Jedes dritte Unternehmen ist im Visier von Hackern. Cyberrisiken in Unternehmen, sowie der damit eingehende erhöhte Bedarf an IT-Sicherheit, haben sich in KMU mittlerweile zu grundlegenden Problemfeldern entwickelt. Abgesehen von unternehmensinternen Massnahmen wie der Installierung von Anti-Virus-Software, beschäftigt sich auch der Gesetzgeber immer intensiver mit der IT-Sicherheit und dem Schutz von personenbezogenen Daten. Dieser Blogbeitrag soll relevante Gesetze und Regelungen für KMU bezüglich Cyberrisiken schildern, damit Unternehmen mit den neuen Erlassen bzw. Änderungen per 01.01.2022 vertraut sind.

Das Rundschreiben 2018/3 der FINMA thematisiert aufsichtsrechtliche Anforderungen an Finanzdienstleister-Unternehmen bei Outsourcing von Geschäftstätigkeiten. Bei Auslagerungen von sicherheitstechnischen Funktionen bzw. IT-Angelegenheiten, muss laut FINMA ein Vertrag mit Sicherheitsanforderungen zwischen dem Unternehmen und dem Outsourcing-Partner geschlossen werden. Outsourcing ins Ausland ist erlaubt, jedoch hat das Unternehmen den Dienstleister stets zu überwachen und die Prüfrechte der FINMA müssen dabei stets gewährleistet sein.

Im Falle einer erfolgreichen Cyber-Attacke auf ein von der FINMA beaufsichtigtes Institut ist darauf hinzuweisen, dass man laut Art. 29 Abs. 2 FINMAG verpflichtet ist, derartige Vorkommnisse unverzüglich der FINMA zu melden. Gerade bei solchen Angriffen beim Outsourcing-Dienstleister zeigt sich die Prüfpflicht des auslagernden Unternehmens.

Im Idealfall bleibt der eigene Betrieb vor IT-Angriffen verschont, dennoch lassen sich Cyberschäden versichern und somit zumindest ein Teil der potentiellen Vermögensschäden abdecken. Ausserdem setzt das Versichern der IT-Sicherheit voraus, dass man sich firmenintern mit den Sicherheitsstandards befasst und bestehende Lücken aufdeckt. Sämtliche Versicherungsanbieter decken mit ihrer Cyber-Versicherung u.a. Kosten für Wiederherstellung von Daten und Systemen, Begleichung von Haftpflichtansprüchen und Lösegeldzahlungen bei Cyber-Erpressung.

Neben externen IT-Risiken sind auch interne Datendiebstähle durch Mitarbeiter, insbesondere bei Kündigungen, möglich. Statistisch gesehen wird jeder fünfte Datendiebstahl durch Arbeitnehmer des eigenen Unternehmens vorgenommen. Neben der juristischen Verfolgung bieten sich präventiv folgende Massnahmen an: Zugangsberechtigungskarten, Verschlüsselung von Daten und Passwortmanagement. Gerade in KMU sind selten Kompetenzen vorhanden, um solche Aufgaben zu vollziehen, weshalb man auch in diesem Punkt externe Dienstleistungen beiziehen kann.

Zentral für Unternehmen ist das neue Datenschutzgesetz, welches 2022 in Kraft treten soll. Das genaue Datum ist noch nicht bekannt, da die Ausarbeitung der entsprechenden Verordnung noch läuft. Die Vorbereitung vor Inkrafttreten des Gesetzes ist auch für KMU fundamental. Neben dem Schutz von Personendaten, d.h. Daten, die sich auf bestimmte oder bestimmbare natürliche Personen beziehen, werden Unternehmen verpflichtet, Massnahmen zu ergreifen, um die interne Datensicherheit sicherzustellen und Datenmissbrauch durch Hacker abzuwenden. Konkret sind Unternehmen verpflichtet, bis zum Inkrafttreten des neuen DSG ihre Datenschutzrichtlinien sowie Organisation der Datenbearbeitung anzupassen. Zu den wichtigsten Pflichten gehören unter anderem:

• Erstellung und Führung eines Datenbearbeitungsverzeichnisses (davon ausgenommen Unternehmen mit weniger als 250 Mitarbeitern, ausser es handelt sich um besonders schützenswerte Personendaten)
  • Unter die besonders schützenswerten Daten fallen gemäss Art. 5 Bst. c. des neuen DSG:
    • Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
    • Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie
    • genetische Daten
    • biometrische Daten, die eine natürliche Person eindeutig identifizieren
    • Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen
    • Daten über Massnahmen der sozialen Hilfe
• Meldepflicht an Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie an betroffener Person im Falle einer Datensicherheitsverletzung
• Informationspflicht bei Datenerhebung und Pflicht zur Nennung des Staates im Falle eines Transfers ins Ausland (strenger als DSGVO)

Für Unternehmen empfiehlt es sich, eine Gap-Analyse zu erstellen, womit man eine Übersicht von Soll- und Ist-Zustand erarbeitet und entsprechend Anpassungen vornehmen kann. Fehlen z.B. in einem KMU datenschutzrechtliche Kompetenzen, sollte ein externer Experte beigezogen werden. Das Ignorieren der neuen Regelungen kann Reputationsschäden und Geldstrafen für die verantwortlichen Personen (Geschäftsführer, Verwaltungsrat) zur Folge haben. Hält man sich nicht an die Pflichten des neuen DSG, drohen Sanktionen von bis CHF 250‘000.

Business Continuity Management, kurz BCM, ist ein Managementprozess bzw. eine Geschäftseinheit, die sicherstellt, dass Unternehmensfunktionen auch in Notsituationen wie Betriebsstörungen verfügbar sind. Gerade bei Cyber-Attacken ist das potentielle Schadensausmass enorm, weshalb sich ein umfangreiches Risiko-Management samt Business-Recovery-Optionen bzw. Plänen empfiehlt.
Gerade im Finanzsektor ist ein adäquates Business Continuity Management von grundlegender Bedeutung, da dies einerseits die FINMA im Bewilligungsverfahren verlangt und andererseits im Finanzbereich das Risiko von IT-Angriffen höher ist als in anderen Branchen. Da Unternehmen wie KMU oftmals keine eigenen Kompetenzen in der Bewältigung des Risiko-Managements besitzen, bietet sich in dieser Sache die externe Hilfe von Compliance-Experten an.