Handbuch — CyberNavigator Self-Assessment Tool

Schritt-für-Schritt Anleitung

Das Tool führt Sie in 5 Schritten durch den gesamten Bewertungsprozess. Planen Sie ca. 30 Minuten ein. Idealerweise führt die Bewertung der IT-Verantwortliche zusammen mit einem Mitglied der Geschäftsleitung durch.

🎓

Dieses Tool basiert auf der Arbeit von Simon Wälti (MAS Leadership in Innovation & Technology, BFH 2024). Das Tool fundiert auf vier Säulen: Finanzen (Kosten bei Ausfall), Security-Level (NIST CSF 2.0 Gap-Analyse), Gefährdung (Exposure-Index nach Himmel/Sowa) und Enhance (CIS Controls Verbesserungsmassnahmen).

Tab «Unternehmensdaten» ausfüllen

Tragen Sie Firmenname, Branche, Mitarbeiterzahl und die Finanzdaten ein: Jahresumsatz, Betriebskosten, aktuelle Cybersecurity-Ausgaben und die geschätzte Ausfallzeit bei einem Angriff. Das Tool berechnet sofort den potenziellen Gesamtschaden — aufgeteilt in fünf Kategorien.

Tab «Bewertung» — 22 Kategorien bewerten

Für jede Kategorie wählen Sie per Dropdown Ihr aktuelles Maturitätslevel (IST) und Ihr gewünschtes Ziellevel (SOLL) — Skala 0 bis 4. Jede Frage enthält eine verständliche Beschreibung und ein konkretes Beispiel. Der Gap und der Handlungsbedarf werden automatisch berechnet und farblich markiert.

Tab «Gefährdung» — Risiken einschätzen

Beantworten Sie 9 Verwundbarkeits-Fragen und 8 Bedrohungs-Szenarien (jeweils Skala 0–10). Die Gewichtung (1–4) können Sie an Ihre Branche anpassen. Daraus entsteht der kombinierte Gefährdungsindex.

Ergebnisse und Empfehlungen prüfen

Im Dashboard sehen Sie 4 KPIs, das Ampelsystem und die Charts. Im Tab «Empfehlungen» sind die Massnahmen dynamisch nach Ihren Gaps priorisiert — 🔴 SOFORT bis 🟢 OK. Nutzen Sie diese Informationen für die Diskussion mit der Geschäftsleitung.

Massnahmenplan erstellen

Im Tab «Massnahmenplan» definieren Sie für jede Kategorie Ihre Strategie (Eliminieren, Vermindern, Mitigieren, Tragen), den geplanten Zeitraum und die geschätzten Kosten. Die Gesamtkosten werden automatisch aufsummiert.

Farbcode im Excel

💡

Eingabefelder sind mit blauer Schrift auf gelbem Hintergrund markiert. Nur diese Felder sollten Sie verändern.

⚠️

Berechnete Felder (weiss oder grau) werden automatisch berechnet. Bitte nicht manuell verändern — sonst gehen Formeln verloren.

In den Ergebnis-Tabs werden Gaps und Handlungsbedarf farblich hervorgehoben:

Farbe	Bedeutung	Wo verwendet
🔴 Rot	Kritischer Handlungsbedarf (Gap ≥ 2)	Bewertung, Dashboard, Empfehlungen
🟠 Orange	Handlungsbedarf (Gap = 1)	Bewertung, Dashboard, Empfehlungen
🟢 Grün	OK / Ziel erreicht (Gap ≤ 0)	Bewertung, Dashboard, Empfehlungen

Die Maturitätsstufen verstehen

Die Bewertung erfolgt nach den NIST Tiers (0–4). Schätzen Sie sich ehrlich ein — es geht nicht um Perfektion, sondern um ein realistisches Bild und sinnvolle Ziele.

Stufe	Name	Was bedeutet das?	KMU-Beispiel
0	Nicht umgesetzt	Kein Bewusstsein, keine Massnahmen. Das Thema wird nicht adressiert.	«Wir haben uns nie damit beschäftigt.»
1	Partiell (nicht definiert)	Ad-hoc, reaktiv. Einzelne machen etwas, aber kein formaler Prozess. Nicht vollständig definiert und abgenommen.	«Unser IT-Leiter kümmert sich, wenn etwas passiert.»
2	Partiell (definiert & abgenommen)	Risikobewusstsein vorhanden, Ansätze definiert und abgenommen, aber noch nicht überall umgesetzt.	«Einiges ist dokumentiert und freigegeben, aber nicht vollständig umgesetzt.»
3	Umgesetzt (statisch)	Formale, dokumentierte Prozesse. Vollständig oder grösstenteils umgesetzt, statisch.	«Wir haben Richtlinien, schulen regelmässig und prüfen Einhaltung.»
4	Dynamisch (kont. verbessert)	Kontinuierliche Verbesserung, proaktiv, KPI-gesteuert. Umgesetzt und fortlaufend überprüft.	«Wir messen Kennzahlen, haben ein SIEM und passen fortlaufend an.»

⚠️

Realistische SOLL-Werte setzen: Nicht jede Kategorie muss auf Stufe 4 sein! Für die meisten KMU ist Stufe 2–3 ein gutes Ziel. Setzen Sie SOLL dort höher, wo Ihre geschäftskritischen Risiken liegen. Ein Unternehmen mit vielen Kundendaten braucht z.B. bei «Datensicherheit» ein höheres Ziel als bei «Incident-Analyse».

NIST CSF 2.0 im Detail

Das Framework besteht aus 6 Kernfunktionen mit insgesamt 22 Kategorien. Hier erfahren Sie, was jede Funktion bedeutet, warum sie wichtig ist und welche Kategorien dazugehören.

🏛️ GOVERN (GV) — Steuern & Lenken

Warum wichtig? Cybersecurity muss auf Geschäftsleitungsebene verankert sein. Ohne klare Governance fehlt strategische Ausrichtung, Verantwortlichkeit und Budget. Gemäss Studien sind Unternehmen mit aktiver GL-Beteiligung an der Cybersecurity signifikant widerstandsfähiger.

Was KMU tun sollten: Einen IT-Sicherheitsverantwortlichen bestimmen (muss kein Vollzeit-CISO sein), grundlegende Richtlinien erstellen (Passwort-Policy, Nutzungsregeln), und die GL quartalsweise über den Security-Status informieren.

GV.OC Organisationskontext — Versteht die Firma ihren Auftrag und die Abhängigkeit von IT? GV.RM Risikomanagement — Gibt es eine Strategie für Cyberrisiken? GV.SC Lieferketten — Werden IT-Lieferanten auf Sicherheit geprüft? GV.RR Rollen — Wer ist für Cybersecurity zuständig? GV.PO Richtlinien — Existieren dokumentierte Security-Regeln? GV.OV Governance — Wird die Security-Strategie überprüft?

🔍 IDENTIFY (ID) — Erkennen & Verstehen

Warum wichtig? Sie können nur schützen, was Sie kennen. Ohne Inventar der IT-Systeme, Daten und Risiken fehlt die Grundlage für alle weiteren Massnahmen.

Was KMU tun sollten: Ein einfaches Inventar aller Geräte und Software erstellen (Excel reicht!). Geschäftskritische Prozesse und deren IT-Abhängigkeiten identifizieren. Jährlich eine einfache Risikobewertung durchführen.

ID.AM Asset Management — Kennen Sie alle Geräte, Software und Daten? ID.RA Risikobewertung — Werden Risiken systematisch bewertet? ID.IM Verbesserung — Werden Lehren aus Vorfällen gezogen?

🔒 PROTECT (PR) — Schützen

Warum wichtig? Schutzmassnahmen sind Ihre erste Verteidigungslinie. Hier geht es um konkrete technische und organisatorische Massnahmen, die Angriffe verhindern oder erschweren.

Was KMU tun sollten: Die drei wirksamsten Quick Wins umsetzen: MFA aktivieren (verhindert 99% der Konto-Übernahmen), Backups testen (nicht nur erstellen!), und Mitarbeitende schulen (91% der Angriffe beginnen mit Phishing).

PR.AA Zugriffskontrolle — MFA, Least Privilege, Access Reviews PR.AT Schulung — Security Awareness für alle Mitarbeitenden PR.DS Datensicherheit — Verschlüsselung, Backup-Strategie, Klassifizierung PR.PS Plattformsicherheit — Patching, Härtung, EDR PR.IR Infrastruktur-Resilienz — Redundanz, DR-Plan, RTO/RPO

👁️ DETECT (DE) — Erkennen

Warum wichtig? Im Durchschnitt dauert es 207 Tage, bis ein Einbruch erkannt wird. Jeder Tag kostet. Früherkennung reduziert den Schaden massiv.

Was KMU tun sollten: Mindestens zentrale Log-Sammlung und regelmässige Überprüfung. Für Unternehmen ab 20 Mitarbeitenden: Managed Detection & Response (MDR) Service eines spezialisierten Anbieters — oft günstiger als eigene Fachkräfte.

DE.CM Monitoring — Laufende Überwachung von Netzwerk und Systemen DE.AE Ereignisanalyse — Anomalien erkennen und bewerten

⚡ RESPOND (RS) — Reagieren

Warum wichtig? Es ist nicht die Frage ob, sondern wann ein Vorfall passiert. Unternehmen mit einem getesteten Notfallplan erholen sich nachweislich schneller und mit weniger Schaden.

Was KMU tun sollten: Einen einfachen Incident Response Plan erstellen (1–2 Seiten reichen!): Wer macht was? Wen rufen wir an? Welche Systeme isolieren wir zuerst? Mindestens einmal jährlich eine Tabletop-Übung durchführen.

RS.MA Incident Management — Notfallplan, Kontaktliste, Übungen RS.AN Analyse — Forensik, Ursachenermittlung RS.CO Kommunikation — Krisenkommunikation intern/extern/Behörden RS.MI Schadensbegrenzung — Isolation, Kill-Switch, Netzwerksegmentierung

🔄 RECOVER (RC) — Wiederherstellen

Warum wichtig? Die Fähigkeit, nach einem Vorfall schnell wieder betriebsfähig zu sein, kann existenzentscheidend sein. Studien zeigen, dass 60% der KMU innerhalb von 6 Monaten nach einem schweren Cyberangriff schliessen.

Was KMU tun sollten: Recovery-Fähigkeiten regelmässig testen — stellen Sie mindestens halbjährlich ein System aus dem Backup wieder her. Definieren Sie RTO (wie lange darf der Ausfall dauern?) und RPO (wie viele Daten dürfen verloren gehen?).

RC.RP Wiederherstellungsplanung — Backup-Test, RTO/RPO, Wiederanlaufplan RC.CO Kommunikation — Status-Updates an Stakeholder während der Recovery

Gefährdungsanalyse: Verwundbarkeit × Bedrohung

Der Gefährdungsindex kombiniert zwei Perspektiven: wie verwundbar Sie sind (interne Schwächen, die Sie beeinflussen können) und wie stark die Bedrohungen sind (externe Risiken). Die Methodik basiert auf dem Exposure-Index nach Himmel/Sowa (BSI-Standard 100-2), wie in der zugrundeliegenden Studie von Wälti (2024) wissenschaftlich hergeleitet: Gefährdung = (Verwundbarkeitsindex + Bedrohungsindex) / 2.

🔓 Verwundbarkeitsindex (9 Fragen)

Bewertet interne Schwächen: Inventar, Update-Management, Kontenmanagement, Passwort-Richtlinien, MFA, Backup, Verschlüsselung, Netzwerksegmentierung, Firewall. Diese Faktoren können Sie direkt beeinflussen.

☠️ Bedrohungsindex (8 Fragen)

Bewertet externe Risiken: Phishing, Ransomware, Insider-Bedrohung, Cloud-Angriffe, DDoS, Supply-Chain, Datenverlust, Physischer Zugang. Begrenzt kontrollierbar — aber Sie können sich vorbereiten.

Bewertungs-Skala

Jede Frage wird auf einer Skala von 0 (kein Problem / kein Risiko) bis 10 (kritisch / sehr hohes Risiko) bewertet. Die Gewichtung (1–4) bestimmt, wie stark die Frage in den Index einfliesst. Passen Sie die Gewichtung an Ihre Branche an — ein E-Commerce-Unternehmen gewichtet «Datenverlust» z.B. höher als ein Handwerksbetrieb.

Interpretation des Gefährdungsindex

Index	Einstufung	Empfehlung
0.0 – 0.3	Tief	Gute Ausgangslage. Regelmässig überprüfen und Maturität steigern.
0.3 – 0.5	Mittel	Verbesserungspotenzial. Priorisierte Massnahmen umsetzen.
0.5 – 0.7	Hoch	Signifikante Lücken. Dringend handeln und Budget bereitstellen.
0.7 – 1.0	Kritisch	Akute Gefährdung. Sofortige Massnahmen und externe Hilfe nötig.

Finanzielle Auswirkungen

Das Tool berechnet fünf Schadenskategorien basierend auf Ihren Unternehmensdaten und Branchendurchschnitten. Die Berechnung folgt dem Ansatz von Erik Dinkel (CISO Universitätsspital Zürich): Jahresumsatz ÷ 365 × Ausfalltage = Kosten des Ausfalls — einfach genug für die Geschäftsleitung, aussagekräftig genug für Entscheidungen.

📊

Warum Finanzen? In der VGI-Umfrage (Wälti, 2024) konnten über 70% der Befragten nicht berechnen, was ein einwöchiger IT-Ausfall kosten würde — obwohl über 50% der Security-Budget-Entscheide auf GL-Stufe fallen. Genau diese Lücke schliesst das Tool.

Schadenskategorie	Berechnung	Erklärung
Entgangene Einnahmen	Umsatz ÷ 365 × Ausfalltage	Umsatzverlust während die Systeme nicht verfügbar sind.
Lösegeldforderung	Gestaffelt nach Gewinnhöhe: 2–5%	Je kleiner das Unternehmen, desto höher der %-Satz (Wälti, 2024, Kap. 5.5.1; Checkpoint/Conti 2022). Bezahlung bietet keine Garantie!
Wiederherstellung	1% Umsatz + CHF 50'000	IT-Forensik, Neuaufbau, externe Spezialisten.
Reputationsschaden	ca. 3% des Umsatzes	Geschätzter Umsatzrückgang im Folgejahr — schwer bezifferbar, daher separat ausgewiesen (nicht in der Schadenssumme).

🚨

Kennzahl «Jahre bis Kosten = Schaden»: Zeigt, wie viele Jahre Ihre aktuellen Security-Ausgaben nötig wären, um den Schaden eines einzigen Cyberangriffs zu decken. Ist der Wert >20, investieren Sie vermutlich deutlich zu wenig. Der Branchenrichtwert für IT-Sicherheitsbudgets liegt bei 5–10% der Betriebskosten.

Wissenschaftliche Grundlagen

Das Tool basiert auf der Forschungsarbeit «Cybersecurity-Self-Assessment für Gesundheitsorganisationen» von Simon Wälti (BFH, 2024). Zentrale Erkenntnisse der Studie:

⚖️

Courtney's Law — Die drei Gesetze der Sicherheit (RFC 4949)

1. Sie können nur sinnvoll über Sicherheit sprechen, wenn Sie den Kontext kennen: Was schütze ich, und in welcher Umgebung?

2. Geben Sie nie mehr Geld für die Beseitigung eines Risikos aus, als dessen Eintreten kosten würde. Perfekte Sicherheit kostet unendlich. Ein Nullrisiko existiert nicht.

3. Es gibt keine technischen Lösungen für Management-Probleme — aber es gibt Management-Lösungen für technische Probleme. Sicherheit beginnt bei der Führung, nicht beim Tool.

📊 VGI-Umfrage: Bedarf bestätigt

In einer Befragung unter 38 Mitgliedern der Vereinigung Gesundheitsinformatiker Schweiz (VGI) bewerteten fast 90% ein Self-Assessment-Tool als nützlich. Über 70% der Befragten konnten nicht berechnen, was ein einwöchiger IT-Ausfall kosten würde — genau hier setzt die Finanzanalyse des Tools an.

🔬 Vier Säulen des Assessments

Das Tool folgt dem in der Studie hergeleiteten Vier-Säulen-Modell: Finanzen (Schadensberechnung nach Dinkel/USZ), Security-Level (NIST CSF 2.0 Gap-Analyse), Gefährdung (Exposure-Index nach Himmel/Sowa, BSI-Standard 100-2) und Enhance (Verbesserungsmassnahmen, u.a. referenziert auf CIS Controls).

🧰 Mehr Tools ≠ Mehr Sicherheit

Die Studie zeigt: Unternehmen setzen immer mehr Security-Tools ein (von 64 auf 76 im Durchschnitt, +19%), aber das allein erhöht die Sicherheit nicht. Geschätzte 80% der Security-Controls sind organisatorisch, nur 20% technisch. Dieses Tool fokussiert deshalb auf Bewusstsein und Priorisierung — nicht auf Produktempfehlungen.

📖

Vollständige Quellenangabe

Wälti, S. (2024). Cybersecurity-Self-Assessment für Gesundheitsorganisationen. Masterthesis, MAS Leadership in Innovation & Technology. Berner Fachhochschule, Departement Technik und Informatik. Betreuung: Hans-Peter Käser, Prof. Michael Lehmann. Ausgezeichnet mit dem BFH Alumni Preis.

Die Studie wurde ursprünglich für Gesundheitsorganisationen entwickelt. Der Autor stellt im Fazit fest: «Das Ergebnis hat sich nun offener präsentiert, da es flexibel an die Organisationsbedürfnisse angepasst werden kann. Daher ist das Self-Assessment entgegen der Erwartung sogar in verschiedenen Kontexten anwendbar.» (Wälti, 2024, Kap. 6.4). Das hier vorliegende Tool wurde auf dieser Grundlage für alle Branchen und KMU verallgemeinert.

Risikobewältigungs-Strategien

Im Massnahmenplan wählen Sie für jede Kategorie eine von vier Strategien. Hier erfahren Sie, wann welche Strategie sinnvoll ist:

🚫 Eliminieren

Risiko vollständig beseitigen. Z.B. unsicheres Altsystem abschalten, Schatten-IT entfernen.

📉 Vermindern

Wahrscheinlichkeit / Auswirkung reduzieren. Z.B. Patches, MFA, Schulung, zusätzliche Kontrollen.

🛡️ Mitigieren

Auswirkungen begrenzen. Z.B. Cyber-Versicherung, Backup-Strategie, Incident-Response-Plan.

✅ Tragen

Restrisiko bewusst akzeptieren. Z.B. weil Massnahmenkosten > möglicher Schaden. Muss dokumentiert werden!

✨

Quick Wins zuerst: Beginnen Sie mit Massnahmen, die tiefen Aufwand und hohe Wirkung haben (in der Empfehlungstabelle grün markiert). Die Empfehlungen referenzieren auf die CIS Controls mit Implementation Groups (IG1 = Basis-Cyberhygiene, IG2 = erweitert, IG3 = fortgeschritten). MFA aktivieren, Backup-Test durchführen, Passwort-Richtlinie einführen und Awareness-Schulung buchen bringen sofort messbaren Nutzen.

Das Dashboard richtig lesen

Das Dashboard ist für die Präsentation an die Geschäftsleitung optimiert. Hier erfahren Sie, was die einzelnen Elemente bedeuten:

4 KPI-Boxen (oben)

🔵 Gesamt-Maturität

Durchschnittlicher IST-Wert über alle 6 Funktionen (0–4). Zeigt den aktuellen Reifegrad auf einen Blick.

🔴 Schadenspotenzial

Berechneter Gesamtschaden eines Cyberangriffs in CHF. Macht das Risiko für Nicht-Techniker greifbar.

🟠 Gefährdungsindex

Kombinierter Index aus Verwundbarkeit und Bedrohung (0–1). Mit automatischer Textbewertung (Tief bis Kritisch).

🟢 Budget-Deckung

Verhältnis Ihrer aktuellen Security-Ausgaben zum empfohlenen Budget: 10% des Schadenspotenzials (Gamper-Ansatz: finanziert 1 Vorfall in 10 Jahren). Unter 50% = kritisch.

Ampelsystem (Funktionsübersicht)

Jede der 6 NIST-Funktionen wird einzeln bewertet. Die Ampel zeigt:

Ampel	Bedeutung	Bedingung
🔴 KRITISCH	Dringender Handlungsbedarf	Gap ≥ 2.0
🟡 ACHTUNG	Verbesserung nötig	Gap ≥ 1.0
🟢 OK	Akzeptabler Stand	Gap > 0
✅ ERFÜLLT	Ziel erreicht	Gap = 0

Praktische Tipps für KMU

💡

Courtney's 3. Gesetz: «Es gibt keine technischen Lösungen für Management-Probleme — aber es gibt Management-Lösungen für technische Probleme.» Beginnen Sie mit Awareness und Prozessen, nicht mit dem Kauf neuer Security-Tools. Die Studie zeigt: ~80% der Security-Controls sind organisatorisch, nur ~20% technisch.

🔴 Top 3 Sofort-Massnahmen

1. MFA überall — 99% der Konto-Übernahmen verhindert.
2. Backups testen — Monatlich Wiederherstellung prüfen.
3. Schulung — 91% der Angriffe starten per Phishing-Mail.

🟠 Nächste Schritte

4. Patch-Management — Updates innerhalb 48h einspielen.
5. Inventar — Alle Geräte und Software erfassen.
6. Notfallplan — 1–2 Seiten, Telefonnummern offline!

🔵 Strategisch

7. Cyber-Versicherung prüfen.
8. Managed Security — oft günstiger als eigenes Personal.
9. Testen — Jährlich Pentest + Phishing-Simulation.

Häufige Fragen

Für welche Unternehmensgrösse ist das Tool geeignet?

Für Schweizer KMU aller Branchen. Die Fragen sind so formuliert, dass auch nicht-technische Personen die Bewertung durchführen können.

Wer sollte die Bewertung durchführen?

Idealerweise der IT-Verantwortliche zusammen mit einem GL-Mitglied. So werden technische und geschäftliche Perspektiven kombiniert. Bei grösseren KMU kann ein kleines Team (IT, Finanzen, Geschäftsleitung) beteiligt werden.

Wie oft sollte das Assessment wiederholt werden?

Mindestens jährlich. Nach grösseren Veränderungen (neue Systeme, Unternehmenswachstum, Sicherheitsvorfall, Personalwechsel in IT-Schlüsselpositionen) zeitnah wiederholen.

Ersetzt das Tool ein professionelles Security Audit?

Nein. Es gibt eine gute Übersicht und hilft bei der Priorisierung. Für tiefgreifende technische Analyse (Penetrationstest, Vulnerability Assessment, Compliance-Prüfung) empfehlen wir spezialisierte Cybersecurity-Dienstleister.

Sind die Finanzwerte verbindlich?

Die Schadenssummen sind Richtwerte auf Basis von Branchenstudien. Sie dienen der Orientierung und Sensibilisierung. Tatsächliche Kosten können je nach Angriffsart, Branche und Unternehmensgrösse stark variieren.

Welche Schweizer Gesetze sind relevant?

Das revidierte Datenschutzgesetz (DSG, seit Sept. 2023), DSGVO für EU-Bezug, branchenspezifische Regulierungen (z.B. FINMA), Informationssicherheitsgesetz (ISG). Kritische Infrastrukturen haben zusätzliche Meldepflichten (ab 2025).

Kann ich die Gewichtungen in der Gefährdungsanalyse anpassen?

Ja! Die Gewichtung (1–4) jeder Frage ist ein Eingabefeld. Setzen Sie höhere Werte für branchenkritische Bereiche. Beispiel: E-Commerce → «Datenverlust» auf 4; Produktion → «Physischer Zugang» auf 4.

Funktioniert das Tool auch mit Google Sheets oder LibreOffice?

Grundsätzlich ja. Die Formeln und Dropdowns funktionieren in allen grossen Tabellenkalkulationen. Die Charts werden am besten in Microsoft Excel dargestellt. Bei Google Sheets: Datei hochladen und «In Google Tabellen öffnen» wählen.

War das Tool nicht ursprünglich für Gesundheitsorganisationen?

Ja. Die zugrunde liegende Master Thesis von Simon Wälti (BFH, 2024) wurde am Beispiel des Gesundheitswesens entwickelt und durch eine Umfrage unter den Mitgliedern der VGI (Vereinigung Gesundheitsinformatiker Schweiz) validiert. Das NIST CSF 2.0 — die Grundlage des Tools — ist aber bewusst branchenneutral konzipiert. Die Studie selbst stellt fest: «Das Ergebnis hat sich nun offener präsentiert, da es flexibel an die Organisationsbedürfnisse angepasst werden kann.» Das hier vorliegende Tool wurde daher für alle KMU verallgemeinert. Gesundheitsorganisationen können die Gewichtungen im Gefährdungsteil entsprechend anpassen (z.B. «Datenverlust» höher gewichten wegen besonders schützenswerter Patientendaten).

Auf welchen wissenschaftlichen Quellen basiert das Tool?

Das Tool basiert auf dem NIST Cybersecurity Framework 2.0 (NIST, 2024), dem Gefährdungsindex nach Himmel/Sowa (BSI-Standard 100-2), der Schadensberechnung nach dem Ansatz von E. Dinkel (CISO Universitätsspital Zürich), Lösegeldforderungs-Analysen von Checkpoint (Conti-Gruppe, Ø 2.82% des Gewinns) und SOCRadar (LockBit, 3% des Umsatzes), sowie Courtney's Law (RFC 4949) als Leitprinzip. Vollständige Referenzen finden sich in der Thesis von Wälti (2024).

📘 Handbuch & Anleitung