CYBER RISK & INSURANCE AKTUALISIERTE 3. AUFLAGE (2021) - Kessler ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
CYBER RISK & INSURANCE AKTUALISIERTE 3. AUFLAGE (2021) MIT SICHERHEIT VORAUS.
2 Cyber Risk & Insurance 2021
VORWORT 5
1 IHR PARTNER AUF AUGENHÖHE 6
2 CYBER-RISIKEN 9
2.1 FINANZIELLE AUSWIRKUNGEN 11
2.2 IT SUPPLY CHAIN RISK – WER HAT DIE ÜBERSICHT? 12
3 CORPORATE GOVERNANCE 14
3.1 PFLICHTEN DES VERWALTUNGSRATES 14
3.2 DIE RELEVANZ DES BEWUSSTEN ENTSCHEIDS 16
4 WAS HABEN DATENSCHUTZ UND DATENSICHERHEIT MIT CYBER RISK ZU TUN? 18
4.1 DIE SCHWEIZ UND DER EINFLUSS DER EU: THEMEN BIS 2022 19
4.2 VERGLEICH DER MELDEPFLICHTEN SCHWEIZ–EU 20
4.3 MIT EINEM MASSGESCHNEIDERTEN MASSNAHMENPLAN ZUR
DSG-COMPLIANCE: MIT DEN GRUNDLAGEN BEGINNEN 22
4.4 BUSSENKATALOG IM REVIDIERTEN DSG 23
4.5 EXKURS: DATENSCHUTZGESETZE USA 24
5 VERSICHERBARKEIT VON CYBER-RISIKEN 25
5.1 CYBER-VERSICHERUNG: VERSICHERBARE SCHÄDEN 26
5.2 VERTRAUENSSCHADENVERSICHERUNG 28
5.3 SACH- UND BETRIEBSUNTERBRECHUNGSVERSICHERUNG UND
TECHNISCHE VERSICHERUNG 29
6 VOM CYBER-VORFALL ZUM CYBER-VERSICHERUNGSFALL 30
7 DER ZWEI-PHASEN-PROZESS 32
7.1 ERSTE PHASE: CYBER-RISIKO-DIALOG 32
7.2 ZWEITE PHASE: EINHOLUNG VON VERBINDLICHEN OFFERTEN 32
Cyber Risk & Insurance 2021 34 Cyber Risk & Insurance 2021
VORWORT
Wenn wir fünf Jahre zurückblicken – lediglich fünf In der Herbstsession 2020 haben die Räte das neue
Jahre –, drehte sich in der Beratung alles um die Frage Schweizer Datenschutzgesetz verabschiedet. Dies
«Was kann uns konkret passieren?». war für uns Anlass, eine dritte aktualisierte Aus-
gabe der Publikation Cyber Risk & Insurance heraus-
Aus vielen hundert Gesprächen mit Schweizer zugeben, um die neuen rechtlichen Aspekte zu wür-
Unternehmen können wir heute konstatieren, dass digen und unsere Erfahrung im Management der
das Bewusstsein für Cyber-Risiken in den Entschei- Cyber-Risiken weiterzugeben.
dungsorganen sehr gut präsent ist. Die Szenarien
sind bekannt und die Unternehmen haben ihre Cy- Ich danke den Autorinnen und Autoren Simon
ber-Risiken quantifiziert sowie Ausreisser versi- Künzler (Risk Consulting), Melanie Koller (Legal),
chert. Mit den Versicherern zusammen haben wir die Nadine Janser (Special Risks), Simon Holtz (Sach-
Produkte stetig weiterentwickelt und Versicherer versicherung) und Patrick Dummermuth (Claims
sowie Broker regulieren heute zahlreiche Schaden- Advocacy) herzlich für ihre Beiträge und Insights.
fälle. Teilweise war die Lernkurve für uns alle steil. Als
Fazit können wir sagen, dass Schweizer Unterneh- Ich wünsche Ihnen aufschlussreiche Erkenntnisse.
men robuster geworden sind und vor allem für den
Fall vorbereitet sind, dass etwas passiert.
Pascal Schweingruber
Mitglied der Geschäftsleitung
Cyber Risk & Insurance 2021 51
IHR PARTNER AUF AUGENHÖHE
Wir unterstützen Sie beim Aufbau eines Cyber-Dispositivs, das die Widerstandsfähigkeit
Ihrer Organisation gegenüber Cyber-Angriffen stärkt. Dieses Ziel erreichen wir dank
dem kundenspezifischen und ganzheitlichen Ansatz sowie analyse- und praxisorientierten
Fach- und Methodenkompetenzen.
AUSGANGSLAGE UND RISIKOEXPOSITION GANZHEITLICHES CYBER-VERSTÄNDNIS
Die sich ständig wandelnden Cyber-Angriffe finden Den meisten Organisationen ist es heute bewusst,
ihren Nährboden in vernetzten, komplexen und dy- dass Cyber nicht alleine der IT-Abteilung zugeord-
namischen Lieferketten, Informations- und Kommu- net, sondern eingebettet in ein ganzheitliches Enter-
nikationsinfrastrukturen, dem «Internet of Things» prise Risk Management angegangen werden muss.
respektive «every thing» und insbesondere im nach Dabei spielt der Faktor Mensch beziehungsweise
wie vor unachtsamen Umgang von Mitarbeitenden mit sein Nutzerverhalten eine zentrale Rolle. Damit wird
E-Mails und Internet. Digitale Innovationen und Ent- zum Ausdruck gebracht, dass Cyber auch ein Füh-
wicklungen wie zum Beispiel die Industrie 4.0 haben rungs- und Organisationsthema ist. Infolgedessen
für Organisationen einerseits enorme Rationalisie- bedarf es einer Kombination aus technischen, orga-
rungs- und Wachstumschancen eröffnet. Anderer- nisatorischen, rechtlichen und finanziellen Mass-
seits haben sie aber auch zu einer Akzentuierung ih- nahmen. Im Wissen darum, dass es keine hundert-
res ohnehin bedeutenden Risikopotenzials geführt. prozentige Sicherheit geben kann, empfehlen wir,
Insgesamt kann ein Versagen im Bereich Cyber Resi- Massnahmen transparent und im Sinne eines kon-
lience (Widerstandsfähigkeit) die Corporate Gover- tinuierlichen Verbesserungsprozesses umzusetzen.
nance kompromittieren und letztlich schwerwiegen- Jede Organisation sollte sicherstellen, dass im Falle
de finanzielle und nicht-finanzielle Auswirkungen eines Cyber-Zwischenfalles die Funktionsfähigkeit
auf ein Unternehmen zeitigen. Diese Ausgangslage der Organisation gewährleistet ist beziehungsweise
zeigt, dass Cyber-Risiken umfassend analysiert, be- dass der Normalbetrieb möglichst rasch wiederher-
wertet und schliesslich mittels geeigneter präventi- gestellt wird.
ver und reaktiver Massnahmen eingegrenzt werden
müssen. DARSTELLUNG DES CYBER-RISIKOS
Das Risiko ist ein Angriff auf die IT-Systeme und/
oder die Beeinträchtigung der Daten betreffend
Vertraulichkeit, Integrität und Verfügbarkeit. Die
Auswirkungen können operativer, finanzieller und
nicht-finanzieller Natur sein, wie beispielsweise ein
gravierender Vertrauensverlust bei wichtigen Stake-
holdern.
6 Cyber Risk & Insurance 2021CYBER-RISIKO
IT-SYSTEM / DATEN AUSWIRKUNGEN
Beeinträchtigung der
VERTRAULICHKEIT
Geschäftstätigkeit
und / oder Eigenschäden und
zusätzliche Kosten
CYBER-VORFALL INTEGRITÄT
Drittschäden
und /oder (Haftung)
Auswirkungen auf
VERFÜGBARKEIT
die Reputation
DREISTUFIGER LÖSUNGSANSATZ
Um das vorliegende Cyber-Risiko zu analysieren, wenden wir ein dreistufiges Vorgehen an.
Analysieren / Quantifizieren der finan-
ziellen und Reputationsauswirkungen
MESSEN der Cyber-Exponierungen:
– Cyber Business und Impact Analysis
Zur Verfügungstellung von
– Risk Analytics
Cyber-Kontext innerhalb der
folgenden Aspekte: VERSTEHEN
– Geschäftsumfeld (PESTEL) Umsetzbare Schritte zur Sicherung,
– Geschäftsmodell Versicherung und Wiederherstellung:
MANAGEN – Cyber Security
– Versicherung
– Business Continuity Management
Cyber Risk & Insurance 2021 71
PROJEKTVORGEHEN
Dank dem Projektansatz «Cyber Business und Im- Ein zentrales Element stellt der von uns moderierte
pact Analysis» unterstützen wir Sie dabei, Cyber- Workshop mit Teilnehmenden aus diversen Funk-
Risiken zu verstehen, zu messen und zu managen. tionsbereichen dar.
VERSTEHEN MESSEN MANAGEN
Dokumentenanalyse und Interviews Interdisziplinärer Workshop Cyber-Projektbericht
– Desktop-Arbeiten – Entwickeln von Cyber- – Zusammenfassung der
– Eruieren potenzieller Bedrohungsszenarien Projekterkenntnisse zur
Exponierungen und Verletzlich- – Bewerten und priorisieren der Cyber-Bedrohungssituation
keiten aufgrund der Analyse Szenarien nach verschiedenen – Aufzeigen der Verwendung
von Geschäftsumfeld und Kostenparametern des aufbereiteten, zur
-modell (Risiko-Matrix) Verfügung gestellten holistischen
– Klären von ICT-Abhängigkeiten – Benchmark-Abgleich Massnahmenkataloges
– Aufnehmen physischer – Erstellen eines Massnahmen- – Interne Informationen /
sowie digitaler Werte und katalogs zur Verbesserung Kommunikation
Infrastrukturen des Cyber-Dispositivs – Sensibilisierung
8 Cyber Risk & Insurance 20212
CYBER-RISIKEN
Der Begriff der Cyber-Risiken wird vielfältig und uneinheitlich verwendet und bezieht sich
auf eine Vielzahl von Risiken, die im Zusammenhang mit Technologie oder mit Informationen
eines Unternehmens stehen. Aus dem Blickwinkel der Versicherungsindustrie werden
Cyber-Risiken als operationelle Risiken definiert; darunter ist im Grundsatz ein Datenverlust
oder eine IT /ICT-Störung beziehungsweise eine IT/ICT-Fehlfunktion zu verstehen, welche
die Vertraulichkeit, die Verfügbarkeit oder die Integrität von Informationen oder Informations-
systemen beeinträchtigt.
Das Ursache-Wirkungs-Prinzip ist ein altbewährtes Die steigende Komplexität der vernetzten Systeme
Risk-Management-Instrument und bietet sich zum bietet vor allem auch Cyber-Kriminellen neue Mög-
besseren Verständnis der Cyber-Risiko-Landschaft lichkeiten – seien dies externe Dritte, aktuelle und
eines Unternehmens an. Wer sich der möglichen Ur- ehemalige Mitarbeitende, die Konkurrenz oder gar
sachen von betriebseigenen Worst-Case-Szenarien staatliche Organisationen mit unterschiedlichen
bewusst ist, kann mithilfe einer sorgfältigen Ursa- Motiven. Daten, die für den einen wertlos sind, kön-
chenanalyse gezielt Präventivmassnahmen treffen nen für den anderen kostbar sein. Deshalb sind Un-
und damit insgesamt die IT-technische, aber auch ternehmen nicht sicherer vor Cyber-Kriminellen,
die finanzielle Widerstandsfähigkeit des Unterneh- nur weil ihr Management den eigenen Daten keinen
mens stärken. grossen Nutzen für Dritte beimisst. Wer in Systeme
eindringen will, findet auch einen Weg, und damit ist
Ein Datenverlust oder eine IT/ICT-Störung kann so- ein gewisses «Ausgeliefertsein» leider Realität ge-
wohl kriminelle Ursachen als auch nicht-kriminelle worden: Einen hundertprozentigen Cyber-Schutz
Ursachen haben (s. S. 10). Kriminelle Ursachen sind wird es nie geben – und schon gar nicht gegen einen
gemäss dem Schweizer Strafgesetzbuch unabhängig gezielten Angriff (Advanced Persistent Threat, APT).
vom daraus resultierenden Cyber-Risiko in der Re-
gel bereits eigene strafbare Handlungen (zum Bei-
spiel unbefugte Datenbeschaffung zum Weiterver-
kauf auf dem Darknet nach StGB Art. 143 oder das
unbefugte Eindringen in ein Datenverarbeitungssys-
tem zu Spionagezwecken gemäss StGB Art. 143bis).
Weitere strafbare Handlungen sind zum Beispiel die
Infiltrierung eines ERP mit einer Malware und damit
die Manipulation der Datenintegrität nach StGB Art.
144bis oder der Identitätsdiebstahl mittels der
Fake-President-Masche zur unrechtmässigen Berei-
cherung nach StGB Art. 147.
Cyber Risk & Insurance 2021 92
CYBER-RISIKO: URSACHE-WIRKUNGS-MODELL
URSACHEN CYBER-RISIKO AUSWIRKUNGEN
Hacker-Angriffe Datenverlust = Verlust der Integrität
– Malware: Ransomware, Computer- Verfügbarkeit von Daten
viren und -würmer, Trojaner – Veränderung von Daten und/oder
– Social Engineering – Löschung von Daten
– Spionagesoftware – Vernichtung von Daten Verfügbarkeit
– DoS/DDoS/DeOS-Angriffe – Zugangssperre zu Daten
– Defacements und/oder
– APT (Advanced Persistent Threat) IT/ICT-Störung = Verlust der
– Cryptomining funktionsfähigen IT/ICT-Anlage Vertraulichkeit
– Beeinträchtigung der Belast-
Physische Angriffe barkeit der Systeme und Dienste
– Absichtliche, böswillige im Zusammenhang mit der
Zerstörung/Manipulation von Datenverarbeitung
Hardware – Überreaktion von IT/ICT-Anlagen
– Diebstahl von Datenträgern – Generierung von falschen Daten
– Stillstand der IT/ICT-Anlagen Finanzielle Auswirkungen
Menschliches Versagen
– Handlung/Unterlassung ohne Cyber-Kriminalität/E-Crime Reputationsschaden
böswillige Absicht – Datendiebstahl
– Fahrlässige Anwendungsfehler/ – Unbefugte Datenbeschaffung Datenschutzverletzungen
Nutzerverhalten – Unbefugtes Eindringen in
Datenverarbeitungssysteme
Technisches Versagen – Betrügerischer Missbrauch von
– Datenverlust nach Headcrash Datenverarbeitungsanlagen
von Festplatten, Computerabsturz – Erpressung
infolge Überhitzung – Verletzung von Fabrikations-
– IT/ICT-Störung oder Geschäftsgeheimnissen Bewältigung von Cyber-Risiken
– Cryptocurrency-Crime
Elementarereignisse Learnings
Indirekte Ereignisse
– Schaden bei IT-Dienstleister
10 Cyber Risk & Insurance 20212.1 FINANZIELLE AUSWIRKUNGEN
Die Cyber-Risikolage erhöht sich von Jahr zu Jahr, Finanzierbarkeit. Die durch einen Cyber-Vorfall
weshalb die finanzielle Tragbarkeit des Restrisi- verursachten Schäden lassen sich aufgrund fehlen-
kos in den Fokus rückt. Die finanziellen Restrisiken der Erfahrungswerte weder vollumfänglich noch ab-
zu kennen, bedeutet Sicherheit hinsichtlich deren schliessend quantifizieren.
EIGENSCHÄDEN – Vermögensverlust infolge Cyber-Betrug und
– Kosten für Krisenmanagement (IT-Forensik, Social Engineering und damit
Rechtsberatung, PR-Beratung) zusammenhängende Folgekosten
– Kosten für Benachrichtigung Betroffener und – Kosten für durch externe IT-Dienstleister
Behörden nach Datenverlust verursachte Schäden
– Kosten für Daten-Monitoring nach Datenverlust – Kosten für die Durchsetzung eigener durch Dritte
– Kosten für Bearbeitung von Auskunftsbegehren verletzte Rechte (Intellectual Property)
– Datenschutzbussen – Abwehrkosten im Zusammenhang mit
– Kosten für Wiederherstellung oder Ersatzbe- regulatorischen Verfahren
schaffung von Daten und IT-Systemen – Abwehrkosten im Zusammenhang mit
– Kosten für die Aufrechterhaltung der Funktions- Haftungsrisiken
fähigkeit der IT-Systeme – Kosten für die Verhinderung oder Milderung
– Kosten bei Betriebsunterbruch, welche zur eines möglichen Haftungsrisikos
Fortführung der Geschäftsaktivitäten aufgewendet – Schadenermittlungskosten
werden müssen inkl. entgangener Gewinn – Kosten infolge Reputationsschaden
– Erpressungszahlungen und damit zusammenhän-
gende Folgekosten
DRITTSCHÄDEN (HAFTUNGSRISIKEN)
– Zahlung von Schadenersatzansprüchen Dritter – Zahlung von Schadenersatzansprüchen nach
nach Datenschutz- oder Sicherheitsverletzung Verletzung des Wettbewerbs-, Urheber- und
– Zahlung von Schadenersatzansprüchen nach Markenrechts oder einer Geheimhaltungspflicht
Persönlichkeitsverletzung oder Ehrverletzung – Zahlung von Schadenersatz oder Konventional-
– Zahlung von Schadenersatzansprüchen nach strafen infolge Vertragsverletzung
Verletzung oder Verlust von geistigem Eigentum
Dritter
Cyber Risk & Insurance 2021 112
2.2 IT SUPPLY CHAIN RISK – WER HAT DIE ÜBERSICHT?
Im heute digital vernetzten Geschäftsumfeld stellt – Von welchen IT-Dienstleistern sind wir abhän-
eine funktionierende IT eine der wichtigsten Vor- gig? In welchem Geschäftsbereich und welche
aussetzungen für den Unternehmenserfolg dar. Mit Art von Daten werden durch wen bearbeitet/ver-
ausgelagerten Dienstleistungen, Systemen, Prozes- arbeitet (besonders schützenswerte Personen-
sen oder Einrichtungen steigt die eigene Abhängig- daten, sensitive Produktionsdaten, Vertragskon-
keit von Drittunternehmen. Gleichzeitig sinkt in der ditionen von Grosskunden, Strategiedokumente
Regel der Überblick über die vorhandenen Supplier etc.)?
sowie die fehlenden Ressourcen zur fortlaufenden – Welche und wie viele Mitarbeitende der
Cyber-Risikoprüfung. IT-Dienstleister haben auf die Systeme unserer
Firma Zugriff/Einsicht in diese Daten?
Eine risikobasierte Verwaltung der IT-Geschäfts- – Welche Mitarbeitenden der Dienstleister haben
partner wird heute zunehmend von Investoren, sen- welche Administratorenrechte?
sibilisierten Kunden oder den Aufsichtsbehörden – Wie ist das Service Level Agreement ausgestaltet?
(wie FINMA oder Aufsichtsbehörden für Pensions- Wer haftet wofür im Falle eines Ausfalls des Netz-
kassen) verlangt. Damit die IT Supply Chain für Sie werks?
und Ihre wichtigsten Stakeholder keine Black Box – Sind die Schlüsselpersonen und grössten Cyber-
wird/bleibt, empfehlen wir Ihnen, die IT-Lieferanten Risiken in der IT Supply Chain bekannt?
entsprechend den eigenen Bedürfnissen zu prüfen. – Kennt die Unternehmensführung die finanziellen
Auswirkungen infolge der relevanten IT-Lieferan-
ten? Welche Kosten deckt die Versicherung?
– Wer in unserem Unternehmen hat den Überblick
über die zu prüfenden Punkte vor Vertragsschluss
mit einem IT-Dienstleister?
Grafik rechts: Zu einem durchschnittlichen KMU können gut 20 bis
50 IT-Dienstleister zählen. Je internationaler und je digitaler das
Geschäftsmodell ist, desto länger wird die IT Supply Chain. Der Faktor
Mensch ist bekanntlich eine der grössten Schwachstellen in der
Cyber/IT Security. Wichtig zu wissen sind drei Punkte: Wer gehört zu
unserer IT Supply Chain? Welche Mitarbeitenden der eigenen Firma
und der IT-Dienstleister sind Schlüsselpersonen für den Erfolg
unseres Geschäftsmodells? Und welche Schlüsselperson hat welche
Berechtigungen und welche Administratorenrechte? Anhand
der Antworten können gezielte Präventivmassnahmen oder ein
bewusster Entscheid für die Übernahme eines entsprechenden
Cyber-Risikos getroffen werden.
12 Cyber Risk & Insurance 2021WER GEHÖRT ZUR IT SUPPLY CHAIN UNSERER FIRMA?
Cloud-Dienstleister (IaaS) Cloud-Dienstleister (SaaS)
Infrastruktur as a Service Software as a Service
– Rechenzentrum – Rechenzentrum
– Physische Server – Physische Server
– Speichersysteme – Speichersysteme
– Virtualisierung – Virtualisierung
– Betriebssystem
Serverhousing Cloud-Dienstleister (PaaS) – Middleware
– Rechenzentrum Platforms as a Service – Datenbanken
– Rechenzentrum – Anwendungsdaten
– Physische Server – Standardsoftware
– Speichersysteme – Fachanwendung
Infrastrukturbetreiber – Virtualisierung
– Strom/Wasser – Betriebssystem
– Internet/Telekom Freelancer – Middleware
– Datenbanken
On-Premises Software oder
On-Premises Software und Serverhousing
Privat Hybrid
Cloud Cloud
FinTechs InsurTechs LegalTechs MedTechs
Multi Public
Cloud Cloud
Support-Dienstleistungen Support-Dienstleistungen
Kernfunktionen Unterstützungsfunktionen
Community Distributed
Forschung/ Rechtsberatung und Externer/interner Cloud Cloud
Analysen Consulting-Dienstleistungen Subunternehmer
Gebäude- Software- Start-up in Regulatoren/
überwachung Entwickler anderem Bereich Behörde Supply Chain End?
Cyber Risk & Insurance 2021 133
CORPORATE GOVERNANCE
Die Cyber-Sicherheit ist eine Governance-Herausforderung. Grosse Unsicherheit herrscht bei
den Fragen: Wie strukturieren die Verwaltungsräte ihre Aufsicht über die Cyber-Sicherheit
und wie interagieren sie mit dem Management bei diesem wichtigen Thema? In jedem Schaden-
fall stellt sich die Frage, ob der Verwaltungsrat die vorhandenen Cyber-Risiken kannte
oder hätte kennen müssen. Die Beurteilung der Antworten hängt stark vom Einzelfall und der
entsprechenden Branche beziehungsweise den Datensicherheitsvorkehrungen gemäss
State of the Art ab. Nach jedem grösseren Cyber-Schadenfall steht deshalb die Frage im Raum,
ob der Verwaltungsrat dafür zu haften hat. Umso gewichtiger ist der bewusste Entscheid.
3.1 PFLICHTEN DES VERWALTUNGSRATES
Im Zusammenhang mit dem enormen von Cyber- Gemäss herrschender Lehre gelten unter anderen die
Risiken ausgehenden Schadenpotenzial rücken unter folgenden Pflichten als unübertragbare Pflichten des
anderen die komplexer werdenden Pflichten des Ver- Verwaltungsrates.
waltungsrates einer Aktiengesellschaft in den Fokus.
– Aufsichts- und Strategieaufgaben mit dem Ziel,
ÜBERTRAGBARE PFLICHTEN die Interessen der Gesellschaft wahrzunehmen.
Der Verwaltungsrat ist das geschäftsführende Organ – Risikobeurteilung: Der Verwaltungsrat hat im
einer Aktiengesellschaft, sofern er die Geschäfts- Rahmen des Lageberichts unter anderen die Lage
führung nicht übertragen hat. Bei der Delegation von der wichtigsten geschäftlichen Risiken zu beur-
Organaufgaben haftet der Verwaltungsrat für den teilen (OR 961c Abs. 2 Ziff. 2). Dies umfasst ins-
vom Dritten verursachten Schaden, wenn er nicht besondere die Beurteilung der aktuellen Mark-
nachweist, dass er bei dessen Auswahl, Unterrich- trisiken, Kredit- und Lieferrisiken sowie der
tung und Überwachung die nach den Umständen finanziellen und operationellen Risiken wie IT-,
gebotene Sorgfalt angewendet hat (OR 716 Abs. 2 Sicherheits-, Produkte- und Rechtsrisiken, Cy-
i. V. m. OR 716b Abs. 1 i. V. m. OR 754 Abs. 2). ber-Risiken sowie der relevanten Zukunftsaus-
sichten. Einen Lagebericht haben alle Unterneh-
UNÜBERTRAGBARE PFLICHTEN men zu erstellen, die von Gesetzes wegen zu einer
Für die unübertragbaren und unentziehbaren Pflichten ordentlichen Revision verpflichtet sind (OR 961 i.
des Verwaltungsrates trägt der Gesamtverwaltungsrat V. m. 727).
die volle Verantwortung. Die Unübertragbarkeit be- – Entscheid über Risikofinanzierungsstrategie und
schränkt sich auf die Entscheidfindung und Ent- IT/ICT-Sicherheitsstrategie
scheidfällung beziehungsweise auf den bewussten
Entscheid, womit Vorbereitungsaufgaben sowie die
Ausführung von Beschlüssen an operative Organe
übertragen werden können.
14 Cyber Risk & Insurance 2021CORPORATE GOVERNANCE – VORAUSSETZUNGEN FÜR EINEN MANAGEMENT-ENTSCHEID
Unübertragbare Pflichten des Verwaltungsrates
– Aufsichts- und Strategieaufgaben
– Beurteilung der wichtigsten Risiken
– Entscheid über Risikofinanzierungsstrategie beziehungsweise IT/ICT-Sicherheitsstrategie
Management-Entscheid beruht auf
– Angemessener beziehungsweise hinreichender Information = Einholung aller für konkrete Entscheide
relevanten rechtlichen Informationen
– Abwägung aller Vor- und Nachteile der Handlungsalternativen und deren Konsequenzen sowie
finanzielle Auswirkungen
Sind die Voraussetzungen für einen Management-Entscheid erfüllt?
JA NEIN
Management-Entscheid = bewusster Entscheid Management-Entscheid ≠ bewusster Entscheid
Business Judgement Rule erfüllt Business Judgement Rule nicht erfüllt
Keine Pflichtverletzung beziehungsweise keine Haftung Pflichtverletzung beziehungsweise Haftung nach
nach OR 754 trotz allfälligem Fehlentscheid OR 754 möglich
Cyber Risk & Insurance 2021 153
3.2 DIE RELEVANZ DES BEWUSSTEN ENTSCHEIDS
Der Verwaltungsrat schuldet seinem Unterneh- einzelnen Organe für diese Unterlassung haften.
men für jeden Entscheid eine sorgfältige Vor- Aus rechtlicher Sicht kann auch ein fehlendes oder
bereitung, Evaluation und Umsetzung – nicht mangelhaft durchgeführtes Cyber Risk Management
aber den Erfolg. Damit wird das Augenmerk auf beziehungsweise ein nicht-bewusster Entscheid
ein sorgfältig ausgestaltetes Entscheidungsver- über die Risikofinanzierung unter Umständen als
fahren beziehungsweise auf einen einwandfrei- Sorgfalts- oder Treuepflichtverletzung im Sinne von
en Entscheidungsprozess gelegt. Dies gilt eben- OR 717 qualifiziert werden und möglicherweise zur
falls für den Entscheid der Risikofinanzierung Haftung der einzelnen Organe nach OR 754 führen.
von Top-Risiken beziehungsweise ob diese mit Ebenfalls können mit Absicht oder grobfahrlässig
Eigenmitteln finanziert oder transferiert werden. unterlassene Pflichten im Rahmen der EU-Daten-
schutzgrundverordnung, welche die Umsetzung
KONSEQUENZEN EINES FALSCHEN gewisser Sicherheitsstandards verlangen, zu ver-
GESCHÄFTSFÜHRUNGSENTSCHEIDS schärften Haftungslagen der Unternehmensführung
In einem solchen Fall ist eine Pflichtverletzung der führen.
Verwaltungsorgane zu verneinen, wenn der Geschäfts-
führungsentscheid auf einer angemessenen bezie- Der D&O-Haftung unterstehen neben den Ver-
hungsweise hinreichenden Informationsbasis und auf waltungsratsmitgliedern auch alle anderen mit der
einer ernsthaften Entscheidungsfindung beruht. Dies Geschäftsführung betrauten Personen. Sogenannt
schliesst eine angemessene beziehungsweise hinrei- faktische Organe nehmen eigenständig Geschäfts-
chende Informationsbeschaffung für die Einholung aufgaben wahr und haben einen entscheidenden
aller für konkrete Entscheide relevanten tatsächlichen Einfluss auf die Willensbildung der Gesellschaft.
rechtlichen Informationen mit ein, um eine umfassen-
de Abwägung der Vor- und Nachteile der Handlungs- BUSINESS JUDGEMENT RULE
alternativen und deren Auswirkungen zu ermöglichen Die Business Judgement Rule wird im Rahmen der
(vgl. BGer 4A_97/2013, Erw. 5.2; BGE 139 III 26). Organhaftung nach OR 754 geprüft. Nach der Formel
des Schweizerischen Bundesgerichts im Entscheid
ORGANHAFTUNG (D&O-HAFTUNG) OR 754 4A_74/2012, Erw. 5.1 haben sich Gerichte bei der
Experten der Versicherungswirtschaft verweisen auf nachträglichen Beurteilung von Geschäftsentschei-
die USA und prognostizieren, dass Cyber-Schaden- den Zurückhaltung aufzuerlegen, wenn diese Ent-
fälle in Europa künftig ebenfalls vermehrt im Rah- scheide in einwandfreien Entscheidungsprozessen
men der Cyber- und D&O-Versicherung geltend zustande gekommen sind, die auf einer angemes-
gemacht werden; dies mit Konsequenzen auf die Be- senen Informationsbasis beruhten und frei von In-
achtung von Kumulrisiken, die bereits im Underwri- teressenkonflikten waren. Pflichtwidrig handelt ein
ting-Prozess der Versicherer und Rückversicherer zu Geschäftsführungsorgan bloss, wenn ein Geschäfts-
berücksichtigen sind. entscheid schlicht unvertretbar ist. Deshalb sind
Unternehmen gut beraten, ihre Geschäftsentscheide
Trifft die Geschäftsführung zum Beispiel nur unge- bewusst zu fällen sowie umfassend zu dokumentieren.
nügende Sicherheitsmassnahmen zur Verhinderung
von Hacker-Angriffen respektive schützt sie dadurch
das Vermögen indirekt unzureichend, können die
16 Cyber Risk & Insurance 2021EQUIFAX: GRENZEN DER BUSINESS denn bei der Beurteilung der Frage, ob Verantwort-
JUDGEMENT RULE liche ihrer Sorgfaltspflicht nachgekommen sind und
Sammelklagen führen in Zusammenhang mit der ge- gegen die Business Judgement Rule verstossen ha-
gebenenfalls fehlenden Cyber-Sicherheit nach Daten- ben, wird das Gericht nach Beweisen dafür suchen,
sicherheitsvorfällen zur Haftung von Unternehmen ob die Entscheidungsträger vorsätzlich und sach-
oder der verantwortlichen Organe. Bei der Beurtei- kundig gehandelt und Alternativen zur letztlich im-
lung der Frage, ob Entscheidungsträger ihrer Sorg- plementierten Schutzmassnahme ermittelt und un-
faltspflicht nachgekommen sind, wird das Gericht tersucht haben. Diejenigen, die ihre Verantwortung
nach Beweisen dafür suchen, ob die Verantwortlichen für die Cyber-Sicherheit quasi ignorieren oder das
vorsätzlich und sachkundig gehandelt und Alternati- Unternehmen leichtsinnig einer Gefahr aussetzen,
ven zum bewussten Entscheid bezüglich Umgang mit um die Firma zu schützen, werden mit grosser Wahr-
den relevanten Risiken ermittelt und untersucht haben. scheinlichkeit keinen Schutz durch die Business
Judgement Rule finden.
Die Grenze der Business Judgement Rule zeigt sich
in der jüngsten Sammelklage gegen Equifax von An- «NATIONALE STRATEGIE ZUM SCHUTZ DER
fang 2020: Die Kläger behaupten, dass Equifax den SCHWEIZ VOR CYBER-RISIKEN 2018-2022» UNTER-
Benutzernamen «admin» und das Passwort «admin» STREICHT DIE WICHTIGKEIT DER CYBER-RISIKEN
benutze, um ein Portal zur Verwaltung von Kre- In der Schweiz zeigen diverse Projekte auf Bundes-
ditstreitigkeiten zu schützen, und damit ein Pass- ebene wie beispielsweise die «Nationale Strategie
wort gewählt habe, das todsicher gehackt werden zum Schutz der Schweiz vor Cyber-Risiken 2018–
könne; im Weiteren habe Equifax die Schlüssel zum 2022» oder der Ausbau der «Cyber-Armee», wie
Entsperren der Verschlüsselung der Server mit sen- essenziell die Cyber-Risiken sind und mit welcher
siblen Daten auf denselben öffentlich zugänglichen Priorität sie behandelt werden müssen. Die Om-
Servern hinterlassen, sodass die Verschlüsselung nipräsenz der Cyber- und IT-Risiken in der Privat-
leicht von den Daten entfernt werden konnte. Diese wirtschaft und der öffentlichen Hand lassen das Ig-
Behauptungen werden es Equifax nicht einfach ma- norieren von diesen Risiken nicht zu. Je grösser und
chen zu beweisen, dass die dem Risiko angemessene systemkritischer ein Unternehmen ist, desto weni-
Sorgfaltspflicht ausgeübt wurde. In einem solchen ger ist Ignorieren oder Kleinreden der notwendigen
Fall nützt auch eine Business Judgement Rule nichts, Cyber-Präventivmassnahmen eine Option.
DOKUMENTATION VON GESCHÄFTSENTSCHEIDEN
Ein Geschäftsentscheid beziehungsweise der bewusste Entscheid ist zu protokollieren (OR 713 Abs. 3),
denn im Rahmen von allfälligen Beweiserhebungsverfahren sind Urkunden wie Verwaltungsratsprotokolle
gegebenenfalls herauszugeben (ZPO 160 Abs. 1 lit. b).
Basierend auf den Entscheidungsgrundlagen sind die Vor- und Nachteile der Handlungsalternativen und
deren finanzielle Auswirkungen zu dokumentieren. Der bewusste Entscheid ist zu begründen. Geschäfts-
führungsorgane, die potenziell von Interessenkonflikten betroffen sind, sollten an der Beschlussfassung zum
bewussten Entscheid nicht teilnehmen.
Cyber Risk & Insurance 2021 174
WAS HABEN DATENSCHUTZ
UND DATENSICHERHEIT MIT
CYBER RISK ZU TUN?
Praktisch jeder Cyber-Incident führt zur Verletzung der Integrität, Verfügbarkeit oder Vertrau-
lichkeit von Personen- und/oder Unternehmensdaten. Insofern steht bei jeder unbeabsichtigten
oder unrechtmässigen Vernichtung, bei Verlust, Veränderung, Offenlegung oder Zugangssperre
zu Daten (Betriebsunterbruch) immer die Frage im Raum, welche Datenschutzgesetze und welche
anderen sektorspezifischen Gesetze tangiert sind und welche regulatorischen Massnahmen
beziehungsweise Pflichten sich daraus ergeben. Datensicherheitsverletzungen können Folgen
eines kriminellen Cyber-Angriffs sein, aber genauso gut können nicht-kriminelle Ursachen wie
IT-technische Pannen oder ein unbeabsichtigt fehlgeleitetes E-Mail zu einem Datenverlust führen.
Im heutigen Geschäfts- und Rechtsumfeld gewinnt Die TOMs sind gemäss State of the Art beziehungs-
die Rechenschaftspflicht und damit die Dokumenta- weise gemäss dem Stand der Technik umzusetzen.
tion der datenschutzrechtlichen Massnahmen für die State of the Art ist ein unbestimmter, dafür dynami-
Unternehmensführung an Bedeutung. Dabei spielt scher, aber gerichtlich voll überprüfbarer Rechtsbe-
auch die Dokumentation des bewussten Entscheids griff, der den branchenspezifischen Sicherheitsstan-
hinsichtlich Umsetzungsart und Priorisierung der dards entspricht, die sich laufend ändern können. In
datenschutzrechtlichen Pflichten sowie die Begrün- einem Cyber-Schadenfall müssen die verantwortli-
dung der eingeschlagenen Strategie basierend auf chen Unternehmen beweisen, dass die eingesetzten
den umgesetzten technischen und organisatorischen TOMs gemäss State of the Art eingesetzt werden. Auch
Massnahmen (TOM) eine wichtige Rolle. sind «Stand-der-Technik-Klauseln» in Cyber-Versi-
cherungen weit verbreitet, wobei ein Versicherungs-
schutz bei Nichtumsetzung der TOMs gemäss State of
the Art entfallen oder sich reduzieren kann.
KOSTEN IM ZUSAMMENHANG MIT DATENSCHUTZGESETZVERLETZUNGEN SIND BEI KENNTNIS DES
ENTSPRECHENDEN RECHTS KALKULIERBAR UND DERZEIT GRÖSSTENTEILS VERSICHERBAR.
– Benachrichtigung von Behörden oder Betroffenen
– Kosten für regulatorische Verfahren
– Gewisse Datenschutzbussen
– Zahlung von Schadenersatzforderungen Dritter nach Datenschutzverletzung samt Rechts- und
Beratungskosten bei regulatorischen Verfahren, Datenschutzbussen, Kosten für Krisenmanagement,
Benachrichtigungskosten
18 Cyber Risk & Insurance 20214.1 DIE SCHWEIZ UND DER EINFLUSS DER EU: THEMEN BIS 2022
Am 25. September 2020 hat das Schweizer Parlament für die EU solange als Drittstaat mit einem genügen-
das revidierte Bundesgesetz über den Datenschutz den Datenschutz, bis dieser Entscheid revidiert wird.
(DSG) verabschiedet. Aufgrund COVID-19 hat sich Bezüglich der politischen Agenda seitens EU ist auf
das Differenzbereinigungsverfahren länger hingezo- das Schrems-II-Urteil vom 16. Juli 2020 zu verwei-
gen als ursprünglich geplant. Bis zum Inkrafttreten sen, wonach der EuGH das EU–US Privacy Shield per
im Jahr 2022 werden entsprechende Verordnungen sofort für nichtig und damit den Personendaten-
ausgearbeitet und in die Vernehmlassung geschickt. transfer von der EU in die USA als nicht mehr daten-
Die ursprünglich vorgesehene zweijährige Über- schutzrechtlich sicher erklärt hat. Verlangt wird neu
gangsfrist, wonach die verantwortlichen Unterneh- ein zusätzlicher vertraglicher Schutz, der sich bei
men betreffend ihrer Pflichten die ersten zwei Jahre den Unternehmen vor allem in höheren Kosten und
hätten verschont werden sollen, wurde gestrichen. Mehraufwand niederschlägt.
Umso wichtiger ist es, die Vorbereitungen zur
DSG-Compliance frühzeitig mit Fachspezialisten zu Die Auswirkungen des Schrems-II-Urteils sind auch
planen. in der Schweiz spürbar: Zwar ist das Swiss–US Pri-
vacy Shield solange gültig, bis es höchstrichterlich
Im Weiteren ist nach wie vor der Angemessenheits- für nichtig erklärt wird. Dennoch ist die Stellung-
entscheid der EU-Kommission ausstehend, der den nahme des eidgenössischen Datenschutz- und Öf-
ungehinderten Datentransfer von der EU in die fentlichkeitsbeauftragten (EDÖB), wonach das
Schweiz aufrechterhalten soll. Bis jedoch entschie- Swiss–US Privacy Shield ebenfalls keinen genügen-
den wird, gilt nach wie vor der geltende Beschluss den Schutz für den Datentransfer von der Schweiz in
der EU vom 26. Juli 2000, denn dieser hat kein Ab- die USA bieten soll, gegebenenfalls richtungswei-
laufdatum. Die EU ist nicht gezwungen, diesen An- send für einen künftigen Gerichtsentscheid zum
gemessenheitsbeschluss bezüglich der Datenschutz- Swiss–US Privacy Shield. Insofern sind Schweizer
gesetzgebung in der Schweiz zu fällen. Insofern stellt Unternehmen, die Personendaten in die USA über-
sich die Frage, welche politische Agenda die EU mit mitteln, angehalten, die Lage zu beobachten und ge-
diesem Beschluss verfolgt. Wichtig: Die Schweiz gilt gebenenfalls frühzeitig Massnahmen zu ergreifen.
Cyber Risk & Insurance 2021 194
4.2 VERGLEICH DER MELDEPFLICHTEN SCHWEIZ–EU
Die Kenntnis der vorhandenen Datenschutzkategorien im Unternehmen hilft bei der Beurteilung, wo Meldepflichten im Falle
einer Sicherheitsverletzung verlangt sind. Als Präventivmassnahme und um die Kosten nach einem Data Breach möglichst gering
zu halten, empfiehlt es sich, gewisse Vorbereitungen für das Eintreffen eines Data Breach zu treffen.
AKTUELLE RECHTSLAGE SCHWEIZ ZUKÜNFTIGE RECHTSLAGE SCHWEIZ
Bundesgesetz über den Datenschutz (DSG) Revidiertes DSG
In Kraft: 1. Juli 1993 (1. Revision 2008) In Kraft frühestens 2022 (2. Revision)
– Personendaten – Personendaten (Revidiertes DSG Art. 5 lit. a)
Datenkategorien und damit
verbundene Meldepflichten
(natürliche und juristische Personen) – Besonders schützenswerte Personendaten (Revidiertes DSG Art. 5 lit. c)
– Besonders schützenswerte Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten
Personendaten oder Tätigkeiten; Daten über die Gesundheit, Intimsphäre oder Zugehörigkeit zu
Daten über religiöse, weltanschauliche, Rasse oder Ethnie; genetische Daten; biometrische Daten, die eine natürliche Person
politische oder gewerkschaftliche eindeutig identifizieren; Daten über verwaltungs- oder strafrechtliche Verfolgungen
Ansichten oder Tätigkeiten; Daten und Sanktionen; Daten über Massnahmen der sozialen Hilfe.
über die Gesundheit, Intimsphäre oder
Zugehörigkeit zu Rasse oder Ethnie; – Risikobasierter Datenschutz: Daten, bei deren Bearbeitung ein «hohes Risiko»
Daten über verwaltungs- oder für die Persönlichkeit oder Grundrechte der Betroffenen besteht.
strafrechtliche Verfolgungen und Der E-DSG orientiert sich konsequent an den potenziellen Risiken für die Betroffenen, weil
Sanktionen; Daten über Massnahmen die Privatsphäre der Betroffenen weitgehend von den Aktivitäten der Verantwortlichen und
der sozialen Hilfe. Auftragsverarbeiter abhängt. Es wird unter anderem von einem hohen Risiko ausgegangen,
wenn ein Unternehmen zu einer Datenschutz-Folgeabschätzung verpflichtet wird;
beispielsweise bei der umfangreichen Bearbeitung besonders schützenswerter Personen-
daten oder wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.
Keine ausdrückliche gesetzliche Meldepflicht bei Verletzung der Datensicherheit, die voraussichtlich zu einem
Meldepflicht
Meldepflicht. «hohen Risiko» für die Persönlichkeit oder Grundrechte des Betroffenen führt
(Revidiertes DSG Art. 24).
– Meldepflicht des Verantwortlichen: Meldung so rasch als möglich an den
eidgenössischen Datenschutzbeauftragten (EDÖB).
– Meldepflicht des Auftragsverarbeiters: Meldung so rasch als möglich an Verantwortlichen.
– Meldepflicht des Verantwortlichen: Meldung an betroffene natürliche Person, wenn
es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt (Ermessensspielraum).
Strafrechtliche Sanktionen Keine Busse nach Meldepflichtverletzung.
Rechtsfolgen
bei Verstoss
Maximal CHF 10’000.- Busse
Haftung, Anspruch auf Schadenersatz der betroffenen Person oder weitere
strafrechtliche Sanktionen ausserhalb der DSGVO möglich.
20 Cyber Risk & Insurance 2021Wichtig zu wissen:
1. Was ist geschehen? Welche Datenkategorien sind betroffen? 2. Wer ist intern für die Meldung zuständig?
3. An wen müssen wir melden? 4. Wie müssen wir melden? 5. Innerhalb von welcher Frist?
AKTUELLE RECHTSLAGE EU/EWR
EU-Datenschutzgrundverordnung (DSGVO)
In Kraft EU: 25. Mai 2018 / EWR: 20. Juli 2018
– Personenbezogene Daten
– Besondere Kategorien personenbezogener Daten
Personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche
Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen
Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer
natürlichen Person.
– Risikobasierter Datenschutz: Daten, bei deren Verlust ein hohes Risiko für die persönlichen Rechte und Freiheiten besteht.
Die DSGVO enthält keine Hinweise, in welchen Fällen kein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen
besteht, weshalb die Risikoabwägung anhand der potenziellen Auswirkungen der Verletzung der Vertraulichkeit, Integrität und
Verfügbarkeit von Daten vorzunehmen ist. Zum Beispiel bei Verletzung der Vertraulichkeit von Personendaten, die zu Schaden für
den Betroffenen führt: Diebstahl von Login-Daten und Kaufhistorien von einem Anbieter, Kompromittierung von Gesundheits- oder
Zahlungsdaten, Marketing-E-Mails werden so versandt, dass jeder Empfänger alle anderen Empfänger ebenfalls erkennen kann etc.
Meldepflicht bei Verletzung des Schutzes personenbezogener Daten (DSGVO Art. 33)
– Meldepflicht des Verantwortlichen: Meldung unverzüglich und möglichst innerhalb von 72 Stunden an die zuständige
Aufsichtsbehörde.
– Meldepflicht des Auftragsverarbeiters: Meldung unverzüglich an Verantwortlichen.
Meldepflicht bei «hohem Risiko» für Rechte und Freiheiten der betroffenen Person
– Meldepflicht des Verantwortlichen: Meldung unverzüglich an betroffene Person.
Busse nach Verletzung der Meldepflicht (DSGVO Art. 83 IV)
Bussgeld von bis zu EUR 10 Mio. oder bis zu 2 Prozent des gesamten, weltweit erzielten konsolidierten Jahresumsatzes.
Haftung, Anspruch auf Schadenersatz der betroffenen Person oder weitere strafrechtliche Sanktionen ausserhalb
der DSGVO möglich.
Cyber Risk & Insurance 2021 214
4.3 MIT EINEM MASSGESCHNEIDERTEN MASSNAHMENPLAN ZUR
DSG-COMPLIANCE: MIT DEN GRUNDLAGEN BEGINNEN
Start so
rasch wie GRUNDSATZENTSCHEID
möglich
Internen/externen Datenschutzberater oder Projektverantwortlichen bestellen;
Ziele und Ressourcen klären
VERZEICHNIS DER BEARBEITUNGSTÄTIGKEITEN ALS GRUNDLAGE
Verzeichnis erstellen und Risikoprüfung vornehmen (revidiertes DSG Art. 12)
SUPPLY-CHAIN-ÜBERBLICK
Supply Chain überprüfen (gegebenenfalls Verträge anpassen)
DATENTRANSFER INS AUSLAND
Welche vertraglichen Grundlagen respektive Voraussetzungen benötigen wir für den rechtmässigen
Datentransfer (inkl. Thema EU–US Privacy Shield und Swiss–US Privacy Shield)?
GAP-ANALYSE: WAS HABEN WIR BEREITS? WAS IST NOCH ZU TUN?
Priorisierung und Umsetzung der Pflichten wie Datenschutz-Folgenabschätzung;
Datenschutzerklärung; Massnahmen und Grundlagen schaffen, damit Informations- und
Auskunftspflichten sowie weitere Pflichten umgesetzt werden können
MELDEPFLICHTEN NACH DATA BREACH
Prozesse für die Erfüllung der Meldepflichten erstellen
VERANTWORTLICHKEITEN ZUR DATENSCHUTZGESETZ-COMPLIANCE
Ende Wie kommen wir der Rechenschaftspflicht/Beweissicherung nach?
Q1/2021
22 Cyber Risk & Insurance 20214.4 BUSSENKATALOG IM REVIDIERTEN DSG
Das revidierte DSG beinhaltet einen ausgebauten Der eidgenössische Datenschutz- und Öffentlich-
strafrechtlichen Teil und zudem sind härtere Sank- keitsbeauftragte (EDÖB) kann nur Empfehlungen,
tionen bei Pflichtverletzungen der verantwortlichen aber keine Bussen aussprechen. Die Bussenkompe-
Organe als im noch geltenden DSG vorgesehen. Die tenz liegt weiterhin bei den Kantonen. Es soll nur der
Bussen werden auf maximal CHF 250’000.- erhöht Vorsatz, nicht die Fahrlässigkeit bestraft werden. Die
und richten sich primär an die fehlbare natürliche Strafverfolgung verjährt nach fünf Jahren (revidier-
Person im Unternehmen (insbesondere Entschei- tes DSG 66).
dungsträger). Bei Bussen bis zu CHF 50’000.- kann
ausnahmsweise das Unternehmen selbst zur Busse Der nachfolgende Bussenkatalog gibt einen groben
verurteilt werden. Überblick über die strafbaren Pflichtverletzungen.
MIT BUSSE BIS ZU CHF 250‘000.- WERDEN PRIVATE PERSONEN BESTRAFT.
Art. 60: Verletzung der Informations-, Auskunfts- und Mitwirkungspflichten, wie …
– Verletzung/Unterlassung der Informationspflichten gegenüber Betroffenen bei der Beschaffung von Personendaten (Art. 19)
– Verletzung/Unterlassung der Informationspflichten gegenüber Betroffenen bei automatisierten Einzelentscheidungen (Art. 21)
– Verletzung/Unterlassung des Auskunftsrechts gegenüber der betroffenen Person, indem vorsätzlich falsche oder
unvollständige Auskunft erteilt wird (Art. 25–27).
– Verstoss gegen die Mitwirkungspflichten, indem dem EDÖB im Rahmen seiner Untersuchung vorsätzlich falsche
Auskunft erteilt oder vorsätzlich die Mitwirkung verweigert wurde (Art. 49 III).
Art. 61: Verletzung von Schweigepflicht, wie …
– Verstoss gegen die Grundsätze bezüglich der Bekanntgabe von Personendaten ins Ausland (Art. 16 I, II)
– Verstoss gegen die Pflichten im Rahmen der Datenverarbeitung durch Auftragsverarbeiter (Art. 9 I, II)
– Nichteinhaltung der Mindestanforderung an die Datensicherheit (Art. 8 III)
Art. 62: Verletzung der beruflichen Schweigepflicht, wie …
– Wer vorsätzlich geheime Personendaten offenbart, über die im Rahmen der Berufsausübung Kenntnisse erforderlich sind.
– Wer als Hilfsperson oder Auszubildende vorsätzlich geheime Personendaten von einer geheimhaltungspflichtigen
Person erfährt und diese offenbart.
Art. 63: Missachten von Verfügungen
– Wer einer durch den EDÖB ergangenen Verfügung oder einem Entscheid der Rechtsmittelinstanzen vorsätzlich
nicht Folge leistet.
MIT BUSSE BIS ZU CHF 50‘000.- KANN DER GESCHÄFTSBETRIEB BESTRAFT WERDEN (ART. 64).
Cyber Risk & Insurance 2021 234
4.5 EXKURS: DATENSCHUTZGESETZE USA
EIN RECHTLICHER FLICKENTEPPICH Anwendungsbereich des CCPA beschränkt sich auf
In den USA gibt es kein allumfassendes Daten- den Bundesstaat Kalifornien und räumt Verbrau-
schutzgesetz; dies im Gegensatz zur Schweiz mit chern das Recht ein, auf personenbezogene Daten
dem DSG oder der EU mit der DSGVO. Vielmehr im Besitz von Unternehmen zuzugreifen und diese zu
gibt es in den USA diverse Datenschutzgesetze auf löschen. Darüber hinaus verpflichtet dieses Gesetz
nationaler, bundesstaatlicher sowie regionaler Ebe- die Unternehmen, den Verbrauchern eine angemes-
ne, welche die Daten natürlicher Personen schützen. sene Sicherheit der Daten zu gewährleisten. Auf-
Zusätzlich oder anstelle kann je nach Themengebiet grund der extraterritorialen Wirkung können auch
eines oder mehrere der über 20 sektorspezifischen Unternehmen ohne physische Präsenz in Kalifornien
Datenschutzgesetze beispielsweise im Bereich Fi- in den Anwendungsbereich des CPPA fallen.
nanzen, Gesundheit oder Handel zur Anwendung
gelangen. Wie diese Gesetze untereinander in Kon- 1. Voraussetzungen Geltungsbereich des CCPA
kurrenz stehen, ist in jedem Einzelfall zu prüfen. – Sammeln von persönlichen Informationen von in
Kalifornien ansässigen Personen; und
Im Gegensatz zur Schweiz und der EU stellt der Da- – Unternehmen ist in Kalifornien geschäftstätig; und
tenschutz in den USA kein Grundrecht dar, son- – Alternativ: Umsatz $ 25 Mio./Jahr oder Bearbei-
dern ist Teil des Verbraucherschutzrechtes. Dies ist tung Daten von mehr als 50’000 Personen oder
der Grund, weshalb die datenschutzrechtliche Auf- Geräten oder mehr als 50 % des Jahresumsatzes
sicht in den USA der Federal Trade Commission wird durch den Verkauf von Verbraucherdaten
zukommt, welche auch für die wettbewerbs- sowie generiert.
verbraucherschutzrechtliche Aufsicht zuständig ist.
Eine unabhängige Datenschutzbehörde wie in der 2. Risiken für Unternehmen
Schweiz oder EU gibt es in den USA nicht. Bussen zwischen $ 2’500 und $ 7’500; Konfrontation
mit zivilen Sammelklagen und Schadenersatzzahlun-
DATA BREACH NOTIFICATION gen zwischen $ 100 und $ 750 pro betroffenen Verbrau-
Data Breach Notification Laws gibt es in allen 50 cher pro Vorfall oder tatsächlichen Schaden, je nach-
US-Staaten. Im Falle eines Datenverlusts oder einer dem, welcher Betrag höher ist; Rechtsverfahren auch als
versehentlichen Veröffentlichung von Daten ist das ausländisches Unternehmen, sofern vom CCPA erfasst.
Unternehmen, das von einer solchen Verletzung be-
troffen ist, verpflichtet, die Regierungen der betrof- 3. Wirksamkeit des CCPA
fenen Bundesstaaten davon in Kenntnis zu setzen. Die Wirksamkeit wird in Frage gestellt, weil es bei-
spielsweise keine obligatorischen Sicherheitsverfah-
KALIFORNIEN IST IM BEREICH DATA PROTECTION ren sowie keine Sanktionen bei Nichteinhaltung gibt
LAW FEDERFÜHREND und die Geldstrafen insbesondere im Vergleich zur
Von allen 50 Bundesstaaten setzte Kalifornien 2002 als DSGVO gering ausfallen.
erster Staat ein Gesetz über die Meldung von Sicher-
heitsverletzungen (California Civil Code § 1798.82)
in Kraft und wurde mit dem California Consumer
Privacy Act von 2018 (CCPA, in Kraft seit 1.1.2020)
zum Vorbildstaat bezüglich Datenschutzrecht. Der
24 Cyber Risk & Insurance 20215
VERSICHERBARKEIT VON
CYBER-RISIKEN
Die Versicherung von Cyber-Risiken stellt die Versicherungswirtschaft vor neue Heraus-
forderungen. Risiken wie Feuer, Sach und Betriebsunterbrechung unterliegen einer natürlichen
Risikoverteilung. Es ist unwahrscheinlich, dass am gleichen Tag Hunderte von Grossbränden in
der Schweiz auftreten. Ein Cyber-Risiko kann sich jedoch viral verbreiten und gleichzeitig
viele Unternehmen schädigen. Das führt bei Versicherern zu einem schwierig zu kalkulierenden
Kumulrisiko, bei welchem mehrere beim gleichen Versicherer versicherte Ereignisse durch
ein einziges Schadenereignis betroffen sein können.
Die Versicherungswirtschaft hat deshalb spezielle dieser Entwicklung ist der Deckungsumfang noch
Cyber-Versicherungspolicen entwickelt, die wesent- nicht in allen Policen transparent dargestellt. Es gibt
liche Komponenten des Cyber-Risikos eines Unter- weiterhin Verträge mit sogenannten stillschweigen-
nehmens abdecken können. Indem die Versicherer den Deckungen (Silent Cyber). Deshalb bleibt die
das Cyber-Risiko in einer separaten Versicherungs- Koordination mit den traditionellen Versicherungs-
lösung mit eigenem Underwriting-Prozess konzen- policen anspruchsvoll und essenziell, um Deckungs-
trieren, entwickeln sie ein fundiertes Risikover- lücken möglichst zu vermeiden. Unsere Cyber-Fach-
ständnis. Die Kunden wiederum erhalten eine spezialisten führen für unsere Kunden in jedem Fall
umfangreiche und auf das Cyber-Risiko fokussierte eine umfassende Lückenanalyse (Gap-Analyse) durch.
Versicherungslösung.
Die nachfolgende Grafik zeigt eine mögliche Einord-
Um das Kumulrisiko besser kontrollieren zu können, nung der Cyber-Versicherung in konventionelle
haben die Versicherer in jüngster Vergangenheit zu- Versicherungspolicen. Typischerweise deckt eine
dem begonnen, für konventionelle Versicherungspo- Cyber-Versicherung reine Vermögensschäden und
licen keinen oder nur einen eingeschränkten Versi- kombiniert Eigen- sowie Drittschäden.
cherungsschutz für Cyber-Risiken anzubieten. Trotz
CYBER-RISIKO AUS DER SICHT DER VERSICHERUNGSINDUSTRIE
EIGENSCHADEN DRITTSCHADEN
Cyber-Risiko Physischer Sachschadenversicherung / Betriebshaftpflichtversicherung
Schaden Betriebsunterbruchs-
Versicherung, EDV-Versicherung
Reiner Vertrauens- Cyber-Versicherung Berufshaft-
Vermögens- schaden- pflicht-
schaden versicherung versicherung
Cyber Risk & Insurance 2021 255
5.1 CYBER-VERSICHERUNG: VERSICHERBARE SCHÄDEN
Nicht alle Versicherer bieten unter den gleichen De- In welchem Umfang die Anbieter die in der Grafik
ckungsbausteinen den gleichen Versicherungsschutz umschriebenen Ursachen sowie finanziellen Aus-
an. Aufgrund der Analyse des Cyber-Risikos Ihres wirkungen versichern, ist Bestandteil der von Kessler
Unternehmens schätzen wir die unterschiedlichen geführten Verhandlungen. Gleiches gilt für den De-
Angebote der Versicherer für Sie ein. ckungsumfang im Bereich des IT-Outsourcings.
Die Grafik rechts zeigt den Deckungsumfang.
– Krisenmanagement umfasst die Service-Dienst-
leistungen des Versicherers, die über externe
Partnerschaften im Bereich IT-Forensik, Rechts-
beratung und PR-Beratung zur Verfügung gestellt
werden.
– Der Bereich Versicherung beinhaltet Eigenschä-
den (beispielsweise Betriebsunterbruch und zu-
sätzliche Kosten) sowie Drittschäden. Eigen-
schäden sind aufgrund eines Cyber-Vorfalls
entstandene Kosten. Drittschäden stehen für die
Übernahme von berechtigten Schadenersatzan-
sprüchen sowie für die Abwehr unberechtigter
Ansprüche.
26 Cyber Risk & Insurance 2021VERSICHERTE URSACHEN UND AUSWIRKUNGEN
KRIMINELLE URSACHEN NICHT-KRIMINELLE URSACHEN
Hacker-Angriff, Ransomware (Erpressung), Menschliches Versagen, technisches Versagen
Phishing-Attacke
Ihr IT-System und Ihre Daten (inhouse oder outsourced)
Auswirkungen auf
Integrität und/oder Verfügbarkeit und/oder Vertraulichkeit
FINANZIELLE AUSWIRKUNGEN
Krisenmanagement, Eigenschäden, Drittschäden
In einer einfachen, tabellarischen Übersicht zeigen wir Ihnen die versicherten Ursachen und finanziellen Auswirkungen
auf und gehen auf die verschiedenen Deckungsvoraussetzungen ein.
Cyber Risk & Insurance 2021 275
5.2 VERTRAUENSSCHADENVERSICHERUNG
Für die Assekuranz sind reine Vermögensschäden aus Social Engineering keine eigentlichen
Cyber-Risiken, da die Vorgehensweise der Täter keinen Eingriff in das IT-System bedingt.
Eine Vertrauensschadenversicherung kann diese Risiken auffangen.
Während die Cyber-Versicherung jegliche Ha- und geben sich als Kunde, IT Support oder CEO aus.
cker-Angriffe als versicherte Ursache anerkennt, Zweitens existiert mit der Vertrauensschadenversi-
sind nicht alle daraus resultierenden finanziellen cherung aus Sicht des Versicherungsmarkts bereits
Auswirkungen versichert. Ein bekanntes Beispiel eine Versicherungslösung, welche die Bilanz der Ge-
sind Delikte im Bereich von Social Engineering: sellschaft gegen IT-basierte, strafbare Handlungen
Nach einem Phishing-Angriff erforderliche Daten- schützt und die reinen Vermögensschäden daraus
wiederherstellungskosten aus der Verbreitung von versichert.
Viren sind unter einer Cyber-Versicherung versi-
chert. Der direkte Vermögensschaden in Form einer Es lohnt sich daher, genau zu prüfen, ob der Ver-
fingierten Banküberweisung hingegen ist nicht oder sicherungsbedarf auch eine separate Vertrauens-
nur beschränkt versichert. Dafür gibt es zwei Gründe.
schadenversicherung umfasst. Denn Arbeiten im
Homeoffice und die damit einhergehenden Ände-
Erstens erfolgt die Mehrheit dieser Angriffsformen rungen der Arbeitsabläufe und Zugangsberechtigun-
ohne Eingriff in ein IT-System, sondern lediglich gen zu den IT-Systemen der Unternehmen begünsti-
mittels E-Mails mit gefälschten Absenderadressen. gen die IT-basierten, strafbaren Handlungen stark.
Darin melden Geschäftspartner Änderungen bei den Aber nicht alle Policen versichern solche Schäden.
Bankverbindungen oder in vermeintlichen Benach- Denn das versicherte Hauptrisiko ist die unrecht-
richtigungen von Banken wird mit einem Link dazu mässige persönliche Bereicherung durch einen Mit-
aufgefordert, die Zugangsdaten zu aktualisieren. In arbeitenden.
anderen Fällen melden sich Angreifer telefonisch
28 Cyber Risk & Insurance 2021Sie können auch lesen
