Im Fokus: Cybersicherheit

Cyberrisiken sind Chefsache!


Urs Küderli
Partner Cybersecurity and Privacy, PwC Schweiz

Lorenz Neher
Head Security Architecture and Operation, PwC Schweiz

Cybersicherheit ist weder ein Produkt noch ein Zustand, sondern ein fortwährender Prozess. Um einen solchen in einem Unternehmen zu etablieren, braucht es einen Paradigmenwechsel im Verwaltungsrat: Cyberrisiken sind heute ein wesentlicher Bestandteil der Geschäftsrisiken und lassen sich nicht an die IT alleine delegieren.

Dies erfordert ein holistisches Verantwortungsbewusstsein für Gefahren, die man potenziell weder versteht noch kommen sieht. Dafür empfiehlt sich das Vermittlergeschick eines Chief Information Security Officers, kurz CISO. Ein solcher übersetzt technische Cyberrisiken und Bedrohungen in die Sprache des Business, also Geld, Geschäftsauswirkung und Reputation.


Cybersicherheit gehört zu den unternehmerischen Schlüsselthemen. Gemäss der PwC-Studie «Global Economic Crime and Fraud Survey 2018» wurden 44 Prozent der befragten Schweizer Unternehmen bereits Opfer eines Delikts aus dem Cyberspace. Weil in der Schweiz aber keine Meldepflicht besteht, ist die Dunkelziffer noch um einiges höher. Ein solcher Vorfall kann enorme direkte und indirekte Kosten verursachen – und eine Firma existenziell gefährden.

Aus vielen Gründen strategisch relevant

Sicherheitsrisiken in der IT und bei elektronischen Daten können ein geschäftskritisches Ausmass annehmen. Darum gehört Cybersicherheit ohne Wenn und Aber auf die Traktandenliste von Verwaltungsrat und Geschäftsleitung. Das aus verschiedenen Gründen:

  • Schweizerisches Obligationenrecht (OR): Die Verantwortung des Verwaltungsrats als Aufsichts- und Kontrollorgan ist in der Schweiz im OR vorgegeben. Dieses verlangt als unübertragbare und unentziehbare Aufgaben die Oberleitung des Unternehmens, die Bestimmung einer geeigneten Organisation und die Ernennung der Geschäftsführung.
  • Swiss Code of Best Practice for Corporate Governance: Der Leitfaden von economiesuisse gibt dem Verwaltungsrat Empfehlungen für die Ausgestaltung seiner Corporate Governance. Darunter versteht man alle auf das nachhaltige Unternehmensinteresse ausgerichteten Grundsätze, die Transparenz und ein ausgewogenes Verhältnis von Führung und Kontrolle anstreben.
  • Europäische Datenschutz-Grundverordnung (EU-DSGVO): Diese frisch revidierte Datenschutzbestimmung sieht bei Verletzung eine Meldepflicht vor und kann Verstösse mit Bussen von bis zu 20 Millionen Euro oder 4 Prozent des globalen Jahresumsatzes sanktionieren.
  • Schweizer Datenschutzgesetz (DSG): Die Revision des DSG wurde etappiert und ist noch nicht abgeschlossen. Wir gehen davon aus, dass das neue Gesetz die meisten Bestimmungen der EU-DSGVO übernehmen wird.
  • Branchenspezifische Regulation: Die meisten Branchen werden durch zusätzliche Bestimmungen reguliert, etwa die Pharmabranche, das Gesundheitswesen, die Finanzwelt oder Assekuranz. Auch diese Rahmenbedingungen zielen auf den angemessenen Schutz von Unternehmensdaten und die IT-Sicherheit des Unternehmens ab. Ausserdem gibt es für verschiedene Berufsgruppen ein Berufsgeheimnis (Schweizerisches Strafgesetzbuch StGB, Art. 321), etwa für Ärzte, Rechtsanwälte oder Apotheker. Das verlangt Verschwiegenheit für Geheimnisse, die ihnen von Kunden anvertraut wurden, und umfasst die Fachkräfte sowie deren Hilfspersonen.
  • Finanzielle Notwendigkeit: Direkte und indirekte finanzielle Folgen von Cyberangriffen können ein Unternehmen schwer treffen – von gestohlenen Betriebsgeheimnissen und Kundendaten über hohe Bussen bis hin zum Lizenzverlust oder Bankrott. Prominente Beispiele auf nationalem und internationalem Parkett sind aus den Medien längst bekannt.
  • Reputationsschutz: Ein Imageschaden aufgrund eines Cyberangriffs kann das Unternehmen nachhaltig schädigen. Unerfüllte Erwartungen der Stakeholder einerseits und ein gebrochenes Vertrauen der Kunden andererseits stellen eine existenzbedrohende Gefahr für das Unternehmen dar.

Regulierte Branchen wie beispielsweise Banken oder Versicherungen erfüllen verschärfte Compliance-Anforderungen und behandeln die Sicherheit von IT und Daten auf strategischer Ebene. Eine Retailbank ohne funktionierendes und sicheres E-Banking zum Beispiel müsste schliessen. Die produzierende Industrie oder das Gesundheitswesen hingegen hinken bei der Relevanz der Cybersicherheit weit hinterher.

Zudem ist die Abhängigkeit der Unternehmen von IT und elektronischen Daten schleichend gestiegen, ohne dass ihr Bewusstsein dafür mitgewachsen ist. Cybersicherheit ist in vielen Unternehmen nach wie vor ungenügend auf Verwaltungsrats- und auf Geschäftsleitungsebene, und in der IT-Abteilung ohne Sichtbarkeit über die reinen Kosten nach oben angesiedelt.

Anspruch einer neuen Dimension

Cybersicherheit stellt die Unternehmensführung vor neuartige Herausforderungen. Erstens birgt sie eine ungeheure Komplexität, da der technologische Wandel rasant und höchst vernetzt vonstattengeht. Zweitens sind Cyberrisiken nicht mit konventionellen Denk- und Handlungsweisen zu erfassen. Sie stellen eine Bedrohung dar, die über die traditionellen strategischen Planungsinstrumente weder voraussehbar ist noch sich nach bekannten Regeln entfaltet.

Stand früher bei einem Defekt an einer Produktionsanlage alles still, so läuft heute scheinbar alles normal weiter, auch wenn sich gerade ein Angreifer auf den Systemen breit macht, Identitäten gehackt oder das Firmennetzwerk nach wertvollen Daten durchsucht werden. Drittens fehlt dem Verwaltungsrat oft das nötige Wissen, um das volle Ausmass von Cyberrisiken zu verstehen. Und viertens orientieren sich die meisten IT-Security-Budgets an den stets sinkenden IT-Kosten und nicht am steigenden Wert der elektronischen Daten, die es zu schützen gilt.

Virtueller Brückenbauer

Verwaltungsrat und C-Level können sich also nicht mehr auf ihre Erfahrung im Umgang mit Risiken, sein Gespür für Krisen oder sein Branchenwissen verlassen. Deshalb brauchen sie einen vertrauenswürdigen Intermediator, der die unterschiedlichen Blickwinkel von IT, Cybersecurity und Business versteht und zwischen IT, Security und Business vermittelt. Das ist üblicherweise die Aufgabe eines CISO. Ein solcher erscheint regelmässig vor dem Verwaltungsrat und informiert über sicherheitsrelevante Themen sowie die aktuelle Lage. Er muss auf oberster Ebene die entsprechenden Massnahmen und Prioritäten einfordern – zum Schutz der Daten, nicht der IT-Hardware und -Software.

Verantwortung mit holistischer Perspektive

Der Verwaltungsrat kann sich seiner strategischen Verantwortung für eine umfassende Sicherheit des Unternehmens nicht entziehen oder diese wegdelegieren. Also bleibt ihm nur eine Alternative: weitsichtig agieren. Diese Vorgehensweise hat unterschiedliche Facetten:

  • Unternehmensweites Risikomanagement: In die regelmässige Risikobetrachtung des Verwaltungsrats gehören nicht nur Markt- und Finanzrisiken, sondern auch Bedrohungen aus dem Cyberspace. Diese gilt es in geschäftsrelevante und damit finanzielle Auswirkungen zu übersetzen. Dazu ist eine erhöhte Aufmerksamkeit für Cyberrisikofragen nötig: Was geschieht, wenn etwa R&D-Daten gehackt werden und ein anderes Unternehmen mit der Innovation schneller auf den Markt kommt? Was, wenn plötzlich Kundendaten verschwinden?
  • Kenntnis der Compliance-Anforderungen: Der Verwaltungsrat muss alle für das Unternehmen anwendbaren Gesetze und branchenspezifischen Regularien kennen. Nur so wird ihm gewahr, welche Mindestanforderungen einzuhalten sind und aus welchen Gesetzesverstössen welche Art von Risiken mit welchen Folgen hervorgehen kann. Aufgrund dieser Klarheit lässt sich ein realistisches Bild der Bedrohungslandschaft zeichnen und ableiten, wo interne Regeln zu erlassen sind, damit die regulatorischen Vorgaben im Unternehmen eingehalten werden.
  • Sicherheitsstrategie: Ein Unternehmen braucht einen einheitlichen und auf alle wesentlichen Risiken auslegbaren Ansatz, wie es mit Sicherheitsrisiken umgeht. Dieser wird in einer klassischen Top-down-Methodik aus der Strategie abgeleitet und in ein Kontrollsystem überführt. Dazu wird in einer Sicherheitsstrategie festgelegt, wie Cyberrisiken identifiziert und gemäss dem Risikoappetit des VR begrenzt werden. In der Sicherheitsstrategie ist auch die Cybersicherheit eingebettet und legt die Rollen und Zuständigkeiten fest sowie den Ansatz zum proaktiven und reaktiven Schutz der IT und der elektronischen Daten. Cybersecurity ist nie Selbstzweck, sondern muss das Geschäft als Ganzes schützen, unterstützen und neue Geschäftsfelder begünstigen.
  • Sicherheitsarchitektur: Das interne Kontrollsystem (IKS) enthält technische und organisatorische Regeln mit dem Ziel, Richtlinien einzuhalten und Schäden durch das eigene Personal sowie externe Angreifer abzuwenden. Qualitätsmanagementsysteme wiederum stellen die Qualität von Prozessen und Leistungen sicher, etwa im Gesundheitswesen. So existieren etliche Rahmenwerke, die den Umgang mit geschäftsrelevanten Risiken definieren. Der Verwaltungsrat muss dafür sorgen, dass diese Regeln und Kontrollmechanismen sich ergänzen, harmonisiert sind und in einem einheitlichen Framework um die Dimension der Cybersicherheit ergänzt werden.

Gefragt und gefordert

Wer sich als Verwaltungsratsgremium noch nicht ausreichend mit dem Thema Cybersicherheit auseinandergesetzt hat, sollte bald beginnen. Hier lohnt sich ein systematisches Vorgehen:

1. Bewusst machen

Früher galt die landläufige Meinung, man könne sich mit Mauern gegen Gefahren schützen. In der Cyberwelt sind das Firewalls, Verschlüsselungen und Perimeter Security. Heute weiss man, dass diese Vorkehrungen alleine nicht mehr genügen. Ein Verwaltungsrat muss akzeptieren, dass es Angriffe aus dem Cyberspace geben kann, nicht nur beim Mitbewerber. Also gilt es, den Risikoappetit zu definieren und vorzusehen, wie man mögliche Angriffe erkennt, ihnen begegnet und potenzielle Schäden behebt. Dazu muss zuerst Transparenz geschaffen werden, welche elektronischen Daten im Unternehmen einen erhöhten Schutzbedarf haben und was die Auswirkung wäre, wenn diese gestohlen werden, verfälscht werden oder nicht mehr zugreifbar sind.

2. Rahmenbedingungen klären

Der Verwaltungsrat ist gut beraten, im Gremium die folgenden Fragen zu stellen und der Geschäftsleitung entsprechende Massnahmen in Auftrag zu geben:

  • Welche Art von Daten haben wir und was ist deren Schutzbedarf?
  • Welche gesetzlichen und regulatorischen Anforderungen gelten dafür?
  • Welche Risiken existieren und welche Eintretenswahrscheinlichkeiten haben diese?
  • Wie beugen wir diesen Risiken vor und wie schützen wir uns davor?
  • Wie erkennen wir erfolgte Cyberangriffe schnell?
  • Wie beheben wir allfällige Schäden zielgerichtet und vollständig?
3. Integration in die Leitungs- und Kontrollfunktionen.

Die nachfolgende Checkliste hilft dem Verwaltungsrat zu klären, ob Cybersecurity ausreichend im internen Kontrollsystem integriert ist.

1. IT Security und Data Governance

  • Die wesentlichen Rollen wie CISO, Compliance Officer, Data Owner, Enterprise Risk Manager sind definiert.
  • Prozessbeschreibungen und Richtlinien für IT-Benutzer enthalten Anweisungen, um Daten angemessen zu schützen.
  • Ein Sicherheitskonzept mit organisatorischen und technischen Massnahmen existiert.
  • Die Wirksamkeit der technischen und organisatorischen Kontrollen wird regelmässig überprüft.

2. Sensitive elektronische Daten

  • Elektronische Daten sind kategorisiert (z.B. Personendaten, Unternehmensdaten u.a.) und klassifiziert in Bezug auf deren Schutzbedarf (Vertraulichkeit, Integrität, Verfügbarkeit).
  • Ein Mindeststandard für den Schutz elektronischer Daten ist etabliert.

3. Wesentliche Cyberrisiken

  • Bedrohungsszenarien (ca. 10 – 15) für elektronische Daten und IT-Infrastruktur liegen vor.
  • Cyberrisiken sind identifiziert, bewertet und werden begrenzt.
  • Eine Schnittstelle ins Enterprise-Risk-Management ist etabliert.

4. Schutzmassnahmen

  • Sicherheitsrichtlinien sind eingeführt und werden überwacht (Internet Use Policy, email use policy, etc.).
  • Technische Schutzmassnahmen sind definiert, so dass identifizierte Risiken auf ein akzeptables Mass begrenzt werden und elektronische Daten regelkonform bearbeitet werden.
  • Eine IT-Security-Organisation zum Betrieb und zur Überwachung der technischen Kontrollen oder zur Überwachung eines beauftragten Providers ist aufgebaut.
  • Es wurde festgelegt, welche Kompetenzen intern aufgebaut werden und welche Security Services eingekauft werden.

5. Unberechtigte Datenabflüsse und Cyberangriffe

  • Angriffe und unberechtigte Datenabflüsse werden erkannt und zeitnah darauf reagiert.
  • Auf Sicherheitsereignisse wird reagiert und Krisen können bewältigt werden.
  • Geschäftskontinuitätsplanung und Resilienz gegen Cyberangriffe ist aufgebaut.

6. Reporting

  • Der Verwaltungsrat wird regelmässig über Cybersecurity-Themen informiert.

Externe Revision – Achtung vor falscher Sicherheit

Unternehmen und Anspruchsgruppen gehen immer wieder davon aus, dass eine Revision ohne Beanstandungen mit 100-prozentiger Sicherheit gleichzusetzen sei. Allerdings äussert sich der Abschlussprüfer nur zur Richtigkeit, Vollständigkeit und Rechtskonformität des Abschlusses, nicht zum erreichten Sicherheitsniveau oder der Resilienz des Unternehmens gegen Cyberbedrohungen. Der Finanzbericht alleine kann also nicht als Grundlage für Cybersicherheitsentscheide ausreichen. Auch stellt sich die Frage ob das Unternehmen in der Jahresrechnung Rückstellungen ausweist, welche die Cyberrisken in ausreichendem Masse berücksichtigen?

Schlussfolgerung

Die zunehmende Vernetzung und Durchdringung praktisch aller Bereiche eines Unternehmens mit Informatik eröffnet neue Potenziale, gleichzeitig entstehen aber durch die zunehmende Digitalisierung auch neue Gefährdungslagen, auf die schnell und konsequent reagiert werden muss. 

Die besondere Gefahr gezielter Cyber-Angriffe auf die IT-Landschaft verlangt eine Erweiterung des Sicherheitsdenken und neue Massnahmen und schliesst Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein.

Sicherheit ist Chefsache – Die Transformation und Rolle von Cybersecurity muss vom Management eingeleitet und unterstützt werden und somit ein integraler Bestandteil von Strategie und Entscheidungen werden.

Kontaktieren Sie uns

Urs Küderli

Urs Küderli

Partner and Leader Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 42 21

Lorenz Neher

Lorenz Neher

Head Security Architecture and Operation, PwC Switzerland

Tel.: +41 58 792 47 85