Pilotprojekt im Kanton Aargau

BACS probt Cyberresilienz von Gemeinden und Unternehmen

Uhr
von Andreas Huber und jor

Das BACS hat eine digitale Grundlage zur Ermittlung der Cyberresilienz entwickelt. Im Frühjahr 2026 testete die Behörde sie im Kanton Aargau. Die Erkenntnisse aus dem Pilotprojekt liegen nun in einem Bericht vor.

(Source: Andrii - Stock.Adobe.com)
(Source: Andrii - Stock.Adobe.com)

Das Bundesamt für Cybersicherheit (BACS) hat eine digitale Grundlage entwickelt, die Schweizer Gemeinden und Unternehmen dabei helfen soll, den Stand ihrer eigenen Cyberresilienz einzuordnen. Auch Vergleiche mit anderen Akteuren sollen dadurch möglich werden, wie die Behörde mitteilt. 

Das Cyberresilienz-Assessment (CyRA) ermöglicht Organisationen eine Selbstbewertung anhand von sechs Resilienz-Zielen und soll auf diese Weise die Grundlage für einen Leistungsvergleich schaffen, wie es in der Mitteilung heisst. Der Blick sei dabei bewusst auf die geschäftskritischen Prozesse von Organisationen und deren Abhängigkeiten von IT- und OT-Systemen gerichtet. 

Erkenntnisse aus dem Pilotprojekt im Kanton Aargau

Von Mitte Februar bis Ende März 2026 testete der Kanton Aargau das CyRA in einem Pilotprojekt unter Praxisbedingungen. Daran nahmen laut dem BACS insgesamt 14 Gemeinden und 11 weitere Organisationen aus Bereichen wie Dienstleistung, Industrie, IT und Telekommunikation, Stromversorgung sowie Baugewerbe teil. Die Organisationen konnten die Selbstbewertung eigenständig vornehmen. 

Die Auswertung zeigt laut BACS ein sektorübergreifend konsistentes Bild. Die Behörde attestiert, dass grundlegende Schutzmassnahmen in Bereichen wie Datensicherung, Zugriffskontrollen oder IT-Systemschutz bei vielen Organisationen vorhanden seien. Schwächen ortet sie hingegen vor allem in drei Bereichen: bei der strukturierten Erfassung von IT- und OT-Abhängigkeiten entlang von Geschäftsprozessen, bei der Notfall- und Wiederherstellungsplanung sowie beim Management von Abhängigkeiten gegenüber externen IT-Dienstleistern. Insgesamt basiere Cyberresilienz vielerorts noch auf Einzelmassnahmen. Während grundlegende IT-Sicherheitsmassnahmen häufig etabliert seien, sei Cyberresilienz als umfassender Ansatz oft noch nicht ausreichend verankert. 

Mehrwert für beteiligte Organisationen, Kantone und den Bund

Die teilnehmenden Organisationen erhielten durch das Assessment laut BACS eine strukturierte Standortbestimmung. Diese identifiziere Schwachstellen, hebe Stärken hervor und mache Massnahmen priorisierbar. Zudem ermögliche das Benchmarking einen Vergleich mit ähnlichen Akteuren. Für Kantone, Verbände und den Bund entstehe eine aggregierte Sicht auf den Resilienzstand ganzer Sektoren. 

Das Cyberresilienz-Assessment befindet sich derzeit noch im Prototypstatus. Die Erprobung im Kanton Aargau sei der erste Praxistest unter realen Bedingungen gewesen. Nun entwickelt das BACS das digitale Erhebungsinstrument auf Grundlage der gewonnenen Erkenntnisse weiter. Mit zunehmender Datenbasis könne das Assessment zu einem wichtigen Instrument für die evidenzbasierte Steuerung der Cyberresilienz auf regionaler und nationaler Ebene werden, schreibt das BACS.

Die Erkenntnisse aus dem Pilotprojekt im Kanton Aargau hat das BACS im Bericht "Cyberresilienz-Assessment (CyRA): Zentrale Erkenntnisse aus dem Pilotprojekt im Kanton Aargau" (PDF) veröffentlicht. 

 

Das BACS hat übrigens auch ein Notfallkonzept für die Verbesserung der Cyberresilienz bei KMU zusammengestellt. Lesen Sie hier mehr dazu

Webcode
EFhRzMft