Cybersicherheits- und Resilienzmethode (CSRM)

Das Bundesamt für Cybersicherheit (BACS) hat eine Cybersicherheits- und Resilienzmethode (CSRM) entwickelt, die von Organisationen und Unternehmen genutzt werden kann, um ihre Cybersicherheit und Resilienz zu stärken.

Mit der zunehmenden Digitalisierung von Gesellschaft und Wirtschaft stellt auch die Gewährleistung von Cybersicherheit und Resilienz eine immer grösser werdende Herausforderung dar. Obwohl es viele Standards, Empfehlungen und Modelle gibt, wissen Organisationen und Unternehmen oft nicht, wie sie das Thema angehen und ihre Cybersicherheit und Resilienz stärken und nachhaltig verbessern können. Es fehlen konkrete und praktikable Vorgaben und Orientierungshilfen.

Vor diesem Hintergrund schlägt das BACS mit seiner Cybersicherheits- und Resilienzmethode (CSRM) eine strukturierte und fünf Schritte umfassende Vorgehensweise vor, die es Organisationen und Unternehmen unabhängig von Grösse und Branchenzugehörigkeit erlaubt, ihre Cybersicherheit und Resilienz zu stärken und nachhaltig zu verbessern. Die Methode basiert auf einem erweiterten Grundschutzansatz und umfasst die folgenden Schritte:

Schritt 1
Im ersten Schritt werden die wichtigen Tätigkeiten und Geschäfts- und Produktionsprozesse der Organisation oder des Unternehmens analysiert.

Schritt 2
Im zweiten Schritt werden die diesen Tätigkeiten und Prozessen zudienenden Informatikmittel bestimmt und zu sogenannten Informatikschutzobjekten aggregiert.

Schritt 3
Für jedes Informatikschutzobjekt wird im dritten Schritt der Schutzbedarf ermittelt. Im einfachsten Fall ist das ein binärer Entscheid, ob das Informatikschutzobjekt einen erhöhten Schutzbedarf aufweist oder nicht.

Schritt 4
Für jedes Informatikschutzobjekt mit erhöhtem Schutzbedarf wird im vierten Schritt ein Sicherheitskonzept erstellt, das beschreibt, wie den relevanten Sicherheitsbedrohungen sinnvollerweise zu begegnen ist.

Schritt 5
Schliesslich werden im fünften Schritt sowohl die technischen und organisatorischen Massnahmen (TOM) des Grundschutzes, als auch die in den Sicherheitskonzepten ausgewiesenen zusätzlichen TOMs umgesetzt.

Obwohl das Vorgehen schrittweise beschrieben ist, kann sich im Einzelfall ein prioritätsgesteuertes und iteratives Vorgehen besser eignen, in dem zunächst die wichtigsten Prozesse und Informatikschutzobjekte behandelt und die weniger wichtigen Prozesse und Informatikschutzobjekte zunächst noch zurückgestellt werden. Ein solches Vorgehen ist zwar nicht optimal, weil viele Informatikschutzobjekte nicht unabhängig voneinander sind und damit Abhängigkeiten existieren, die in den Sicherheitskonzepten mit zu berücksichtigen sind. Trotzdem kann sich ein solches Vorgehen aus der Sicht der Praktikabilität anbieten.

Ergänzt wird die Methode um eine Möglichkeit zur Beurteilung und zu einem Leistungsvergleich im Sinne eines «Benchmarking». Einer Organisation oder einem Unternehmen soll damit ermöglicht werden, die eigene Cybersicherheit und Resilienz zu beurteilen und mit derjenigen von ähnlich grossen Organisationen und Unternehmen aus der gleichen Branche zu vergleichen. Diese Möglichkeit zur Beurteilung und zu einem Leistungsvergleich wird dereinst über den Cyber Security Hub (CSH) des BACS angeboten.

In Zusammenarbeit mit ausgewählten Partnern und interessierten Kreisen wird die CSRM zur Zeit ausgetestet und weiterentwickelt. Gleichzeitig läuft ein Konsulationsverfahren bis Ende Januar 2026, im Rahmen dessen das BACS gerne Rückmeldungen entgegen nimmt. Die CSRM wird der Öffentlichkeit in Form einer Empfehlung zur Verfügung gestellt. Bei Bedarf können Branchenverbände die Methode aufgreifen und ihren Mitgliedern empfehlen; Regulatoren haben die Möglichkeit, die Methode ihren Bedürfnissen entsprechend anzupassen oder zu präzisieren und im Rahmen ihrer Zuständigkeit als verbindlich zu erklären. Das kann komplementär oder als Ersatz des Minimalstandards zur Verbesserung der IKT-Resilienz erfolgen, der vom Bundesamt für Wirtschaftliche Landesversorgung (BWL) herausgegeben worden ist. 

Gerne möchten wir Ihre Meinung zur CSRM-Methode erfahren, damit wir in Zukunft solche Produkte besser an Ihre Bedürfnisse anpassen können. Wir wären Ihnen dankbar, wenn Sie dazu die folgenden Fragen beantworten könnten (Dauer: ca. 2 min.). Senden Sie uns anschliessend das Formular, indem Sie auf «Senden» klicken.