalistischen Systems der Schweiz – denn nebst den Regeln des Bundes gelten immer auch kantonale Vorschriften.
Kleine KMU-Betriebe sind mit den CIS Controls gut beraten. Sie sind überschaubar und effektiv – und damit eine ideale Grundlage. Kombiniert mit den Grundzügen der NCS bilden sie eine solide Basis. Mittelständische Unternehmen fahren oft am besten mit einer Kombination aus ISO 27001/27002 und branchenspezifischen Standards.
Grosse Unternehmen können und sollten dagegen aus dem Vollen schöpfen: Eine vollständige ISO 27001/27002-Implementierung, ergänzt durch das NIST-Framework und branchenspezifische Standards, sorgt für maximale IT-Sicherheit.
CIS-Controls: Der erste Schritt auf dem Weg zur IT-Sicherheit
Die Implementierung der CIS Controls ist für Unternehmen der erste Schritt auf dem Weg zu mehr und umfassender Cybersicherheit. Für viele KMU stellt dieser Schritt aufgrund mangelnder Fachkenntnis und ungenügende Personalressourcen eine Herausforderung dar. Ein erfahrener Partner wie die igeeks AG begleitet Unternehmen professionell bei der Entwicklung einer massgeschneiderten Sicherheitsstrategie auf Grundlage des CIS-Frameworks.
