swissVR Monitor: Welches sind die neusten Entwicklungen und Trends bei Cyber-Angriffen auf Unternehmen?
Maya Bundt: Wenn man sich die Statistik des NCSC (Nationales Zentrum für Cyber-Sicherheit) anschaut, findet man Betrug mit grossem Abstand ganz oben auf der Liste. Das betrifft sowohl Einzelpersonen als auch Unternehmen und ist seit Jahren der absolute Dauerbrenner.
Medial viel stärker im Fokus sind allerdings andere Angriffe. Seit ein paar Jahren stehen da vor allem Ransomware-Attacken mit oder ohne Datendiebstahl im Vordergrund. Dabei verschlüsseln die Verbrecher mit Hilfe von Schadsoftware, sogenannter Ransomware, Daten im Unternehmen und verlangen dann Lösegeld. Neuerdings werden im gleichen Zug häufig auch noch Daten entwendet und dann wird mit der Veröffentlichung dieser Daten gedroht. Dadurch steigt der Druck auf die Unternehmen zu zahlen.
Und schliesslich sind in letzter Zeit auch wieder DDoS-Attacken (Distributed Denial of Service) publik geworden. Dabei werden zum Beispiel öffentliche Web-Seiten mit massiven Datenanfragen bombardiert, so dass sie für Kunden nicht mehr erreichbar sind. Das konnten wir im Juni 2023 beobachten, als diverse Dienste des Bundes und der SBB für einige Stunden ausfielen.
swissVR Monitor: Welche Rolle kommt dem Verwaltungsrat beim Thema Cyber-Resilienz zu?
Maya Bundt: Generell legt der Verwaltungsrat die Grundzüge der nachhaltigen Unternehmensführung im Sinne der Eigentümer fest. Dazu gehört auch die Cyber-Resilienz. In diesem Zusammenhang muss der VR die Chancen und Risiken der Digitalisierung für das Unternehmen und die Geschäftstätigkeiten abschätzen. Dabei ist wichtig: Es gibt keine 100-prozentige Sicherheit! Das heisst, dass neben klassischen Schutzmassnahmen auch solche Massnahmen ergriffen werden müssen, die das Aufspüren von Eindringlingen ermöglichen. Zudem muss man sich für den Ernstfall vorbereiten, um möglichst schnell und unbeschadet aus einer Krisensituation herauskommen zu können.
Der Verwaltungsrat ist dafür verantwortlich, dass Risikomanagement, Organisation und Budget so ausgestaltet sind, dass sich das Unternehmen dem Geschäftsmodell angemessen gegen Cyber-Risiken schützen kann und vorbereitet ist, einen Cyber-Vorfall zu überdauern.
swissVR Monitor: Welche Massnahmen empfehlen Sie Verwaltungsräten, wenn es um Cyber-Resilienz geht?
Maya Bundt: Es ist wichtig, dass der Verwaltungsrat Cyber- oder digitale Risiken nicht nur in die IT-Ecke stellt, sondern sie als unternehmensweite und strategierelevante Themen anerkennt. Grosse strategische Entscheidungen haben nämlich fast immer einen Einfluss auf den Cyber-Fussabdruck der Unternehmung, sei es die Expansion in einen neuen Markt, M&A-Aktivitäten, die Teilnahme an einem digitalen Ökosystem, oder ganz generell die fortschreitende digitale Transformation.
Zudem muss der Verwaltungsrat verstehen, wo im Unternehmen die grössten Cyber-Risiken liegen, wie gross diese sind und wie sie vermieden, vermindert oder transferiert werden können. In diesem Zusammenhang ist es auch wichtig, den Risikoappetit festzulegen, denn nur so können faktenbasierte Entscheidungen getroffen werden, wie die Cyber-Sicherheit im Unternehmen ausgestaltet werden soll oder ob zum Beispiel eine CyberVersicherung abgeschlossen werden sollte.
Ich plädiere immer dafür, dass der Verwaltungsrat die für die Informationssicherheit verantwortliche Person, gewöhnlich den oder die CISO (Chief Information Security Officer), kennt. Das hat gleich mehrere Vorteile: Erstens gibt es eine oder einen CISO und damit kümmert sich jemand hauptamtlich um die Sicherheit des Unternehmens. Zweitens rücken auch die strategischen und operativen Themen um die Cyber-Sicherheit stärker in den Mittelpunkt, wenn der oder die CISO regelmässig an den VR-Sitzungen teilnimmt. Drittens kann der Verwaltungsrat so eine Beziehung zu dieser Schlüsselperson aufbauen. Das finde ich ähnlich wichtig wie die Beziehung zur obersten Risiko- oder zur obersten Personalleitung.
Der Verwaltungsrat sollte sich auch Gedanken machen, wie die Cyber-Expertise im Gremium gestärkt werden kann, zum Beispiel in Form Cyberaffiner Mitglieder oder durch die Weiterbildung des bestehenden Gremiums. Ein gewisses Cyber-Wissen gehört meiner Meinung nach heutzutage zur Grundausstattung eines Verwaltungsrats. Vertieftes Wissen und vor allem auch das Interesse an der Sache führen zusätzlich dazu, dass das Thema in der verwaltungsrätlichen Themenflut nicht untergeht und immer jemand die relevanten Fragen stellt.
swissVR Monitor: Wie sieht aus Ihrer Sicht eine adäquate Berichterstattung an den Verwaltungsrat zur Cyber-Resilienz aus?
Maya Bundt: Viele Firmen behandeln Cyber-Risiken vor allem in einem Ausschuss, meist dem Risiko-Ausschuss; manchmal gibt es aber auch einen Technologie- und Cyber-Ausschuss. Das ist wichtig, weil in den Ausschüssen meist mehr Diskussionszeit zur Verfügung steht als im Gesamt-VR und sich die entsprechenden Ausschuss-Mitglieder noch tiefer mit der Materie befassen können.
Generell muss die Berichterstattung relevant, verständlich und für den VR angemessen sein. Dabei ist es oft nützlich, wenn sich der oder die CISO nicht in technischen Details verliert, sondern die Risiken und den Umgang mit ihnen aus einer Geschäftssicht darstellt. Neben unternehmensspezifischen Informationen und KPIs (Key Performance Indicators) sind auch oft ein allgemeines Lagebild und Benchmarks zu anderen Unternehmen für den Verwaltungsrat interessant und hilfreich.
swissVR Monitor: Was ist Ihre Meinung zu Versicherungen gegen Cyber-Risiken? In welchen Fällen sind diese sinnvoll?
Maya Bundt: Zunächst ist anzumerken, dass Cyber-Versicherungen einen Teil des Cyber-Risikomanagements darstellen, aber das Cyber-Risikomanagement nie ersetzten können. Mir läuft es kalt über den Rücken, wenn ich Aussagen höre wie: «Wir müssen uns nicht um unsere Cyber-Sicherheit kümmern. Wir können ja eine Versicherung abschliessen.» Das geht gar nicht. Ich behaupte auch, dass heutzutage keine Versicherung einem solchen Unternehmen eine Police anbieten würde, wenn nicht ein Mindestmass an Cyber-Sicherheitsmassnahmen implementiert ist.
Zum Risikomanagement gehört, Risiken zu vermeiden, zu vermindern, zu transferieren oder zu akzeptieren. Um eine Versicherung sinnvoll abschliessen zu können, muss man also die Risiken verstehen und sie zu einem gewissen Mass quantifiziert haben, bevor man entscheidet, ob man einen Teil des Residualrisikos an eine Versicherung abgeben möchte. Transferiert wird, was nach den risikomindernden Massnahmen immer noch über dem gewählten Risikoappetit liegt. Es gibt aber auch Firmen, die sich diese Überlegungen machen und dann entscheiden, dass sie keine Cyber-Versicherung abschliessen möchten.
Cyber-Versicherungen beinhalten oft auch Dienstleistungen, die den Versicherten im Ernstfall konkrete Hilfe leisten. Wenn ein Unternehmen zum Beispiel von einer Ransomware-Attacke betroffen ist, kann es eine Notfallnummer anrufen und bekommt schnell die nötige Unterstützung, um diese Krisensituation zu meistern. Das kann für manche Unternehmen durchaus ein Argument für eine Cyber-Versicherung sein.
Maya Bundt
Vorsitzende des Nominations- und Vergütungsausschusses der Valiant Bank sowie Verwaltungsratsmitglied von Bâloise und APG|SGA
Maya Bundt ist eine erfahrene Verwaltungsrätin mit einer Leidenschaft für Cyber-Themen, Innovation und Menschen. In fast 20 Jahren bei dem globalen Rückversicherer Swiss Re hatte sie bis 2022 eine Vielzahl von Funktionen in den Bereichen IT, Strategie und Rückversicherung inne. Ab 2014 war sie für die Entwicklung der Cyber-Versicherungsstrategie verantwortlich und baute erfolgreich die Funktion und das Team für Cyber- und digitale Lösungen auf; ausserdem leitete sie den Swiss Re Cyber Council. Sie unterstützt eine Reihe von nationalen und internationalen Initiativen rund um die digitale Wirtschaft und Cyber-Risiken und hat mehrere Artikel zu diesen Themen veröffentlicht. Sie engagiert sich in der Community als Vorsitzende des Cyber Resilience Chapters der Swiss Risk Association, als Mitglied des Cybersecurity Committees von digitalswitzerland, als Mitwirkende am Geneva Dialogue und als Partnerin für Governance of Digital Risks am International Center for Corporate Governance.