Cyber Attacken – die Verwaltungsräte stehen in der Verantwortung

«Gouverner c’est prévoir». Wird ein Spital, eine Versicherung oder ein Gesundheitszentrum gehackt und erpresst, ist es zu spät, Verantwortlichkeiten zu definieren. Geht es um die Kompetenzordnung der Anordnung von Cyber-Sicherheitsmassnahmen, steht zuvorderst der Verwaltungsrat in der Pflicht.

, 13. September 2021, 14:55
image
Die jüngst medial bekannt gewordenen Fälle von Cyber-Angriffen auf Gesundheitsinstitutionen und einer Gemeinde haben erneut aufgezeigt, dass die Cyber-Bedrohungslage steigt. Ganze Netzwerke und zugehörige Systeme wurden kompromittiert, Daten entwendet sowie Firmen und Gemeinden lahmgelegt und erpresst. Auch wenn die Systeme und Daten in den bekannt gewordenen Fällen offenbar und mit viel Aufwand gerettet werden konnten, bleiben immense Schäden. Sie umfassen möglicherweise bezahlte Erpressungsgelder, hohe Kosten für IT-Spezialisten, riesige interne Aufwände und Geschäftsunterbrüche: Hinzu kommen grosse Reputationsschäden – in Kombination beschädigen diese Folgen den Businesserfolg der betroffenen Firmen und Gemeinden. Die Dunkelziffer weiterer von Cyber-Attacken betroffenen Firmen dürfte hoch sein.
Der Spitalbereich ist besonders exponiert. Die Systemumgebungen sind sehr heterogen, die sich im Betrieb befindlichen Systeme haben lange Lebensdauern und sind entsprechend begrenzt aktualisierbar aufgrund spezifischer Komponenten. Zudem kommt hinzu, dass im Spitalumfeld sehr viele unterschiedliche sensibilisierte und ausgebildete Anspruchsgruppen mit am Netz angehängten Systemen umgehen: Pflege, Administration, Technik und Ärzteschaft. Oft kommen hohe Fluktuationsraten hinzu.
Es stellt sich die Frage, wer schlussendlich für adäquate Vorsorge gegen das Eintreten derartiger Geschäftsrisiken verantwortlich ist. Das Gesetz ist hierzu klar: Gemäss Artikel 716a des Obligationenrechts hat der Verwaltungsrat einen Katalog an Aufgaben, die er weder an die Generalversammlung noch an die Geschäftsleitung übertragen kann, sie sind unübertragbar und unentziehbar. Die Oberleitung der Gesellschaft gemäss Artikel 716a Abs.1, Ziff. 1 stellt dabei die Hauptaufgabe des Verwaltungsrats dar. Die übrigen Ziffern dieses Artikels dienen lediglich der Präzisierung dieser Pflicht. Nebst dem Festlegen, Durchsetzen und Überprüfen der Strategie besteht der Sinn und Zweck der Oberleitungspflicht insbesondere darin, die Gesellschaft vor Risiken zu schützen und dadurch die langfristige Existenz des Unternehmens zu sichern. Dies bedeutet, dass jeder Verwaltungsrat gesetzlich dazu verpflichtet ist, ein integrales Risikomanagement auszugestalten, es zu implementieren und zu überwachen.
Wenn also eine Firma dank Schwächen im Dispositiv gegen Cyberattacken in Schwierigkeiten gerät, haftet in letzter Konsequenz der Verwaltungsrat für diese Mängel. Er hat seine Risikovorsorgepflicht nicht im notwendigen Ausmass wahrgenommen.
Was kann er vorkehren? Er muss ausreichende (Risk) Assessments für spezifische Cyber-Risiken anordnen sowie die Wirksamkeit der eingesetzten Massnahmen und Systeme periodisch überprüfen (lassen). Zusätzlich sollte er Notfallszenarien sowie Prozesse und Abläufe im Falle eines Falles angeordnet und überwacht haben, dass sie auch eingeübt werden und dass die grösste Schwachstelle in jeder Firma – die einzelnen Mitarbeiterinnen und Mitarbeiter – regelmässig und ausreichend sensibilisiert und geschult sind und somit zu der Chance werden, adäquat auf Cyber-Angriffe zu reagieren. Auch hier gilt: «Gouverner c'est prévoir.»
 Tobias Ellenberger ist COO bei Oneconsult AG und Vice Chairman Oneconsult International AG. Als Spezialist für Incident Response und Incident Management ist er Vizepräsident der Public Privat Partnership Swiss Cyber Experts (SCE) und Mitglied der Cyber-Kommission von digitalswitzerland. 
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Richtung Wolke 6

Klinikverbund Südwest digitalisiert die Intensivstation und nimmt wichtige Hürde der Digitalisierungsstrategie.

image

Ist das die Lösung für den Transport von Laborproben?

Bisher scheiterten viele Versuche mit Transportdrohnen. Doch die Laborgruppe Dr. Risch versucht es nun erneut.

image

Deshalb heissen Affenpocken nun Mpox

Das kommt sehr selten vor: Die WHO hat eilig den Namen einer Krankheit geändert. Weil «Affenpocken» zum Schmähwort geworden ist.

image

Der ORBIS U Frame wird pilotiert

«Willkommen bei ORBIS» – seit vielen Jahren begrüsst ORBIS NICE seine Anwender mit diesen Worten. Als Marktführer im deutschsprachigen Raum hat ORBIS täglich viele tausend Nutzer aus allen Arbeitsbereichen eines Krankenhauses.

image

Am Inselspital gibt es bald ein neues «Digital Health Center»

Das Centre Suisse d’Electronique et de Microtechnique (CSEM) will auf dem Inselcampus in Bern ein neues Forschungszentrum für digitale Gesundheit einrichten.

image

Diese App sagt jungen Frauen die Periode voraus

Nun gibt es auch für Mädchen eine Zyklus-App: Teena misst die Körpertemperatur und klärt die jungen Frauen über die Periode auf.

Vom gleichen Autor

image

Viktor 2022: Nominieren Sie jetzt!

Würdigen Sie aussergewöhnliche Leistungen im Gesundheitswesen 2022 und nominieren Sie bis Ende Januar Ihren persönlichen Favoriten.

image

Effizienz im digitalen Zeitalter dank SHIP

Wenn sich Spitäler um Administratives kümmern, geht wertvolle Zeit verloren. Zeit, die für Patientinnen und Patienten fehlt. Das geht effizienter: SHIP vereinfacht das Schweizer Gesundheitswesen und stellt sicher, dass alle Beteiligten zum richtigen Zeitpunkt die richtigen Informationen haben.

image

Integrierter Stroke-Patientenpfad: Denkanstösse zur Optimierung des aktuellen Stroke-Patientenpfades in der Schweiz

Überall wird von Value-based Healthcare [VBHC] und integrierter Versorgung gesprochen. Doch wie geht das? Basierend auf Interviews mit Expert:innen und aktueller Literatur haben wir VBHC- Prinzipien auf den Stroke-Patientenpfad angewandt.