Datenschutz und Cybersecurity
Artikel 964a ff. OR
Konzept und Sorgfaltspflicht
Als Arbonia haben wir das Information Security Management System ausgebaut, das ein ganzheitliches Security-Programm beinhaltet. Daneben wurden weitere Richtlinien verabschiedet, etwa zur allgemeinen IT-Sicherheit, Passwortsicherheit oder den Informationssicherheits-Anforderungen an Dritte. Unser umfassender Sicherheitsansatz wird im Rahmen der Information Security Strategie laufend mittels Audits und Penetrationtests überprüft. Cyberrisiken zählen zum festen Bestandteil des Risikomanagement-Prozesses und daher auch der Risikotransfer an eine Versicherung. In Bezug auf das neue Schweizer Bundesgesetz über den Datenschutz (DSG) hat die Arbonia die erforderlichen Massnahmen ergriffen.
Im Wesentlichen liegt die Zuständigkeit für die Informationssicherheit der gesamten Arbonia Gruppe beim Chief Information Security Officer und dem IT-Board, welches sich aus dem Group CIO, den Divisions CIOs, dem Group CFO sowie IT-Vertretern beider Divisionen und des Konzerns zusammensetzt. Die relevanten Themen werden stets mit den Divisionsverantwortlichen und der Konzernleitung abgestimmt und bei Bedarf auch dem Verwaltungsrat vorgelegt. Bei der Umsetzung einzelner Massnahmen unterstützen die lokalen IT-Teams und ICT-Security-Spezialisten als Schnittstellen zu den Standorten und Gesellschaften.
Massnahmen inklusive Bewertung der Wirksamkeit
Im Rahmen des Security-Awareness-Programms unter dem Motto «THINK BEFORE YOU Click.Post.Type.» werden Mitarbeitende dafür sensibilisiert, reale Bedrohungen und potenzielle Angriffe zu erkennen und richtig darauf zu reagieren – sowohl im Geschäfts- als auch im Privatalltag. Die Wirksamkeit des Awareness-Programms wird regelmässig überprüft, beispielsweise mittels fingierten Phishing-Mails oder Testanrufen bei den Mitarbeitenden.
2023 hat die Arbonia gemäss DSGVO und Schweizer Recht damit begonnen, die Webseiten entsprechend zu aktualisieren, Bearbeitungsverzeichnisse zu führen sowie entsprechende Auftragsdatenverarbeitungsverträge mit Dienstleistern abzuschliessen, die personenbezogene Daten erheben.
Wesentliche Risiken und deren Handhabung (eigener Geschäftsbereich und ggf. Geschäftsbeziehungen)
Aufgrund unzureichend gesicherter Zugänge und Datenverbindungen (virtuell und physisch) könnten sich Unbefugte Zugriff auf sensible Kundendaten verschaffen, oder es könnten sensible Daten durch die fehlende Sorgfaltspflicht eines Mitarbeitenden in falsche Hände geraten. Dies führt zu Mehraufwänden und strafrechtlichen Verfahren. Durch regelmässige Benutzerumfragen werden Stakeholder in die weitere Ausgestaltung der IT-Sicherheitsarchitektur mit einbezogen. Eine ungenügende IT-Infrastruktur (Netzwerk, Firewall, Server etc.), veraltete ERP-Systeme, eine falsche IT-Handhabung (intern) oder eine Cyberattacke können zu einer Behinderung der Digitalisierung, zu einem IT-Ausfall, Datenverlust und ungenügender Wettbewerbsfähigkeit führen. Dadurch entstehen Betriebseinschränkungen, Lieferverzögerungen, Mehraufwände und / oder finanzielle Verluste.
Wesentliche Leistungsindikatoren
Durch verschiedene Kennzahlen schafft sich die Arbonia einen Überblick über die durchgeführten Sicherheitsmassnahmen. Unter anderem erhebt sie die Anzahl Schulungen, die jährlich durchgeführt werden, um die Mitarbeitenden in diesen sensiblen Themen weiterzubilden sowie die Teilnahmequote an diesen Schulungen. Weitere Kennzahlen werden über SIEM-Incidents (Security Information and Event Management) für alle Gesellschaften erhoben.
Als Arbonia können wir nur gemeinsam mit unseren Mitarbeitenden die Informationssicherheit aufrechterhalten. Unser Ziel ist, die Geschäftstätigkeit und Wettbewerbsfähigkeit der Gruppe gegenüber Angriffen auf Geschäfts- und Kundendaten zu schützen. Die Mitarbeitenden der Arbonia sind ein zentrales Glied der Sicherheitskette im Bereich Cybersecurity und müssen die entsprechende Verantwortung wahrnehmen. Häufigstes Angriffswerkzeug bei Cyberattacken ist die E-Mail – gefolgt von Social Engineering (Manipulation oder Beeinflussung einer Person) und dem Internet. Aus diesem Grund ist es äusserst wichtig, verdächtige Quellen zu erkennen, zu meiden und zu melden.
Gemeinsam zu mehr Informationssicherheit
Mit zielgerichteten Massnahmen zur Stärkung der sogenannten Cyberresilienz versuchen wir als Arbonia, das Risiko von erfolgreichen Cyberangriffen auf ein Minimum zu reduzieren. Wir verfolgen einen ganzheitlichen Sicherheitsansatz mit technischen Massnahmen, Prozessen, Richtlinien und Standards, deren Einhaltung und Umsetzung durch den Chief Information Security Officer und sein Team auf Gruppenstufe überprüft wird. Cyberangriffe jeder Art sollen frühzeitig erkannt und abgewehrt werden. Die Mitarbeitenden werden entsprechend verstärkt zu diesem Thema geschult und sensibilisiert.
Dazu gehört eine Reihe von Richtlinien. Die Passwortrichtlinie beschreibt und definiert Grundsätze für die Erstellung, den Umgang und Gebrauch von Passwörtern in der Arbonia Gruppe. Die Richtlinie für Informationssicherheits-Anforderungen an Dritte legt die Sicherheitsstandards und Anforderungen fest, die von Dienstleistern und Lieferanten erfüllt werden müssen, die mit sensiblen Informationen oder IT-Systemen der Arbonia in Kontakt kommen. Sie zielt darauf ab, sicherzustellen, dass Dritte angemessene Sicherheitspraktiken implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. 2023 hat die Arbonia zudem auf die Entwicklung von KI reagiert und eine entsprechende «Weisung über den Umgang mit KI-basierten Tools» erstellt. Darin werden Nutzen, Risiken, Datenschutz und Restriktionen bezüglich der Benutzung behandelt. Darüber hinaus wurde eine «Datenschutzerklärung für Mitarbeitende» verfasst, die darüber informiert, welche Daten die Arbonia von ihnen erhebt und zu welchem Zweck sie verwendet werden. Zudem hat die Arbonia damit begonnen, Vereinbarungen mit ihren Dienstleistern zu unterzeichnen, die personenbezogene Daten der Arbonia verarbeiten. Ebenso wurden die Datenschutzhinweise gemäss DSGVO und Schweizer Gesetz auf allen Websites der Arbonia aktualisiert.
THINK BEFORE YOU Click.Post.Type.
Die Security-Awareness-Kampagnen unter dem Motto «THINK BEFORE YOU Click.Post.Type.» beinhalten diverse Massnahmen. Dabei werden die Mitarbeitenden regelmässig zur Teilnahme an verschiedenen Sensibilisierungs- und Trainingseinheiten eingeladen, wobei speziell für IT-Administratoren und andere exponierte Personen vertiefte Trainings verfolgt werden. Diese Schulungen vermitteln Informationen zum sicheren Umgang mit Daten sowie Informationssystemen und zielen darauf ab, den Alltag sicherer zu gestalten. Die Teilnehmerquote lag im Berichtsjahr bei 87% (Vorjahr: 68%) und soll bis 2025 auf 100% steigen.
Auf Basis einer hohen Cyberresilienz und E-Mail-Sicherheit zielt die Arbonia generell darauf ab, keine sicherheitskritischen Ereignisse zu durchlaufen und somit einen permanenten reibungslosen Geschäftsverlauf sicherzustellen. Zu diesem Zweck werden die Ergebnisse der Angriffssimulationen für eine Stärkung der Resilienz genutzt. Zur Steuerung der Sicherheit wird ausserdem die Cybermaturität anhand definierter Standards gemessen. Weitere Kennzahlen werden über SIEM-Incidents (Security Information and Event Management) für alle Gesellschaften erhoben und führen zu Verbesserungen der Cyberabwehr. Dabei werden (böswillige) Vorfälle und die Reaktion laufend erfasst. Das Managementsystem klassifiziert diese Vorfälle gemäss ihrer Art und Schwere und evaluiert die Abwehrmassnahmen nach Filterfunktionen sowie bestehenden Use Cases. Als eine weitere Schutzstufe wurde ein Projekt zur NDR (Network Detection Response) umgesetzt.