Am 4. Mai 2021 fand organisiert von der Professur Mira Burri in Zusammenarbeit mit der Advokatur Fanger, Sidler Information Security und Swiss Business Protection der diesjährige Lucerne Law & IT Summit (LITS) statt. Diese stand ganz im Zeichen der Zukunft der schweizerischen Wirtschaft mit dem Thema «Wirtschaftsschutz Schweiz: Herausforderungen des digitalen Unternehmens». Nach der einleitenden Begrüssung durch Mira Burri und die Moderatorin Nicole Fritischi referierte Chris Eckert, Kriminalist und Senior Consultant, Inhaber und Geschäftsführer von econplus GmbH, CEO und Partner Swiss Business Protection AG zum Wirtschaftsschutz in der Schweiz. Eckert beschreibt die Schweiz als beliebtes Ziel von Cyberattacken. Dabei handle es sich nicht nur um kriminelle Organisationen, Cyberattacken würden sich auch für Staaten durchaus wirtschaftlich lohnen. Eckert berichtet, dass Cyberattacken für Unternehmen sehr gefährlich sein können. Trotzdem hat er den Eindruck, dass der Wirtschaftsschutz vom Bund nicht genügend thematisiert wird. Aber nicht nur bei Regierungen fehlt es an Sensibilität für das Thema. Informationssicherheit sollte auch von Firmen als hohe Priorität gewertet werden. Eckert beschreibt Unternehmen als aus Infrastruktur, Mensch und Organisation und Information bestehend. Besondere Vorsichtsmassnahmen sollten insbesondere bezüglich Prozesse, Technik und Mensch getroffen werden. Dabei ist gerade der Mensch überaus wichtig. Die Sensibilisierung der Mitarbeitenden sowie intensive Prüfung der Bewerber bei der Besetzung wichtiger Stellen und vertragliche Absicherungen bei wichtigen Schlüsselpositionen sind zentral. Obwohl Unternehmen unter Umständen aufgrund der Folgen von Cyberattacken Konkurs gehen, holen sich nur 20% externe Hilfe. Tatsächlich sind die offenen Lücken und Angriffsziele aber auch im Nachgang einer Cyberattacke mannigfach.

Marc Ziegler, CEO und Vorsitzender der Geschäftsleitung Auto AG Group, sprach nun als nächstes über einen Angriff auf sein Unternehmen. Ziegler beschreibt, dass die Auto AG Group ein an der Nebenbörse gelistetes Unternehmen mit 460 Mitarbeitern ist, welches etwa 120 Mio. Umsatz pro Jahr macht. Dabei machte er klar, dass so ein Angriff durchaus von einer sehr hohen Professionalität geprägt sein kann. Den Betrieb weiterzuführen und die IT-Infrastruktur wiederherzustellen sei daher in zeitlicher und personeller Hinsicht sehr aufwändig. Dabei müsse auch beachtet werden, dass diese teilweise noch zu bereinigen und ersetzen ist, insbesondere um einen erneuten Angriff ausschliessen zu können. Persönlich beschreibt Marc Ziegler ein Gefühl der Unsicherheit und des «alleine gelassen werden». Dies sei auch darin begründet, dass auch die Polizei wenige Erfahrungswerte mit Cyberattacken habe und bereits zu Beginn klar gemacht habe, dass Attacken selten aufgeklärt werden. Ziegler geht davon aus, ein Unternehmen zu führen, welches üblicherweise im Fokus von Cyberkriminalität steht. Oft handelt es sich um mittelgrosse bis grosse KMUs, von denen aufgrund ihrer Börsenkodierung ihr Umsatz bekannt ist. Aus nachträglicher Betrachtung empfiehlt Ziegler ein physisch getrenntes Backup mit regelmässigen Restore-Tests.

Stephan Walder, Stv. Leitender Staatsanwalt, Kompetenzzentrum Cybercrime, Kanton Zürich hielt anschliessend einen Vortrag mit dem Titel «Cybercrime Quo Vadis? Möglichkeiten und Grenzen der Strafverfolgung». Das Kompetenzzentrum Cybercrime ist seit 2012 operativ. Dabei wird - auch räumlich – zwischen Technikern, Ermittlern und der Staatsanwaltschaft sehr nahe zusammengearbeitet. Der Sachverhalt sei beim Cybercrime selten schwierig feststellbar, jedoch sei es umso schwieriger die Täter zu identifizieren und lokalisieren. Die Ausgangslage ist oft eine Serverspur, der innerhalb der Grenzen der Rechtsstaatlichkeit gefolgt werden muss. Walder beschreibt, dass es in der Tat schwierig ist, Cybercrimes gegen private Firmen aufzuklären. Die Staatsanwaltschaft sei auf die Kooperation der Firmen angewiesen, da nur diese die richtigen Daten mit verhältnismässigem Aufwand zur Spurensicherung bereitstellen könnten. Zudem sei es von Vorteil, möglichst lange die Spur aufnehmen zu können und mit den Erpressern in Kontakt zu stehen. Dies kann in gewissem Masse den Interessen der Firmen entgegenlaufen, welche ihre Inhalte möglichst schnell wiederherstellen möchten. Vom Bezahlen der Erpressungssumme rät Walder in jedem Fall ab. Die meisten Delikte dieser Art seien in der Tat als Wirtschaftsdelikte mit geringem Risiko zu qualifizieren. Entsprechend organsiert sind die Täter und man wird oft «blacklistet» und erneut attackiert.

Im Anschluss zeigte René Hirsiger, Dr. iur., Rechtsanwalt, Partner Blesi & Papa verschiedene Arbeitsrechtliche Herausforderungen an das digitalisierte Unternehmen auf. Dabei hat er sehr ausführlich und umfassend mögliche Aspekte des Arbeitsrechts abgedeckt. Dies ging über bekannte Themen wie die Überwachung der Arbeitnehmer bis hin zu weniger bekannten Aspekten wie Big Data. Zentral sei dabei, dass der Wirtschaftsschutz ab einem gewissen Punkt sicherlich in Konflikt mit dem Arbeitsrecht kommt. Dieses Spannungsfeld sollte man proaktiv angehen und im Arbeitsvertrag und Reglementen wichtiges festhalten und im Einzelfall umsichtig handeln.

Als letzter referierte Thomas Steiner, Dr. iur., LL.M., Senior Advisor, LAUX LAWYERS AG zur Informationssicherheit. Steiner hielt fest, dass die Vorredner bereits deutlich gemacht hätten, warum Informationssicherheit zentral ist. Dennoch gibt es kein übergreifendes Gesetz, welches diesen regelt. Ein Informationsschutzgesetz des Bundes sei zwar vorgesehen, diese beziehe sich jedoch nur auf Anforderungen and die öffentliche Verwaltung. Teilweise regle das revidierte Datenschutzgesetz den Informationsschutz. Dies jedoch nur im Bereich der Datensicherheit und von Data Breaches bezüglich persönlicher Daten. Ansonsten finden sich verschiedene Normen in Spezialgesetzen, sei es z.B. im Gesundheits- oder Bankenwesen. Steiner beleuchtete bei deren Erläuterung insbesondere verschiedene Meldepflichten. Abschliessend beschrieb er die zentralen Massnahmen, welche von Unternehmen getroffen werden sollten. Diese sollten jedoch auch immer im Verhältnis zum Risiko stehen. Trotzdem sei das Thema auf oberster Ebene im Unternehmen anzusiedeln.

Zum Abschluss konnten alle Teilnehmenden ihre Fragen and die Referierenden stellen und Reto Fanger sowie Mira Burri liessen die Konferenz mit abschliessenden Worten ausklingen.

Der Lucerne Law & IT Summit (LITS) ist eine Veranstaltungsreihe der Rechtswissenschaftlichen Fakultät der Universität Luzern im Rahmen der Weiterbildung. Ihr Ziel ist, Recht und Informationstechnologie (IT) zusammenzubringen und einen praxisorientierten Dialog zwischen Juristen und IT-Fachleuten in Gang zu bringen, um aktuelle Themen sowie künftige Entwicklungen an der Schnittstelle von Recht und IT abzubilden.

Kontakt: Prof. Dr. Mira Burri, mira.burriremove-this.@remove-this.unilu.ch