Cy­ber-Ri­si­ken: Ge­fah­ren ge­mein­sam be­geg­nen

Positionen16. September 2019

Der Bundesrat will den Cyber-Risiken aktiv entgegentreten und die nötigen Massnahmen ergreifen, um die Sicherheit des Landes vor den Bedrohungen aus dem Cyber-Raum zu wahren. Er hat dazu am 18. April 2018 die neu erarbeitete Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS 2.0) für die Jahre 2018-2022 verabschiedet. Die Strategie definiert sieben Ziele, welche über zehn Handlungsfelder erreicht werden sollen.

Der SVV unterstützt die sieben strategischen Ziele in der NCS 2.0.

Ausgangslage

Die Strategie baut auf den Arbeiten der ersten NCS (2012-2017) auf, weitet diese wo nötig aus und ergänzt sie mit neuen Massnahmen, so dass sie der heutigen Bedrohungslage entspricht. Sie wurde zusammen mit der Wirtschaft, den Kantonen und den Hochschulen erarbeitet und bildet so die Basis für die nötigen gemeinsamen Anstrengungen zur Minderung der Cyber-Risiken. Der Umsetzungsplan soll 2019 dem Bundesrat zur Verabschiedung vorgelegt werden.

Parallel dazu hat die Versicherungswirtschaft ein Grundlagenpapier und ein Positionspapier zu Cyber-Risiken erarbeitet, in dem ein Massnahmenkatalog für die Branche und für die Politik erarbeitet wurde. Mit diesen Massnahmen soll der Schutz vor Cyber-Risiken gestärkt werden.

Richtige und wichtige strategische Ziele

Die schweizerische Versicherungswirtschaft unterstützt die sieben strategischen Ziele in der NCS. Insbesondere die folgenden drei Ziele sind für uns wichtig.

  • Die Schweiz entwickelt wirksame Massnahmen zur Reduktion der Cyber-Risiken und setzt diese im Rahmen der Prävention um.
  • Der Schutz der Schweiz vor Cyber-Risiken wird als gemeinschaftliche Aufgabe von Gesellschaft, Wirtschaft und Staat wahrgenommen, wobei die Verantwortungen und Zuständigkeiten klar definiert und von allen Beteiligten gelebt werden.
  • Die Schweiz lernt aus Cyber-Vorfällen im In- und Ausland. Cyber-Vorfälle werden sorgfältig analysiert und aufgrund der Erkenntnisse entsprechende Massnahmen getroffen.

Mit Wohlwollen wird zudem zur Kenntnis genommen, dass der Bundesrat die Wirtschaft explizit als Adressat anspricht. Das Schaffen von möglichst sicheren Rahmenbedingungen für die Unternehmen der Schweiz ist eine Voraussetzung für die Konkurrenzfähigkeit der Schweizer Wirtschaft. Die subsidiär zu den Angeboten des Marktes gezielt zur Verfügung gestellte Unterstützung beim Umgang mit Cyber-Risiken wird begrüsst.

Gemeinsame Massnahmen

Aus den vom Bund identifizierten Massnahmen, sind deren vier besonders geeignet für eine gemeinsame Umsetzung. Es sind die folgenden Massnahmen:

  • Evaluierung und Einführung von Minimalstandards,
  • Prüfung einer Meldepflicht für Cyber-Vorfälle und Entscheid über Einführung,
  • Aufbau von Dienstleistungen für alle Arten von Unternehmungen durch den Bund (z.B. Beratungen, Auskunftserteilung etc.),
  • Sensibilisierung der Öffentlichkeit für Cyber-Risiken (Awareness).

Diese vier Massnahmen sind auch schon im Grundlagenpapier und Positionspapier des SVV aufgeführt. Wichtig für die Wirtschaft sind aber auch die folgenden Massnahmen, die wir sehr begrüssen:

  • Früherkennung von Trends und Technologien sowie Wissensaufbau und die Kommunikation der Erkenntnisse mit den Akteuren aus Wissenschaft, Wirtschaft, Politik und Gesellschaft.
  • Das zur Verfügung stellen von Erkenntnissen über die Bedrohungslage nicht mehr nur den Behörden und Betreibern kritischer Infrastrukturen, sondern in geeigneter Form auch weiteren Schweizer Unternehmen und der Bevölkerung.

Weitere Massnahmen nötig

Die wesentlichen Massnahmen, die der SVV in seinem Grundlagenpapier gefordert hat, sind in der Bundesstrategie enthalten. Es gibt jedoch noch weitere Massnahmen, die für die Versicherer wichtig sind.

  • Das Resilienz-Management auf Unternehmensebene ist einzuführen bzw. auszubauen, insbesondere um das volkswirtschaftliche Akkumulationsrisiko zu vermindern und damit die Versicherbarkeit von Cyber-Risiken auch künftig zu ermöglichen.
  • Eine nationale und internationale Kooperation (z.B. gemeinsame Schadenstatistik, Krisenmanagement, Bedrohungslage, Strafverfolgung etc.) ist zwingend. Das gilt auch für den Versicherungsbereich.
  • Die Versicherungsindustrie soll den Aufbau des Wissens im Bereich Cyber-Beratung und Schadenerledigung vorantreiben.

Zusammenarbeit bei Umsetzung

Aktuell wird vom Bund der Umsetzungsplan erarbeitet. Bei den Massnahmen die sowohl in der NCS 2.0, als auch im Grundlagenpapier aufgeführt sind, arbeitet der SVV aktiv mit dem Bund zusammen. Dies mit dem Ziel, die Interessen der Versicherungswirtschaft einzubringen. In einzelnen Themen wird auch mit gleichgesinnten Verbänden im In- und Ausland zusammengearbeitet.