Datenschutz und Cybersecurity
Artikel 964a ff. OR
Konzept und Sorgfaltspflicht
Als Arbonia haben wir ein Information-Security-Management- System aufgebaut und betreiben es mit einem Security-Programm. Unser Sicherheitsansatz wird im Rahmen der wiederholt adaptierten Information-Security-Strategie laufend überprüft.
Cyberrisiken zählen zum festen Bestandteil des Risikomanagement-Prozesses, weshalb der Risikotransfer an eine Versicherung geschieht. In Bezug auf das Schweizer Bundesgesetz über den Datenschutz (DSG) hat die Arbonia die erforderlichen Massnahmen ergriffen. Im Wesentlichen liegt die Zuständigkeit für die Informationssicherheit der gesamten Arbonia beim Chief Information Security Officer und dem Chief Information Officer. Die relevanten Themen werden stets mit der Konzernleitung und den Verantwortlichen der verschiedenen Gesellschaften abgestimmt und bei Bedarf dem Verwaltungsrat vorgelegt. Bei der Umsetzung einzelner Massnahmen unterstützen die lokalen IT-Teams und ICT-Security-Spezialisten als Schnittstellen zu den Standorten und Gesellschaften.
Massnahmen inklusive Bewertung der Wirksamkeit
Im Rahmen des Security-Awareness-Programms unter dem Motto «THINK BEFORE YOU Click.Post.Type.» werden Mitarbeitende dafür sensibilisiert, reale Bedrohungen und potenzielle Angriffe zu erkennen und richtig darauf zu reagieren. Die Wirksamkeit des Awareness-Programms wird regelmässig überprüft, beispielsweise mittels fingierter Phishing-Mails, eines Wissens-Quiz oder Testanrufen bei den Mitarbeitenden.
Gemäss Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und Schweizer Recht wurden 2024 alle Websites der Arbonia in Bezug auf die aktuellen Datenschutzanforderungen aktualisiert. Bearbeitungsverzeichnisse werden geführt und entsprechende Auftragsdatenverarbeitungsverträge inklusive der zugehörigen technischen und organisatorischen Massnahmen (TOMs) mit Dienstleistern, die personenbezogene Daten erheben, wurden abgeschlossen.
Wesentliche Risiken und deren Handhabung (eigener Geschäftsbereich und ggf. Geschäftsbeziehungen)
Aufgrund unzureichend gesicherter Zugänge und Datenverbindungen (virtuell und physisch) könnten sich Unbefugte Zugriff auf sensible Kundendaten verschaffen, oder es könnten sensible Daten durch die fehlende Sorgfaltspflicht eines Mitarbeitenden in falsche Hände geraten. Dies führt zu Mehraufwänden und strafrechtlichen Verfahren. Eine ungenügende IT-Infrastruktur (Netzwerk, Firewall, Server etc.), veraltete ERP-Systeme, eine falsche IT-Handhabung (intern) oder eine Cyberattacke können zu einer Behinderung der Digitalisierung, zu einem IT-Ausfall, Datenverlust und ungenügender Wettbewerbsfähigkeit führen. Dadurch entstehen Betriebseinschränkungen, Lieferverzögerungen, Mehraufwände und / oder finanzielle Verluste. Mit regelmässigen Kontrollen und Audits im Rahmen der generellen IT-Kontrollen werden die definierten Standards auf die Einhaltung und Wirksamkeit geprüft.
Wesentliche Leistungsindikatoren
Verschiedene Kennzahlen bieten der Arbonia einen Überblick über den Stand der Informationssicherheit. Unter anderem werden Kennzahlen über Teilnahme und Phishing-Verhalten bei dem Awareness-Programm erhoben. Weitere Kennzahlen, wie böswillige Angriffsversuche, abgeschlossene Incidents und Reaktionen auf potenzielle Incidents, werden im Security Operations Center erhoben.
Gemeinsam zu mehr Informationssicherheit
Als Arbonia können wir nur gemeinsam mit unseren Mitarbeitenden die Informationssicherheit aufrechterhalten. Unser Ziel ist, die Geschäftstätigkeit und Wettbewerbsfähigkeit der Gruppe vor Angriffen auf Geschäfts- und Kundendaten zu schützen. Die Mitarbeitenden der Arbonia sind ein zentrales Glied der Sicherheitskette im Bereich Cybersecurity und werden von uns befähigt, die entsprechende Verantwortung wahrzunehmen. Häufigstes Angriffswerkzeug bei Cyberattacken ist die E-Mail – gefolgt von Social Engineering (Manipulation oder Beeinflussung einer Person), dem Internet sowie schwach gesicherten Zugängen und Konfigurationsfehlern.
Mit Massnahmen zur Stärkung der sogenannten Cyberresilienz versuchen wir als Arbonia, das Risiko von erfolgreichen Cyberangriffen auf ein Minimum zu reduzieren. Wir verfolgen einen umfassenden Sicherheitsansatz mit technischen Massnahmen, Prozessen, Richtlinien und Standards, deren Einhaltung und Umsetzung durch den Chief Information Security Officer und sein Team auf Gruppenstufe überprüft wird. Cyberangriffe jeder Art sollen frühzeitig erkannt und abgewehrt werden. Die Mitarbeitenden werden entsprechend verstärkt zu diesem Thema geschult und sensibilisiert.
Dazu gehört eine Reihe von Richtlinien. Die Passwortrichtlinie beschreibt und definiert Grundsätze für die Erstellung und den Gebrauch von Passwörtern in der Arbonia. Die Richtlinie für Informationssicherheits-Anforderungen an Dritte legt die Sicherheitsstandards und Anforderungen fest, die von Dienstleistern und Lieferanten erfüllt werden müssen, die mit sensiblen Informationen oder IT-Systemen der Arbonia in Kontakt kommen. Sie zielt darauf ab, sicherzustellen, dass Dritte angemessene Sicherheitspraktiken implementieren, um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Die Arbonia hat auf die Entwicklung von KI reagiert und eine entsprechende «Weisung über den Umgang mit KI-basierten Tools» erstellt. Darin werden Nutzen, Risiken, Datenschutz und Restriktionen bezüglich der Benutzung behandelt. Darüber hinaus besteht eine «Datenschutzerklärung für Mitarbeitende», die darüber informiert, welche Daten die Arbonia von ihnen erhebt und zu welchem Zweck sie verwendet werden.
Auf Basis einer hohen Cyberresilienz und E-Mail-Sicherheit zielt die Arbonia generell darauf ab, keine sicherheitskritischen Ereignisse zu durchlaufen und somit einen permanenten, reibungslosen Geschäftsverlauf sicherzustellen. Zu diesem Zweck werden die Ergebnisse der Angriffssimulationen für eine Stärkung der Resilienz genutzt. Zur Steuerung der Sicherheit wird ausserdem die Cybermaturität anhand definierter Standards gemessen. Weitere Kennzahlen werden über Security Operations Center (SOC) für alle Gesellschaften erhoben, was zu Verbesserungen in der Cyberabwehr führt. Dabei werden (böswillige) Vorfälle und die Reaktion laufend erfasst. Das Managementsystem klassifiziert diese Vorfälle gemäss ihrer Art und Schwere und evaluiert die Abwehrmassnahmen nach Filterfunktionen sowie bestehenden Use Cases. Als eine weitere Schutzstufe werden alle Netzwerkbereiche per NDR (Network Detection and Response) überwacht und in das SOC weitergereicht.
