Cybersecurity

Cybersecurity: rechtliche Herausforderungen für Unternehmen

Ihre Kontakte

Lukas-Buehlmann-MLL

Lukas Bühlmann

|
Michael-Reinle-MLL

Michael Reinle

|

Durch die immer stärkere Vernetzung und Abhängigkeit von IT-Lösungen gewinnt auch das Thema Cybersecurity laufend weiter an Bedeutung. Cyberangriffe aller Art haben in den letzten Jahren bereits stark zugenommen und werden dies aller Wahrscheinlichkeit nach auch in der Zukunft tun. Für Unternehmen ist es deshalb wichtig, angemessene technische und organisatorische Massnahmen zu implementieren, um die Cybersecurity ihrer Infrastruktur zu gewährleisten. Dabei gilt es auch den rechtlichen Rahmen miteinzubeziehen, wozu in der Schweiz namentlich das Datenschutzgesetz gehört.

Cybersecurity als stetige Bedrohung für Unternehmen

Die digitale Vernetzung hat eine Vielzahl von Vorteilen und Chancen mit sich gebracht. Zu denken ist etwa an Technologien wie Blockchain, künstliche Intelligenz (AI) oder auch das Internet of Things (IoT). Die Kehrseite der Medaille ist aber, dass auch neue Risiken und Gefahren entstanden sind. Informations- und Kommunikationsinfrastruktur kann bekanntlich zu kriminellen, nachrichtendienstlichen, terroristischen, kriegerischen oder propagandistischen Zwecken missbraucht werden. So können Infrastrukturen gestört, manipuliert oder gezielt angegriffen werden. Diese Bedrohung hat sich in den letzten Jahren drastisch verschärft. Delikte im Bereich der Cyberkriminalität nahmen kontinuierlich zu und wurden auch immer schwerer. Betrugen Lösegeldforderungen von Hackern vor wenigen Jahren im Schnitt ca. 10’000 Franken, sind es mittlerweile regelmässig Millionenbeträge. Auch die Cyberspionage und der Cyberterrorismus werden mit der zunehmenden Digitalisierung weiter an Bedeutung gewinnen.

Angriffe auf das Funktionieren der IT oder der Diebstahl von (sensitiven) Daten, wie etwa von Geschäftsgeheimnissen oder personenbezogenen Kundendaten, können gravierende Folgen für ein Unternehmen haben. Neben dem unmittelbaren wirtschaftlichen Schaden und den Reputationsrisiken drohen Unternehmen bei mangelhafter Cybersecurity auch rechtliche Sanktionen. Besonders drastische Folgen könnte ein Cyberangriff bei kritischen Infrastrukturen zeitigen. Kritische Infrastrukturen stellen die Verfügbarkeit von essentiellen Dienstleistungen und Gütern sicher. Weil ihre Funktionen für die Bevölkerung und die Wirtschaft unabdingbar sind, geniesst ihr Schutz oberste Priorität (vgl. dazu auch MLL-News vom 27. April 2020).

Cyberattacken – Eines der grössten Risiken für Unternehmen

Weltweit werden Cyberattacken von Konzernchefs und Risikomanagern deshalb als grösstes Unternehmensrisiko eingestuft. Zu den zurzeit verbreitetsten Arten von Cyberattacken gehören:

  • Ransomware: Ransomware sind Schadprogramme, die das Endgerät sperren oder darauf befindliche Daten verschlüsseln. Angreifer versuchen dadurch, Geld zu erpressen, und drohen an, das Endgerät erst bei Bezahlung der Forderung freizugeben bzw. die Verschlüsselung der Daten aufzuheben.
  • Phishing: Phishing ist der Versuch, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Nutzers zu gelangen und damit Identitätsdiebstahl zu begehen.
  • DoS-Angriff: Bei einer DoS-Attacke wird durch eine gezielt herbeigeführte Überlastung mit einer hohen Anzahl an Serveranfragen willentlich die Nichtverfügbarkeit eines Internetservices angestrebt.
  • Social Engineering: Beim Social Engineering nutzen Angreifer die Hilfsbereitschaft, Gutgläubigkeit oder die Unsicherheit von Personen aus, um beispielsweise an vertrauliche Daten zu gelangen oder die Opfer zu bestimmten Aktionen zu bewegen. Die Angreifer können mittels Social Engineering u.a. versuchen, an Benutzernamen und Passwörter von Mitarbeitern eines Unternehmens zu gelangen, indem sie sich am Telefon als Systemadministrator oder Sicherheitsverantwortlicher ausgeben.

Selbstverständlich bestehen neben den aufgezeigten Arten von Cyberattacken noch weitere sich stets weiterentwickelnde Formen. Trotz der prominenten medialen Berichterstattung unterschätzen gerade KMUs das von Cyberattacken ausgehende Risiko häufig bzw. ignorieren es aus Kostengründen. Sie gestalten deswegen ihre Massnahmen zur Abwehr und Erkennung von Cyberangriffen, die sog. Cybersecurity, häufig mangelhaft aus. Ein weiterer Grund für die Vernachlässigung der Cybersecurity kann darin liegen, dass nicht klar ist, welche rechtlichen Anforderungen eine angemessene Cybersecurity überhaupt erfüllen muss.

Datenschutzrechtliche Herausforderungen

Die grundlegendsten rechtlichen Vorgaben sind im Schweizer Datenschutzgesetz (DSG) definiert. Das DSG legt verschiedene Grundsätze fest, die es bei jeglicher Bearbeitung, also z.B. bei der Übermittlung, Speicherung oder Löschung von Personendaten zu beachten gilt. Im Zusammenhang mit dem Thema Cybersecurity ist die Datensicherheit von zentraler Bedeutung. Mit Blick auf die Datensicherheit verlangt das DSG, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten zu schützen sind. Man spricht hierbei in Abkürzung des Begriffes der technischen und organisatorischen Massnahmen von TOMs. Die TOMs werden in der Verordnung zum DSG (VDSG) konkretisiert. Danach muss für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten gesorgt werden. Insbesondere müssen die TOMs vor folgenden Risiken schützen:

  • Unbefugte oder zufällige Vernichtung
  • Zufälligen Verlust
  • Technische Fehler
  • Fälschung, Diebstahl oder widerrechtliche Verwendung
  • Unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.

Trotz einiger Anpassungen ist das DSG heute nur begrenzt in der Lage, klare Leitlinien zu geben, welche Massnahmen für eine angemessene Cybersecurity ausreichen. Für Unternehmen bringt dies zwar gewisse Unsicherheiten und Risiken mit sich, denn sie müssen nichtsdestotrotz eine zeitgemässe Cybersecurity haben, fordert sie im Sinne der Selbstverantwortung aber auch, weil sie aufgrund eines risikobasierten Ansatzes die TOMs entsprechend evaluieren und implementieren müssen. So wird nämlich etwa für die TOMs verlangt, dass sie dem gegenwärtigen Stand der Technik entsprechen. Insofern ist eine periodische Evaluation der implementierten TOMs und ggf. die Anpassung der Massnahmen unabdingbar.

Zwar ist eine Totalrevision des Datenschutzgesetzes im Gange (vgl. dazu MLL-News vom 13.2.2020), doch ist Zeitpunkt des Inkrafttretens noch nicht bekannt. Jedoch wird auch das revidierte DSG die Selbstverantwortung weiter beinhalten. Wie unter dem bestehenden DSG hat der Bundesrat die Möglichkeit Mindestanforderungen an die Datensicherheit zu definieren. Ob und wie er von dieser Kompetenz Gebrauch machen wird, ist noch nicht vollumfänglich klar. Insofern bleibt die Verantwortung bei den Unternehmen, welche die Risiken bewerten und dementsprechend den Risiken entsprechende TOM umsetzen müssen. Dabei gilt es zu beachten, dass Verstösse gegen die Grundsätze der Bearbeitung von Personendaten nebst finanziellen und Reputationsschäden auch rechtliche Sanktionen zur Folge haben können (vgl. z.B. MLL-News vom 10.8.2019).

Nationale Strategie der Schweiz zum Schutz vor Cyberrisiken (NCS)

Die Schweizer Regierung ist bezüglich Cyberrisiken ausserhalb des DSG nicht untätig geblieben. Der Bund hat gemeinsam mit den Kantonen und der Wirtschaft eine nationale Strategie zum Schutz der Schweiz vor Cyberrisiken 2018-2022 (kurz NCS) entwickelt. Sie beschreibt die Cyber-Bedrohungslage und nimmt eine Standortbestimmung des Schutzes der Schweiz vor Cyberrisiken vor. Daraus wird Handlungsbedarf abgeleitet, aus welchem sich wiederum die Vision der NCS ergibt. Sie lautet folgendermassen: «Bei der Nutzung der Chancen der Digitalisierung ist die Schweiz angemessen vor Cyberrisiken geschützt und ist diesen gegenüber resilient. Die Handlungsfähigkeit und Integrität ihrer Bevölkerung, Wirtschaft und des Staates gegenüber Cyber-Bedrohungen ist gewährleistet». Aus der NCS lässt sich somit zwar entnehmen, wie der Bund seinen Fokus legt, für Unternehmen ergeben sich hieraus aber nur wenige brauchbare Handlungsanweisungen.

Hilfestellung für KMUs: MELANI Merkblatt zur Informationssicherheit

Deutlich aufschlussreicher als die NCS (insbesondere für KMUs) ist das Merkblatt zur Informationssicherheit, das die Melde- und Analysestelle Informationssicherung (MELANI) herausgibt. MELANI ist vom Bundesrat grundsätzlich mit dem Schutz der kritischen Infrastrukturen in der Schweiz beauftragt, doch ihre Website richtet sich ebenfalls an Private und KMUs in der Schweiz.

Obwohl der Name «Meldestelle» suggerieren könnte, dass in der Schweiz eine Meldepflicht für Cybervorfälle besteht, ist dies nicht der Fall. In der Zukunft muss aber mit solchen Meldepflichten, die weltweit bereits üblich sind, gerechnet werden. Der Entwurf des totalrevidierten DSG sieht nämlich eine Meldepflicht bei Verletzungen der Datensicherheit an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) vor (vgl. dazu MLL-News vom 13.2.2020). Auch prüft der Bundesrat momentan eine Meldepflicht für kritische Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen, welche unabhängig von der datenschutzrechtlichen Meldepflicht Bestand haben dürfte (vgl. dazu MLL-News vom 27. April 2020).

Das Merkblatt Informationssicherheit für KMUs dient dazu, diesen zu helfen, ihre IT-Sicherheit im Unternehmensnetzwerk zu erhöhen. Es erläutert, was unter TOMs im Sinne des DSG zu verstehen ist und illustriert dies mit Beispielen. Grundsätzlich wird auf der einen Seite festgehalten, dass organisatorische Massnahmen sicherstellen, dass Verantwortlichkeiten im Unternehmen bezüglich Informationssicherheit definiert sind. Ausgewählte Massnahmen sind:

  • Regelung der Verantwortlichkeiten bezüglich IT
  • Schulungen von Mitarbeitern
  • Kenntnis der Bedrohungslage
  • Implementierung einer Passwort-Policy
  • Kollektivunterschrift beim E-Banking, etc.

Auf der anderen Seite tragen technische Massnahmen wesentlich zur IT-Sicherheit im Unternehmensnetzwerk bei und mindern die Gefahr von Infektionen mit Schadsoftware oder anderen unbefugten Zugriffen. Das Merkblatt schlägt folgende ausgewählte Massnahmen vor:

  • Virenschutz
  • Datensicherung
  • Firewall
  • Sicherheitsupdates
  • Verschlüsselung

Vergleichbare Informationen enthält auch der Leitfaden des EDÖB zu Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (vgl. dazu MLL-News vom 20.1.2019).

Mögliche gesellschaftsrechtliche Haftung des Verwaltungsrates

Die Sicherstellung eines genügenden Cybersecurity Frameworks innerhalb eines Unternehmens bildet eine erhebliche Herausforderung. Unternehmen sind für deren Cybersecurity selbst verantwortlich. Sie müssen autonom Massnahmen ergreifen, welche sie einerseits vor den wirtschaftlichen Risiken einer Cyberattacke schützen und die sie andererseits aber auch vor allfälligen rechtlichen Sanktionen bewahren. Insbesondere der Verwaltungsrat sieht sich dabei einem gewissen Risiko ausgesetzt. Denn er hat gemäss Art. 716a OR die unentziehbare und nicht delegierbare Aufgabe der Oberleitung der Gesellschaft und damit der Ausgestaltung eines angemessenen Risikomanagements, wozu auch die Cybersecurity gehört. Es besteht also auch eine gesellschaftsrechtliche Pflicht, eine angemessene Cybersecurity sicherzustellen.

Im Rahmen der Verantwortlichkeitsbestimmungen des Obligationenrechts kann eine schuldhaft ungenügende Cybersecurity zur persönlichen und solidarischen Haftung von Mitgliedern des Verwaltungsrates führen. Eine angemessene Cybersecurity ist für den Verwaltungsrat somit von besonderem Interesse.

Fazit

Obwohl eine angemessene Cybersecurity auch für KMUs immer wichtiger wird, lassen sich aus den geltenden Gesetzen kaum klare Handlungsanweisungen ableiten. Vielmehr setzt der Gesetzgeber diesbezüglich auf die Selbstverantwortung der Unternehmen. Dies birgt für Unternehmen jedoch erhebliche Risiken. Gerade für KMUs stellt die MELANI eine gute Hilfestellung in der Form eines Merkblatts mit Hinweisen zur Ausgestaltung von angemessenen technischen und organisatorischen Massnahmen zur Verfügung. Diese liefern zwar wertvolle Hinweise, können aber eine technische und ggf. juristische Beratung nicht ersetzen, weil eine ungenügende Cybersecurity Unternehmen finanziellen, reputationellen und rechtlichen Risiken aussetzt, die es nicht zu vernachlässigen gilt. Zudem kann sich u. U. der Verwaltungsrat Verantwortlichkeitsklagen ausgesetzt sehen. Insofern sollte das Thema Cybersecurity von der höchsten Führungsebene des Unternehmens erkannt und mit Nachdruck umgesetzt werden.

Weitere Informationen:

Artikel teilen

Das könnte Sie auch interessieren

meistgelesen

Datenschutz

Swiss Banking veröffentlicht Leitfaden zum «Umgang mit Daten im Geschäftsalltag»

Die Schweizerische Bankiervereinigung hat im Mai einen Leitfaden zum «Umgang mit Daten im Geschäftsalltag» herausgegeben, welcher anhand von sechs praxisnahen Beispielen die allgemeinen Regelungskonzepte veranschaulicht und die damit einhergehenden Risiken hervorhebt. Der Leitfaden ist als Orientierungshilfe konzipiert, um die Chancen, welche die Datennutzung bietet, auf eine sichere Art und Weis…

Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.