Sicherheitscheck per Bugtest – eine Pensionskasse zieht Bilanz
Mit über 7'000 Destinatären trägt die Ambassador Stiftung grosse Verantwortung: für sensible Daten, für Verlässlichkeit – und für den Schutz vor Cyberangriffen. Warum sich die Stiftung gemeinsam mit ihrem Dienstleister VM-F entschieden hat, ihre Systeme durch einen Bugtest von GObugfree prüfen zu lassen, erklärt uns Stephan C. Frank. Als Stv. Geschäftsführer der Stiftung und geschäftsführender Inhaber der Brokerfirma VM-F vereint er strategische und operative Verantwortung – und zeigt, wie man Sicherheitsverantwortung konkret umsetzt.

Stephan, könntest du kurz die Rollenverteilung zwischen der Ambassador Stiftung und der VM-F erklären?
Die Ambassador Stiftung ist eine Sammelstiftung im Bereich der beruflichen Vorsorge. Die operative Steuerung – von der IT-Infrastruktur über das Fachpersonal bis zur laufenden Administration – erfolgt über die VM-F, die ich als Inhaber führe. Wir sorgen dafür, dass die Stiftung professionell betrieben werden kann. Für uns war klar: Auch in Sachen Cybersicherheit müssen wir proaktiv handeln – gerade, weil wir für die Sicherheit der Systeme mitverantwortlich sind.
Warum ist Cybersicherheit für die Ambassodor Stiftung besonders relevant?
Die Folgen eines Cyberangriffs auf eine Pensionskasse unterscheiden sich von denen auf ein Industrieunternehmen: Es geht nicht um Produktionsausfälle, sondern um den Schutz hochsensibler Daten. Lohnangaben, Sozialversicherungsnummern, Scheidungsvereinbarungen, Kapitalbezüge und nicht zuletzt auch um Unfall-/Krankenakten: Wenn solche Daten in falsche Hände geraten oder im Darknet landen, wäre der Schaden für unsere Destinatäre enorm. Diese Verantwortung nehmen wir sehr bewusst wahr.
Wie seid ihr auf GObugfree gestossen?
Über unsere Cybercrime-Versicherung bei Helvetia. Unser Ansprechpartner dort hat uns die Zusammenarbeit mit GObugfree empfohlen – als praxisnahe Möglichkeit, unsere Infrastruktur prüfen zu lassen. Ich habe dann den Kontakt aufgenommen und den Bugtest initiiert – ausdrücklich für die Systeme der Ambassador Stiftung.
Ihr arbeitet mit einem externen IT-Dienstleister – wie hat dieser auf den geplanten Bugtest reagiert?
Sehr professionell und konstruktiv. Ich habe schon von Fällen gehört, in denen IT-Partner bei externen Tests auf Abwehr schalten oder versuchen, die Ergebnisse zu relativieren. Bei uns war das anders: Unser IT-Dienstleister war interessiert, offen und wollte mitlernen. Das hat auch signalisiert, dass es um gemeinsame Verbesserung geht – nicht ums Fingerzeigen. Für mich war das ein ganz zentraler Faktor für den Erfolg des Tests.
Was war für euch der Nutzen aus dem Bugtest?
In erster Linie: Gewissheit. Wir wollten wissen, ob wir wirklich so gut aufgestellt sind, wie wir glauben – oder ob es Schwachstellen gibt, die bisher unentdeckt geblieben sind. Der Test hat uns bestätigt, dass wir bereits viel richtig machen, aber er hat auch Potenzial gezeigt, wo wir nachschärfen können. Diese Hinweise haben wir gemeinsam mit unserem externen IT-Dienstleister direkt umgesetzt.
Ein Bugtest ist kein Kontrollinstrument – sondern eine Chance zur Weiterentwicklung.
Wie war die Zusammenarbeit mit GObugfree?
Sehr angenehm. Der Ablauf war transparent, der Aufwand gut planbar, und wir wurden professionell begleitet – von der Vorbereitung bis zur Nachbesprechung im Stiftungsrat. Besonders geschätzt habe ich, dass die Kommunikation klar und verständlich war – auch für Nicht-Techniker. Der Abschlussbericht war gut strukturiert und hat geholfen, die Erkenntnisse intern klar zu vermitteln. Das hat die Akzeptanz gestärkt und gezeigt: Sicherheit ist kein reines IT-Thema, sondern betrifft die ganze Organisation.
Neben dem Bugtest – wie geht ihr sonst mit dem Thema Cybersicherheit um?
Wir setzen auf ein Gesamtpaket aus technischen und organisatorischen Massnahmen: Schulungen für Mitarbeitende, klare Login-Regeln, 2-Faktor-Authentifizierung, dokumentierte Backup-Prozesse und regelmässige Wiederherstellungstests. Auch die Notfallplanung ist bei uns ein Thema – wir haben wichtige Szenarien durchdacht und Prozesse definiert, damit im Ernstfall klar ist, was zu tun ist. Für uns ist klar: Sicherheitskultur heisst auch, dass Fragen erlaubt sind – lieber einmal zu viel nachfragen als ein Risiko eingehen.
Was würdest du anderen empfehlen, die über einen Bugtest nachdenken?
Nicht zögern. Man darf sich nicht in falscher Sicherheit wiegen – auch nicht mit Versicherung oder gutem Bauchgefühl. Der Bugtest war für uns kein Kontrollinstrument, sondern eine Chance zur Weiterentwicklung. Das ist auch gegenüber unseren Kunden ein starkes Signal: Wir prüfen, was wir tun – und verbessern, was wir können.
Wie sicher sind Ihre Systeme wirklich?
Unsere erfahrenen Security-Experten simulieren reale Angriffe – mit denselben Methoden und Tools wie Cyberkriminelle. So erkennen Sie Schwachstellen, bevor sie ausgenutzt werden.