Institute for Digital Business

Digital Risk Management

Von Christoph Aeberhard, November 16, 2022

Zu allen Artikeln

Einführung

Durch die fortschreitende Digitalisierung und die immer stärkere Vernetzung und Abhängigkeit sowohl von den Informatikinfrastrukturen und IT-Lösungen, wie auch von digitalen Geschäftsmodellen, gewinnt das Thema Cybersecurity laufend an Bedeutung.

Nachfolgend wird aus der Sicht des Unternehmensrechtdiensts auf den Vortrag von Ralph Hutter eingegangen. Nach einer kurzen Übersicht zum Begriff „Digital Risk“ bzw. den Formen, in denen sich die digitalen Risiken manifestieren können sowie den möglichen Schutzmassnahmen, wird im zweiten Teil auf die Einbindung des Rechtsdienstes und dessen Rolle im Management von digitalen Risiken eingegangen.

1. Digital Risk

Mit Digital Risks oder auch Cyber Risiken wird grundsätzlich eine Vielzahl von Risiken, die im Zusammenhang mit Technologie oder mit Informationen eines Unternehmens stehen, verstanden. Es geht um operationelle Risiken, bei denen es sich um Datenverlust und/oder eine IT/ICT-Störung beziehungsweise eine IT/ICT-Fehlfunktion, welche die Vertraulichkeit, die Verfügbarkeit, den Zugriff oder die Integrität von Informationen oder Informationssystemen beeinträchtigt, handelt. Die Bezeichnungen oder Kategorisierungen sind dabei vielfältig und uneinheitlich.

Natürlich gehören auch Risiken im Zusammenhang mit der Infrastruktur an sich oder Produktefehler bei Hard- oder Software zu den digitalen Risiken. Nachfolgend wird aber nur auf die Risiken durch die gezielte Einwirkung Dritter aus kriminellen, wirtschaftlichen oder sonstigen Interessen eingegangen.

Bereits vor der Corona Pandemie wurden Cyberattacken von Unternehmen und den Risikomanagern als grosses Risiko eingestuft. Mit der fortschreitenden Digitalisierung und den dezentralisierten Arbeitsmodellen hat sich die Sensibilität für dieses Thema nochmals deutlich erhöht. Das ist auch nötig. Gemäss dem Bundesamt für Statistik gab es im Jahr 2021 über 30‘000 digitale Straftaten (Quelle: Artikel von Christian Wingeier auf Inside-IT, www.inside-it.ch, vom 28. März 2022).

Mögliche Formen von Attacken auf die Cybersecurity

Zu den zurzeit verbreitetsten Arten von Cyberattacken gehören:

  • Ransomware: Schadprogramme, die das Endgerät sperren oder Daten verschlüsseln. Angreifer versuchen, Geld zu erpressen und drohen das Endgerät erst bei Bezahlung der Forderung freizugeben bzw. die Daten zu veröffentlichen.
  • Phishing: Der Versuch, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Nutzers zu gelangen, um Identitätsdiebstahl zu begehen und in Systeme zu gelangen.
  • DoS-Angriff: Durch eine gezielt herbeigeführte Überlastung mit einer hohen Anzahl an Serveranfragen wird die Nichtverfügbarkeit eines Internetservices angestrebt.
  • Social Engineering: Angreifer nutzen die Hilfsbereitschaft/Gutgläubigkeit von Personen aus, um an Daten zu gelangen oder Betroffene zu bestimmten Handlungen zu bewegen.
  • Daten Diebstahl: Oft über eine Attacke gemäss obiger Beschreibung werden Daten gestohlen und diese selbst als Ware weitergegeben.

Schutzmassnahmen

Abgesehen von üblichen technischen Massnahmen wie

  • Virenschutz/Firewall
  • Sicherheitsupdates
  • Secure Browsing
  • Nutzung virtueller Maschinen/VPN
  • Verschlüsselung

sind Massnahmen mit Bezug auf Mitarbeiter und deren Umgang mit der IT Infrastruktur unerlässlich. Nach wie vor sind Passwörter ein Hauptangriffsziel für Cyberattacken.

Mögliche Schutzmassnahmen in diesem Kontext:

  • Sensibilisierung zu Social Engineering/Phishing
  • Schulung/Vorgaben im Passwort Handling (ev. Passwort Manager)
  • 2 Faktor Authentifizierung (2FA)
  • Tests mit ethischen Hackern

Rechtsdienst und Digital Risk Management

Natürlich bedarf es nicht eines Erpressungsfalls bis der Rechtsdienst mit Digital Risk Management in Berührung kommt. Im Gegenteil, eine der Hauptaufgaben des Rechtsdienstes ist eben gerade das erkennen und minimieren von rechtlichen Risiken.

Digitale Risiken haben auf vielen verschiedenen Ebenen rechtliche und regulatorische Anknüpfungspunkte. Eine enge Einbindung des Rechtsdienstes im Umgang mit digitalen Risiken ist daher unbedingt nötig. Nachfolgend werden einige der Themengebiete genannt, die im Zusammenhang mit dem Digital Risk Management die Mitwirkung des Rechtsdienstes verlangen.

Quelle: eigene Darstellung

Fazit

Angriffe auf das Funktionieren der IT-Systeme oder der Diebstahl von Daten, wie etwa von Geschäftsgeheimnissen oder Kundendaten, können gravierende Folgen für ein Unternehmen haben. Neben dem unmittelbaren wirtschaftlichen und auch dem Reputationsschaden, drohen Unternehmen bei mangelhafter Cybersecurity rechtliche Sanktionen und regulatorische Konsequenzen.

Auch der Verwaltungsrat ist einem gewissen Risiko ausgesetzt, da er für ein angemessenes Risikomanagement zuständig ist. Es besteht also eine gesellschaftsrechtliche Pflicht, ein angemessenes Digital Risk Management sicherzustellen. Der Rechtsdienst nimmt dabei eine wesentliche Rolle war und muss auf verschiedenen Ebenen seinen Beitrag leisten.

 

Dieser Fachbeitrag wurde im Rahmen eines Leistungsnachweises für das CAS Legal Tech verfasst und wurde redaktionell aufgearbeitet.

Entdecken Sie unsere Kurse zum Thema

Start Januar 2023

CAS AI Management HWZ

  • Afke Schouten
  • 1 Semester (18 Tage)
  • Zürich; Sihlhof (direkt beim HB)
Mehr erfahren
Start August 2023

CAS AI Operations HWZ

  • Afke Schouten
  • 1 Semester (18 Tage inkl. 5 Tage Studienwoche off-site)
  • Zürich; Sihlhof (direkt beim HB)
Mehr erfahren
Start Februar 2023

CAS Digital Ethics HWZ

  • Cornelia Diethelm
  • 1 Semester (18 Tage, davon 5 Tage Online)
  • Zürich; Sihlhof (direkt beim HB)
Mehr erfahren
Start Februar 2023

CAS Digital Leadership HWZ

  • Sven Ruoss
  • 1 Semester (18 Tage, davon 5 Tage Studienreise)
  • Zürich; Sihlhof (direkt beim HB)
Mehr erfahren

Dein Persönliches Digital Update

Bleibe auf dem Laufenden über die neuesten Entwicklungen der digitalen Welt und informiere dich über aktuelle Neuigkeiten zu Studiengängen und Projekten.