In Zeiten wachsender Bedrohungen durch Cyberangriffe stehen Unternehmen zunehmend unter Druck, ihre Daten umfassend zu schützen. Viele Entscheider setzen dafür auf juristische Absicherungen, statt robuste Sicherheitskonzepte zu implementieren. Doch wie wirksam ist diese Strategie im Ernstfall?

Die Praxis, im Cyber Risk Management lediglich formale Compliance-Anforderungen zu erfüllen, ohne tatsächliche Sicherheitsmassnahmen zu implementieren, nennen wir Legal Washing.

Unternehmen wiegen sich dabei in falscher Sicherheit – sowohl nach innen als auch nach aussen. Sie erklären sich für gesetzeskonform in Bezug auf Datenschutzvorgaben, setzen jedoch kaum substanzielle Massnahmen zur Minderung von Cyberrisiken um.

Diese Praxis basiert, wie ich meine, auf dem Irrglauben, dass rechtliche Absicherungen Datenschutzvorfälle verhindern. Und sie ist leider weit verbreitet. Robuste Cyber Security wird ignoriert – das Risiko wächst exponentiell.

Statt in echte Schutzmassnahmen zu investieren, setzen viele Unternehmen auf Rechtsgutachten, neue Allgemeine Geschäftsbedingungen (AGB) oder vertragliche Absicherungen gegen Cyberrisiken. Doch die Realität ist brutal: Hacker lesen keine AGBs, Ransomware-Gangs ignorieren Haftungsklauseln, und ein Cyberangriff kann ein Unternehmen über Nacht lahmlegen – unabhängig davon, was in den Verträgen steht. Trotzdem drücken sich viele Entscheider vor echten Sicherheitsmassnahmen.

Der wahre Grund für Legal Washing? Es ist bequem.

• Ein Gutachten kostet einmalig Geld – aber eine echte Cyber-Security-Architektur erfodert kontinuierliches Investment.
• Eine Haftungsklausel ist schnell formuliert – aber ein Cyber-Resilience-Plan ist echte Arbeit.
• Ein formeller «Cyber-Compliance»-Stempel ist einfach zu bekommen – aber wirkliche Sicherheit ist ein Dauerthema.

Cyber Security ist vermeintlich teuer, kompliziert und unbequem – also bleibt es bei minimalen Compliance-Massnahmen. Der Denkfehler? Cyberbedrohungen lassen sich nicht wegregulieren.

Verwaltungsrat und Geschäftsleitung tragen die Verantwortung

Für Verwaltungsräte und Geschäftsleitende liegt die oberste Priorität auf der Sicherung einer nachhaltigen Zukunft des Unternehmens. Mit Blick auf diese Zukunfssicherung muss heute auch Cyber Security gehören. Denn Cyber Security wird von vielen Experten als grösste Herausforderungen der Gegenwart und Zukunft betrachtet.

Viele Führungsgremien ignorieren das Thema aus Überforderung und/oder Renditedenken. Das kann teuer werden. Führungskräfte haften persönlich, wenn sie grob fahrlässig handeln. Cyberangriffe sind längst keine isolierten Vorfälle mehr, sondern wirtschaftliche und politische Waffen. Zudem wächst die Abhängigkeit von Big Tech, da Cloud-Anbieter zunehmend Preise und Servicequalität diktieren. Ohne eigene Sicherheitsstrategie verlieren Unternehmen die Kontrolle.

Es gilt zukunftssichere Strategien zu entwickeln. Es braucht eine Kombination aus technologischen, organisatorischen und rechtlichen Massnahmen, um den langfristigen Erfolg und die Sicherheit des Unternehmens zu gewährleisten. Doch wie geht das?

Zero Trust ist der neue Sicherheitsstandard

Zero Trust ist ein Sicherheitskonzept, das auf dem Grundsatz «Vertraue niemandem, überprüfe alles» basiert. Anders als herkömmliche Sicherheitsmodelle, die sich auf abgesteckte Perimeter verlassen, geht Zero Trust davon aus, dass Bedrohungen sowohl von aussen als auch von innen ausgehen können. Daher darf kein Zugriff als vertrauenswürdig gelten, unabhängig davon, ob er aus dem internen Netzwerk oder von ausserhalb erfolgt. Jede Identität, jedes Gerät und jeder Zugriff müssen kontinuierlich überprüft und authentifiziert werden. Berechtigungen werden strikt nach dem Prinzip der minimalen Privilegien vergeben und ständig überwacht, um verdächtige Aktivitäten frühzeitig zu erkennen. Zwar funktioniert der Ansatz auch lokal, doch für die Cloud ist er alternativlos.

Was können Unternehmen tun?

Es ist höchste Zeit, dass Führungskräfte und Verwaltungsräte aktiv werden und langfristige Sicherheitsmassnahmen etablieren. Juristische Klauseln allein bieten keine ausreichende Sicherheit, sondern täuschen eine trügerische Risikominderung vor.

• Technische Massnahmen verstärken: Einführung oder Ausbau eines DLP-Systems (Data Loss Prevention), konsequente Verschlüsselung der sensiblen Daten und ständige Zugangskontrollen.
• Laufende Überprüfung: Sicherheitsstrategien müssen laufend geprüft und an aktuelle Bedrohungen angepasst werden. Wir unterstützen Sie dabei, die richtigen Strategien zu entwickeln.
• Zero Trust umsetzen: Einführung eines umfassenden Zero-Trust-Ansatzes, um den Datenzugriff zentral zu kontrollieren und Sicherheitslücken zu schliessen.Ein formeller «Cyber-Compliance»-Stempel ist einfach zu bekommen – aber wirkliche Sicherheit ist ein Dauerthema.
• Awareness und Schulungen: Mitarbeitende regelmässig zu Sicherheitsrisiken und Datenschutz schulen und sensibilisieren.

Es gilt heute folgende Faustregel: Die Verantwortlichen in Unternehmen und Verwaltungen müssen eine langfristige Perspektive einnehmen. Wenn absehbar ist, dass Sicherheitsmassnahmen in den kommenden Jahren an Wirksamkeit verlieren oder nicht flexibel genug auf neue Bedrohungen reagieren können, sollten zusätzliche Massnahmen frühzeitig in Betracht gezogen, geprüft und proaktiv umgesetzt werden.

Fazit

Legal Washing ist eine gefährliche Illusion. Wer nur auf formale Compliance setzt, statt echte Sicherheitsmassnahmen zu ergreifen, setzt sein Unternehmen erheblichen Risiken aus. Zero Trust ist der Schlüssel zu einer nachhaltigen Sicherheitsstrategie – es geht nicht um Vertrauen, sondern um kontinuierliche Überprüfung. Nur durch eine Kombination aus technischer Prävention, organisatorischer Resilienz und strategischer Weitsicht lässt sich digitale Sicherheit effektiv gewährleisten.