Cyber-Meldepflicht: Warum Resilienz kein IT-Projekt, sondern Führungsaufgabe ist

Wenn niemand vorbereitet ist

Dieser hypothetische, aber realitätsnahe Fall zeigt die Schwachstellen auf.

Frühjahr 2025: In einem medizinischen Labor mit 80 Mitarbeitenden kommt es zu einem Cybervorfall über das Gebäudeautomationssystem. Eine Fernwartungsschnittstelle war ungenügend abgesichert. Angreifer schleusten Steuerbefehle ein. Lüftung- und Klimazonen wurden unkontrolliert verändert. In mehreren Laborräumen stiegen die Temperaturen, Probenmaterial wurde beschädigt, sensible Geräte reagierten nicht mehr zuverlässig. Der Betrieb stand still. Die Analyseresultate konnten nicht geliefert werden. Der daraus resultierende Betriebsausfall und Reputationsschaden waren enorm.

Der Vorfall ist fiktiv, seine Struktur jedoch real

Die Meldepflicht wurde unterschätzt. Verantwortlichkeiten waren nicht geregelt, Abläufe, Prozesse und Rollen nicht definiert.

«OT-Sicherheit ist kein reines IT-Thema mehr, sondern verschiedene Funktionen im Unternehmen sind betroffen. Ist die Organisation nicht vorbereitet, wird Zeit zur Last und Rückkehr zur Normalität wird zur Mammutaufgabe.», so Michel Renfer.

Verantwortung ist keine IT-Frage, sondern eine Führungsaufgabe

Gerade IT-Verantwortliche stehen heute an der Schnittstelle zwischen Technik, Führung und weiteren Fachbereichen und müssen verschiedene Geschäftsfunktionen zusammenbringen. Viele Organisationen wissen gar nicht, dass sie unter die Meldepflicht für Cybervorfälle (Art. 74c ISG) fallen.

Noch weniger haben sie klare Prozesse definiert, um Vorfälle richtig zu erkennen, zu melden und zu dokumentieren. Kommt es zu einem Vorfall, verursachen Zeitdruck, Stress und Unsicherheit ein Blackout. Im Ernstfall braucht es zu viel Zeit, um zu wissen, was zu tun ist.

Die Cyber-Meldepflicht als Chance zur Verantwortung wahrnehmen – Vom Risiko zur Routine:

1. Wo steht unsere Organisation heute?
2. Welche Systeme, Prozesse und Rollen sind betroffen?
3. Wo liegen die Schwachstellen – technisch, organisatorisch, kommunikativ?
4. Wie lassen sich gemeinsame Standards und klare Verantwortlichkeiten etablieren?
5. Wie sichern wir Stabilität bei Personalwechseln durch dokumentierte Abläufe?
6. Und wie trainieren wir Notfälle, bevor sie eintreten?

«Sicherheit wird dann robust, wenn sie trainiert ist. Was nicht regelmässig geübt wird, funktioniert im Ernstfall nicht.», weiss Michel Renfer.

Fazit: Resilienz bedeutet nicht, jeden Angriff zu verhindern.

Sondern Strukturen zu schaffen, die im Ernstfall funktionieren – technisch, organisatorisch und kommunikativ. Der Erfolg liegt da, wo IT, OT, FM und Führung auf gemeinsame Standards und gute Vorbereitung setzen.

Wie vorbereitet ist Ihr Unternehmen auf die Cyber-Meldepflicht?

Wir unterstützen Sie mit technischer Expertise, Prozessverständnis und einem Blick für das Ganze. Damit IT- und OT-Sicherheit nicht nebeneinander, sondern miteinander funktionieren.