Cyber Attacken – die Verwaltungsräte stehen in der Verantwortung

«Gouverner c’est prévoir». Wird ein Spital, eine Versicherung oder ein Gesundheitszentrum gehackt und erpresst, ist es zu spät, Verantwortlichkeiten zu definieren. Geht es um die Kompetenzordnung der Anordnung von Cyber-Sicherheitsmassnahmen, steht zuvorderst der Verwaltungsrat in der Pflicht.

, 13. September 2021, 14:55
image
Die jüngst medial bekannt gewordenen Fälle von Cyber-Angriffen auf Gesundheitsinstitutionen und einer Gemeinde haben erneut aufgezeigt, dass die Cyber-Bedrohungslage steigt. Ganze Netzwerke und zugehörige Systeme wurden kompromittiert, Daten entwendet sowie Firmen und Gemeinden lahmgelegt und erpresst. Auch wenn die Systeme und Daten in den bekannt gewordenen Fällen offenbar und mit viel Aufwand gerettet werden konnten, bleiben immense Schäden. Sie umfassen möglicherweise bezahlte Erpressungsgelder, hohe Kosten für IT-Spezialisten, riesige interne Aufwände und Geschäftsunterbrüche: Hinzu kommen grosse Reputationsschäden – in Kombination beschädigen diese Folgen den Businesserfolg der betroffenen Firmen und Gemeinden. Die Dunkelziffer weiterer von Cyber-Attacken betroffenen Firmen dürfte hoch sein.
Der Spitalbereich ist besonders exponiert. Die Systemumgebungen sind sehr heterogen, die sich im Betrieb befindlichen Systeme haben lange Lebensdauern und sind entsprechend begrenzt aktualisierbar aufgrund spezifischer Komponenten. Zudem kommt hinzu, dass im Spitalumfeld sehr viele unterschiedliche sensibilisierte und ausgebildete Anspruchsgruppen mit am Netz angehängten Systemen umgehen: Pflege, Administration, Technik und Ärzteschaft. Oft kommen hohe Fluktuationsraten hinzu.
Es stellt sich die Frage, wer schlussendlich für adäquate Vorsorge gegen das Eintreten derartiger Geschäftsrisiken verantwortlich ist. Das Gesetz ist hierzu klar: Gemäss Artikel 716a des Obligationenrechts hat der Verwaltungsrat einen Katalog an Aufgaben, die er weder an die Generalversammlung noch an die Geschäftsleitung übertragen kann, sie sind unübertragbar und unentziehbar. Die Oberleitung der Gesellschaft gemäss Artikel 716a Abs.1, Ziff. 1 stellt dabei die Hauptaufgabe des Verwaltungsrats dar. Die übrigen Ziffern dieses Artikels dienen lediglich der Präzisierung dieser Pflicht. Nebst dem Festlegen, Durchsetzen und Überprüfen der Strategie besteht der Sinn und Zweck der Oberleitungspflicht insbesondere darin, die Gesellschaft vor Risiken zu schützen und dadurch die langfristige Existenz des Unternehmens zu sichern. Dies bedeutet, dass jeder Verwaltungsrat gesetzlich dazu verpflichtet ist, ein integrales Risikomanagement auszugestalten, es zu implementieren und zu überwachen.
Wenn also eine Firma dank Schwächen im Dispositiv gegen Cyberattacken in Schwierigkeiten gerät, haftet in letzter Konsequenz der Verwaltungsrat für diese Mängel. Er hat seine Risikovorsorgepflicht nicht im notwendigen Ausmass wahrgenommen.
Was kann er vorkehren? Er muss ausreichende (Risk) Assessments für spezifische Cyber-Risiken anordnen sowie die Wirksamkeit der eingesetzten Massnahmen und Systeme periodisch überprüfen (lassen). Zusätzlich sollte er Notfallszenarien sowie Prozesse und Abläufe im Falle eines Falles angeordnet und überwacht haben, dass sie auch eingeübt werden und dass die grösste Schwachstelle in jeder Firma – die einzelnen Mitarbeiterinnen und Mitarbeiter – regelmässig und ausreichend sensibilisiert und geschult sind und somit zu der Chance werden, adäquat auf Cyber-Angriffe zu reagieren. Auch hier gilt: «Gouverner c'est prévoir.»
 Tobias Ellenberger ist COO bei Oneconsult AG und Vice Chairman Oneconsult International AG. Als Spezialist für Incident Response und Incident Management ist er Vizepräsident der Public Privat Partnership Swiss Cyber Experts (SCE) und Mitglied der Cyber-Kommission von digitalswitzerland. 
Artikel teilen

Loading

Comment

Home Delivery
2 x pro Woche. Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Ärzteschaft kennt Mehrzahl der Gesundheits-Apps nicht

Ärztinnen und Ärzte fordern Unterstützung bei der Verwendung von digitalen Gesundheitsapplikationen. Dies geht aus einer aktuellen Umfrage der FMH hervor.

image

In dieser Apotheke dürfen Sie noch «plaudern»

Die Basler Top-Pharm Apotheke und die Migros lancieren eine «Plauderkasse». Ein Projekt, das helfen soll, Einsamkeit zu reduzieren und zur Förderung der Gesundheit beizutragen.

image

Cook Research: Digitale Transformation eines globalen MedTech-Unternehmens zur Beschleunigung der klinischen Forschung

Jedes Unternehmen, das auch nach mehr als einem halben Jahrhundert erfolgreich ist, hat zwangsläufig einen gewissen Wandel durchlaufen.

image

Grossrätin Edith Saner hat einen Sitz im VR der Asana Gruppe eingenommen

Die Generalversammlung der Asana Gruppe hat die Aargauer Gesundheitspolitikerin in den Verwaltungsrat gewählt. Sie löst Hans-Jürg Vonesch ab.

image

Hacker greifen Schweizer Spitalverband an

H+ hat zur Sicherheit die Server heruntergefahren und die zuständigen Behörden informiert. Weiter ist ein Krisenstab im Einsatz.

image

Cloud Computing im Spital – der Weg ist das Ziel

Gewachsene IT-Strukturen, persönliche Präferenzen und zu wenig Digitalisierungswissen: Die Digitalisierung des Spitals stellt eine wachsende Herausforderung dar. Eine Menge Potenzial für eine Komplexitätsreduktion der Prozesse liegt dabei in der Cloudifizierung der Spitalarchitektur.

Vom gleichen Autor

image

Halbwahrheiten, Irrtümer und Widersprüche in der Spitaldiskussion

Die Spitaldiskussion ist in der Sackgasse: Zu viele Leute mit zu wenig Fachverständnis reden mit. Halbwahrheiten und Irrtümer werden zu Dogmen und führen zu widersprüchlichen Reformrezepten.

image

Weshalb Recycling im Operationssaal die Zukunft ist

In den Operationssälen von Schweizer Spitälern wird recycelt – in den vergangenen Monaten wurden über 13'100 medizinische Einweginstrumente in den Ressourcenkreislauf zurückgeführt. Und das ist erst der Anfang.

image

Der zweite Teil der Geschäftsberichts-Trilogie der Lindenhofgruppe ist produziert

Die Trilogie widmet sich über alle Teile dem starken Miteinander in der Lindenhofgruppe. Der zweite Teil hat «AUSDAUER» als Fokusthema.