Die bekannt gewordenen Cyberangriffe auf Gesundheitsinstitutionen und die Gemeinde Rolle haben gezeigt, dass die Cyber-Bedrohungslage weiter steigt. Ganze Netzwerke und zugehörige Systeme wurden kompromittiert, Daten entwendet sowie Firmen und Gemeinden lahmgelegt und erpresst. Der Spitalbereich ist beispielsweise besonders exponiert. Die Systemumgebungen sind sehr heterogen, die sich im Betrieb befindlichen Systeme haben lange Lebensdauern und sind entsprechend begrenzt aktualisierbar aufgrund spezifischer Komponenten. Zudem kommt hinzu, dass im Health-Umfeld beispielhaft für viele andere Branchen sehr viele unterschiedlich sensibilisierte und ausgebildete Anspruchsgruppen mit am Netz angehängten Systemen umgehen: Pflege, Administration, Technik und Ärzteschaft. Oft kommen hohe Fluktuationsraten hinzu. Das trifft auch für viele andere Branchen wie Tourismus oder Hotellerie zu.
Zivilrechtliche Klagen gegen Verwaltungsräte sind möglich
Es stellt sich die Frage, wer schlussendlich für adäquate Vorsorge gegen das Eintreten derartiger Geschäftsrisiken verantwortlich ist. Das Gesetz ist hierzu klar: Gemäss Artikel 716a des Obligationenrechts hat der Verwaltungsrat einen Katalog an Aufgaben, die er weder an die Generalversammlung noch an die Geschäftsleitung übertragen kann, sie sind also unübertragbar und unentziehbar. Dies bedeutet, dass jeder Verwaltungsrat gesetzlich dazu verpflichtet ist, ein integrales Risikomanagement auszugestalten, es zu implementieren und zu überwachen.
Wenn also eine Firma aufgrund von Schwächen im Dispositiv gegen Cyberattacken in Schwierigkeiten gerät, haftet in letzter Konsequenz der Verwaltungsrat dafür, weil er seine Risikovorsorgepflicht nicht im notwendigen Ausmass wahrgenommen hat. Kommt es wegen dieser Attacken im äussersten Fall zum Firmenkonkurs, kann das rechtliche Folgen für die Organe haben – beispielsweise zivilrechtliche Klagen gegen Verwaltungsratsmitglieder.
Das Risiko „Mensch“ wird zur Firewall „Mensch“
Wie können Verwaltungsräte vorbeugen? Sie müssen sich periodisch mit Cyberrisiken befassen und die operative Firmenleitung auf dem Thema „challengen“. Der VR darf sich nicht durch Fachpräsentationen blenden lassen. Ist unverständlich, was die operative Leitung für Massnahmen zur Adressierung der Risiken erlässt, soll sich der Verwaltungsrat das Thema im Detail erklären oder durch eine externe Organisation aufzeigen lassen. Darüber hinaus ist wichtig, dass sich das Audit Comittee des Verwaltungsrats mehrmals pro Jahr mit dem Thema befasst. Der VR – und das veranlasst in der Regel das Audit Committe – muss ausreichende (Risk) Assessments für spezifische Cyberrisiken anordnen sowie die Wirksamkeit der vom Management eingesetzten Massnahmen und Systeme periodisch überprüfen (lassen). Zusätzlich sollte das oberste Firmenorgan Notfallszenarien sowie Prozesse und Abläufe im Falle eines Falles nicht nur anordnen und überwachen, sondern auch dafür sorgen, dass sie eingeübt werden und sich die Organisation kontinuierlich verbessert.
Am allerwichtigsten ist es, dass die grösste Schwachstelle in jeder Firma – die einzelnen Mitarbeiterinnen und Mitarbeiter – regelmässig und ausreichend sensibilisiert und geschult werden. So wird aus dem Risiko „Mensch“ die Firewall „Mensch“. Dafür sind die nötigen Ressourcen zu bewilligen. Diese personellen Vorkehrungen werden damit zur Chance, firmenweit Angriffe ins Leere laufen zu lassen oder als Organisation besser auf Cyberangriffe zu reagieren. Denn „Gouverner c’est prévoir.“
Über den Autor
Tobias Ellenberger ist COO bei Oneconsult AG und Vice Chairman der Oneconsult International AG. Als Spezialist für Incident Response und Incident Management ist er Vizepräsident der Public Privat Partnership Swiss Cyber Experts (SCE) und Mitglied der Cyber-Kommission von Digitalswitzerland.