Das Bundesamt für Cybersicherheit (Bacs) hat im Rahmen eines Pilotprojekts im Kanton Aargau erstmals ein Cyberresilienz-Assessment (Cyra) bei Gemeinden und Organisationen aus verschiedenen Sektoren durchgeführt. Ziel war es laut Mitteilung, den Stand der Cyberresilienz strukturiert zu erfassen und organisationsübergreifend vergleichbar zu machen.

Bei den Gemeinden zeigt der Bericht ein gemischtes Bild. Grundlegende Sicherheitsmassnahmen wie Datensicherung, Zugriffskontrollen oder Systemschutz seien häufig vorhanden. Deutlich schwächer ausgeprägt sei jedoch die systematische Betrachtung der Cyberresilienz entlang geschäftskritischer Prozesse. Zwar seien die wichtigsten Prozesse in der Regel bekannt, deren Abhängigkeiten von IT- und OT-Systemen würden jedoch oft nur unvollständig erfasst. Dadurch fehle eine klare Grundlage für die Priorisierung von Sicherheitsmassnahmen.

Auch in der Vorbereitung auf IT-Störungen zeigen sich laut Bacs Lücken. Notfall- und Wiederherstellungspläne seien teilweise vorhanden, würden jedoch selten systematisch getestet oder entlang kritischer Prozesse ausgerichtet. Besonders auffällig seien Defizite im Umgang mit externen IT-Dienstleistern, deren Einbindung und Steuerung häufig nicht strukturiert erfolge.

Bei den übrigen teilnehmenden Organisationen – insbesondere aus Dienstleistung und Industrie – zeigt sich laut Bericht ein leicht höherer Reifegrad in einzelnen organisatorischen Bereichen. Dazu zählen etwa Compliance, Mitarbeitersensibilisierung sowie die Steuerung von Lieferanten.

Gleichzeitig bleiben auch hier ähnliche Schwachstellen bestehen. Insbesondere die durchgängige prozessorientierte Steuerung der Cyberresilienz sowie die systematische Notfall- und Wiederherstellungsplanung seien häufig nur teilweise umgesetzt.

In der Industrie sei der technische Reifegrad insgesamt höher, insbesondere im Umgang mit Produktions- und Betriebssystemen. Dennoch zeigten sich gemäss Bacs auch hier Lücken bei der Integration von Geschäftsprozessen in die Sicherheitsarchitektur sowie beim Umgang mit Abhängigkeiten zu Dritten.

Insgesamt nahmen 25 Organisationen teil, darunter 14 Gemeinden sowie Unternehmen aus Dienstleistung, Industrie, IT, Energieversorgung und Baugewerbe. Das Bacs betont, dass es sich um einen Pilot mit begrenzter Datenbasis handle. Die Ergebnisse basieren auf Selbstbewertungen der teilnehmenden Organisationen und seien nicht extern geprüft worden. Zudem sei die Anzahl der Teilnehmenden pro Sektor zu klein, um statistisch belastbare Aussagen zu treffen.

Die Resultate seien daher als indikative Standortbestimmung zu verstehen und nicht als Bewertung einzelner Organisationen.