Kategorien
Digital Consultancy & Business (DE) Featured-Post-Transformation-DE

Angemessenes Cyber-Risikomanagement Etablieren: Eine Strategische und Rechtliche Verantwortung

Auteur n°4 – Mariami

Von Mariami Minadze

Project Manager

Ansichten: 2

Zusammenfassung – Die beschleunigte Digitalisierung und die Zunahme von Cyberangriffen verpflichten den Schweizer Verwaltungsrat, Cyberrisiken ebenso wie Finanzrisiken zu managen, um Sanktionen und persönliche Haftung zu vermeiden. Governance, Due Diligence und Nachvollziehbarkeit durch Protokolle, Kennzahlen und die Business Judgment Rule sichern fundierte Entscheidungen und eine effektive Aufsicht. Lösung: Sicherheitsrichtlinie auf höchster Ebene definieren, jeden Schritt dokumentieren und einen kontinuierlichen Zyklus aus Bewertung und Risikominderung mit internen und externen Experten etablieren.

In einem Umfeld, in dem Cyberangriffe zunehmen und die Digitalisierung an Fahrt gewinnt, wird das Cyber-Risikomanagement zu einer gesetzlichen Pflicht und zu einem unverzichtbaren Governance-Thema.

In der Schweiz muss der Verwaltungsrat die Informationssicherheit in sein Risikomanagement einbinden, gleichwertig zu finanziellen oder operativen Risiken. Jede Nachlässigkeit kann die persönliche Haftung der Mitglieder begründen, selbst im Falle einer Delegation. Daher ist es essenziell, einen dokumentierten, nachvollziehbaren und regelmäßig überprüften Prozess zu etablieren, um Sanktionen zu vermeiden und das Vertrauen der Stakeholder zu erhalten.

Treuhänderische Verantwortung und Pflichten des Verwaltungsrats

Der Verwaltungsrat trägt die rechtliche Verantwortung für die Festlegung der Sicherheitsstrategie und die Bewertung kritischer Risiken. Auch wenn er die Umsetzung delegiert, muss er eine sorgfältige Auswahl, kontinuierliche Information und effektive Überwachung nachweisen.

Gesetzlicher Auftrag und regulatorischer Rahmen

Gemäß dem Schweizer Obligationenrecht (Art. 716a) muss der Verwaltungsrat eine geeignete Organisation sicherstellen, um Risiken – einschließlich solcher der Informationssicherheit – zu identifizieren, zu managen und zu überwachen. Er sollte sich dabei am Konzept der transformationalen Führung orientieren, um die Governance zu steuern.

Die Sicherheitsrichtlinie ist auf der obersten Unternehmensebene zu definieren und vom Verwaltungsrat zu genehmigen. Sie legt Verantwortlichkeiten, Incident-Management-Verfahren und Reporting-Prozesse an die Governance-Instanzen fest.

Bei Verstößen können die Verwaltungsratsmitglieder für Schäden am Unternehmen oder für von Aufsichtsbehörden verhängte Sanktionen haftbar gemacht werden, was die Bedeutung der Einhaltung der rechtlichen Anforderungen in der Schweiz unterstreicht.

Nicht-Delegation und Sorgfaltspflicht

Der Verwaltungsrat kann die Umsetzung der Cyberstrategie an die Geschäftsleitung oder Dritte übertragen, doch bleibt die primäre Verantwortung unantastbar. Um sich zu entlasten, muss er nachweisen, dass er kompetente Expertinnen und Experten ausgewählt, regelmäßige Informationen erhalten und eine wirksame Überwachung durchgeführt hat.

Die Dokumentation dieser Schritte ist entscheidend: Protokolle, Prüfungsberichte und Dashboards zur Nachverfolgung dienen als Beleg für eine angemessene Sorgfalt. Ohne diese Nachweise bleibt der Verwaltungsrat im Falle eines gravierenden Vorfalls exponiert.

Die Due Diligence umfasst zudem die Bewertung der Kompetenzen der Dienstleister und die Einführung von KPIs, mit denen die Wirksamkeit des Sicherheitsmanagements gemessen wird.

Beispiel für Governance unter Prüfungsdruck

In einem mittelgroßen Schweizer Rechnungsdienstleistungsunternehmen hatte der Verwaltungsrat einen externen Anbieter mit der Erstellung seines Sicherheitsplans beauftragt. Bei einem schweren Einbruch stellte sich heraus, dass der Verwaltungsrat nie die vierteljährlichen Berichte des Anbieters validiert oder kontrolliert hatte. Dieses Beispiel zeigt, dass eine Delegation ohne dokumentierte Überwachung die persönliche Haftung der Mitglieder trotz Spezialisteneinsatzes nach sich zieht.

Business Judgement Rule und Nachvollziehbarkeit des Entscheidungsprozesses

Die Business Judgement Rule schützt strategische Entscheidungen, wenn sie auf einem rigorosen, fundierten und konfliktfreien Prozess basieren. Die Nachverfolgbarkeit und Dokumentation jeder Entscheidungsstufe mindert das Risiko von Rechtsverfolgungen im Falle eines Scheiterns.

Prinzip und Anwendungsbedingungen

Die Schweizer Business Judgement Rule erkennt an, dass ein Verwaltungsrat Fehlentscheidungen treffen kann, ohne bestraft zu werden, sofern er in gutem Glauben, im Interesse der Gesellschaft und auf Basis ausreichender Informationen gehandelt hat. Das Fehlen von Interessenkonflikten ist eine zwingende Voraussetzung.

Um von diesem Schutz zu profitieren, muss der Verwaltungsrat nachweisen, dass er Expertisen eingeholt, mehrere Szenarien analysiert und die zugrunde liegenden Kriterien dokumentiert hat. Diese Sorgfalt schützt die Mitglieder bei Prüfungen oder Rechtsstreitigkeiten.

Dieses Prinzip ermutigt Governance-Institutionen, ihre Entscheidungen formal und transparent zu strukturieren, beispielsweise durch die Einführung agiler Praktiken, um jeden strategischen Entscheidungsprozess nachvollziehbar zu begründen.

Dokumentation als juristischer Schutzschild

Detaillierte Protokolle, Risikoanalysen, Gutachten von Rechts- und Technikexperten sowie Workshop-Berichte bilden eine umfassende Dokumentation. Diese Unterlagen sind Grundlage für den Nachweis eines unparteiischen und methodischen Prozesses.

Fehlen schriftliche Aufzeichnungen, können Gerichte annehmen, der Verwaltungsrat habe seine Sorgfaltspflicht verletzt oder die Bedeutung der Risiken nicht erkannt. Die Beweislast liegt dann bei den Mitgliedern.

Die Digitalisierung dieser Unterlagen über ein sicheres Managementsystem erleichtert die Recherche und gewährleistet die Integrität der Daten bei Audits.

Beispiel eines geschützten Prozesses

Eine Schweizer Finanzinstitution hat einen jährlichen Cyber-Risikoreview-Zyklus eingeführt, der einen interdisziplinären Ausschuss und externe Audits umfasst. Jede Sitzung wird in einem zeitgestempelten und digital signierten Bericht festgehalten. Dieses Beispiel zeigt, dass eine lückenlose Nachvollziehbarkeit die Position des Verwaltungsrats auch nach einem Sicherheitsvorfall stützt.

Edana: Strategischer Digitalpartner in der Schweiz

Wir begleiten Unternehmen und Organisationen bei ihrer digitalen Transformation.

Sprechen wir über Sie

Der blinde Fleck der Informationssicherheit in der Governance

Informationssicherheit wird im Verwaltungsrat häufig unterrepräsentiert und als rein technisches Thema wahrgenommen. Dieses Kompetenzdefizit führt zu Fehlentscheidungen und unvorhergesehenen Risiken.

Unterschätzung der Cyberrisiken durch strategische Gremien

In vielen Organisationen ist Cybersecurity auf die IT-Abteilung beschränkt und wird nicht auf höchster Ebene diskutiert. Der Verwaltungsrat trifft Entscheidungen, ohne Angriffszenarien zu kennen oder potenzielle Auswirkungen auf die Geschäftskontinuität richtig einzuschätzen.

Dieses Governance-Defizit führt zu einer fragmentierten Handhabung, bei der technische Prioritäten von Geschäfts- und Rechtsbelangen abweichen. Das Fehlen einer ganzheitlichen Perspektive gefährdet die Resilienz des Unternehmens.

Es ist unerlässlich, Cyber-Expertinnen und -Experten in den Risikomanagementausschuss aufzunehmen, beispielsweise durch die Einstellung eines DevOps-Engineers, und die Verwaltungsratsmitglieder regelmäßig für neue Bedrohungen zu sensibilisieren.

Folgen unzureichend fundierter Entscheidungen

Eine Cybersicherheits-Investitionspolitik, die nicht auf die Unternehmensstrategie abgestimmt ist, kann zu Überinvestitionen in ungeeignete Tools oder zur Vernachlässigung kritischer Schwachstellen führen. Solche Entscheidungen erhöhen Kosten und operative Komplexität, ohne besseren Schutz zu gewährleisten.

Im Schadensfall kann dem Verwaltungsrat mangelhafte Unternehmensführung vorgeworfen werden, wenn er Budgets oder Praktiken genehmigt hat, die reale Bedrohungsszenarien nicht berücksichtigt haben.

Eine enge Abstimmung zwischen CIO, Fachbereichen und Verwaltungsrat ist notwendig, um Budget, Kompetenzen und Sicherheitsziele in Einklang zu bringen.

Beispiel für festgestellte Kompetenzlücken

Eine Schweizer Gesundheitseinrichtung wurde Opfer eines Ransomware-Angriffs. Der Verwaltungsrat hatte nie den Krisenmanagementplan genehmigt noch Angriffssimulationen erhalten. Dieses Beispiel zeigt, dass ein unzureichend sensibilisierter Verwaltungsrat Krisenpläne nicht effektiv hinterfragen kann, was die Organisation verwundbar macht und zu hohen Sanktionen sowie Vertrauensverlust bei den Patienten führt.

Hin zu einem integrierten und dokumentierten Cyber-Risikomanagement

Ein Cyber-Risikomanagement muss auf einem fortlaufenden Prozess von Identifikation, Bewertung, Minderung und Überwachung basieren. Regelmäßige Neubewertungen stellen die Anpassung an sich schnell ändernde Bedrohungen sicher.

Konkrete Identifikation der Risiken

Beginnen Sie mit einer Kartierung der Informationswerte, der geschäftskritischen Prozesse und der Datenflüsse. Diese Gesamtübersicht zeigt potenzielle Eintrittspunkte und externe Abhängigkeiten auf.

Threat-Modelling-Workshops, gemeinsam mit den Fachbereichen und der IT, ermöglichen die Antizipation von Angriffsszenarien und die Identifikation hochkritischer Bereiche.

Ein derart strukturierter Ansatz bringt die Sicherheitsstrategie mit den betrieblichen und rechtlichen Anforderungen des Unternehmens in Einklang.

Bewertung von Eintrittswahrscheinlichkeit und Auswirkung

Jedes Risiko ist anhand objektiver Kriterien zu bewerten: Eintrittswahrscheinlichkeit sowie finanzieller, operativer und reputationsbezogener Impact. Diese Bewertung priorisiert Maßnahmen und steuert das Budgetentscheidungsprozedere.

Der Einsatz standardisierter Risikomatrizen gewährleistet die Vergleichbarkeit und Konsistenz der Bewertungen im Zeitverlauf.

Die Einbindung der Fachbereichsverantwortlichen in diesen Bewertungsprozess fördert die Akzeptanz des Risikomanagements und die Relevanz der Korrekturmaßnahmen.

Definition und Überwachung von Minderungsoptionen

Für jedes Haupt-Risiko sind mehrere Minderungsmaßnahmen zu formalisieren: Prävention, Detektion, Korrektur und Wiederherstellung. Vergleichen Sie Kosten, Nutzen und Restimpact jeder Option.

Dokumentieren Sie die gewählte Maßnahme, die zugehörigen Leistungsindikatoren und die Zeitpläne für die Umsetzung. Ein Remediationsplan mit klaren Meilensteinen erleichtert das Reporting an den Verwaltungsrat.

Die Kombination aus Open-Source-Lösungen und maßgeschneiderten Entwicklungen garantiert je nach Kontext Flexibilität, Skalierbarkeit und verhindert Vendor-Lock-in.

Kontinuierliche Überwachung und regelmäßige Neubewertung

Da sich die Bedrohungslandschaft rasch verändert, müssen Überwachungsindikatoren (SIEM, IDS/IPS, regelmäßige Penetrationstests) einen kontinuierlichen Review-Zyklus speisen. Diese Feedback-Schleife stellt sicher, dass die Maßnahmen wirksam bleiben.

Vierteljährliche Reviews mit IT, Fachbereichen und Verwaltungsrat ermöglichen die Neubewertung der Risiken auf Basis neuer Vorfälle oder Erfahrungen.

Ein integriertes Management umfasst das Aktualisieren der Dokumentation, das Anpassen der Sicherheitsrichtlinien und das Angleichung der personellen sowie technischen Ressourcen.

Beispiel für einen erfolgreichen integrierten Ansatz

In einer Schweizer Finanzdienstleistungsgruppe hat der Verwaltungsrat einen Risk-Management-Rahmen eingeführt, der den ISO 27005- und NIST-Standards entspricht. Jedes Quartal genehmigt der Risikoausschuss einen konsolidierten Bericht, der Ergebnisse von Penetrationstests, Detektionskennzahlen und den Fortschritt der Minderungsmaßnahmen zusammenführt. Dieses Beispiel zeigt, dass ein formalisiertes und dokumentiertes Vorgehen die Resilienz stärkt und gleichzeitig Ressourcen optimiert.

Strategisches Cyber-Risikomanagement

Cyber-Risikomanagement ist kein rein technisches Vorhaben, sondern ein kontinuierlicher, strukturierter und nachvollziehbarer Governance-Prozess. Die treuhänderischen Pflichten des Verwaltungsrats, gestützt durch die Business Judgement Rule, erfordern eine lückenlose Dokumentation und permanente Wachsamkeit. Identifizieren, bewerten, dokumentieren, mindern und periodisch neu bewerten sind unverzichtbare Schritte, um Informationswerte zu schützen und das Vertrauen der Stakeholder zu bewahren.

Um gesetzlichen Anforderungen gerecht zu werden und Bedrohungen proaktiv zu begegnen, begleiten unsere Expertinnen und Experten Ihren Verwaltungsrat bei der Definition robuster Sicherheitsrichtlinien, der Auswahl modularer Open-Source-Lösungen und der Einführung agiler sowie anpassungsfähiger Prozesse.

Besprechen Sie Ihre Herausforderungen mit einem Edana-Experten

Von Mariami

Project Manager

VERÖFFENTLICHT VON

Mariami Minadze

Mariami ist Expertin für digitale Strategien und Projektmanagement. Sie prüft die digitale Präsenz von Unternehmen und Organisationen aller Größen und Branchen und erarbeitet Strategien und Pläne, die für unsere Kunden Mehrwert schaffen. Sie ist darauf spezialisiert, die richtigen Lösungen für Ihre Ziele zu finden und zu steuern, um messbare Ergebnisse und einen maximalen Return on Investment zu erzielen.

FAQ

Häufig gestellte Fragen zum Cyber-Risikomanagement

Welche gesetzlichen Verpflichtungen hat der Verwaltungsrat in Bezug auf Cyberrisiken?

Der Verwaltungsrat muss gemäß Art. 716a des Obligationenrechts eine angemessene Organisation einrichten, um Informationssicherheitsrisiken zu identifizieren, zu steuern und zu überwachen. Er muss eine auf höchster Ebene genehmigte Sicherheitsrichtlinie festlegen, deren Umsetzung überwachen und alle Schritte dokumentieren, um seine Sorgfaltspflicht bei Kontrollen oder Zwischenfällen nachweisen zu können.

Wie dokumentiert man einen Due-Diligence-Prozess zur Bekämpfung von Cyberrisiken?

Die Due Diligence basiert auf einer umfassenden Akte: Sitzungsprotokolle, Prüfungsberichte, Monitoring-Dashboards und Workshop-Dokumentationen. Jede Auswahl eines Dienstleisters oder einer Lösung muss durch strenge Auswahlkriterien, Expertengutachten und regelmäßige Überprüfungen belegt werden. Eine mit Zeitstempel versehene Nachverfolgbarkeit garantiert im Streitfall einen belastbaren Nachweis.

Welche KPIs sind unerlässlich für das Cyberrisikomanagement?

Zu den zentralen Kennzahlen gehören die mittlere Erkennungszeit (Mean Time to Detect, MTTD), die mittlere Reaktionszeit (Mean Time to Respond, MTTR), die Anzahl der bei Penetrationstests aufgedeckten Vorfälle, die Auditkonformitätsquote und der Umfang der Schwachstellenanalysen. Diese KPIs sollten regelmäßig aktualisiert und dem Verwaltungsrat präsentiert werden, um Prioritäten und strategische Ausrichtungen anzupassen.

Wie schützt die Business Judgement Rule die Entscheidungen des Verwaltungsrats?

Die Business Judgement Rule gewährt Immunität, wenn der Verwaltungsrat in gutem Glauben, ohne Interessenkonflikte und auf Basis ausreichender Informationen handelt. Um davon zu profitieren, muss der Entscheidungsprozess dokumentiert werden: Expertenkonsultationen, betrachtete Szenarien und festgelegte Kriterien. Diese Dokumentation minimiert das Haftungsrisiko bei einem Scheitern von Sicherheitsmaßnahmen.

Welche Schlüsselphasen umfasst eine periodische Bewertung der Cyberrisiken?

Eine periodische Bewertung folgt einem Zyklus: Identifikation kritischer Assets, Bewertung von Eintrittswahrscheinlichkeit und Auswirkung, Festlegung von Minderungsmaßnahmen und Überwachung mittels Kennzahlen. Vierteljährliche Reviews mit IT-Leitung, Fachbereichen und Verwaltungsmitgliedern ermöglichen die Anpassung der Richtlinie und die Integration von Erkenntnissen aus aktuellen Vorfällen.

Wie wählt man kompetente Dienstleister für die Implementierung aus?

Die Auswahl basiert auf der Überprüfung der Qualifikationen (Zertifizierungen, Kundenreferenzen), der Durchführung technischer Tests (Penetrationstests) und der Integration vertraglicher KPIs. Eine vorherige Auditierung sichert die Entscheidung ab. Die Dokumentation des Prozesses und regelmäßige Berichte gewährleisten eine effektive Aufsicht und reduzieren die Haftung des Verwaltungsrats.

Welche Rolle spielt die Kartierung informationeller Assets im Risikomanagement?

Die Kartierung erfasst kritische Systeme, Applikationen und Datenflüsse. Sie identifiziert potenzielle Einstiegspunkte und Abhängigkeiten, was die Priorisierung von Maßnahmen erleichtert. In Workshops mit Fachbereichen und IT-Leitung durchgeführt, richtet sie die Cyberstrategie an den operativen und rechtlichen Anforderungen aus und bildet die Basis aller Risikoanalysen.

Wie integriert man Cyberrisikomanagement in die Gesamtgovernance?

Die Integration erfolgt durch ein Risikokomitee mit IT-Leitung, Fachbereichen und Verwaltungsmitgliedern, regelmäßige Reviews und strukturiertes Reporting. Die Sicherheitsrichtlinie muss an die Unternehmensstrategie angepasst und durch agile Prozesse unterstützt werden. Eine zentrale Dokumentation gewährleistet kontinuierliche Transparenz und Nachverfolgbarkeit.

KONTAKTIERE UNS

Sprechen Wir Über Sie

Ein paar Zeilen genügen, um ein Gespräch zu beginnen! Schreiben Sie uns und einer unserer Spezialisten wird sich innerhalb von 24 Stunden bei Ihnen melden.

Edana
Eaux-Vives, Genève

ABONNIEREN SIE

Verpassen Sie nicht die Tipps unserer Strategen

Erhalten Sie unsere Einsichten, die neuesten digitalen Strategien und Best Practices in den Bereichen Marketing, Wachstum, Innovation, Technologie und Branding.

Wir verwandeln Ihre Herausforderungen in Chancen

Mit Sitz in Genf entwickelt Edana maßgeschneiderte digitale Lösungen für Unternehmen und Organisationen, die ihre Wettbewerbsfähigkeit steigern möchten.

Wir verbinden Strategie, Beratung und technologische Exzellenz, um die Geschäftsprozesse Ihres Unternehmens, das Kundenerlebnis und Ihre Leistungsfähigkeit zu transformieren.

Sprechen wir über Ihre strategischen Herausforderungen.

022 596 73 70

ÜBER UNS
Agence Digitale Edana sur LinkedInAgence Digitale Edana sur InstagramAgence Digitale Edana sur Facebook