Von Dr. Reto Fanger

Zufällige oder gezielte Angriffe auf Unternehmen, Behörden oder Private führen oft zu schweren Schäden: Drohende langwierige Produktionsausfälle erfordern umfangreiche Wiederherstellungsmassnahmen. Gefahren müssen präventiv erkannt und vermieden werden. Notfälle erfordern umgehend griffige Massnahmen zur Ereignisbewältigung.

Bedroht sind im Unternehmen durch digitale oder konventionelle Angriffe insbesondere Know-how, Produkte, Innovation sowie Ideenvielfalt. Ziel eines jeden Unternehmens ist es, die Mitarbeitenden zu schützen, eine reibungslose Produktion und die Verfügbarkeit der Information sowie Innovation zu gewährleisten, um umfassend krisenresistent zu sein. Dies alles lässt sich nur teilweise technisch einkaufen. An präventiven und reaktiven organisatorischen Massnahmen führt daher kein Weg vorbei.

Prävention

Es versteht sich von selbst, dass der beste Schutz des Unternehmens darin besteht, diese Bedrohungen möglichst zu vermeiden und mit wiederkehrenden präventiven Massnahmen im Sinne des Demingzirkels (PDCA: Plan – Do – Check – Act) Risikobeurteilungen durchzuführen, basierend darauf Sicherheitsstrategien zu entwickeln, diese mittels Awareness- und Schulungskampagnen im Unternehmen zu implementieren und im Rahmen wiederkehrender Audits zu überprüfen, zu verbessern und an veränderte Gegebenheiten anzupassen. Basierend auf den drei Säulen Infrastruktur, Mensch & Organisation sowie Information gilt es – je nach Ausgangslage und Ausrichtung des jeweiligen Unternehmens – Überlegungen zu Aspekten wie Standortsicherheit, Objektschutz, Risikofaktor Mensch, Rekrutierung, Mobilitätssicherheit, Notfall- und Krisenmanagement, Know-how-Schutz sowie Cyber Security bzw. generellem Informations- und Datenschutz anzustellen und umzusetzen.

Ereignisbewältigung

Neben der Prävention gewinnt die rasche und zielgerichtete Ereignisbewältigung zunehmend an Wichtigkeit. So gaben im Rahmen eines Artikels der Fachzeitschrift IT-Markt vom 29. August 2019 zum CISO-Roundtable 2019 zahlreiche Informationssicherheitsverantwortliche von Schweizer Unternehmen zu Protokoll, sie wünschten sich eine Feuerwehr, die da ist, wenn es brennt. Das Ziel müsse sein, bei einem Vorfall möglichst schnell zu reagieren. Gleichzeitig wurde der Wunsch nach schweizerischen oder zumindest regionalen Sicherheitsanbietern geäussert, die sich durch ihre Agilität sowie ihre Spezialisten auszeichnen müssten. Erfolgreiche Ereignisbewältigung bedingt denn auch zunächst konzeptionell ähnliche Vorgehensweisen wie im präventiven Bereich, indem die Situation erkannt und beurteilt werden muss, um entsprechende Eindämmungsmassnahmen durchzuführen und dieses Vorgehen anschliessend nochmals zu überprüfen sowie gegebenenfalls anzupassen (Lessons Learned, Korrekturen). Unterschiedlich verhält sich aber der Notfall zur Prävention insbesondere hinsichtlich der zeitlichen Dringlichkeit der Ereignisbewältigung: Der Notfall erfordert rasches und zielgerichtetes Handeln unterschiedlicher Spezialisten, deren Vorgehen bestmöglich zu koordinieren ist, um das angegriffene Unternehmen sowohl intern wie extern bestmöglich unterstützen zu können.

Kompetenzzentrum Wirtschaftsschutz als ‘Feuerwehr’

Um sowohl präventiv wie insbesondere reaktiv umfassende Dienstleistungen im Bereich Integrale Sicherheit anbieten zu können, braucht es daher ein Kompetenzzentrum Wirtschaftsschutz, welches sowohl über die erforderliche Breite an Expertise als auch über ein zeitnahes Krisenkonzept verfügt. Unternehmen sollen im Krisenfall rasch und wirksam unterstützt werden gegen die aktuellen und künftigen Gefahren im Bereich Cyber Crime, Wirtschaftskriminalität und Industriespionage. Eine Analogie zur Feuerwehr ist daher durchaus berechtigt…

Autor: Dr. Reto Fanger

RA Dr. Reto Fanger ist Founding Partner der Swiss Business Protection AG und seit 2003 als Rechtsanwalt mit Schwerpunkt ICT-, Daten-, Medien- und Arbeitsrecht tätig (seit 2011 ADVOKATUR FANGER Luzern). Seit 2003 ist er Lehrbeauftragter an der Universität Luzern, seit 2005 Dozent an der Hochschule Luzern sowie seit 2017 Co-Organisator und -Tagungsleiter des Lucerne LAW & IT Summit (LITS) der Universität Luzern. Reto Fanger war von 2011 bis 2018 überdies Datenschutzbeauftragter des Kantons Luzern.