Verwaltungsrats-Lexikon

Cyber-Governance

Verantwortung des Verwaltungsrats für die Steuerung von Cyberrisiken, Schutzkonzepten, Meldewegen und Resilienz.

Definition

Cyber-Governance ist die Steuerungsverantwortung des Verwaltungsrats für die Cybersicherheit der Gesellschaft. Sie umfasst die Definition des Cyber-Risikoappetits, die Genehmigung der Schutzstrategie, die Überwachung der Wirksamkeit und die Sicherstellung angemessener Reaktions- und Wiederherstellungsfähigkeit.

Cyber ist heute eine eigenständige Risikodomäne mit existenzieller Relevanz. Ransomware, Datenexfiltration, Supply-Chain-Angriffe und staatlich gestützte Bedrohungen können Geschäftsmodelle zerstören, Reputation vernichten und persönliche Haftung der Organe auslösen.

Rechtsgrundlage

Die VR-Verantwortung für Cyber ergibt sich aus mehreren Quellen:

  • OR Art. 716a: Pflicht zur angemessenen Organisation und Risikobeurteilung.
  • OR Art. 717: allgemeine Sorgfaltspflicht.
  • DSG Art. 24: Meldepflicht bei Datenschutzverletzungen.
  • ISG (Informationssicherheitsgesetz): Cyberangriffs-Meldepflicht für kritische Infrastrukturen (NCSC/BACS, seit 2024).
  • Branchenspezifische Regulierung: FINMA-Rundschreiben, Bundesamt für Gesundheit, Swissmedic.

Bei einem Cybervorfall mit Schaden prüfen Gerichte, ob der VR ein angemessenes Cyber-Risk-Framework etabliert und überwacht hat.

Schutzkonzept

Ein angemessenes Schutzkonzept umfasst typischerweise:

Technische Massnahmen

  • Identity and Access Management: Least Privilege, MFA, privilegierte Zugriffe.
  • Netzwerksegmentierung: kritische Systeme isoliert.
  • Endpoint Protection: EDR, Mobile Device Management.
  • Backup mit Air-Gap: wiederherstellbare Datensicherung gegen Ransomware.
  • Patch Management: zeitnahe Behebung von Schwachstellen.
  • Monitoring und Detection: SIEM, SOC, Threat Intelligence.

Organisatorische Massnahmen

  • Cybersecurity-Strategie und schriftliche Policies.
  • Awareness-Trainings und Phishing-Simulationen.
  • Incident Response Plan mit Rollen, Eskalation, Kommunikation.
  • Krisenstabs-Übungen mindestens jährlich.
  • Drittparteien-Management: Cyber-Anforderungen in Verträgen.

Versicherung und Vorsorge

  • Cyber-Versicherung mit angemessener Deckung.
  • Krisenkommunikations-Vorbereitung.
  • Forensik-Dienstleister im Voraus selektiert.

Meldepflichten

Bei einem Vorfall greifen verschiedene Meldewege:

  • NCSC/BACS: 24-Stunden-Meldepflicht für kritische Infrastrukturen seit ISG-Inkrafttreten 2024.
  • EDÖB: bei Datenschutzverletzungen mit Risiko für Betroffene (DSG Art. 24), so rasch als möglich.
  • Ad-hoc-Publizität (SIX): bei börsenkotierten Gesellschaften bei kursrelevanten Vorfällen.
  • FINMA, Swissmedic etc.: branchenspezifische Pflichten.
  • Strafanzeige: bei strafrechtlich relevanten Tatbeständen.

Der Cyber-Krisenplan muss diese Meldewege vorab kennen und in die Eskalation eingebaut haben.

VR-Verantwortung

Der VR trägt mehrere konkrete Aufgaben:

  • Cyber-Risikoappetit definieren und schriftlich festhalten.
  • Cybersecurity-Strategie genehmigen.
  • Reporting-Strukturen etablieren, inkl. direktem CISO-Zugang.
  • Standing Item Cyber im VR-Programm, mindestens halbjährlich.
  • Materielle Vorfälle unverzüglich behandeln und Sondertraktanden setzen.
  • Drittparteien-Risiken in die Aufsicht einbeziehen.
  • Cyber-Kompetenz im VR sicherstellen oder durch externe Beratung kompensieren.

Reporting an den VR

Ein gutes Cyber-Reporting umfasst:

  • Threat Landscape: aktuelle Bedrohungen und Angriffe in Branche/Geographie.
  • Schutzmassnahmen-Status: Reifegrad, Lücken, Roadmap.
  • Incident-Statistik: erkannte, abgewehrte, eingedrungene Vorfälle.
  • Penetration-Test-Ergebnisse und deren Behebungsstatus.
  • Awareness-Kennzahlen: Phishing-Klickraten, Training-Abdeckung.
  • Drittparteien-Risiken: kritische Lieferanten und ihr Reifegrad.
  • Compliance-Status: Meldepflichten, regulatorische Anforderungen.

Drittparteien-Cyberrisiko

Angriffe wie SolarWinds, MOVEit oder Kaseya haben gezeigt: Angreifer nutzen oft den schwächsten Lieferanten als Einfallstor. Der VR muss sicherstellen:

  • Cyber-Due-Diligence bei Lieferantenwahl.
  • Vertragliche Anforderungen an Sicherheits-Standards.
  • Audit-Rechte bei kritischen Drittparteien.
  • Monitoring der Sicherheitslage von Schlüssel-Lieferanten.
  • Notfallpläne bei Drittparteien-Vorfällen.

Cyber-Kompetenz im VR

Bei steigender Cyber-Relevanz wird mindestens ein VR-Mitglied mit substanzieller Cyber-Erfahrung erwartet, alternativ ein Beirat oder ständig eingebundener externer Experte. Ohne diese Kompetenz droht eine Asymmetrie zwischen VR und CISO/CIO, die zu unhinterfragten Aussagen und blinden Flecken führt.

Häufige Cyber-Governance-Schwächen

Typische Defizite:

  • Delegation an die IT ohne VR-Engagement.
  • Fehlende Cyber-Kompetenz im VR.
  • Unterressourcierte Sicherheitsfunktion.
  • Fehlende oder veraltete Incident Response Plans.
  • Awareness-Trainings als Box-Ticking ohne Verhaltensänderung.
  • Mangelnde Drittparteien-Aufsicht.
  • Keine regelmässigen Übungen (Tabletop, Red Team).
  • Cyber als IT-Thema statt strategisches Geschäftsrisiko.

Aktuelle Trends

  • Ransomware als wirtschaftlich dominantes Bedrohungsmodell.
  • Supply-Chain-Angriffe mit Kaskadenwirkung.
  • KI-gestützte Angriffe (Deepfake-CEO-Fraud, automatisiertes Phishing).
  • Cloud-Sicherheit als eigenständiger Schwerpunkt.
  • Staatliche Bedrohungsakteure in geopolitisch sensiblen Branchen.
  • NIS2 (EU) und schweizerische Anpassungen erhöhen regulatorischen Druck.

Abgrenzung

  • IT-Governance: breiter — Cyber ist ein Teilaspekt der IT-Governance.
  • Digital Governance: noch breiter, inkl. KI und Plattformrisiken.
  • Risiko-Management: Oberrahmen — Cyber ist eine eigenständige Risikokategorie.
  • IKS: umfasst Cyber-Kontrollen — Cyber-Governance ist die strategische Steuerung dahinter.

Häufige Fragen

Was ist Cyber-Governance?
Cyber-Governance ist die Steuerungsverantwortung des Verwaltungsrats für die Cybersicherheit der Gesellschaft. Sie umfasst die Definition des Risikoappetits, die Genehmigung der Schutzstrategie, die Überwachung der Wirksamkeit und die Sicherstellung angemessener Reaktions- und Wiederherstellungsfähigkeit. Cyber ist heute eine eigenständige Risikodomäne mit existenzieller Relevanz.
Ist Cyber-Governance VR-Pflicht?
Ja. Sie ergibt sich aus der Sorgfaltspflicht (OR Art. 717) und der Pflicht zur Oberaufsicht und angemessenen Organisation (OR Art. 716a). Bei einem Cybervorfall mit Schaden prüfen Gerichte, ob der VR ein angemessenes Cyber-Risk-Framework etabliert und überwacht hat. Mangelhafte Cyber-Governance ist ein zunehmender Klagegrund unter OR Art. 754.
Welche Schutzmassnahmen muss der VR sicherstellen?
Der VR muss ein angemessenes Schutzkonzept einfordern: Identity and Access Management, Netzwerksegmentierung, Endpoint Protection, Backup mit Air-Gap, Patch Management, Awareness-Trainings, Incident Response Plan, Cyber-Versicherung und periodische Penetration Tests. Die Tiefe richtet sich nach Branche, Datensensitivität und Geschäftsmodell, nicht nach VR-Bequemlichkeit.
Welche Meldepflichten bestehen bei Cybervorfällen?
Seit 2024 gilt in der Schweiz die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen an das NCSC (BACS) innerhalb von 24 Stunden. Bei Datenschutzverletzungen mit Risiko für Betroffene besteht Meldepflicht an den EDÖB (DSG Art. 24). Bei börsenkotierten Gesellschaften kann zudem die Ad-hoc-Publizitätspflicht greifen, bei FINMA-beaufsichtigten gelten besondere Meldewege.
Wie oft soll der VR Cyber-Risiken behandeln?
Mindestens halbjährlich als Standing Item, in höher exponierten Branchen quartalsweise. Das Audit Committee oder ein Risk Committee bereitet vor: Status der Schutzmassnahmen, Incident-Statistik, Penetration-Test-Ergebnisse, Awareness-Kennzahlen, Drittparteien-Risiken. Bei materiellen Vorfällen erfolgt unmittelbare Sondertraktandierung.
Was ist Drittparteien-Cyberrisiko?
Drittparteien-Cyberrisiko entsteht durch Lieferanten, IT-Dienstleister, Cloud-Provider und Geschäftspartner mit Zugang zu Systemen oder Daten. Beispiele wie die SolarWinds-, MOVEit- oder Kaseya-Vorfälle zeigen, dass Angreifer oft den schwächsten Lieferanten als Einfallstor nutzen. Der VR muss sicherstellen, dass Drittparteien einem angemessenen Due-Diligence- und Monitoring-Prozess unterliegen.
Welche Rolle hat das Top-Management bei Cyber?
Das Top-Management trägt die operative Verantwortung: CEO als Träger der Gesamt-Resilienz, CIO oder CISO als operative Leitung, CFO für Cyber-Versicherung und finanzielle Auswirkungen, Legal für Meldepflichten und Vertragsklauseln. Der VR sollte CISO-Reporting direkt erhalten und nicht ausschliesslich über den CIO gefiltert.
Was sind typische Cyber-Governance-Schwächen?
Häufig sind Delegation an die IT ohne VR-Engagement, fehlende Cyber-Kompetenz im VR, unterressourcierte Sicherheitsfunktion, fehlende oder veraltete Incident Response Plans, Awareness-Trainings als Box-Ticking, mangelnde Drittparteien-Aufsicht, keine regelmässigen Übungen sowie Cyber als reines IT-Thema statt strategisches Risiko. Cyberresilienz braucht Top-Down-Engagement.

Verwandte Einträge

  • Risiko-ManagementSystematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft — Kernverantwortung des VR.
  • Digital GovernanceVR-Verantwortung für die Steuerung von IT, Daten, Cybersecurity, KI und Plattformrisiken als integrierte Domäne.
  • IKS (Internes Kontrollsystem)Firmeninternes System aus Kontrollmechanismen zur Sicherstellung der Zielerreichung, Compliance und ordnungsgemässen Berichterstattung — gesetzlich gefordert nach OR.
  • KI-GovernanceRegeln, Strukturen und Verantwortlichkeiten für die verantwortungsvolle Nutzung von Künstlicher Intelligenz im Unternehmen.