Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Fachartikel Swiss Infosec AG

Wenn der Dienstleister zum Risiko wird: Warum IT-Provider Assessments über Ihre Sicherheit entscheiden können

05/2025 – Fachartikel Swiss Infosec AG

Mit der zunehmenden Auslagerung von IT-Dienstleistungen und der Migration in die Cloud steigen die Abhängigkeiten von externen Partnern. Diese Beziehungen sind oft komplex und geschäftskritisch – doch viele Organisationen schenken dem Thema «Provider Security & Compliance» noch immer nicht die nötige Aufmerksamkeit.

Im Juli 2024 führte ein globaler IT-Ausfall bei CrowdStrike zu erheblichen Störungen in der Schweiz, darunter bei Flughäfen und Banken. Dieser Vorfall verdeutlichte einmal mehr die Abhängigkeit kritischer Infrastrukturen von externen IT-Dienstleistern und die potenziellen Risiken unzureichenden Provider-Managements.

Ebenso zeigen die Ausführungen von Lukas Mäder in der NZZ vom 17. Februar 2024 eindrücklich: Der Angriff wurde möglich durch den Account eines Software-Lieferanten. Besonders brisant: der Account des betroffenen externen Mitarbeitenden war «ausnahmsweise» nicht mit Multifaktorauthentifizierung (MFA) geschützt – zudem war der externe Mitarbeitende zum Zeitpunkt des Angriffs bereits nicht mehr beim Software-Lieferanten der NZZ beschäftigt.

Diese Beispiele zeigen, wie wichtig ein systematisches IT-Provider Management zur Vermeidung von Sicherheits- und Compliance-Risiken ist. Unternehmen stehen unter wachsendem Druck, nicht nur ihre eigene Umgebung, sondern auch die ihrer Partner unter Kontrolle zu halten.

Warum IT-Provider Assessments heute unverzichtbar sind

Ein IT-Provider Assessment schafft Transparenz über die Sicherheitslage Ihrer Lieferanten. Es beurteilt, ob organisatorische, technische und rechtliche Anforderungen erfüllt sind und ob bestehende Risiken angemessen adressiert werden. Dabei geht es nicht nur um das Ankreuzen von Checklisten, sondern um die fundierte Auseinandersetzung mit Themen wie:

  • Sicherheitsorganisation und Verantwortlichkeiten
  • Zertifizierungen (z. B. ISO 27001, ISAE 3000, SOC II Type 2, etc.)
  • Technische Schutzmassnahmen (z. B. Identity & Access Management, Verfügbarkeit von Backups, sichere Entwicklungsprozesse, etc.)
  • Rechtliche Anforderungen wie Datenschutz oder Meldepflichten
  • Steuerung von Subunternehmen und deren Sicherheitsvorgaben


Solche Assessments sind anspruchsvoll und erfordern eine Kombination aus juristischer Expertise, technischem Know-how und organisatorischem Fingerspitzengefühl.

Was bringt ein professionelles Assessment?

Ein strukturiertes IT-Provider Assessment liefert Ihnen eine neutrale Einschätzung der Sicherheits- und Compliance-Lage Ihrer Dienstleister. Sie erkennen:

  • Wo Schwachstellen bestehen
  • Welche gesetzlichen oder regulatorischen Vorgaben gefährdet sind
  • Welche Massnahmen zur Verbesserung notwendig sind

Zudem unterstützt ein solches Assessment auch beim Aufbau nachhaltiger Steuerungsprozesse: Wer regelmässig prüft, kann Risiken früh erkennen und steuern – bevor sie zu einem Vorfall eskalieren.

Fazit

Die Sicherheit Ihrer IT beginnt nicht an der Bürotür, sondern bei Ihren Dienstleistern. In einer digital vernetzten Welt sind IT-Provider Assessments kein «Nice-to-have», sondern ein Muss für jedes Unternehmen, das Verantwortung für Daten, Prozesse und regulatorische Anforderungen übernimmt. Denn nur, wer die Sicherheitslage seiner Dienstleister kennt, kann auch seine eigenen Risiken wirksam steuern.

Swiss Infosec AG; 06.05.2025
Fachteam IT-Sicherheit

Mehr zu IT-Sicherheit
Kategorie: Fachartikel Swiss Infosec AG | IT-Sicherheit
Niklaus Manser
Head of IT Security Consulting
Anfrage
Niklaus Manser
Head of IT Security Consulting
Anfrage

Meldepflicht für Cyberangriffe seit 1. April 2025

04/2025 – Fachartikel Swiss Infosec AG

Betreiber kritischer Infrastrukturen müssen Cyberangriffe dem BACS innert 24 Stunden melden

Seit dem 1. April 2025 müssen Betreiberinnen und Betreiber kritischer Infrastrukturen Cyberangriffe innerhalb von 24 Stunden nach deren Entdeckung dem Bundesamt für Cybersicherheit (BACS) (früher: Nationales Zentrum für Cybersicherheit [NCSC]) melden.

Das Informationssicherheitsgesetz (ISG) vom 29. September 2023 soll die sichere Bearbeitung der Informationen, für die der Bund zuständig ist, sowie den sicheren Einsatz der Informatikmittel des Bundes gewährleisten. Art. 74b Abs. 1 ISG definiert die meldepflichtigen Behörden und Organisationen im Falle eines Cyberangriffs. Dazu gehören etwa Unternehmen der Energie- oder Trinkwasserversorgung, Transportunternehmen, Listenspitäler, Anbieter von Cloudcomputing, Rechenzentren und die Verwaltungen von Kantonen und Gemeinden.

Meldepflichtig sind primär Cyberangriffe mit grossem Schadenspotenzial. Dies ist insbesondere dann der Fall, wenn der Angriff die Funktionsfähigkeit der betroffenen Infrastruktur gefährdet, eine Manipulation oder ein unbefugter Abfluss von Informationen erfolgt oder der Angriff mit Erpressung, Drohung oder Nötigung verbunden ist. Typische Beispiele hierfür sind etwa erfolgreich im System installierte Schadsoftware oder der Einsatz von Verschlüsselungstrojanern.

Zum ISG gehören mehrere Verordnungen, so auch die per 1. April 2025 in Kraft gesetzte Cybersicherheitsverordnung (CSV). Diese enthält unter anderem Ausführungsbestimmungen zur Meldepflicht bei Cyberangriffen und regelt dazugehörige Ausnahmen. Ausnahmen von der Meldepflicht bestehen dann, wenn durch Cyberangriffe ausgelöste Funktionsstörungen nur geringe Auswirkungen auf die öffentliche Ordnung, die Sicherheit, das Wohlergehen der Bevölkerung oder das Funktionieren der Wirtschaft haben.

Bussen für unterlassene Meldungen sind seit dem 1. Oktober 2025 möglich. Eine Busse (bis CHF 100’000.-) wird allerdings nicht bereits aufgrund einer nicht vorgenommenen Meldung ausgesprochen, sondern erst dann, wenn das BACS eine entsprechende Verfügung erlässt und dieser Verfügung nicht Folge geleistet wird.

Die Meldung an das BACS kann auf deren Online-Plattform «Cyber Security Hub» (CSH) durchgeführt werden oder alternativ per E-Mail.

Es ist wichtig, die Meldung innert 24 Stunden vorzunehmen, auch wenn noch nicht alle Informationen über den Cyberangriff vorliegen. Denn fehlende Angaben können innerhalb von zwei Wochen nachgereicht und so die Meldung nachträglich vervollständigt werden. Art. 15 CSV listet die angeforderten Angaben einer Meldung auf.

Übrigens: Organisationen können Cyberangriffe auch dann melden, wenn sie dazu nicht verpflichtet sind. Das BACS empfiehlt dies ausdrücklich, um zur allgemeinen Cybersicherheit in der Schweiz beizutragen.

Zu beachten bleibt die Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bei Verletzungen der Datensicherheit («Data Breach») nach Art. 24 des Datenschutzgesetzes (DSG). Auf Wunsch kann eine Meldung über die BACS-Plattform CSH an den EDÖB weitergeleitet werden, sofern der Cyberangriff auch eine Meldepflicht nach dem DSG auslöst. Dasselbe gilt für Meldepflichten gegenüber der Eidgenössischen Finanzmarktaufsicht (FINMA).

Fragen Sie sich, wie Sie die Meldepflicht in Ihrer Organisation korrekt umsetzen können? Die Spezialisten von der Swiss Infosec AG helfen Ihnen gerne weiter. Sie erreichen uns unter +41 41 984 12 12, infosec@infosec.ch.

Swiss Infosec AG; 18.03.2025 | überarbeitet: 11.11.2025
Kompetenzzentrum Datenschutz

Weitere Informationen zum Informationssicherheitsgesetz

Kategorie: Datenschutz | Fachartikel Swiss Infosec AG | Informationssicherheit | Integrale Sicherheit
Valentina Christen-Zihlmann
Managing Consultant
Anfrage
Valentina Christen-Zihlmann
Managing Consultant
Anfrage
© Swiss Infosec AG 2025