Kategorie-Navigation anzeigen
Image of Security als fortlaufender Prozess: Der Weg von Chicorée Mode AG

Security als fortlaufender Prozess: Der Weg von Chicorée Mode AG

Über 180 Filialen, rund 900 Mitarbeiterinnen und Mitarbeiter, CHF 190 Millionen Umsatz, ein VIP-Kundenprogramm mit sensiblen Daten – und die Erkenntnis, dass Security mehr als ein einmaliges Projekt ist. Die Chicorée Mode AG, ein traditionsreiches Schweizer Familienunternehmen im Modehandel, hat 2024 begonnen, ihre Cyber Security systematisch aufzubauen. Heute zeigt sich: Der kontinuierliche Ansatz zahlt sich aus, denn Security ist kein Ziel, das man erreicht, sondern eine Reise, die nie endet.

Die Ausgangslage: Zeit für professionelle Security

Chicorée ist seit ihrer Gründung sehr erfolgreich gewachsen – aber die Security-Strategie nicht mitgewachsen. Das Management erkannte: Als Familienunternehmen mit über 40 Jahren Erfahrung ist das Vertrauen der Kunden das wichtigste Kapital. 2024 fiel der Entschluss: Zeit für eine professionelle Bestandsaufnahme.

Das Security-Audit – Wo stehen wir?

Phase 1: Bestandsaufnahme

Im Frühjahr 2024 startete das erste umfassende Security-Audit. Das Ziel: Eine ehrliche Standortbestimmung der IT- und Security-Landschaft. Der Schwerpunkt wurde dabei auf vier Bereiche gelegt. Als Erstes wurde die technische Infrastruktur der über 180 Filialen mit Kassensystemen, Treueprogrammen und dem E-Commerce analysiert. Als Nächstes folgten interne Prozesse und Richtlinien, ob und wie Security Massnahmen etabliert und gelebt werden. Zum Abschluss fand eine organisatorische und rechtliche Analyse statt, in welcher verantwortliche Personen und gesetzliche Anforderungen geprüft wurden.

Phase 2: Lücken identifizieren

Das Audit brachte unter anderem folgende Lücken ans Licht:

  • Kein Security Awareness-Programm – Mitarbeitende hatten nie strukturierte Schulungen erhalten
  • Keine Penetration Tests – Die Systeme wurden nie von externen Experten getestet
  • Fehlende Incident Response Playbooks – Kein dokumentierter Plan für Security-Vorfälle

«Als Familienunternehmen haben wir über 40 Jahre Vertrauen aufgebaut. Das Security Audit hat uns gezeigt, wo wir stehen und was wir tun müssen. Heute haben wir einen kontinuierlichen Prozess etabliert, der unsere Kunden und unser Unternehmen schützt.»

Pascal Weber

Co-CEO, Chicorée Mode AG

Penetration Testing – Schwachstellen aufdecken

Basierend auf den Audit-Erkenntnissen wurde ein klarer Umsetzungsplan erstellt. Priorität hatte im Jahr 2024 das Web Penetration Testing, da mit über 180 Filialen, E-Commerce und einem VIP-Kundenprogramm die Web-Applikationen und Online-Systeme besonders exponiert waren. Ein externer Penetration Test sollte aufzeigen: Wo sind Schwachstellen, bevor Angreifer sie finden?

Was wurde getestet?

  • E-Commerce-Plattformen und «Moments Online Shopping Day»
  • VIP-Kundenprogramm und Login-Bereiche
  • Web-Applikationen
  • API-Schnittstellen

Die Erkenntnisse

Das Penetration Testing deckte mehrere Schwachstellen auf. Keine wurde von Angreifern ausgenutzt – aber sie hätten es können. Die identifizierten Lücken wurden systematisch geschlossen.

Der Mehrwert: Nicht nur die technischen Findings waren wertvoll. Das Team lernte, wie Angreifer denken und vorgehen. Dieses Wissen floss direkt in die Verbesserung der Systeme ein.

Menschen stärken, Prozesse etablieren

Im Jahr 2025 wurde der Fokus auf den organisatorischen und menschlichen Aspekten der Security gelegt.

Security Awareness – Die menschliche Firewall

Ein kontinuierliches Awareness-Programm stärkt die wichtigste Schutzschicht: die Mitarbeitenden. Monatliche Lernvideos und regelmässige Phishing-Simulationen – ergänzt durch individuelles Feedback – sensibilisieren für typische Risiken im Retail wie Betrugsversuche, Social Engineering oder unsichere Passwörter. Der Effekt ist spürbar: Die Klickrate bei Simulationen sank deutlich, und verdächtige E-Mails werden heute aktiv gemeldet.

Security Playbooks – Klarheit im Ernstfall

Für Vorfälle wie Phishing, Ransomware, Website-Attacken oder Social Engineering wurden klare Playbooks erstellt. Sie regeln, wer informiert wird, wer entscheidet und welche Schritte einzuleiten sind. Regelmässige Table-Top-Übungen mit Geschäftsleitung und IT stellen sicher, dass die Abläufe sitzen und im Ernstfall schnell gehandelt wird.

Security-Richtlinien für Mitarbeiter

Ergänzend wurden verständliche Richtlinien zu Passwörtern, Kundendaten, Meldewegen und Social Media definiert. Sie sind bewusst nicht als Verbotsliste formuliert, sondern als praktische Orientierung für den sicheren Arbeitsalltag

Das jährliche Follow-up Audit

Ende 2025 schliesst sich der Kreis: Das Follow-up Audit zeigt, was erreicht wurde und wo der im nächsten Jahr liegen soll.

Was wurde erreicht?

  • Penetration Tests durchgeführt, Schwachstellen behoben
  • Awareness-Programm etabliert, Mitarbeitende sensibilisiert
  • Playbooks dokumentiert und getestet
  • Security-Richtlinien implementiert

Was kommt im nächsten Jahr? 

  • AI-basierte Bedrohungen und Deepfake-Gefahren
  • Supply Chain Security
  • Erweiterung des Monitorings
  • Security by Design für alle neuen Projekte

Die Erfolgsfaktoren

Was hat bei Chicorée funktioniert?

1. Commitment der Geschäftsleitung
Security wurde zur Chefsache. Budget und Zeit wurden bereitgestellt, die Wichtigkeit klar kommuniziert.

2. Schritt für Schritt
Nicht alles auf einmal, sondern Jahr für Jahr die wichtigsten Themen angehen.

3. Alle einbinden
Security ist nicht nur IT-Thema. Von der Geschäftsleitung bis zur Filialmitarbeiterin – alle sind Teil der Lösung.

4. Externe Expertise nutzen
Der objektive Blick von aussen deckt blinde Flecken auf und bringt Best Practices ins Unternehmen.

5. Security als Prozess verstehen
Das jährliche Audit ist fest eingeplant. Security ist Teil der strategischen Planung geworden.

Was kostet professionelle Security?

Die Kosten für wirksame Security-Massnahmen lassen sich nicht pauschal beziffern. Sie hängen von verschiedenen Faktoren ab – etwa von der Unternehmensgrösse, der bestehenden IT-Infrastruktur oder dem Umfang der gewünschten Sicherheitsmassnahmen. Ein Unternehmen mit zehn Filialen hat andere Anforderungen als ein Retailer mit über 180 Standorten. Ebenso spielt eine Rolle, ob bereits Security-Strukturen vorhanden sind oder ob externe Expertise vollständig aufgebaut werden muss.

Ein weiterer entscheidender Faktor ist der Umfang der Massnahmen: Reicht ein Basis-Audit, um erste Risiken zu identifizieren, oder sind umfassende Penetration Tests mit anschliessendem Follow-up notwendig? Auch die internen Ressourcen beeinflussen den Aufwand – insbesondere, wenn kein eigenes IT-Security-Team vorhanden ist.

Die wichtigere Frage lautet jedoch: Was kostet es, wenn Sie nichts tun?

Die Folgen eines Cyber-Angriffs auf ein Retail-Unternehmen können gravierend sein. Dazu zählen Betriebsausfälle in geschäftskritischen Zeiten, der Verlust sensibler Kundendaten, ein nachhaltiger Reputationsschaden oder hohe Kosten für Wiederherstellung und Incident Response. Nicht selten kommen Lösegeldforderungen hinzu. Für ein Familienunternehmen mit über 40 Jahren Tradition kann ein schwerwiegender Sicherheitsvorfall sogar existenzbedrohend werden.

Fazit: Security ist eine Reise

Die Geschichte von Chicorée zeigt: Security ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess.

Was 2024 mit einem Audit begann, ist heute ein etablierter Prozess. Die mittlerweile knapp 190 Filialen sind besser geschützt, die Kunden können vertrauen, die Geschäftsleitung ist gut vorbereitet. Und die Reise geht weiter.

Nehmen Sie Kontakt mit uns auf und erfahren Sie, wie ein umfassendes Security Audit auch Ihrem Unternehmen helfen kann, Lücken zu identifizieren, konkrete Massnahmen abzuleiten und einen nachhaltigen Security-Prozess zu etablieren.

 

Portrait of Philippe Regenass

regenass@avolut.ch

Schreiben

Kopieren

Kopiert

+41 44 974 26 79

Anrufen

Kopieren

Kopiert

Previous
Alle Artikel
Weiter
Schliessen
S
M
L
XL
XXL