Weiter zum Inhalt

Cyber Risks: Von der abstrakten Gefahr zur täglichen Realität

geschrieben_von

Lovey Wymann

,

categories

Verlust von Daten oder deren Missbrauch sind für Unternehmen nicht mehr nur abstrakte Gefahr, sondern immer mehr harte Realität: Finanzielle Verluste und Schaden an der Reputation sind direkte Folgen. Aber auch rechtliche Konsequenzen sind zu bedenken.

Cybersecurity2.jpg

An der Jahrestagung 2019 von «ICT – Recht und Praxis», welche vom Europa Institut durchgeführt und von Rolf auf der Maur und Peter Neuenschwander vom Swico Legal Circle geleitet wurde, standen strafrechtliche und zivilrechtliche Folgen im Fokus: Wer gesetzliche oder vertragliche Verpflichtungen zur Einhaltung von technischen und organisatorischen Massnahmen im Bereich IT Security verletzt, kann unter Umständen heute schon belangt werden, auch wenn es in der Schweiz aktuell noch keine umfassende gesetzliche Pflicht zur IT-Sicherheit gibt. Hier die wichtigsten Take-Aways der Tagung:

Ursache von Cyber-Risiken ist meist der Faktor Mensch

Cyber-Risiken können kriminelle und nicht-kriminelle Ursachen haben: Neben Hacker-Attacken oder physischen Angriffen führt menschliches oder technisches Versagen zu Schaden, aber auch Naturereignisse oder der Ausfall eines IT-Providers. Für etwa 95 Prozent davon ist der Faktor Mensch zuständig – nur 5 Prozent fallen auf den Bereich Technologie. Die grösste Gefährdung eines Cyber-Angriffs liegt in der Schweiz aktuell im Betriebsunterbruch, gefolgt von Reputationsschäden und Daten- und Softwareschaden.

Verantwortlich für Cyber-Risiken im Unternehmen ist in 64 Prozent der Unternehmen die IT-Abteilung. Hier müssten unbedingt Finanzabteilung, Risk Manager und Head Legal mit einbezogen werden, um abzuschätzen, wie gross allfällige Risiken sind und welche ggf. versichert werden sollten und könnten.

Quelle: Kessler

Was haben wir aus den bisher bekannten Data Breaches gelernt?

  • Jeder Cyber Incident ist ein Erstfall.
  • Das Thema Cyber Risk gehört auf die Agenda des Managements.
  • Unternehmen bzw. Manager müssen die IT Supply Chain kennen und Abhängigkeiten diversifizieren.
  • Es braucht regelmässige Schulungen für die Mitarbeiter-Awareness.
  • Unternehmen benötigen ein Incident Response Planning, mit Fokus auf die kritischen Geschäftsprozesse.
  • Das Krisenmanagement eines Unternehmens muss auch Cyber Incidents beinhalten – und ständig modifiziert und angepasst werden.

Visualisierung der grössten Data Breaches & Hacks

Massnahmen zur Verneidung der Haftung für Cyber-Risiken

Als Unternehmen müssen Sie ggf. nachweisen, dass Sie alle nötigen Vorkehrungen getroffen haben, um Schaden durch Cyber-Attacken oder Data Breaches abzuwenden. Dazu gehören insbesondere die folgenden Massnahmen:

  • Klare Identifizierung möglicher Risiken
  • Implementierung eines Risk Management Systems
  • Klar definierte Verantwortlichkeiten innerhalb des Unternehmens
  • Schulung und Wiederholung der Mitarbeitenden

Eine Berufshaftpflichtversicherung für die Unternehmensorgane sowie leitende Angestellte ist Pflicht, eine zusätzliche Cyber Risk Versicherung deckt Schäden, welche Sie ggf. einem Dritten verursachen, sowie Eigenschaden: Letzerer entsteht beispielsweise durch Kosten wegen forensischer Analysen, durch notwendige Rechtsberatung, Krisenkommunikation und mehr. Nicht gedeckt sind der wirtschaftliche Wert von Daten sowie Vertragsstrafen oder Personen- und Sachschäden.

Schadensbegrenzung durch Kommunikation

Als Unternehmen haben Sie eine grosse Vielfalt von Stakeholdern – und diese haben im Schadensfall unterschiedliche Interessen. Die kommunikative Herausforderung nach einer Cyber-Attacke ist entsprechend gross – und die klassischen Kommunikationskanäle wie Web, Mail, Telefonzentrale oder Fax sind unter Umständen nicht nutzbar. Wichtig sind hier klare Botschaften in der internen und externen Kommunikation, eine effiziente Medienarbeit und das Errichten einer Hotline. 

Wichtig: Die Abwehr beginnt weit vor der Attacke!

Schlüssel-Erfolgsfaktoren sind Prävention, die Förderung einer gesunden Fehlerkultur, eine klare Kommunikationspolitik, eine gute Vorbereitung möglicher Szenarien (mit entsprechenden Manuals), eingespielte Prozesse, ein funktionierendes Frühwarnsystem, agile Reaktionen und griffige Sofortmassnahmen sowie eine schnelle Information mittels Hotline, mit klarer Kommunikation auf vier Ebenen:

  • Betroffenheitsbotschaft: Zeigen Sie Mitgefühl, bleiben Sie präsent und ansprechbar. Falls ein klares Fehlverhalten vorliegt, bitten Sie um Entschuldigung.
  • Faktenbotschaft: Fakten mitteilen, soweit bekannt, situative Transparenz schaffen, zeitlicher Ablauf so detailliert wie möglich aufzeigen.
  • Aktionsbotschaft: Zeigen, welche Massnahmen eingeleitet wurden / werden; Information Melani / Polizei; Mitarbeiter- / Kunden-Information; externer technischer Support; Hotline.
  • Untersuchungsbotschaft: Untersuchung der Hintergründe der Krise ankündigen; Abklärungen einleiten.

 

Swico Cookie Policy
Swico nutzt eigene Cookies sowie Cookies von Dritten zu Marketing-, Profilerstellungs- und Analysezwecken sowie zur erleichterten Navigation auf der Website. Bitte lesen Sie hierzu unsere Datenschutzerklärung. Klicken Sie auf SCHLIESSEN, um Cookies zu akzeptieren.