06/2025 – Fachartikel Swiss Infosec AG
Die Digitalisierung verändert die Energiebranche grundlegend – nicht nur im Stromsektor, sondern zunehmend auch in der Gasversorgung. Mit dieser Entwicklung steigen die Anforderungen an die Informationssicherheit. Kritische Infrastrukturen müssen heute mehr denn je gegen Cyberbedrohungen gewappnet sein.
Bereits 2024 wurde in der Schweiz ein verbindlicher IKT-Minimalstandard für Stromversorger eingeführt. Ab dem 1. Juli 2025 haben sich auch alle Gasversorger an einen Mindeststandard zu halten. Ziel ist es, ein einheitliches, prüfbares Mindestniveau der Informations- und Cybersicherheit zu schaffen – unabhängig von verwendeter Technik oder Unternehmensgrösse.
Was fordert der IKT-Minimalstandard Gas?
Der IKT-Minimalstandard Gas verfolgt das Ziel, ein einheitliches, prüfbares Mindestniveau an Cybersicherheit im Gassektor zu schaffen. Dabei werden keine spezifischen Vorgehensweisen oder Technologien vorgeschrieben – im Mittelpunkt stehen konkrete Schutzmassnahmen, die entlang international anerkannter Prinzipien wie dem NIST Cybersecurity Framework strukturiert sind. Dieses gliedert sich in fünf zentrale Handlungsfelder:
Identifizieren (Identify)
Das Handlungsfeld «Identifizieren» legt die Grundlage für eine wirksame Cybersicherheitsstrategie. Hier geht es darum, Klarheit über die vorhandenen Systeme, Datenflüsse, Verantwortlichkeiten und Risiken zu gewinnen. Die Unternehmen müssen ein vollständiges Inventar ihrer IT und OT Assets erstellen, darunter fallen beispielsweise SCADA-Systeme, Kommunikationsinfrastrukturen oder Server. Ebenso müssen sie relevante gesetzliche und regulatorische Anforderungen kennen und sicherstellen, dass Cyberrisiken systematisch ins unternehmensweite Risikomanagement eingebunden sind. Auch das Verständnis der Abhängigkeiten innerhalb der Lieferkette ist ein zentraler Bestandteil dieses Handlungsfeldes.
Schützen (Protect)
Im Bereich «Schützen» liegt der Fokus auf präventiven Massnahmen um Systeme, Daten und Kommunikationswege zuverlässig abzusichern. Hierzu zählen unter anderem technische Schutzvorkehrungen wie Zugriffskontrollen, Netzsegmentierung und Datenverschlüsselung, aber auch organisatorische Massnahmen wie Mitarbeiterschulungen, Sensibilisierung und das Etablieren sicherer Betriebsprozesse. Das Ziel ist es, das Risiko von Sicherheitsvorfällen bereits im Vorfeld zu minimieren – sowohl durch technische Sicherheitsarchitekturen als auch durch eine starke Sicherheitskultur im Unternehmen.
Erkennen (Detect)
Das Handlungsfeld «Erkennen» beschreibt die Fähigkeit, Sicherheitsereignisse und Anomalien frühzeitig festzustellen. Um dies zu ermöglichen, müssen die Unternehmen geeignete Detektionsmechanismen implementieren, etwa durch kontinuierliche Netzwerküberwachung, automatisierte Alarmsysteme oder gezielte Prüfprozesse. Dabei kommt es nicht nur auf die technische Umsetzung an, sondern auch darauf, dass Mitarbeitende befähigt sind, ungewöhnliches Verhalten zu erkennen und zu melden. Die Fähigkeit zur Früherkennung ist entscheidend, um Schaden in kritischen Infrastrukturen zu verhindern oder einzudämmen.
Reagieren (Respond)
Im Bereich «Reagieren» geht es darum, bei einem Cybervorfall angemessen und koordiniert zu handeln. Unternehmen müssen dafür klare Prozesse, Rollen und Kommunikationswege definieren. Diese umfassen beispielsweise Meldewege, Eskalationsmechanismen und strukturierte Reaktionspläne, die auch mit Partnern und Behörden abgestimmt sein sollten. Eine professionelle Analyse durchlebter Vorfälle sowie deren Dokumentation und Aufarbeitung helfen, ähnliche Vorfälle künftig zu verhindern.
Wiederherstellen (Recover)
Das letzte Handlungsfeld «Wiederherstellen» befasst sich mit der Rückkehr in den Normalbetrieb nach einem Sicherheitsvorfall. Hierzu gehört, dass die Organisation über getestete Wiederherstellungspläne und -strategien verfügt, die sowohl technische Systeme als auch kommunikative Massnahmen umfassen – etwa im Umgang mit Medien oder Kunden. Ein zentrales Ziel ist es, die Resilienz der Organisation zu stärken und das Vertrauen in die Versorgungssicherheit wiederherzustellen.
Durch die Kombination dieser fünf Handlungsfelder ergibt sich ein ganzheitlicher Sicherheitsansatz, der technische und organisatorische, aber auch personelle und physische Aspekte abdeckt.
Der IKT-Minimalstandard Gas verlangt, dass jede Massnahme in Bezug auf ihre Relevanz und Reife (Maturitätsstufe) beurteilt und – abgestimmt auf das individuelle Risikoprofil des Unternehmens – umgesetzt wird. Besonders wichtig ist dabei die Verhältnismässigkeit:
- Kleinere Betreiber (Schutzstufe C) müssen deutlich weniger Massnahmen (39) umsetzen als grosse Transportnetzbetreiber (Schutzstufen A und B / 108 Massnahmen).
Dieses abgestufte Modell ermöglicht eine pragmatische, aber wirkungsvolle Umsetzung für Unternehmen jeder Grösse.
Unser Workshop-Angebot: Die Standortbestimmung – klar, strukturiert und praxisnah
Viele Unternehmen stehen vor der Herausforderung, den eigenen Umsetzungsstand objektiv zu bewerten. Einzelne Massnahmen sind vielleicht schon umgesetzt, andere nur geplant oder noch nicht berücksichtigt. Im Rahmen eines kompakten, aber intensiven Workshops analysieren wir, wo Ihr Unternehmen in Bezug auf den IKT-Minimalstandard Gas aktuell steht. Ziel ist es, ein klares, strukturiertes Bild Ihrer Sicherheitslage zu erhalten. Die Standortbestimmung ist keine Prüfung, sondern ein kooperativer Prozess mit klarem Nutzen: Sie erkennen, wo Sie gut aufgestellt sind und wo es noch Verbesserungspotenzial gibt. Dabei legen wir folgende Schwerpunkte:
Welche Massnahmen des IKT-Minimalstandard Gas sind in Ihrem Unternehmen bereits umgesetzt?
Wir unterscheiden zwischen der formellen Dokumentation (z. B. Richtlinien, Sicherheitskonzepte, Rollenbeschreibungen) und der tatsächlichen Umsetzung im Arbeitsalltag. Denn in der Praxis weichen Theorie und Realität oft voneinander ab. Durch gezielte Fragen, Interviews und Einsicht in Ihre Unterlagen können wir den Umsetzungsstand realistisch erfassen.
Wo verfügt Ihre Organisation bereits über eine solide Sicherheitsbasis?
Das zeigt sich beispielsweise in klar geregelten Zuständigkeiten, etablierten technischen Schutzmassnahmen oder gelebten Sensibilisierungsprogrammen. Wo Stärken sind, liegen meist auch Schwächen. Daher analysieren wir gleichzeitig auch, wo noch Lücken bestehen. Daraus leiten wir gezielt die Handlungsfelder ab: also jene Bereiche, in denen Massnahmen besonders wirkungsvoll sind oder aus regulatorischer Sicht zwingend umgesetzt werden müssen, um den Anforderungen Ihrer Schutzstufe – A, B oder C – vollumfänglich zu entsprechen.
Welchen Maturitätsgrad hat die jeweilige Umsetzung der Massnahme erreicht?
Anhand des vorgegebenen Rasters nehmen wir eine objektive Einordnung vor: Von «nicht umgesetzt» bis «dynamisch und kontinuierlich verbessert». Durch diese systematische Bewertung erhalten Sie eine belastbare Grundlage für strategische Entscheidungen und nötige Investitionen.
Weitere Informationen zu unserem «Workshop Standortbestimmung IKT-Minimalstandard Gas» finden Sie hier:
Ihr Nutzen auf einen Blick
Das Angebot zur Standortbestimmung liefert Ihnen einen fundierten, objektiven Überblick darüber, wo Ihr Unternehmen im Hinblick auf die Anforderungen aktuell steht. Mit unserer Standortbestimmung gewinnen Sie die nötige Klarheit über den Reifegrad Ihrer bestehenden Sicherheitsmassnahmen. Dies lässt Sie erkennen, welche Massnahmen bereits solide umgesetzt sind, wo es noch Lücken gibt und in welchen Bereichen besonders dringender Handlungsbedarf besteht. Diese so gewonnene Transparenz ermöglicht es Ihnen die zur Verfügung stehenden Ressourcen gezielt und effizient einzusetzen.
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen IKT-Minimalstandard Gas für Sie tun können: +41 41 984 12 12, infosec@infosec.ch
Swiss Infosec AG; 03.06.2025
Kompetenzzentrum Consulting