Cyber Attacken – die Verwaltungsräte stehen in der Verantwortung

«Gouverner c’est prévoir». Wird ein Spital, eine Versicherung oder ein Gesundheitszentrum gehackt und erpresst, ist es zu spät, Verantwortlichkeiten zu definieren. Geht es um die Kompetenzordnung der Anordnung von Cyber-Sicherheitsmassnahmen, steht zuvorderst der Verwaltungsrat in der Pflicht.

, 13. September 2021 um 14:55
image
Die jüngst medial bekannt gewordenen Fälle von Cyber-Angriffen auf Gesundheitsinstitutionen und einer Gemeinde haben erneut aufgezeigt, dass die Cyber-Bedrohungslage steigt. Ganze Netzwerke und zugehörige Systeme wurden kompromittiert, Daten entwendet sowie Firmen und Gemeinden lahmgelegt und erpresst. Auch wenn die Systeme und Daten in den bekannt gewordenen Fällen offenbar und mit viel Aufwand gerettet werden konnten, bleiben immense Schäden. Sie umfassen möglicherweise bezahlte Erpressungsgelder, hohe Kosten für IT-Spezialisten, riesige interne Aufwände und Geschäftsunterbrüche: Hinzu kommen grosse Reputationsschäden – in Kombination beschädigen diese Folgen den Businesserfolg der betroffenen Firmen und Gemeinden. Die Dunkelziffer weiterer von Cyber-Attacken betroffenen Firmen dürfte hoch sein.
Der Spitalbereich ist besonders exponiert. Die Systemumgebungen sind sehr heterogen, die sich im Betrieb befindlichen Systeme haben lange Lebensdauern und sind entsprechend begrenzt aktualisierbar aufgrund spezifischer Komponenten. Zudem kommt hinzu, dass im Spitalumfeld sehr viele unterschiedliche sensibilisierte und ausgebildete Anspruchsgruppen mit am Netz angehängten Systemen umgehen: Pflege, Administration, Technik und Ärzteschaft. Oft kommen hohe Fluktuationsraten hinzu.
Es stellt sich die Frage, wer schlussendlich für adäquate Vorsorge gegen das Eintreten derartiger Geschäftsrisiken verantwortlich ist. Das Gesetz ist hierzu klar: Gemäss Artikel 716a des Obligationenrechts hat der Verwaltungsrat einen Katalog an Aufgaben, die er weder an die Generalversammlung noch an die Geschäftsleitung übertragen kann, sie sind unübertragbar und unentziehbar. Die Oberleitung der Gesellschaft gemäss Artikel 716a Abs.1, Ziff. 1 stellt dabei die Hauptaufgabe des Verwaltungsrats dar. Die übrigen Ziffern dieses Artikels dienen lediglich der Präzisierung dieser Pflicht. Nebst dem Festlegen, Durchsetzen und Überprüfen der Strategie besteht der Sinn und Zweck der Oberleitungspflicht insbesondere darin, die Gesellschaft vor Risiken zu schützen und dadurch die langfristige Existenz des Unternehmens zu sichern. Dies bedeutet, dass jeder Verwaltungsrat gesetzlich dazu verpflichtet ist, ein integrales Risikomanagement auszugestalten, es zu implementieren und zu überwachen.
Wenn also eine Firma dank Schwächen im Dispositiv gegen Cyberattacken in Schwierigkeiten gerät, haftet in letzter Konsequenz der Verwaltungsrat für diese Mängel. Er hat seine Risikovorsorgepflicht nicht im notwendigen Ausmass wahrgenommen.
Was kann er vorkehren? Er muss ausreichende (Risk) Assessments für spezifische Cyber-Risiken anordnen sowie die Wirksamkeit der eingesetzten Massnahmen und Systeme periodisch überprüfen (lassen). Zusätzlich sollte er Notfallszenarien sowie Prozesse und Abläufe im Falle eines Falles angeordnet und überwacht haben, dass sie auch eingeübt werden und dass die grösste Schwachstelle in jeder Firma – die einzelnen Mitarbeiterinnen und Mitarbeiter – regelmässig und ausreichend sensibilisiert und geschult sind und somit zu der Chance werden, adäquat auf Cyber-Angriffe zu reagieren. Auch hier gilt: «Gouverner c'est prévoir.»
 Tobias Ellenberger ist COO bei Oneconsult AG und Vice Chairman Oneconsult International AG. Als Spezialist für Incident Response und Incident Management ist er Vizepräsident der Public Privat Partnership Swiss Cyber Experts (SCE) und Mitglied der Cyber-Kommission von digitalswitzerland. 
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Die Schweiz hat einen weiteren Gesundheits-Hub

Mit an Bord ist auch das Kantonsspital St. Gallen. Entstehen sollen neue Produkte vor allem in den Bereichen Wearables, Gesundheitsmonitoring und Prävention.

image

Weniger Cyberattacken auf deutsche Spitäler

Greifen Hacker wirklich immer öfter Krankenhäuser an? Ein Regierungsbericht widerspricht dem gängigen Bild.

image

Das BAG muss bei der Cybersicherheit nachrüsten

Das Gesetz will, dass das Bundesamt für Gesundheit ein Information Security Management System betreibt. Davon ist die Behörde allerdings noch weit entfernt.

image

Cyber-Sicherheit: Spital STS liess sich hacken – und fand Lücken

Ethische Hacker entdeckten im Auftrag der Thuner Spital-Gruppe Sicherheitslücken, die andernorts schon für Ransomware-Angriffe ausgenutzt worden waren.

image

Schneller gegen Schlaganfall: KSA und ETH entwickeln magnetischen OP-Roboter

Mit der neuen Technologie soll das Eingriffs-Tempo deutlich erhöht werden.

image

KSW rüstet bei Cybersicherheit auf

Knapp 3 Millionen Franken investiert das Kantonsspital Winterthur in die Cybersecurity und lässt sein Security Operations Center neu extern betreiben.

Vom gleichen Autor

image

Auch das Spital Muri reiht sich ein

Und schreibt einen Verlust von 1,5 Millionen Franken.

image

Viktor 2023: Ein Pflegefachmann macht Hoffnung als Politiker

Patrick Hässig war 18 Jahre Radiomoderator, dann ging er erst in die Pflege – und dann in den Nationalrat. Nun erhielt er den «Viktor» als beliebtester Gesundheitspolitiker.

image

Traditioneller Medinside Frühstücksevent

Verpassen Sie nicht unseren traditionellen Frühstücksevent 25. Oktober 2023 in Zürich. Dieses Jahr mit spannenden Themen und Referenten.