Cybersicherheit

Die Sicherstellung der Verfügbarkeit, der Vertraulichkeit und der Integrität von Systemen, Daten und Informationen ist integraler Bestandteil des internen Kontrollsystems. Damit entspricht Swiss Life auch der Erwartung ihrer Geschäftspartner.

Für die Sicherstellung einer starken Cyberresilienz verfügt Swiss Life über umfassende Mass­nahmen und Prozesse. Neben der Integration in das gruppenweite interne Kontrollsystem sind in gruppen­weiten Weisungen relevante Minimalanforderungen zur Informationssicherheit basierend auf führenden und international anerkannten Datensicherheitsstandards wie den British Standards ISO/IEC 27001/2, dem Control Objectives for Information and Related Technology (CobiT) Framework, dem Center of Internet Security (CIS) Controls und dem Cyber Security Framework des National Institute of Standards and Technology (NIST) definiert. Zudem unterhält Swiss Life Business-Continuity-Management-(BCM)-Pläne, die jährlich getestet werden. Die Division Schweiz ist nach ISO 27001:2022 zertifiziert, andere Divisionen arbeiten darauf hin.

Die Markteinheiten setzen die Vorgaben um und beurteilen deren Einhaltung gemeinsam mit den jeweiligen Informationssicherheitsfachleuten auf Gruppen- und Divisionsstufe. Dieser Prozess umfasst viele verschiedene Themenbereiche wie die Verschlüsselung von Endgeräten, Zugriffs­kontrollen für Fernzugriffe auf das Netzwerk, ein Schwachstellenmanagement, Security Operations, Disaster Recovery oder applikationsunabhängige IT-Kontrollen. Corporate Internal Audit überprüft den Bereich Informationssicherheit inklusive IT-Infrastruktur mehrmals jährlich und den Bereich Datenschutz periodisch risikoorientiert im Rahmen der internen Revisions­tätigkeiten. Potenzielle Schwachstellen werden mit geeigneten Massnahmen kontinuierlich optimiert.

Mit einer stetigen Weiterentwicklung soll zudem sichergestellt werden, dass den sich rasch ändernden Cyberangriffsmethoden Rechnung getragen wird. Swiss Life orientiert sich als Mitglied des Center for Internet Security (CIS) unter anderem an dessen Empfehlungen. Die implementierten Sicherheitsmassnahmen werden intern durch das Risiko­management validiert und regelmässig unabhängig extern begutachtet. Das Thema Cybersicherheit ist zudem regelmässig Bestandteil der Agenda von Konzernleitung und Revisionsausschuss.

Im Rahmen dieser Weiterentwicklung wurde per Ende 2023 ein gruppenweites dreijähriges Programm zur weiteren Verbesserung der Cybersicherheit erfolgreich abgeschlossen. In allen Business-Divisionen wurden 137 Kontrollen aus dem «Critical Security Controls Framework» des CIS eingeführt. Diese Kontrollen wurden von der internen Risikofunktion validiert und von Internal Audit sowie durch einen externen Prüfer begutachtet.

Die Ende 2023 initiierte gruppenweite Gap-Analyse wurde im Rahmen des EU Digital Operational Resilience Act (DORA) inklusive der technischen Standards durchgeführt und weitere Massnahmen wurden implementiert, um die regulatorischen Vorgaben bis Mitte Januar 2025 zu erfüllen.

Alle Divisionen führen seit Jahren regelmässige Cybersecurity-Awareness-Schulungen für interne und externe Mitarbeitende durch, die auch modernere Angriffsmethoden (z. B. Voice Cloning) thematisieren. Ein besonderes Augenmerk liegt auf der Phishing-Prävention. Die Mitarbeitenden erhalten mehrfach jährlich gefälschte Phishing-E-Mails mit unterschiedlichem Schwierigkeitsgrad zur Erkennung zugestellt. Die Klickraten werden entsprechend gemessen.

Die aktuelle Risikolage, inklusive der Effektivität von Kontrollen, Verbesserungsmassnahmen und Erkenntnissen aus Vorfällen der Risiko- und/oder der Compliance-Funktion, wird quartalsweise an die Konzernleitung sowie halbjährlich an den Revisionsausschuss des Verwaltungsrats berichtet. Im Berichtsjahr gab es keine meldungspflichtigen Verstösse in Bezug auf Cyber- oder Datensicherheit und es liegen auch keine begründeten Beschwerden vor.

Weitere Informationen zum Thema Schutz von Personendaten sind im Kapitel «Regulatorische Compliance» zu finden.