Menü

Geschäftsbericht 2025
Geschäftsbericht 2025
Weitere Berichte öffnen

Download Center

Home

Cybersicherheit

Für die Sicherstellung einer starken Cyberresilienz verfügt Swiss Life über umfassende Direktiven, Weisungen und Massnahmen. Die «Cybersecurity-Strategie 2025+» von Swiss Life fokussiert zudem auf die weitere Verbesserung der Cyberresilienz gegen moderne Cyber- und Supply-Chain-Angriffe.

In gruppenweiten Guidelines sind relevante Minimalanforderungen zur Informationssicherheit basierend auf führenden und international anerkannten Informationssicherheitsstandards wie ISO/IEC 27001, dem Control Objectives for Information and Related Technology (CobiT) Framework, dem Center for Internet Security Controls (CIS) und dem Cyber Security Framework des National Institute of Standards and Technology (NIST) definiert. Die Division Schweiz ist nach ISO/IEC 27001:2022 zertifiziert, andere Divisionen haben teilweise ISO/IEC-27001:2022-Zertifizierungen oder arbeiten darauf hin. Zudem ist IT- und Informationssicherheit auch integraler Bestandteil des gruppenweiten Third-Party Risk Management Framework. Letzteres stellt eine risikobasierte Due-Diligence-Prüfung im Auswahlprozess von Anbietern sicher inklusive Integration von regulatorischen und Swiss Life-internen Sicherheitsanforderungen in Verträgen sowie eines kontinuierlichen Monitorings der Anbieter. Die Sicherstellung der Verfügbarkeit, der Vertraulichkeit und der Integrität von Systemen, Daten und Informationen ist ferner integraler Bestandteil des internen Kontrollsystems. Damit erfüllt Swiss Life auch die Erwartung ihrer Geschäftspartner. Anforderungen an den Umgang mit Informationssicherheitsvorfällen werden im Rahmen des operationellen Risikomanagements gruppenweit konsistent geregelt. Mehr Informationen zum internen Kontrollsystem finden sich im Kapitel «Risikomanagement».

Die Divisionen setzen die in den Guidelines vorgesehenen Massnahmen um und beurteilen ihre Einhaltung gemeinsam mit den jeweiligen Informationssicherheitsfachleuten auf Gruppen- und Divisionsstufe. Die Massnahmen umfassen viele verschiedene Themenbereiche wie die Verschlüsselung von Endgeräten, Zugriffskontrollen für Fernzugriffe auf das Netzwerk, Schwachstellenmanagement, Endpoint Detection und Response Security Operations, Rund- um-die-Uhr-Überwachung mit Security Operation Centers, Disaster Recovery oder applikationsunabhängige IT-Kontrollen.

Zudem klassifiziert Swiss Life sämtliche Daten anhand von deren Schutzbedarf. Die Sicherung und der Schutz aller Daten werden mit geeigneten organisatorischen und technischen Schutzmassnahmen umgesetzt.

Mit einer stetigen Weiterentwicklung soll sichergestellt werden, dass den sich rasch ändernden Cyberangriffsmethoden Rechnung getragen wird. Swiss Life orientiert sich als Mitglied der CIS an dessen Empfehlungen und hat gruppenweit definierte Kontrollen aus dessen «Critical Security Controls Framework» eingeführt.

Alle Divisionen führen seit Jahren regelmässige, obligatorische Cybersecurity-Awareness-Schulungen für interne und externe Mitarbeitende durch, die auch modernere Angriffsmethoden thematisieren. Ein besonderes Augenmerk liegt auf der Phishing-Prävention. Die Mitarbeitenden erhalten mehrfach jährlich gefälschte Phishing-E-Mails mit unterschiedlichem Schwierigkeitsgrad zur Erkennung zugestellt. Die Klickraten werden entsprechend gemessen.

Die bezüglich Informationssicherheit und IT-Infrastruktur implementierten Sicherheitsmassnahmen und Kontrollen werden durch die Second-Line-Funktion validiert und durch die Third Line und externe Parteien regelmässig unabhängig geprüft. Potenzielle Schwachstellen werden mit geeigneten Massnahmen kontinuierlich adressiert. Zudem unterhält Swiss Life Business-Continuity-Management-(BCM)-Pläne, die regelmässig aktualisiert und getestet werden. Diese beinhalten Vorgehensweisen, Ersatzlösungen und angemessene Ersatzressourcen, die für die Kontinuität und/oder Wiederherstellung kritischer Geschäftsprozesse erforderlich sind.

Die Verantwortlichkeiten bezüglich Weisungswesen sind im Kapitel «Strategische Verankerung, Prozesse und Schulungen» beschrieben. Der Group CRO überwacht als Mitglied der erweiterten Konzernleitung die Cybersecurity-Strategie.

Die aktuelle Risikolage, darunter die Effektivität von Kontrollen, Verbesserungsmassnahmen und Erkenntnissen aus Vorfällen der Risiko- und/oder der Compliance-Funktion, wird quartalsweise der Konzernleitung sowie halbjährlich dem Revisionsausschuss des Verwaltungsrats unterbreitet. Im Berichtsjahr gab es keine gemäss FINMA-Aufsichtsgesetz meldungspflichtigen Vorkommnisse in Bezug auf Cyber- oder Datensicherheit und es liegen auch keine begründeten Beschwerden vor.