swissaxis

swissaxis 
swissRM™ 
swissIKS® 
swissPIXAS® 
swissGOVV® 
Menu
Menu

Riskmanagement & IKS News

Das IKS für mehr Cybersicherheit

Der Fall Vidymed zeigt: Cybersicherheit ist kein Luxus, sondern Pflicht – Ein IKS-Leitfaden für KMU und öffentliche Organisationen.

Ein Cyberangriff, der Leben verändert

Am 7. Dezember 2024 erlebte Vidymed, ein führendes Gesundheitsunternehmen in der Waadt, einen Cyberangriff, der die IT-Systeme lahmlegte. 137 Ärzte verloren den Zugang zu Patientendossiers und Abrechnungssoftware. Wochen später sind die Systeme immer noch offline. Die Folge: Frust, finanzielle Verluste und psychologische Unterstützung für die Betroffenen.

Kein Unternehmen ist zu klein oder zu spezialisiert, um Opfer eines Cyberangriffs zu werden. Der Schaden trifft nicht nur IT-Abteilungen, sondern ganze Geschäftsmodelle.


Bruce Schneiers Forderung: Haftung für Führungskräfte

Laut dem Cybersicherheitsexperten Bruce Schneier liegt das Problem oft nicht an fehlender Technologie, sondern an mangelndem Willen, Risiken ernst zu nehmen. Seine These: Erst wenn Führungskräfte persönlich haften oder Gefängnisstrafen riskieren, wird Cybersicherheit zur Priorität.

„Persönliche Haftung“ ist ein Weckruf für Führungsteams. Cybersicherheit ist keine Aufgabe der IT-Abteilung, sondern des gesamten Managements.


Was ist schiefgelaufen?

Der Fall Vidymed verdeutlicht grundlegende Schwächen im Risikomanagement:

  1. Fehlende Redundanzen: Keine parallele Infrastruktur konnte aktiviert werden, obwohl Backups vorhanden waren.
  2. Mangelhafte Notfallpläne: Die Prozesse für eine schnelle Wiederaufnahme des Betriebs waren offensichtlich unzureichend.
  3. Versicherung statt Prävention: Cyberversicherungen wurden möglicherweise als Ersatz für proaktive Sicherheitsmassnahmen betrachtet.

Backups sind nutzlos, wenn sie nicht in eine umfassende Notfallstrategie eingebettet sind.


Die Bedeutung eines wirksamen internen Kontrollsystems

Ein IKS für Cybersicherheit hilft, Risiken zu erkennen, Schäden zu minimieren und die Reaktionsfähigkeit zu stärken. Ein robustes IKS umfasst:

  • Klare Verantwortlichkeiten: Wer ist wofür zuständig?
  • Regelmässige Kontrollen: Sind alle Systeme auf dem neuesten Stand?
  • Übungen und Tests: Wie effektiv sind die Prozesse im Ernstfall?

Ein IKS ist wie ein Brandschutzkonzept: Es kann den Brand nicht verhindern, aber die Schäden deutlich reduzieren.















Praktische Umsetzung: Kontrollen, die funktionieren

Eine Checkliste mit empfohlenen Kontrollen und Häufigkeiten:

Kontrolle Frequenz Ziel
Backup-Integrität testen ¼-jährl. Sicherstellen, dass Daten wiederherstell-bar sind.
IT-Sicherheits-audits durch externe Experten jährl. Unabhängige Überprüfung der Schutz-massnahmen
System-updates und Patches jährl. Unabhängige Überprüfung der Schutz-massnahmen
Schulungen für Mitarbeiter mtl. Sicherheits-lücken durch veraltete Software vermeiden
Sicherheits-übungen (Incident Response) alle 18 Mte Ernstfall simulieren und Schwächen erkennen
Parallele Infrastrukt. aktivieren (Failover-Test) ½ jährl. Reaktions-fähigkeit bei Systemaus-fällen prüfen

Wie Sie Ihre Organisation krisenfest machen

Üben, üben, üben: Theoretische Pläne sind nutzlos, wenn sie nicht praktisch erprobt werden.

Der Aufbau eines wirksamen IKS erfordert Engagement, Zeit und Ressourcen. Die folgenden Schritte helfen, Cybersicherheit nachhaltig zu verbessern:

  1. Analyse: Erfassen Sie Ihre kritischen Systeme und Prozesse.
  2. Priorisierung: Welche Daten und Systeme sind besonders schützenswert?
  3. Massnahmen: Implementieren Sie technische, organisatorische und personelle Kontrollen.
  4. Monitoring: Überwachen Sie alle Massnahmen kontinuierlich.
  5. Lernen: Analysieren Sie Vorfälle und verbessern Sie Ihr IKS laufend.

Cybersicherheit ist ein Prozess, kein Projekt.


Warum Cybersicherheit Führungsverantwortung ist

Ein effektives IKS schützt nicht nur Daten, sondern auch den Ruf und die Existenz Ihrer Organisation. Der Fall Vidymed zeigt, dass die Schäden eines Angriffs weit über finanzielle Verluste hinausgehen. Verantwortung zu übernehmen, bedeutet daher, proaktiv zu handeln – bevor der Ernstfall eintritt.

Die besten Cyberangriffe sind die, die nie passieren – dank eines starken IKS.


Fazit: Cybersicherheit ist keine Frage der Technik, sondern der Haltung. Mit einem wirksamen IKS und klaren Verantwortlichkeiten schaffen Sie die Grundlage für eine krisenfeste Organisation. Der Aufwand mag hoch erscheinen, doch die Kosten eines Angriffs sind ungleich höher.

Quellen:

1.          Vidymed-Fall und Auswirkungen auf Ärzte

Sander, Matthias. “Ärzte brauchen nach Cyberattacke psychologische Hilfe.” Neue Zürcher Zeitung, 11. Januar 2025 . 
2.         Interview mit Bruce Schneier

Langer, Marie-Astrid. “Haben Sie einen guten Bullshit-Detektor.” Neue Zürcher Zeitung, 11. Januar 2025 .
3.         Cyber-Versicherungen und ihre Grenzen
“Cyber-Versicherungen: Lösung oder Schein?” swissaxis AG, Februar 2024 .
4.         Bericht über Cyberversicherungsmärkte

“Cyberversicherungen: hohe Nachfrage – und hohe Risiken?” BaFin, 7. Februar 2024.
5.         Weitere Empfehlungen zur Cybersicherheit

Schneier, Bruce. Schneier on Security Blog (regelmässiger Newsletter mit praktischen Hinweisen zur Cybersicherheit).
6.         Best Practices für Cybersicherheit

National Institute of Standards and Technology (NIST). Cybersecurity Framework, regelmäßige Aktualisierungen und Veröffentlichungen.
OpenAI. (2024). ChatGPT 4o. Verwendet zur Erstellung von Textteilen dieses Artikels.

image_pdfAls PDF speichern

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert