Cyberrisiken - Mensch und Maschine sind gefordert

Der Begriff «Cyber» lässt viele von uns an Hacker, Firewalls oder Malware denken. Nicht ohne Grund: Schliesslich sind wir täglich mit Passwortschutz, Spam Emails und Antivirussoftware konfrontiert. Bei den meisten dieser Themen sind wir auf externe Unterstützung angewiesen. Das gilt für Privatpersonen ebenso wie für viele Unternehmen in der Finanzbranche. Cyberrisiken werden deshalb oft als technische Risiken mit Fokus auf den Schutz der IT Systeme ausgelegt. Sie bergen allerdings neben technisch orientierten Risiken insbesondere die Gefahr von Verstössen gegen gesetzlich geschützte Privatsphäre (z.B. Datenlecks), des Nichteinhaltens regulatorischer Anforderungen, des Verlustes von Vermögenswerten und unter Umständen massiver Reputationsschäden für betroffene Unternehmen. Cyberrisiken gehören deshalb grundsätzlich zu den operationellen Risiken und sind z.B. von der FINMA im Rundschreiben 2008/21 entsprechend berücksichtigt.

Cyberrisiken im 2020

Ein Blick auf Entwicklungen der Cyberkriminalität zeigt eine Vervielfachung von Cyberattacken seit Februar 2020. Dabei fällt auf, dass moderne Cyberkriminelle nicht nur Systeme attackieren, sondern zunehmend Mitarbeiter/innen von Unternehmen ins Visier nehmen. Durch Täuschung von Mitarbeitenden können selbst komplexe technische Schutzmassnahmen umgangen und Informationen abgezweigt, manipuliert oder gelöscht werden. Die kürzlich verstärkten Trends wie Home Office und «Bring your own device», aber ebenso operationelle Einschränkungen durch Business Continuity Massnahmen erschweren gleichzeitig die Identifikations-, Reaktions- und Überwachungsprozesse von Unternehmen in Bezug auf Cyberaktivitäten.

Beispiel: Kommunikation

Haben Sie sich auch dabei ertappt, wie Sie in den letzten Monaten Ihre Geschäftskommunikation teilweise über Whatsapp, iMessage, SMS, freie Videokonferenzlösungen oder sogar Nachrichten auf LinkedIn oder Xing geführt haben? Während Mitarbeitende diese Medien gerade im Home Office vermehrt und häufig aus Gründen einer wohlgemeinten Effizienzsteigerung nutzen, bedeutet dieser Trend für Unternehmen, dass Informationen wissentlich oder unwissentlich in Kommunikationskanäle ausserhalb ihrer Überwachungskapazitäten transferiert und dort gespeichert werden - wo sie für Cyberkriminelle weitaus einfacher erreichbar sein können. Je nach Klassifizierung der Informationen können so auch etablierte Sicherheitsmechanismen wie z.B. die Verschlüsselung oder Blockierung einer Nachricht beim Versuch, Bankkundendaten zu versenden, umgangen werden.

Der Umgang mit Cyberrisiken

Das Beispiel der Kommunikationskanäle zeigt, dass in Zeiten von dezentralem Arbeiten nicht nur neue Cyberrisiken entstanden sind. Unternehmen sehen sich vor allem mit neuen Angriffsvektoren, also möglichen Angriffspunkten durch Cyberkriminelle konfrontiert, welche bereits bekannte Risiken erhöhen. Der Umgang mit diesen Risiken erfordert schon längst nicht mehr nur systemtechnische Lösungen, sondern auch eine hohe Disziplin und Sorgfaltspflicht jedes/r Mitarbeitenden. Effektive Lösungen und Massnahmen erfordern deshalb den Brückenschlag zu einem anderen prominenten Themengebiet in der Finanzbranche: Business Conduct.

Für Führungskräfte stellt diese Entwicklung eine zusätzliche Herausforderung für die Umsetzung von Massnahmen und deren Überwachung dar: In Anlehnung an das bekannte Konzept der «Business Resilience» wird themenübergreifend zunehmend von «Cyber Resilience» eines Unternehmens gesprochen. Das Erreichen und Aufrechterhalten einer hohen Cyber Resilience erfordert die Struktur und Kompetenzen, Cyberrisiken interdisziplinär beurteilen und adressieren zu können. Grundlage dafür sind für jedes Unternehmen u.a. eine ausgereifte Cyberstrategie und eine adressatengerechte Berichterstattung.

Positiver Effekt: Eine solide Strategie und hohe Cyber Resilience können in einem zunehmend digitalisierten Umfeld durchaus zu Wettbewerbsvorteilen führen.

24.09.2020