Cyber Attacken – die Verwaltungsräte stehen in der Verantwortung

«Gouverner c’est prévoir». Wird ein Spital, eine Versicherung oder ein Gesundheitszentrum gehackt und erpresst, ist es zu spät, Verantwortlichkeiten zu definieren. Geht es um die Kompetenzordnung der Anordnung von Cyber-Sicherheitsmassnahmen, steht zuvorderst der Verwaltungsrat in der Pflicht.

, 13. September 2021 um 14:55
image
Die jüngst medial bekannt gewordenen Fälle von Cyber-Angriffen auf Gesundheitsinstitutionen und einer Gemeinde haben erneut aufgezeigt, dass die Cyber-Bedrohungslage steigt. Ganze Netzwerke und zugehörige Systeme wurden kompromittiert, Daten entwendet sowie Firmen und Gemeinden lahmgelegt und erpresst. Auch wenn die Systeme und Daten in den bekannt gewordenen Fällen offenbar und mit viel Aufwand gerettet werden konnten, bleiben immense Schäden. Sie umfassen möglicherweise bezahlte Erpressungsgelder, hohe Kosten für IT-Spezialisten, riesige interne Aufwände und Geschäftsunterbrüche: Hinzu kommen grosse Reputationsschäden – in Kombination beschädigen diese Folgen den Businesserfolg der betroffenen Firmen und Gemeinden. Die Dunkelziffer weiterer von Cyber-Attacken betroffenen Firmen dürfte hoch sein.
Der Spitalbereich ist besonders exponiert. Die Systemumgebungen sind sehr heterogen, die sich im Betrieb befindlichen Systeme haben lange Lebensdauern und sind entsprechend begrenzt aktualisierbar aufgrund spezifischer Komponenten. Zudem kommt hinzu, dass im Spitalumfeld sehr viele unterschiedliche sensibilisierte und ausgebildete Anspruchsgruppen mit am Netz angehängten Systemen umgehen: Pflege, Administration, Technik und Ärzteschaft. Oft kommen hohe Fluktuationsraten hinzu.
Es stellt sich die Frage, wer schlussendlich für adäquate Vorsorge gegen das Eintreten derartiger Geschäftsrisiken verantwortlich ist. Das Gesetz ist hierzu klar: Gemäss Artikel 716a des Obligationenrechts hat der Verwaltungsrat einen Katalog an Aufgaben, die er weder an die Generalversammlung noch an die Geschäftsleitung übertragen kann, sie sind unübertragbar und unentziehbar. Die Oberleitung der Gesellschaft gemäss Artikel 716a Abs.1, Ziff. 1 stellt dabei die Hauptaufgabe des Verwaltungsrats dar. Die übrigen Ziffern dieses Artikels dienen lediglich der Präzisierung dieser Pflicht. Nebst dem Festlegen, Durchsetzen und Überprüfen der Strategie besteht der Sinn und Zweck der Oberleitungspflicht insbesondere darin, die Gesellschaft vor Risiken zu schützen und dadurch die langfristige Existenz des Unternehmens zu sichern. Dies bedeutet, dass jeder Verwaltungsrat gesetzlich dazu verpflichtet ist, ein integrales Risikomanagement auszugestalten, es zu implementieren und zu überwachen.
Wenn also eine Firma dank Schwächen im Dispositiv gegen Cyberattacken in Schwierigkeiten gerät, haftet in letzter Konsequenz der Verwaltungsrat für diese Mängel. Er hat seine Risikovorsorgepflicht nicht im notwendigen Ausmass wahrgenommen.
Was kann er vorkehren? Er muss ausreichende (Risk) Assessments für spezifische Cyber-Risiken anordnen sowie die Wirksamkeit der eingesetzten Massnahmen und Systeme periodisch überprüfen (lassen). Zusätzlich sollte er Notfallszenarien sowie Prozesse und Abläufe im Falle eines Falles angeordnet und überwacht haben, dass sie auch eingeübt werden und dass die grösste Schwachstelle in jeder Firma – die einzelnen Mitarbeiterinnen und Mitarbeiter – regelmässig und ausreichend sensibilisiert und geschult sind und somit zu der Chance werden, adäquat auf Cyber-Angriffe zu reagieren. Auch hier gilt: «Gouverner c'est prévoir.»
 Tobias Ellenberger ist COO bei Oneconsult AG und Vice Chairman Oneconsult International AG. Als Spezialist für Incident Response und Incident Management ist er Vizepräsident der Public Privat Partnership Swiss Cyber Experts (SCE) und Mitglied der Cyber-Kommission von digitalswitzerland. 
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Chemie- und Pharmafirmen behaupten sich als attraktive Arbeitgeber

Zum zweiten Mal veröffentlicht Linkedin eine Liste der «Top Companies 2023» in der Schweiz. Wer Karriere machen will, hat demnach in der Chemie- und Pharmabranche gute Chancen.

image

Der schnelle Weg zum neuen KIS

Mit M-KIS Now hat Meierhofer einen neuen Standard entwickelt, mit dem sich Kliniksoftware innerhalb kurzer Zeit ressourcenschonend einführen lässt.

image

ETH-Forscher entwickeln Ohrstöpsel, der Schlaganfall-Patienten helfen soll

Der smarte Knopf im Ohr von Paulius Viskaitis und Dane Donegan soll dabei unterstützen, nach einem Schlaganfall Bewegungen schneller wieder zu erlernen. Dadurch wird eine OP unnötig.

image

Psychiatrie Münsingen schreibt knapp zwei Millionen Franken Verlust

2022 war das PZM mit zahlreichen Herausforderungen konfrontiert. Diese hatten Auswirkungen auf die Zahlen, wie der Jahresrechnung zu entnehmen ist.

image

Notfallmedizin profitiert von virtueller Realität

Virtual-Reality-Brillen sind aus der Gaming-Szene nicht mehr wegzudenken. Zunehmend setzen sie sich auch im klinischen Alltag durch.

image

Swissmedic investiert einen grossen Batzen in digitale Transformation

Die Arzneimittelbehörde sucht viel Entwickler-Know-how, um vorhandene Software-Lösungen zu ersetzen. Dafür sollen über 30 Millionen Franken ausgegeben werden.

Vom gleichen Autor

image

Viktor 2022: Nominieren Sie jetzt!

Würdigen Sie aussergewöhnliche Leistungen im Gesundheitswesen 2022 und nominieren Sie bis Ende Januar Ihren persönlichen Favoriten.

image

Der ORBIS U Frame wird pilotiert

«Willkommen bei ORBIS» – seit vielen Jahren begrüsst ORBIS NICE seine Anwender mit diesen Worten. Als Marktführer im deutschsprachigen Raum hat ORBIS täglich viele tausend Nutzer aus allen Arbeitsbereichen eines Krankenhauses.

image

Effizienz im digitalen Zeitalter dank SHIP

Wenn sich Spitäler um Administratives kümmern, geht wertvolle Zeit verloren. Zeit, die für Patientinnen und Patienten fehlt. Das geht effizienter: SHIP vereinfacht das Schweizer Gesundheitswesen und stellt sicher, dass alle Beteiligten zum richtigen Zeitpunkt die richtigen Informationen haben.