Die jüngst medial bekannt gewordenen Fälle von Cyber-Angriffen auf Gesundheitsinstitutionen und einer Gemeinde haben erneut aufgezeigt, dass die Cyber-Bedrohungslage steigt. Ganze Netzwerke und zugehörige Systeme wurden kompromittiert, Daten entwendet sowie Firmen und Gemeinden lahmgelegt und erpresst. Auch wenn die Systeme und Daten in den bekannt gewordenen Fällen offenbar und mit viel Aufwand gerettet werden konnten, bleiben immense Schäden. Sie umfassen möglicherweise bezahlte Erpressungsgelder, hohe Kosten für IT-Spezialisten, riesige interne Aufwände und Geschäftsunterbrüche: Hinzu kommen grosse Reputationsschäden – in Kombination beschädigen diese Folgen den Businesserfolg der betroffenen Firmen und Gemeinden. Die Dunkelziffer weiterer von Cyber-Attacken betroffenen Firmen dürfte hoch sein.

Der Spitalbereich ist besonders exponiert. Die Systemumgebungen sind sehr heterogen, die sich im Betrieb befindlichen Systeme haben lange Lebensdauern und sind entsprechend begrenzt aktualisierbar aufgrund spezifischer Komponenten. Zudem kommt hinzu, dass im Spitalumfeld sehr viele unterschiedliche sensibilisierte und ausgebildete Anspruchsgruppen mit am Netz angehängten Systemen umgehen: Pflege, Administration, Technik und Ärzteschaft. Oft kommen hohe Fluktuationsraten hinzu.

Es stellt sich die Frage, wer schlussendlich für adäquate Vorsorge gegen das Eintreten derartiger Geschäftsrisiken verantwortlich ist. Das Gesetz ist hierzu klar: Gemäss Artikel 716a des Obligationenrechts hat der Verwaltungsrat einen Katalog an Aufgaben, die er weder an die Generalversammlung noch an die Geschäftsleitung übertragen kann, sie sind unübertragbar und unentziehbar. Die Oberleitung der Gesellschaft gemäss Artikel 716a Abs.1, Ziff. 1 stellt dabei die Hauptaufgabe des Verwaltungsrats dar. Die übrigen Ziffern dieses Artikels dienen lediglich der Präzisierung dieser Pflicht. Nebst dem Festlegen, Durchsetzen und Überprüfen der Strategie besteht der Sinn und Zweck der Oberleitungspflicht insbesondere darin, die Gesellschaft vor Risiken zu schützen und dadurch die langfristige Existenz des Unternehmens zu sichern. Dies bedeutet, dass jeder Verwaltungsrat gesetzlich dazu verpflichtet ist, ein integrales Risikomanagement auszugestalten, es zu implementieren und zu überwachen.

Wenn also eine Firma dank Schwächen im Dispositiv gegen Cyberattacken in Schwierigkeiten gerät, haftet in letzter Konsequenz der Verwaltungsrat für diese Mängel. Er hat seine Risikovorsorgepflicht nicht im notwendigen Ausmass wahrgenommen.

Was kann er vorkehren? Er muss ausreichende (Risk) Assessments für spezifische Cyber-Risiken anordnen sowie die Wirksamkeit der eingesetzten Massnahmen und Systeme periodisch überprüfen (lassen). Zusätzlich sollte er Notfallszenarien sowie Prozesse und Abläufe im Falle eines Falles angeordnet und überwacht haben, dass sie auch eingeübt werden und dass die grösste Schwachstelle in jeder Firma – die einzelnen Mitarbeiterinnen und Mitarbeiter – regelmässig und ausreichend sensibilisiert und geschult sind und somit zu der Chance werden, adäquat auf Cyber-Angriffe zu reagieren. Auch hier gilt: «Gouverner c'est prévoir.»

 Tobias Ellenberger ist COO bei Oneconsult AG und Vice Chairman Oneconsult International AG. Als Spezialist für Incident Response und Incident Management ist er Vizepräsident der Public Privat Partnership Swiss Cyber Experts (SCE) und Mitglied der Cyber-Kommission von digitalswitzerland.