26.06.2026 - Das Bundesamt für Cybersicherheit (BACS) hat ein standardisiertes Instrument zur Beurteilung der Cyberresilienz entwickelt und dieses im Kanton Aargau erstmals unter realen Bedingungen erprobt. Die Ergebnisse zeigen: Grundlegende IT-Schutzmassnahmen sind vorhanden, doch ein ganzheitliches, prozessorientiertes Resilienzkonzept fehlt in vielen Organisationen noch.
Cyberresilienz-Assessment: Wie resilient sind Schweizer Gemeinden und Unternehmen gegen Cyberangriffe?
Die Fähigkeit, wesentliche Leistungen auch nach Cyberangriffen und IT-Störungen aufrechtzuerhalten, gewinnt für Organisationen an Bedeutung. In der Praxis fehlt jedoch häufig eine strukturierte Grundlage, um den eigenen Stand der Cyberresilienz einzuordnen und mit anderen Akteuren zu vergleichen. Das BACS hat daher in Übereinstimmung mit seiner Cybersicherheits- und Resilienzmethode (CSRM) das Cyberresilienz-Assessment entwickelt. Es ermöglicht Organisationen eine Selbstbewertung entlang von sechs Resilienz-Zielen und schafft die Grundlage für ein Benchmarking. Im Unterschied zu vielen etablierten Ansätzen der IT-Sicherheit, wie beispielsweise NIST CSF oder ISO 27001, richtet das Cyberresilienz-Assessment den Blick bewusst auf die geschäftskritischen Prozesse einer Organisation und deren Abhängigkeiten von IT- und OT-Systemen.
Pilotprojekt im Kanton Aargau
Zur praktischen Erprobung wurde von Mitte Februar bis Ende März 2026 ein Pilotprojekt im Kanton Aargau durchgeführt. Insgesamt haben 25 Organisationen teilgenommen: 14 Gemeinden sowie 11 weitere Organisationen aus den Bereichen Dienstleistung, Industrie, IT und Telekommunikation, Stromversorgung und Baugewerbe. Die Organisationen führten die Selbstbewertung eigenständig durch. Die Bearbeitung des Prüfkatalogs erforderte je nach Organisation bis zu einem Arbeitstag. Der Pilot diente nicht nur der Gewinnung erster inhaltlicher Erkenntnisse, sondern auch der Erprobung des digitalen Erhebungsinstruments. Rückmeldungen zur Benutzerführung und zur Verständlichkeit einzelner Fragen fliessen direkt in die Weiterentwicklung des Instruments ein.
Zentrale Erkenntnisse aus dem Pilotprojekt
Die Auswertung zeigt ein konsistentes Bild über die verschiedenen Sektoren hinweg: Grundlegende Schutzmassnahmen, etwa im Bereich Datensicherung, Zugriffskontrollen oder IT-Systemschutz, sind bei vielen Organisationen vorhanden. Demgegenüber bestehen ausgeprägte Schwächen bei der systematischen Verknüpfung dieser Massnahmen mit den eigenen Geschäftsprozessen. Besonders deutlich sind die Defizite in drei Bereichen: Erstens bei der strukturierten Erfassung von IT- und OT-Abhängigkeiten entlang der Geschäftsprozesse. Zweitens bei der Notfall- und Wiederherstellungsplanung, wo klare Priorisierungen und regelmässige Übungen häufig fehlen. Drittens beim Management von Abhängigkeiten gegenüber externen IT-Dienstleistern, ein Schwachstellenmuster, das sich sektorübergreifend zeigt. Zusammenfassend lässt sich festhalten: Cyberresilienz basiert in vielen Organisationen noch auf Einzelmassnahmen, nicht auf einem ganzheitlichen, prozessorientierten Konzept. Während grundlegende IT-Sicherheitsmassnahmen häufig etabliert sind, ist Cyberresilienz als umfassender Ansatz vielerorts noch nicht ausreichend verankert.
Mehrwert für Organisationen, Kantone und Bund
Für die teilnehmenden Organisationen bietet das Cyberresilienz-Assessmen eine strukturierte Standortbestimmung. Stärken werden sichtbar gemacht, blinde Flecken identifiziert und Massnahmen priorisierbar. Das Benchmarking ermöglicht zudem den Vergleich mit ähnlichen Akteuren und ist somit ein wertvolles Instrument, um intern den Handlungsbedarf gegenüber der Führungsebene nachvollziehbar darzustellen. Für Kantone und den Bund entsteht durch eine breite Nutzung des CyRA eine aggregierte Sicht auf den Resilienzstand ganzer Sektoren. Dies schafft die Grundlage für gezielte Unterstützungs- und Sensibilisierungsmassnahmen und eine evidenzbasierte Steuerung, insbesondere in den erkannten Handlungsfeldern Lieferantenmanagement sowie prozessorientierte Steuerung der IT- und OT-Sicherheit. Der Nutzen des Instruments steigt dabei wesentlich mit der Breite der Datenbasis.
Für Kantone, Verbände und den Bund entsteht eine aggregierte Sicht auf den Resilienzstand ganzer Sektoren.
Stand und Ausblick
Das Cyberresilienz-Assessment befindet sich derzeit im Prototypstatus. Der Pilot im Kanton Aargau war der erste Praxistest unter realen Bedingungen. Auf Basis der gewonnenen Erkenntnisse wird das digitale Erhebungsinstrument nun weiterentwickelt, mit dem Ziel, es einem breiteren Anwenderkreis zur Verfügung zu stellen. Dabei sollen unter anderem die Benutzerführung verbessert, die Verständlichkeit einzelner Fragen erhöht und der Erfassungsaufwand reduziert werden. So sollen künftig gemeinsam genutzte IT-Systeme, Anwendungen und Daten nicht für jeden Prozess separat erfasst werden müssen, sondern mehreren geschäftskritischen Prozessen zugeordnet werden können. Mittelfristig ist eine Konsolidierung auf einen einzigen Prüfkatalog vorgesehen, um die Vergleichbarkeit der Ergebnisse weiter zu verbessern. Mit zunehmender Datenbasis kann das Cyberresilienz-Assessment zu einem zentralen Instrument für die evidenzbasierte Steuerung der Cyberresilienz auf regionaler und nationaler Ebene werden.