Cybersicherheit

Die Sicherstellung der Verfügbarkeit, der Vertraulichkeit und der Integrität von Systemen, Daten und Informationen ist integraler Bestandteil des internen Kontrollsystems. Damit entspricht Swiss Life auch der Erwartung ihrer Geschäftspartner.

Für die Sicherstellung einer starken Cyberresilienz verfügt Swiss Life über umfassende Mass­nahmen und Prozesse. Neben der Integration in das gruppenweite interne Kontrollsystem sind in gruppen­weiten Weisungen relevante Minimalanforderungen zur Informationssicherheit basierend auf führenden und international anerkannten Datensicherheitsstandards wie den British Standards ISO/IEC 27001/2, dem Control Objectives for Information and Related Technology (CobiT) Framework, dem Center of Internet Security (CIS) Controls und dem Cyber Security Framework des National Institute of Standards and Technology (NIST) definiert. Zudem unterhält Swiss Life Business-Continuity-Management-(BCM)-Pläne, die jährlich getestet werden. Die Division Schweiz ist nach ISO 27001/2 zertifiziert, andere Divisionen arbeiten darauf hin.

Die Markteinheiten setzen die Vorgaben um und beurteilen deren Einhaltung gemeinsam mit den jeweiligen Informationssicherheitsfachleuten auf Gruppen- und Divisionsstufe. Dieser Prozess umfasst viele verschiedene Themenbereiche wie die Verschlüsselung von Endgeräten, Zugriffs­kontrollen für Fernzugriffe auf das Netzwerk, ein Schwachstellenmanagement, Security Operations, Disaster Recovery oder applikationsunabhängige IT-Kontrollen. Corporate Internal Audit überprüft den Bereich Informationssicherheit inklusive IT-Infrastruktur mehrmals jährlich und den Bereich Datenschutz periodisch risikoorientiert im Rahmen der internen Revisionstätigkeiten. Allfällige Schwachstellen werden mit geeigneten Massnahmen adressiert. Je nach identifizierter Schwachstelle kommen als Massnahmen zum Beispiel die Verbesserung von Prozessen, die Aktualisierung von Dokumentation, die Bereinigung von Zugriffsrechten oder auch das Durchführen eines Projektes zur nachhaltigen Reduzierung eines Restrisikos zur Anwendung.

Mit einer kontinuierlichen Weiterentwicklung soll zudem sichergestellt werden, dass den sich rasch ändernden Cyberangriffsmethoden Rechnung getragen wird. Swiss Life orientiert sich als Mitglied des Center for Internet Security (CIS) unter anderem an dessen Empfehlungen. Die implementierten Sicherheitsmassnahmen werden intern durch das Risiko­management validiert und regelmässig unabhängig extern begutachtet. Das Thema Cybersicherheit ist zudem regelmässig Bestandteil der Agenda von Konzernleitung und Audit Committee.

Im Rahmen dieser Weiterentwicklung ist per Ende 2023 ein dreijähriges Unternehmensprogramm zur weiteren Verbesserung der Cybersicherheit abgeschlossen worden. In allen Business-Divisionen wurden 137 Unterkontrollen aus dem «Critical Security Controls Framework» des CIS eingeführt. Diese Kontrollen werden von der Risikofunktion validiert und von Internal Audit geprüft. Der Fortschritt in Cybersicherheit wird jedes Quartal von der Konzernleitung begutachtet.

Im Jahr 2024 liegt der Fokus auf einer gruppenweiten Gap-Analyse für die Implementierung weiterführender Aspekte im Rahmen des EU Digital Operational Resilience Act (DORA) inklusive der technischen Standards.

Alle Divisionen haben ein umfassendes Cybersecurity-Awareness-Programm für alle Mitarbeitenden eingerichtet. Ein besonderes Augenmerk liegt hier auf der Phishing-Prävention. Die Mitarbeitenden erhalten wiederkehrend gefälschte Phishing-E-Mails mit unterschiedlichem Schwierigkeitsgrad zur Erkennung zugestellt. Die Klickraten werden entsprechend gemessen.

Die aktuelle Risikolage, inklusive der Effektivität von Kontrollen, Verbesserungsmassnahmen und Erkenntnissen aus Vorfällen der Risiko- und/oder der Compliance-Funktion, wird quartalsweise an die Konzernleitung sowie halbjährlich an den Revisionsausschuss des Verwaltungsrats berichtet. Im Berichtsjahr gab es keine meldungspflichtigen Verstösse in Bezug auf Cybersicherheit oder Datenschutz.

Weitere Informationen zum Thema Datenschutz finden sich in den Kapiteln «Regulatorische Compliance» und «Risikomanagement».