Der regulatorische und rechtliche Umgang mit ICT-Risiken gewinnt an Bedeutung

Die Website ist nicht erreichbar. Der Zugang zum System ist gesperrt und Verkäufe können nicht mehr abgewickelt werden. Unbekannte verlangen vom Unternehmen die Zahlung eines Lösegelds, um die Veröffentlichung der gestohlenen Herstellungspläne und Kundenstammdaten zu verhindern.

Ein solches Schreckensszenario ist jüngst leider für viele Unternehmen zur Realität geworden. Alle Unternehmen in allen Branchen sind grundsätzlich anfällig für Vorfälle im Zusammenhang mit ICT-Systemen. Solche Vorfälle können sowohl im Unternehmen selber (z.B. durch technische Unzulänglichkeiten oder Nachlässigkeit) oder durch äussere Ursachen (z.B. Hacker, organisierte Kriminalität) entstehen.

Die «Good News»: ICT-Vorfälle können durch geeignete präventive Massnahmen wenn auch nicht ganz, doch mindestens zum grossen Teil verhindert werden. Zudem ist ein gut vorbereitetes Unternehmen im Ernstfall bedeutend weniger stark von den Auswirkungen betroffen.

Dabei ist – neben angemessenen technischen Massnahmen (geeignete Hard- und Software, Backup, Netzwerk-Überwachung, etc.) - sowohl vor als auch nach einem Vorfall der regulatorische und rechtliche Umgang mit ICT-Risiken (Cyberlaw) von grosser Bedeutung. 

Welche regulatorischen und rechtlichen Massnahmen sollte ein Unternehmen vornehmen, und wie können dadurch mit ICT-Vorfällen verbundene Risiken abgeschwächt werden?

Cyberlaw kann pragmatisch und effizient eingesetzt werden und bietet einen 360°-Schutzrahmen für das Unternehmen vor, während und nach einem ICT-Vorfall:

• Analyse der unternehmensspezifischen ICT-Risiken aufgrund der Branche, der Grösse sowie der vertraglichen Beziehungen eines Unternehmens. Dies ermöglicht die Erstellung eines pragmatischen und effizienten Abwehrdispositivs.
• Erstellung des Abwehrdispositivs durch Festlegung von Zuständigkeiten und Prozessen zum Umgang mit ICT-Risiken in Bezug auf Prävention und Reaktion. Dadurch kann ICT-Vorfällen vorgebeugt sowie im Ernstfall schnell reagiert und damit Schaden abgewendet werden. Das Abwehrdispositiv beinhaltet z.B.:
  o Erstellung eines «Incident Response Plans» und Ernennung eines «Computer Incident Response Teams» (CIRT) für Ernstfälle
  o Durchführung von Mitarbeiterschulungen
  o Prüfung und Minimierung rechtlicher Risiken bei Lizenzen und Verträgen mit Drittparteien
• Laufende Überwachung und Aktualisierung des Schutzkonzepts sowie der eingesetzten ICT. Damit können geplante oder bereits initiierte Angriffe rasch erkannt und das Abwehrdispositiv aktiviert werden.
• Rasche und effektive Reaktion bei Vorfällen, insbesondere:
  o Meldung an Aufsichts- und weitere Behörden (z.B. FINMA, etc.)
  o Koordination mit forensischen Behörden zur Beweissicherung
  o Kommunikation mit Betroffenen und nach aussen (Publikation, Medien)
  o Umgang mit Lösegeldforderungen bei Ransomware
  o Einleitung von strafrechtlichen oder Disziplinarverfahren sowie Umgang mit geltend gemachten Ansprüchen

Die Meldepflichten gegenüber Behörden und Betroffenen werden zudem künftig an Bedeutung gewinnen. Bereits heute unterstehen bestimmte regulierte oder börsenkotierte Unternehmen einer regulatorischen Meldepflicht. Künftig werden alle Schweizer Unternehmen in bestimmten Fällen einer Meldepflicht unterliegen. So sind mit der baldigen Inkraftsetzung des revidierten Datenschutzgesetzes voraussichtlich ab Mitte/Ende dieses Jahres Verletzungen der Datensicherheit bei Vorliegen gewisser Voraussetzungen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden.

Zudem hat der Bundesrat vor Kurzem die Vernehmlassung zur Einführung einer Meldepflicht bei Angriffen auf ICT-Systeme für Betreiber von kritischen Infrastrukturen an das Nationale Zentrum für Cybersicherheit (NCSC) eröffnet. Als Betreiber von kritischen Infrastrukturen gelten unter anderem Banken, Versicherungen und weitere Finanzintermediäre, bestimmte Anbieter von Cloudcomputing, Online-Marktplätzen und weiteren digitalen Diensten, Hersteller von Arzneimitteln und Medizinprodukten, Transportunternehmen im öffentlichen Verkehr und weitere.

PwC unterstützt Unternehmen in allen Branchen bezüglich regulatorischer und rechtlicher Aspekte von ICT-Risiken und der effektiven und pragmatischen Umsetzung eines Schutzkonzepts.