Informationssicherheit: Umgang mit Cyberrisiken – warum Unternehmen jetzt handeln müssen
Passende Arbeitshilfen
Das Wichtigste zuerst: Jedes Unternehmen muss sich mit Cyberrisiken befassen. Dass man für einen Angriff "zu klein" oder "nicht interessant" sein könnte, gibt es schlicht nicht. Zudem führt der technologische Fortschritt zu einem stetigen Anstieg des Risikos (z.B. zunehmende Automatisierung und Verbesserung von Phishing-Angriffen durch "Generative AI").
Der Umgang mit Cyberrisiken beginnt an der Spitze des Unternehmens und betrifft jede und jeden. Nur mit einem ganzheitlichen Ansatz kann sichergestellt werden, dass keine Schwachstellen übersehen werden und die getroffenen Massnahmen wirksam sind. Und je überzeugender sich Führungspersonen im Umgang mit Cyberrisken engagieren, desto eher werden die Mitarbeitenden die Massnahmen umsetzen (und diese nicht als irrelevant oder lästig empfinden).
Ein Framework für Informationssicherheit
Wir empfehlen eine strukturierte und umfassende Vorgehensweise, um die Informationssicherheit im Unternehmen zu erhalten bzw. zu verbessern. Diese Vorgehensweise bzw. deren Ergebnisse werden in einem sog. Framework für Informationssicherheit dokumentiert (das "Framework"). Das Framework wird zwischen verschiedenen Unternehmen variieren (z.B. aufgrund der Grösse des Unternehmens, Geschäftsmodell, Art und Bedeutung der Informationen, etc.). Entscheidend ist, dass der Prozess, mit welchem das Framework erarbeitet wird, die für das Unternehmen wesentliche Aspekte abdeckt. Aus rechtlicher Sicht dürften im Hinblick auf Cyberrisiken jeweils mindestens die folgenden Aspekte zu berücksichtigen sein:
1. Ermittlung der anwendbaren Vorschriften:
Die Regulierungsdichte im Bereich Cybersicherheit nimmt stetig zu, in der Schweiz und international. Noch sind die massgeblichen Bestimmungen in der Schweiz überschaubar. Nennenswert sind z.B. die Meldepflicht bei Verletzungen der Datensicherheit (Art. 24 DSG) sowie die Meldung von Cyber-Attacken an die FINMA (betrifft nur von der FINMA beaufsichtigte Unternehmen). In absehbarer Zukunft wird zusätzlich eine Pflicht zur Meldung bei Cyber-Attacken für Anbieter kritischer Infrastrukturen eingeführt.
In der EU ist die Liste der einschlägigen Erlasse bereits deutlich länger (nicht abschliessend):
- Das Rechtsakt zur Cybersicherheit (2019/881; in Kraft und anwendbar)
- Die NIS-2-Richtlinie (2022/2555; in Kraft, nationale Umsetzung bis spätestens Oktober 2024)
- Richtlinie (2022/2557) über die Resilienz kritischer Einrichtungen
- DORA (Verordnung 2022/2554) über die digitale operationale Resilienz im Finanzsektor (anwendbar ab Januar 2025)
- EU-Cyberresilienzgesetz (2019/1020; definitiver Text für 2024 erwartet)
- EU-Cyber-Solidaritätsgesetz (In Ausarbeitung)
Es ist zu beachten, dass die massgeblichen Bestimmungen teilweise extraterritoriale Wirkung haben (und folglich auch für Unternehmen in der Schweiz zur Anwendung gelangen). Daneben bestehen weitere EU-Erlasse, welche massgebliche Bestimmungen enthalten.
Darüber hinaus können auch Verträge eines Unternehmens Bestimmungen enthalten, welche bei Cyberrisiken relevant sind. Dazu gehört z.B. die Pflicht, den Vertragspartner über Verletzungen von Vertraulichkeitsvereinbarungen zu informieren (bzw. gar eine Vertragsstrafe zu bezahlen).
Seminar-Empfehlungen
2. Umsetzung der Vorschriften:
Nachdem die anwendbaren Vorschriften ermittelt wurden (oben 1.), ist deren Umsetzung sicherzustellen. Im Wesentlichen können Vorschriften in die folgenden Kategorien unterteilt werden:
- Dokumentation: Die Vorschriften stellen Anforderungen an die Dokumentation. So müssen z.B. Dokumente erstellt werden (z.B. Dokumentation eines Vorfalls, Incident Reponse Plan) oder Dokumente müssen einen Mindestinhalt enthalten.
- Prozesse: Es müssen die erforderlichen Prozesse bestehen, damit die Vorschriften eingehalten werden können. So muss z.B. bei einem Vorfall sichergestellt werden, dass die Meldepflichten erfüllt werden.
3. Erfassung von Änderungen und Neuigkeiten:
Weiter ist sicherzustellen, dass man allfällige Änderungen oder Neuerungen der anwendbaren Vorschriften (oben 1.) rechtzeitig erkennt sowie die Umsetzung (oben 2.) regelmässig überprüft. Falls die erforderlichen Ressourcen oder das Know-how hierfür nicht vorhanden sind, empfiehlt es sich, einen geeigneten Dienstleister einzubeziehen.
4. Sensibilisierung / Schulung der Mitarbeitenden:
Ihre Informationssicherheit ist nur so stark wie das schwächste Glied. Vor diesem Hintergrund ist die Aus- und Weiterbildung der Mitarbeitenden im Umgang mit Cyberrisiken zentral. Nur so kann das Risiko von menschlichem Fehlverhalten reduziert werden.
- Jedes Unternehmen muss sich mit Cyberrisiken befassen.
- Informationssicherheit ist nur so stark wie das schwächste Glied.
- Herausfordernde Rechtslage: Kombination von veralteten, neuen und sich überschneidenden bzw. nicht aufeinander abgestimmten Bestimmungen.
- Richtlinien ausarbeiten und Kontrollmechanismen dokumentieren.
- Alle Stakeholder einbeziehen – "Silobildung" und "Tunnelblick" verhindern.
- Vorbildfunktion der Führungspersonen und Schulung der Mitarbeitenden sind unerlässlich.