Die andere Sicht: Ver­waltungs­räte stehen bei Cyber­attacken in der Verant­wortung

4. Oktober 2021, 11:45
  • die andere sicht
  • schweiz
  • kolumne
image

Die Verwaltungsräte von Unternehmen sind nicht nur haftbar bei Cyber­angriffen, sondern auch für die Prävention verantwortlich.

Die bekannt gewordenen Cyberangriffe auf Gesundheitsinstitutionen und die Gemeinde Rolle haben gezeigt, dass die Cyber-Bedrohungslage weiter steigt. Ganze Netzwerke und zugehörige Systeme wurden kompromittiert, Daten entwendet sowie Firmen und Gemeinden lahmgelegt und erpresst. Der Spitalbereich ist beispielsweise besonders exponiert. Die Systemumgebungen sind sehr heterogen, die sich im Betrieb befindlichen Systeme haben lange Lebensdauern und sind entsprechend begrenzt aktualisierbar aufgrund spezifischer Komponenten. Zudem kommt hinzu, dass im Health-Umfeld beispielhaft für viele andere Branchen sehr viele unterschiedlich sensibilisierte und ausgebildete Anspruchsgruppen mit am Netz angehängten Systemen umgehen: Pflege, Administration, Technik und Ärzteschaft. Oft kommen hohe Fluktuationsraten hinzu. Das trifft auch für viele andere Branchen wie Tourismus oder Hotellerie zu.

Zivilrechtliche Klagen gegen Verwaltungsräte sind möglich

Es stellt sich die Frage, wer schlussendlich für adäquate Vorsorge gegen das Eintreten derartiger Geschäftsrisiken verantwortlich ist. Das Gesetz ist hierzu klar: Gemäss Artikel 716a des Obligationenrechts hat der Verwaltungsrat einen Katalog an Aufgaben, die er weder an die Generalversammlung noch an die Geschäftsleitung übertragen kann, sie sind also unübertragbar und unentziehbar. Dies bedeutet, dass jeder Verwaltungsrat gesetzlich dazu verpflichtet ist, ein integrales Risikomanagement auszugestalten, es zu implementieren und zu überwachen.
Wenn also eine Firma aufgrund von Schwächen im Dispositiv gegen Cyberattacken in Schwierigkeiten gerät, haftet in letzter Konsequenz der Verwaltungsrat dafür, weil er seine Risikovorsorgepflicht nicht im notwendigen Ausmass wahrgenommen hat. Kommt es wegen dieser Attacken im äussersten Fall zum Firmenkonkurs, kann das rechtliche Folgen für die Organe haben – beispielsweise zivilrechtliche Klagen gegen Verwaltungsratsmitglieder.

Das Risiko "Mensch" wird zur Firewall "Mensch"

Wie können Verwaltungsräte vorbeugen? Sie müssen sich periodisch mit Cyberrisiken befassen und die operative Firmenleitung auf dem Thema "challengen". Der VR darf sich nicht durch Fachpräsentationen blenden lassen. Ist unverständlich, was die operative Leitung für Massnahmen zur Adressierung der Risiken erlässt, soll sich der Verwaltungsrat das Thema im Detail erklären oder durch eine externe Organisation aufzeigen lassen. Darüber hinaus ist wichtig, dass sich das Audit Comittee des Verwaltungsrats mehrmals pro Jahr mit dem Thema befasst. Der VR – und das veranlasst in der Regel das Audit Committe – muss ausreichende (Risk) Assessments für spezifische Cyberrisiken anordnen sowie die Wirksamkeit der vom Management eingesetzten Massnahmen und Systeme periodisch überprüfen (lassen). Zusätzlich sollte das oberste Firmenorgan Notfallszenarien sowie Prozesse und Abläufe im Falle eines Falles nicht nur anordnen und überwachen, sondern auch dafür sorgen, dass sie eingeübt werden und sich die Organisation kontinuierlich verbessert.
Am allerwichtigsten ist es, dass die grösste Schwachstelle in jeder Firma – die einzelnen Mitarbeiterinnen und Mitarbeiter – regelmässig und ausreichend sensibilisiert und geschult werden. So wird aus dem Risiko "Mensch" die Firewall "Mensch". Dafür sind die nötigen Ressourcen zu bewilligen. Diese personellen Vorkehrungen werden damit zur Chance, firmenweit Angriffe ins Leere laufen zu lassen oder als Organisation besser auf Cyberangriffe zu reagieren. Denn "Gouverner c'est prévoir."

Über den Autor

Tobias Ellenberger ist COO bei Oneconsult AG und Vice Chairman der Oneconsult International AG. Als Spezialist für Incident Response und Incident Management ist er Vizepräsident der Public Privat Partnership Swiss Cyber Experts (SCE) und Mitglied der Cyber-Kommission von Digitalswitzerland. 
In "Die andere Sicht" kommen operativ Verantwortliche aus der Schweizer ICT-Branche zu Wort. Sie verlassen ausgetretene Pfade und erschliessen neue Horizonte.

Loading

Mehr zum Thema

image

Panasonic ernennt neuen Verkaufsleiter für die Schweiz

Oliver Schefer wird ab 2023 die Position des Manager Sales CE für die Schweiz bekleiden. Er berichtet direkt an DACH-Country-Manager Philip Maurer.

publiziert am 29.11.2022
image

Prantl behauptet: Wachstum geht auch ohne neues Personal

Die Rahmenbedingungen für überdurchschnittliches Wachstum sind nahezu perfekt, aber viele Unternehmer behaupten, ohne zusätzliches Personal sei dies gar nicht möglich. Kolumnist Urs Prantl behauptet das Gegenteil.

publiziert am 29.11.2022
image

Innosuisse baut eigenes IT-Sicherheitszentrum auf

Die Schweizerische Agentur für Innovationsförderung will ihre Hauptanwendungen vom BIT lösen und in die Cloud auslagern. In einer Ausschreibung werden dafür 2 externe Dienstleister gesucht.

publiziert am 29.11.2022
image

Parlament fordert digitale Rezepte

Die beiden Kammern haben eine Motion angenommen, in der nach einer medienbruchfreien Übermittlung von Rezepten verlangt wird. Der Bundesrat ist dagegen.

publiziert am 29.11.2022 1