Cybersecurity im Unternehmen

Quelle: iStock

Erhöhte Bedrohungslage

Ein Cyber-Angriff gilt als eine beabsichtigte unerlaubte Handlung einer Person oder einer Gruppierung im Cyber-Raum, um die Integrität, Vertraulichkeit oder Verfügbarkeit von Informationen und Daten zu beeinträchtigen, wobei dies je nach Art des Angriffs auch zu physischen Auswirkungen führen kann. Unter Cyber-Kriminalität werden dabei Straftaten verstanden, die mit Hilfe von Informations- und Kommunikationstechnologien (IKT) verübt werden oder sich Schwachstellen dieser Technologien zu Nutze machen. Bei der Cyber-Kriminalität steht das Motiv der Bereicherung im Vordergrund. Im Umfeld der Cyber-Kriminalität sind eigentliche Geschäftsfelder entstanden, in welchen viel Geld verdient werden kann. Dabei ist mit einer hohen Innovationsgeschwindigkeit und einer zunehmenden Spezialisierung der kriminellen Aktivitäten zu rechnen.

Angesichts dieser Ausgangslage wird mit Cybersecurity bzw. Cyber-Sicherheit jener Zustand innerhalb des Cyber-Raums beschrieben, bei dem die Kommunikation und der Datenaustausch zwischen Informations- und Kommunikationsinfrastrukturen wie ursprünglich beabsichtigt funktionieren. Die Resilienz eines Unternehmens oder Systems bemisst sich dabei an seiner Fähigkeit, Störungen zu widerstehen, Vorfälle rasch aufzuklären und die Funktionsfähigkeit möglichst zu erhalten bzw. zeitnah wiederherzustellen.

Compliance

Für privatrechtliche Unternehmen in der Schweiz gibt es in Zusammenhang mit Cyber-Sicherheit kein eigentliches Cyber-Gesetz. Vielmehr sind verschiedene Rechtsgrundlagen heranzuziehen, wobei i.d.R. das Datenschutzrecht, das Obligationenrecht (u.a. arbeitsrechtliche Pflichten, Organisation und Aufgaben im Unternehmen) sowie gegebenenfalls strafrechtliche Rahmenbedingungen im Vordergrund stehen dürften. Für regulierte Unternehmen sind darüber hinaus diverse aufsichtsrechtliche Vorgaben zu beachten. Zudem müssen börsenkotierte Unternehmen im Falle eines schweren Cyber-Vorfalls prüfen, ob eine potenziell kursrelevante Tatsache vorliegt, welche eine Meldepflicht nach anwendbaren Offenlegungsregeln auslöst. Schliesslich sind insbesondere in international operierenden Unternehmen auch Vorschriften ausländischer Rechtsordnungen einzuhalten. Neben den gesetzlichen Grundlagen bestehen diverse Standards zum Umgang mit IKT-Risiken, welche Empfehlungen enthalten. 

Umgang mit Cyberattacken

Krisen- und Kontinuitätsmanagement

Der Umgang mit Cyber-Vorfällen folgt i.d.R. den folgenden Schritten:

Identifikation der von einem Cyber-Angriff betroffenen Systeme, Daten und Geschäftsprozesse;
Information der als zuständig bezeichneten internen Stellen (Krisenstab, Cyber Incident Response Team, Kommunikation, HR, Recht etc.), welche die Koordination mit und den Einbezug von etwaigen externen Stellen verantworten;
Einstufung des Vorfalls nach rechtlichen (inkl. datenschutzrechtlichen und regulatorischen) Kriterien und gegebenenfalls Meldung an Behörden, betroffene Personen, Investoren und Vertragsparteien im In- und Ausland; sowie
Definition der möglichen geeigneten Massnahmen zur Wiederherstellung des ordentlichen Betriebs und Umsetzung dieser Massnahmen (Crisis Management, Business Continuity).

Lösegeldzahlungen

Bei Ransomware-Angriffen kommt eine bestimmte Familie von Schadsoftware (sog. Verschlüsselungstrojaner) zum Einsatz, die Dateien auf den IT-Systemen des betroffenen Unternehmens sowie auf verbundenen Netzlaufwerken verschlüsselt und somit bis zur Bezahlung eines Lösegelds für das betroffene Unternehmen unbrauchbar macht. Die Anwendungsbereiche erpresserischer Schadsoftware weiten sich ständig aus. Einfallstor für solche Verschlüsselungstrojaner sind insbesondere schlecht gesicherte IT-Systeme und E-Mails mit Anhängen. Verschlüsselungstrojaner können erheblichen Schaden verursachen, insbesondere dann, wenn auch Datensicherungen (Backups) davon betroffen sind.

Ein allgemeines Verbot von Lösegeldzahlungen besteht in der Schweiz (noch) nicht. Das Nationale Zentrum für Cybersicherheit (National Cyber Security Centre [NCSC]), das Kompetenzzentrum des Bundes für Cybersicherheit, rät aber von Lösegeldzahlungen ab. Es empfiehlt in jedem Fall die Polizei zu kontaktieren und Strafanzeige einzureichen. Die Zuständigkeit liegt bei der Kantonspolizei am Geschäftssitz des betroffenen Unternehmens. 

In der Praxis ist vor einer allfälligen Lösegeldzahlung eine umfassende Interessen- und Risikoabwägung vorzunehmen. Dabei sind auch das Interesse des Unternehmens und seiner Kunden sowie allfällige Pflichten gegenüber Aufsichtsbehörden zu beachten. Bei Bestehen einer entsprechenden Cyber-Versicherung sind auch deren Vorgaben zu berücksichtigen. 

Verantwortlichkeit

Grundsätzlich liegt die Hauptverantwortung für die Cybersicherheit beim Unternehmen selbst und nicht bei den handelnden Personen. Das gilt grundsätzlich für allfällige vertragliche oder ausservertragliche Ansprüche von Dritten ebenso wie für aufsichtsrechtliche Ansprachen.

Mitglieder des Verwaltungsrates und alle mit der Geschäftsleitung befassten Personen einer Aktiengesellschaft können sowohl gegenüber dem Unternehmen als auch gegenüber den einzelnen Aktionären und Gläubigern persönlich haftbar werden, wenn das Unternehmen aufgrund eines Cyber-Vorfalls einen Schaden erleidet, der auf eine vorsätzliche oder fahrlässige Verletzung ihrer Sorgfalts- und Treuepflichten zurückzuführen ist. Grundlage dafür ist insbesondere die unübertragbare und unentziehbare Verantwortung des Verwaltungsrats für die Cyber-Sicherheitsstrategie des Unternehmens einschliesslich des Aufbaus und der Finanzierung einer geeigneten Organisation und der notwendigen Weisungen, Prozesse und Kontrollen.

Mit dem Inkrafttreten des revDSG werden die Unternehmensorgane (Verwaltungsrat bzw. Geschäftsleitung) oder – falls die Datensicherheit intern delegiert wurde – der Datenschutzbeauftragte (z.B. Data Protection Officer [DPO]), IT-Verantwortliche (z.B. Chief Information Officer [CIO]) oder Compliance-Beauftragte bei vorsätzlicher Verletzung der Sorgfaltspflicht betreffend die gesetzlichen Mindestanforderungen an die Datensicherheit mit individuellen (ad personam) Bussen bis zu CHF 250 000.00 rechnen müssen (Art. 8 und Art. 61 lit. c revDSG). 

Daneben ist bei Cyber-Vorfällen das Risiko aufsichtsrechtlicher Massnahmen oder Sanktionen gegen das Unternehmen im Auge zu behalten, das jeweils stark von den Umständen des Einzelfalls abhängt. 

Soweit eine D&O- oder Cyber-Versicherung für die Haftung besteht, ist im Einzelfall zu klären, ob die jeweiligen Deckungsbedingungen erfüllt sind bzw. ob gegebenenfalls Leistungskürzungen drohen. I.d.R. sind ein branchenübliches Cyber-Risikomanagement auf modernem Stand und die Umsetzung entsprechender Schutzmassnahmen eine notwendige Deckungsvoraussetzung.

Fazit

In der Rechtspraxis zeigt sich, dass den Herausforderungen durch Cybersecurity am effektivsten durch einen gesamthaften Ansatz begegnet wird, der proaktiv Cybersecurity Compliance mit einem robusten Krisen- und Kontinuitätsmanagement im Fall eines Cyber-Angriffes verbindet.