Hand aufs Herz: Wann haben Sie das letzte Mal auf eine Risikomatrix gestarrt und sich gefragt, ob die Eintrittswahrscheinlichkeit für einen Ransomware-Angriff auf diesen spezifischen Server nun bei «gering» oder «mittel» liegt? Wir alle kennen diese Excel-Tapeten, bei denen wir versuchen, die Zukunft vorherzusagen, nur um am Ende doch überrascht zu werden.
Das Schweizer Bundesamt für Cybersicherheit (BACS) hat Ende November 2025 einen neuen Ansatz veröffentlicht, der genau hier ansetzt: Die Cyber Security and Resilience Method (CSRM).
Die meisten erfahrenen Security-Spezialisten dürften erst einmal skeptisch reagieren. Noch ein Framework? Benötigen wir neben ISO/IEC 27001, NIST CSF, BSI Grundschutz und Co. wirklich noch etwas Neues? Wer sich dennoch die Mühe macht und die zugehörigen Papiere liest, wird feststellen, dass der Ansatz durchaus nicht verkehrt ist. Wenn auch die einzelnen Elemente nicht wirklich neu sind.
In diesem Artikel zerlegen wir die CSRM in ihre Einzelteile, vergleichen sie mit klassischen Methoden und klären, ob das der neue Goldstandard für die effektive Planung und Steuerung der Cybersecurity in Schweizer Organisationen wird.
Was ist die CSRM eigentlich?
Die CSRM ist kein starres Korsett, sondern eine strukturierte Methode, um die Cyber-Resilienz von Organisationen zu stärken, unabhängig von Grösse oder Branche. Sie basiert stark auf dem NIST Cybersecurity Framework (CSF), erweitert dieses aber um wesentliche Aspekte, insbesondere um die Prozesssicht, welche aus dem Business Continuity Management (BCM) bekannt ist.
Der Kernunterschied zu vielen anderen Systemen: Die CSRM verzichtet bewusst auf eine wahrscheinlichkeitsbasierte Risikobewertung. Statt zu raten, wie wahrscheinlich ein Ereignis ist, fragt die Methode: Was darf auf keinen Fall passieren?
Zudem fordert der Ansatz, Hard- und Softwarekomponenten zu logischen Einheiten, sogenannten IT-Schutzobjekten, zusammenzufassen. Nicht wirklich neu, in anderen Standards aber meist interpretationsbedürftig, da oft schlicht von «Assets» gesprochen wird.
Der 5-Schritte-Prozess im Überblick
- Analyse wichtiger Geschäftsaktivitäten
Alles beginnt beim Business. Welche Prozesse (Dienstleistung oder Produktion) sind kritisch für die strategische und ökonomische Zielerreichung der Organisation?
- Ermittlung der IT-Schutzobjekte
Welche IT-Ressourcen (Hardware, Plattformen, Apps, Daten) unterstützen diese Prozesse? Hier wird aggregiert, statt jedes einzelne Asset isoliert zu betrachten, d.h. mehrere IT-Komponenten werden zu «Schutzobjekten» zusammengefasst.
- Schutzbedarfsanalyse
Hier wird es binär. Führt eine Verletzung der Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) zu einer unzulässigen Abweichung vom Prozessziel? Wenn ja: erhöhter Schutzbedarf.
- Sicherheitskonzeption (Security Design)
Für Objekte mit erhöhtem Schutzbedarf wird basierend auf erprobten Ansätzen ein Threat Modelling durchgeführt (z.B. nach STRIDE-LM) und zusätzliche Massnahmen (TOMs) definiert.
- Umsetzung
Implementierung der Basisanforderungen (die für alle Schutzobjekte gelten) und der zusätzlichen Massnahmen (individuell basierend auf den entsprechenden Security Designs).
CSRM vs. BCM und ISO 27001: Wo liegt der Unterschied?
Für CISOs und Security-Manager ist der Vergleich entscheidend. Ersetzt CSRM nun mein ISMS oder mein BCM?
Die Sache mit der Business Impact Analyse (BIA)
Klassisches Business Continuity Management (BCM) und IT Service Continuity Management (ITSCM) beginnen oft mit einer detaillierten Business Impact Analyse. Die CSRM integriert diesen Ansatz. Schritt 1 (Analyse der Geschäftsaktivitäten) ist im Grunde eine fokussierte BIA. Die Idee auf die kritischen Prozesse zu fokussieren und technische Abhängigkeiten im Detail zu klären (Schritt 2 CSRM), ist dabei ebenfalls nicht neu. Da es in der Praxis aber immer noch oft vorkommt, dass entsprechende BIAs schlichtweg zu umfassend (fehlender Fokus) und technisch zu wenig tief gehen, schadet es bestimmt nicht, dass ebendies durch die CSRM explizit gefordert wird. Es gibt aber auch materielle Unterschiede. So verzichtet die Methodik des BACS auf die Definition von klassischen Kennzahlen wie RTO (Recovery Time Objective) und RPO (Recovery Point Objective), fordert aber stattdessen die Definition der maximal zulässigen Abweichungen von entsprechenden Prozesszielen.
Daneben gibt es natürlich weitere Unterschiede. Die CSRM wird ausschliesslich in Bezug auf Cyberrisiken angewandt, während das Business Continuity Management wesentlich breitere Anwendung findet. Gemäss CSRM werden Risiken ohne Bewertung der Eintrittswahrscheinlichkeit bewertet (mittels Threat Modeling), während im BCM-Kontext oft klassische Risikoanalysen durchgeführt werden (auch wenn die Ansätze hier variieren).
ISO 27001 und der «Papier-Tiger»
Die ISO 27001 ist international wie auch in der Schweiz der klare Platzhirsch für Zertifizierungen. Auch wenn schlanke und zielgerichtete Umsetzungen dieser Norm durchaus kein Hexenwerk sind, so sind in der Praxis leider auch einige «Papier-Tiger» anzutreffen. Monster an Dokumentationen und Prozess-Overhead, welche sich bedauerlicherweise nur lückenhaft in echten implementierten Massnahmen manifestieren.
- ISO 27001
Basiert auf einem PDCA-Zyklus und fordert eine umfassende Risikoeinschätzung (oft inkl. Eintrittswahrscheinlichkeiten).
- CSRM
Ist eine Anleitung zum Handeln. Sie definiert Basisanforderungen (Appendix C im Dokument), die immer umgesetzt werden müssen, egal wie hoch das Risiko ist. Das spart Zeit bei der Diskussion über «Akzeptanz von Restrisiken» bei absoluten Basics wie Backups oder Malwareschutz.
CSRM ist weniger ein Managementsystem, sondern mehr ein Arbeitswerkzeug. Es kann ein ISMS nach ISO 27001 jedoch ergänzen oder als «ISMS light» den Einstieg erleichtern.
Und jetzt? Eine Bewertung der Methodik
Keine Methode ist perfekt. Hier unsere Einschätzung, was die CSRM leistet und wo sie Grenzen hat.
Das Positive (Pro)
- Praktisch in der Anwendung: Die Methode liefert eine Schritt-für-Schritt-Anleitung, um die Resilienz einer Organisation zu erhöhen. Templates und Werkezeuge sollen folgen (bislang nicht verfügbar).
- Wegfall der Wahrscheinlichkeits-Illusion: In einer Zeit, in der Zero-Day-Exploits und Supply-Chain-Angriffe an der Tagesordnung sind, ist es mühselig zu raten, ob ein Angriff «wahrscheinlich» ist. Die CSRM sagt: Wenn der Impact inakzeptabel ist, müssen wir schützen. Punkt.
- Fokus auf Resilienz: Der Name ist Programm. Es geht nicht nur darum, den Hacker draussen zu halten, sondern darum, wie das Business trotz eines Vorfalls weiterlaufen kann. Das ist die richtige Antwort auf die heutige Bedrohungslage, in welcher erfolgreiche Ransomware-Angriffe alltäglich sind.
- Verständlichkeit: Die Methode spricht die Sprache des Managements (Prozesse, Ziele) und übersetzt sie in die Sprache der IT (Schutzobjekte, Massnahmen).
Die Herausforderungen (Con)
- Kultureller Wandel: Die Abkehr von der reinen Asset-Liste hin zu «IT-Schutzobjekten» (aggregierten Systemen) erfordert Umdenken. Wer sein Inventar ausschliesslich streng nach Hardware-Seriennummern führt, muss abstrahieren lernen.
- Fehlende Zertifizierung (noch): Während man sich nach ISO 27001 zertifizieren lassen kann, um Kundenvertrauen zu gewinnen, ist die CSRM (aktuell) eher eine interne Methode zur Steigerung der Resilienz.
- Duplizierungsgefahr: Wer bereits ISO 27001 und den ICT-Minimalstandard voll implementiert hat, wird sich fragen, warum er die Dokumentation auf die CSRM-Logik umstellen soll. Das BACS gibt zwar Mapping-Hilfen, aber Aufwand entsteht trotzdem.
- Nicht ganz so schlank: Auch CSRM fordert einiges an Dokumentation. Grafische Darstellungen und strukturierte Daten zu Prozessen, verschriftlichte Informationen zu Schutzobjekten (inkl. Listen der zugehörigen Soft- und Hardware), Threat Modelling Resultate, definierte technische und organisatorische Massnahmen und schutzobjektspezifische Security Konzepte.
FAQ: Häufige Fragen zur CSRM
Ist die Anwendung der CSRM verpflichtend?
Nein. Mittelfristig könnte CSRM den IKT-Minimalstandard ablösen, der für kritische Infrastrukturen (Strom, Gas) teils verbindlich ist. Diesen Entscheid haben jedoch die jeweiligen Regulatoren zu fällen.
Ersetzt CSRM meine ISO 27001 Zertifizierung?
Nein. ISO 27001 ist ein international anerkannter Standard für Managementsysteme. Die CSRM ist eine Methode zur Erreichung von Cyber-Resilienz. Sie können CSRM nutzen, um die Anforderungen der ISO 27001 (insb. Risikobehandlung und Massnahmenwahl) effizienter zu erfüllen.
Eignet sich CSRM auch für KMUs?
Ja, sogar sehr gut. Da die Risikokalkulation entfällt und stattdessen mit Basisschutz und klaren „Wenn-Dann“-Analysen für kritische Prozesse gearbeitet wird, ist die Hürde niedriger als bei einer vollen ISO-Implementierung.
Fazit
Die Cyber Security and Resilience Method (CSRM) verabschiedet sich von der Schein-Genauigkeit alter Risikomodelle und fokussiert sich auf das, was zählt: das Überleben der Geschäftsprozesse und die Widerstandsfähigkeit gegenüber Angriffen.
Besonders der Fokus auf die Resilienz ist zeitgemäss. In einer Welt, in der wir davon ausgehen müssen, dass Systeme kompromittiert werden („Assume Breach“), ist die Fähigkeit zur Wiederherstellung und Weiterführung des Betriebs wichtiger als die perfekte Firewall.
Für IT-Sicherheitsverantwortliche bedeutet das: Schauen Sie sich die Methode an. Auch wenn Sie nicht komplett umstellen, bieten der Gedanke der «IT-Schutzobjekte» und die Abkehr von Eintrittswahrscheinlichkeiten wertvolle Impulse, um Ihre Sicherheitsarchitektur robuster gegen Ransomware und andere Gefahren zu machen.
Managed SASE
Managed Infrastructure
Analytics as a Service
Information Security as Service
Security Strategie
Security Architektur
Technologieberatung
GRC
Security Awareness
Network Security
Content Security
Application Security
Cloud Security
Infrastructure Security
OT Security
Endpoint Security
Security Analytics
Team
Arbeiten bei ensec
Facts und Figures
