Cyber-Risiken können kriminelle und nicht-kriminelle Ursachen haben: Neben Hacker-Attacken oder physischen Angriffen führen menschliches oder technisches Versagen zu Schaden, aber auch Naturereignisse oder der Ausfall eines IT-Providers. Für etwa 95 Prozent ist der Faktor Mensch verantwortlich – nur für 5 Prozent die Technologie. Die grösste Gefährdung eines Cyber-Angriffs liegt in der Schweiz aktuell im Betriebsunterbruch, gefolgt von Reputationsschäden sowie Daten- und Softwareschäden.
Massnahmen zur Vermeidung der Haftung für Cyber-Risiken
Als Unternehmen muss man gegebenenfalls nachweisen, dass man alle nötigen Vorkehrungen getroffen hat, um Schaden abzuwenden. Dazu gehören insbesondere die klare Identifizierung möglicher Risiken, die Implementierung eines Risk-Management-Systems, klar definierte Verantwortlichkeiten innerhalb des Unternehmens sowie die Schulung der Mitarbeitenden.
Eine Berufshaftpflichtversicherung für die Unternehmensorgane sowie leitende Angestellte ist Pflicht; eine zusätzliche Cyber-Risk-Versicherung deckt Schäden, welche man gegebenenfalls einem Dritten verursacht, sowie Eigenschaden: Letzterer entsteht zum Beispiel durch Kosten wegen forensischer Analysen, durch notwendige Rechtsberatung, Krisenkommunikation und mehr. Nicht gedeckt sind der wirtschaftliche Wert von Daten sowie Vertragsstrafen oder Personen- und Sachschäden.
Schadensbegrenzung durch Kommunikation
Als Unternehmen hat man viele Stakeholder mit unterschiedlichen Interessen. Die kommunikative Herausforderung nach einer Cyber-Attacke ist entsprechend gross – und die klassischen Kommunikationskanäle wie Web, Mail, Telefonzentrale oder Fax sind unter Umständen nicht nutzbar. Wichtig sind hier klare Botschaften in der internen und externen Kommunikation, eine effiziente Medienarbeit und das Errichten einer Hotline.
Wichtig: Die Abwehr beginnt weit vor der Attacke
Schlüssel-Erfolgsfaktoren sind Prävention, die Förderung einer gesunden Fehlerkultur, eine klare Kommunikationspolitik, eine gute Vorbereitung möglicher Szenarien (mit entsprechenden Manuals), eingespielte Prozesse, ein funktionierendes Frühwarnsystem, agile Reaktionen und griffige Sofortmassnahmen sowie eine schnelle Information mittels Hotline, mit klarer Kommunikation auf vier Ebenen:
•
Betroffenheitsbotschaft: Mitgefühl zeigen, präsent und ansprechbar bleiben. Falls ein klares Fehlverhalten vorliegt, um Entschuldigung bitten.
•
Faktenbotschaft: Fakten mitteilen, soweit bekannt, situative Transparenz schaffen, zeitlichen Ablauf so detailliert wie möglich aufzeigen.
•
Aktionsbotschaft: Zeigen, welche Massnahmen eingeleitet wurden und noch werden; Information Melani und Polizei; Mitarbeiter- und Kundeninformation; externer technischer Support; Hotline.
•
Untersuchungsbotschaft: Untersuchung der Hintergründe der Krise ankündigen; Abklärungen einleiten.
Save the Date
Zahlen, Massnahmen und Empfehlungen sind Take-Aways der Jahrestagung 2019 von "ICT – Recht und Praxis", die vom Europa Institut durchgeführt und von Rolf auf der Maur und Peter Neuenschwander vom Swico Legal Circle geleitet wurde. Die nächste Fachtagung von "ICT – Recht und Praxis", in Zusammenarbeit mit Swico, findet am 15. September 2020 im Lakeside in Zürich statt.
