Cybersicherheit

Für die Erreichung der Geschäftsstrategie und der Ziele ist Swiss Life auf eine starke Cyberresilienz angewiesen. Die Sicherstellung der Verfügbarkeit, der Vertraulichkeit und der Integrität von Systemen, Daten und Informationen ist integraler Bestandteil des internen Kontrollsystems. Damit entspricht Swiss Life auch der Erwartung ihrer Geschäftspartner.

Für die Sicherstellung einer starken Cyberresilienz verfügt Swiss Life über umfassende Massnahmen und Prozesse. Neben der Integration in das interne Kontrollsystem sind in gruppenweiten Weisungen relevante Minimalanforderungen zur Informationssicherheit basierend auf führenden und international anerkannten Datensicherheitsstandards wie den British Standards ISO/IEC 27001/2, dem Control Objectives for Information and Related Technology (CobiT) Framework, dem Center of Internet Security (CIS) Controls und dem Cyber Security Framework des National Institute of Standards and Technology (NIST) definiert. Zudem unterhält Swiss Life Business-Continuity-Management-(BCM)-Pläne, die jährlich getestet werden. Die Division Schweiz ist nach ISO 27001/2 zertifiziert, andere Divisionen arbeiten darauf hin.

Die Markteinheiten setzen die Vorgaben um und beurteilen deren Einhaltung gemeinsam mit den jeweiligen Informationssicherheitsfachleuten auf Gruppen- und Divisionsstufe. Dieser Prozess umfasst viele verschiedene Themenbereiche wie die Verschlüsselung von Endgeräten, Zugriffs­kontrollen für Fernzugriffe auf das Netzwerk, ein Schwachstellenmanagement, Security Operations, Disaster Recovery oder applikationsunabhängige IT-Kontrollen. Corporate Internal Audit überprüft den Bereich Informationssicherheit inklusive IT-Infrastruktur mehrmals jährlich und den Bereich Datenschutz periodisch risikoorientiert im Rahmen der internen Revisionstätigkeiten. Allfällige Schwachstellen werden mit geeigneten Massnahmen adressiert. Je nach identifizierter Schwachstelle kommen als Massnahmen zum Beispiel eine Verbesserung von Prozessen, die Aktualisierung von Dokumentation, die Bereinigung von Zugriffsrechten oder auch das Durchführen eines Projektes zur nachhaltigen Reduzierung eines Restrisikos zur Anwendung.

Der Ansatz der kontinuierlichen Weiterentwicklung soll zudem sicherstellen, dass den sich rasch ändernden Cyberangriffsmethoden Rechnung getragen wird. Swiss Life orientiert sich unter anderem an den Empfehlungen des Center for Internet Security (CIS) und ist aktives Mitglied dieser Organisation. Die implementierten Sicherheitsmassnahmen werden intern durch das Risiko­management validiert und regelmässig unabhängig extern begutachtet. Das Thema Cybersicherheit ist zudem regelmässig Bestandteil der Agenda von Konzernleitung und Audit Committee.

Im Berichtsjahr 2022 gab es keine wesentlichen, meldungspflichtigen Verstösse gegen die Cyber­sicherheit.

Weitere Informationen zum Thema Datenschutz finden sich in den Kapiteln «Regulatorische Compliance» und «Risikomanagement».