Ein angemessenes Cyber-Risikomanagement etablieren
In unserem Blog-Artikel haben wir verschiedene Vorgehensweisen mit Beispielen dargelegt, welche illustrieren, wie Firmen und öffentliche Institutionen durch Cybercrime massiv geschädigt wurden. Firmen müssen nach einem erfolgreichen Angriff Konkurs anmelden, Spitäler zahlen Lösegeld für die Herausgabe von Patientendossiers und öffentliche Gelder werden per Bankanweisung an kriminelle Organisationen überwiesen und können nicht mehr rekuperiert werden. Ein wesentlicher Business Impact dieser Risiken lässt sich angesichts der Tragweite und Häufigkeit nicht mehr bestreiten.
Was ist angemessen? Die Haftung von Leitungsorganen
Die Etablierung eines angemessenen Cyber-Risikomanagements zur Abwehr ist dringlich. In der Schweiz besteht im Verwaltungsrat einer Unternehmnung die Pflicht zu einem unternehmensweiten, integralen Risikomanagements. Bei der Delegation von Organaufgaben haftet der Verwaltungsrat für den vom Dritten verursachten Schaden, wenn er nicht nachweist, dass er bei dessen Auswahl, Unterrichtung und Überwachung die nach den Umständen gebotene Sorgfalt angewendet hat. Die Festlegung der Sicherheitspolitik und die Beurteilung der wichtigsten Risiken bleibt dabei eine unübertragbare Pflicht des Verwaltungsrats, welche nicht innerhalb des Unternehmens delegiert werden darf. Entsprechend sind die Mitglieder des verantwortlichen Organs persönlich haftbar für ihr Handeln.
“Das Bundesgericht anerkennt mit der herrschenden Lehre, dass die Gerichte sich bei der nachträglichen Beurteilung von Geschäftsentscheiden Zurückhaltung aufzuerlegen haben.” (zitiert aus Urteil 4A_74/2012 des Schweizerischen Bundesgerichts). Gemäss der sogenannten Business Judgement Rule werden in der Schweiz Entscheide, die in einem einwandfreien, auf einer angemessenen Informationsbasis beruhenden und von Interessenkonflikten freien Entscheidungsprozess zustande gekommen sind und sich in der Folge als Fehlentscheid herausstellen, nicht als Pflichtverletzung angesehen.
Ein Risikomanagement ist meistens etabliert und wird auch professionell gehandhabt. Doch während dem zu juristischen und ökonomischen Fragen meistens Know-how im Verwaltungsrat vertreten ist und so Risiken in der Compliance oder im Markt erkannt werden, wird die Informationssicherheit oft noch unzureichend berücksichtigt. Mangels Awareness werden Risiken oft schlicht ignoriert. Oder diese werden mangels Kompetenz ausserhalb des integralen Risikomanagements behandelt und weitgehend als Aufgabe der internen IT angesehen. Und wo Entscheide getroffen werden, ist mangels Fachkompetenz oft fraglich, ob vorgängig eine hinreichende Informationsgrundlage geschaffen wurde.
Anforderungen an den Entscheidprozess
Konkret bestehen also folgende Anforderungen an einen seriösen Entscheidprozess:
- Die relevanten Risiken sind konkret zu identifizieren.
- Die identifizierten Risiken sind zu bewerten (Eintrittswahrscheinlichkeit und Schadensausmass).
- Handlungsoptionen sind zu entwickeln und bezüglich ihrer Auswirkungen (Vor- und Nachteile) zu bewerten.
- Der Entscheid über die Umsetzung der Handlungsoptionen ist angemessen zu treffen.
- Die Umsetzung der Entscheide ist zu kontrollieren.
- Die Restrisiken nach der Umsetzung der Entscheide sind zu bewerten und entweder zu akzeptieren oder durch weitere Massnahmen zu dämpfen.
- In zweckmässigen Abständen ist eine Neubeurteilung auf einer aktualisierten, hinreichenden Informationsbasis vorzunehmen.
Die einzelnen Schritte sollten unbedingt zwecks Nachvollziehbarkeit zweckmässig dokumentiert werden.