Die Zahl der Cyberattacken steigt und steigt. Längst betreffen diese nicht mehr nur Grossunternehmen oder kritische Infrastrukturen, sondern auch KMU. Allein in der letzten Maiwoche dieses Jahres kam es gemäss dem Nationalen Zentrum für Cybersicherheit NCSC schweizweit zu 661 Cybervorfällen. Daraus folgt: Cyberprävention darf kein Bulletpoint auf der unternehmensinternen To-Do-Liste bleiben, sondern muss ernst genommen und vor allem umgesetzt werden. Die Devise in jeder Organisation sollte lauten: statt reaktiv zu agieren, handeln wir proaktiv.
Dieser Artikel ist Teil der Market Opinion «Cyber-Angriffen mit Prävention begegnen», die in Zusammenarbeit mit der Baloise realisiert wurde.
«Eine rechtliche Pflicht, konkrete Massnahmen zum Schutz vor Cyberattacken zu ergreifen, existiert für Unternehmen nicht.»
Chefsache Cyberrisiken
Cyberrisiken sind Chefsache und sowohl die Geschäftsleitung als auch der Verwaltungsrat müssen sich dem Thema annehmen und das Bewusstsein dafür in der Organisation verankern. Dies aber nicht nur als Konzept in Strategiepapieren, sondern im gelebten Unternehmensalltag. «Cyberrisiken und angemessene Schutzmassnahmen gehören auf die Agenda des Verwaltungsrates und im Rahmen des Riskmanagements sollten diese sorgfältig geprüft werden», betont Martin Eckert, Partner bei der Anwaltskanzlei MME Legal in Zürich.
Angemessenheit objektivieren
Was in Sachen Cyberprävention angemessen ist und was nicht, ist allerdings nirgends scharf definiert. Pierre Mitschi, bei der Baloise verantwortlich für Cyberversicherungen für Unternehmenskunden, umschreibt es als «Grundhygiene», die jedes Unternehmen machen sollte. «So wie in Gebäuden Feuerlöscher installiert werden, sollten Unternehmen regelmässige Datensicherungen vornehmen und die Mitarbeitenden grundsätzlich für das Thema sensiblisieren.» Rechtsspezialist Martin Eckert empfiehlt eine externe Prüfung des Sicherheitskonzeptes, um das Thema Angemessenheit zu objektivieren und die Umsetzung der Massnahmen zu überwachen.
Keine rechtliche Verpflichtung zu Prävention
Eine rechtliche Pflicht, konkrete Massnahmen zum Schutz vor Cyberattacken zu ergreifen, existiert für Unternehmen – im Gegensatz zu kritischen Infrastrukturen – bis dato allerdings nicht. «Wo die Grenze zur Grobfahrlässigkeit liegt, ist von der Rechtsprechung noch nicht definiert worden», betont Martin Eckert. «Massgebend werden die Umstände des Einzelfalls sein.»
Bis dahin ist es Sache der Versicherer, die Pflichten und Obliegenheiten in den Policen aufzulisten, genauso wie das Formulieren allfälliger Ausschlüsse. Von Versicherten darf erwartet werden, dass sie sich zur Sorgfalt verpflichtet fühlen und nach den Umständen gebotene Massnahmen zum Schutz der versicherten Gegenstände und gegen die versicherten Gefahren treffen. Bei Unternehmenskunden der Baloise sind nebst den gängigen Massnahmen wie Virenschutz mit Update-Funktion, Firewall, aktuelle und rücklesbare Backups sowie regelmässige Mitarbeiterschulungen, die Firmengrösse und das zu schützende Gut entscheidend. «So kann zum Beispiel definiert werden, wer welche Systemrechte hat, ob eine Zwei-Faktoren-Authentifizierung für den Fernzugriff reicht, oder welcher Partner im Bereich Cyber Security und Incident Response zugezogen werden soll», erklärt Pierre Mitschi.
Das Fehlen einer rechtlichen Regelung ist gemäss Martin Eckert damit zu erklären, dass sich die Bedrohungslage und das Vorgehen der Angreifer ständig ändert. «Die Gesetzgebung wäre immer im Hintertreffen – einen hundertprozentigen Schutz gibt es nicht.»
Ein solcher existiert allerdings auch bei anderen Risiken nie und darauf basiert letztlich auch das Versicherungsgeschäft. «Auch ein Einbruch kann immer geschehen – wenn aber alle Fenster und Türen geschlossen bzw. abgeschlossen sind, ist das Leben der Diebe nicht ganz so einfach, wie wenn Sie diese offen lassen», konstatiert Pierre Mitschi.