Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Auswirkungen der Meldepflicht für Cybervorfälle auf multinationale Unternehmen mit Hauptsitz in der Schweiz

04/2025

1 Einleitung

Cyberkriminelle auf der ganzen Welt machen jedes Jahr Milliarden über Milliarden Umsatz [1], indem sie Organisationen und Menschen mit verschiedenen Arten von Angriffen ins Visier nehmen. Allein in den USA sollen die registrierten Beschwerden über den Business Email Compromise (BEC)-Betrug im Jahr 2023 Verluste in Höhe von 2,9 Milliarden Dollar verursacht haben [14]. Noch schlimmer sieht es mit dem wirtschaftlichen Schaden durch Ransomware aus. Cybersecurity Ventures [22] schätzt, dass der globale Wert der durch Ransomware-Angriffe verursachten Kosten im Jahr 2021 bei rund 20 Milliarden Dollar liegen soll, wobei er von Jahr zu Jahr steigt. Um diesen Cyber-Bedrohungen und den potenziell katastrophalen Folgen für die nationalen und internationalen Märkte besser Rechnung zu tragen, haben Regierungen auf der ganzen Welt Meldepflichten für Cyber-Vorfälle eingeführt. Auf diese Weise wollen die Regierungen den Cyber-Bedrohungen Rechnung tragen und verhindern, dass sich Cyber-Angriffe zu Krisen ausweiten, insbesondere wenn kritische Infrastrukturen angegriffen werden. Ausserdem hilft es den Strafverfolgungsbehörden, bessere Schlüsse darüber zu ziehen, wie die kriminellen Strukturen miteinander verbunden sind und wie sie die Verbrechen besser und schneller verfolgen können.

Die Auswirkungen von Cyber-Bedrohungen auf der ganzen Welt haben zur Schaffung von Cybersicherheitsrichtlinien, -standards und -vorschriften geführt, vor allem um die Widerstandsfähigkeit kritischer Infrastrukturen zu verbessern. Nicht zuletzt seit die Europäische Union (EU) im Jahr 2018 die Allgemeine Datenschutzverordnung (GDPR) oder die EU-Richtlinie über die Sicherheit von Netzwerk- und Informationssystemen (NIS) in Kraft gesetzt hat und die Securities and Exchange Commission (SEC) der Vereinigten Staaten von Amerika (USA) im Jahr 2023 Regeln für Cybersecurity Risk Management, Strategy, Governance und Incident Disclosure vorgeschlagen hat, ist die Meldung von Vorfällen für Organisationen auf der ganzen Welt zu einer wichtigen Frage der Compliance geworden. Da sich die Landschaft weiter entwickelt, erlassen immer mehr Staaten nationale Cyber-Meldepflichten, um den Austausch von Bedrohungsdaten zu erleichtern. Im Rahmen der Beratungstätigkeit eines der Autoren hat sich gezeigt, dass diese Meldepflichten eine besondere Herausforderung, manchmal sogar einen blinden Fleck für Unternehmen darstellen. Die Vielfalt und Komplexität der Meldepflichten für Cyber-Vorfälle in den verschiedenen Rechtsordnungen stellen eine grosse Herausforderung dar, insbesondere für Unternehmen, die in mehreren Rechtsordnungen tätig sind.

Angesichts der relativ neuen Entwicklungen in diesem Bereich überrascht es nicht, dass auch die Literatur, die sich mit den Meldepflichten für Cybervorfälle befasst, sich weiterentwickelt hat. Andreasson und Fallen [2] untersuchten die Gesetze der EU und Schwedens, um herauszufinden, welche Gesetze die Meldepflichten für externe Vorfälle in den jeweiligen Rechtsordnungen regeln, damit sich Unternehmen besser in der komplizierten Landschaft der Cybersicherheitsgesetze zurechtfinden können. Marotta und Madnick [18] schlugen einen Forschungsrahmen vor, um die Herausforderungen für Unternehmen bei der Einhaltung von Cybersicherheitsvorschriften zu untersuchen. Darüber hinaus bewerteten sie die jüngsten Meldepflichten für Cybervorfälle in verschiedenen Gerichtsbarkeiten auf ihre Wirksamkeit in verschiedenen Aspekten [19, 20]. Sie untersuchten zum Beispiel Regeln, die den zeitlichen Rahmen für die Berichterstattung festlegen, und Aspekte, die den Detaillierungsgrad der Meldeverfahren definieren. Seng [24] erstellte einen Überblick über die Gemeinsamkeiten und Unterschiede der Meldepflichten für Cybervorfälle in den Ländern des asiatisch-pazifischen Raums. Der Autor untersuchte insbesondere die Gesetze von China, Indien, Südkorea und Singapur, die in Bezug auf Bevölkerung und Wirtschaftskraft einen wesentlichen Teil der östlichen Hemisphäre abdecken. Empirische Untersuchungen, die sich speziell mit den Herausforderungen befassen, die Unternehmen bei der Einhaltung der Meldepflichten für Cybervorfälle zu bewältigen haben, scheinen jedoch neu zu sein. Soweit wir wissen, gibt es keine Studie, die sich mit diesen spezifischen Herausforderungen befasst, insbesondere wenn Unternehmen in mehr als einer Rechtsordnung tätig sind und daher mit Meldepflichten für Cybervorfälle konfrontiert sind, die sich in Inhalt und Umfang unterscheiden können.

In dieser Studie wurde untersucht, wie multinationale Unternehmen die Komplexität der internationalen Cybersecurity-Meldepflichten auf der Grundlage von Primärdaten bewältigen, die in multinationalen Unternehmen mit Hauptsitz in der Schweiz erhoben wurden. In Ermangelung umfangreicher früherer Untersuchungen in diesem Bereich stellt unsere Studie einen ersten Schritt zum Verständnis der vielfältigen Herausforderungen und Strategien dar, die mit der Meldung von Cybersecurity-Vorfällen in verschiedenen Rechtsordnungen verbunden sind. Die zentrale Frage, die unsere Untersuchung antreibt, lautet: „Welche Herausforderungen und Strategien wenden multinationale Unternehmen derzeit an, um den internationalen Meldepflichten für Cybervorfälle nachzukommen?“ Diese Untersuchung soll nicht nur wertvolle Erkenntnisse für die akademische Diskussion liefern, sondern auch praktische Anleitungen für Unternehmen bieten, die sich diesen Herausforderungen stellen müssen.

Der Rest dieses Artikels ist wie folgt aufgebaut: Der nächste Abschnitt gibt einen vergleichenden Überblick über die Meldepflichten für Cybervorfälle in ausgewählten Ländern rund um den Globus. Im dritten Teil dieses Artikels wird die Forschungsmethode vorgestellt, während im darauffolgenden Abschnitt die Ergebnisse präsentiert werden. Der abschliessende Abschnitt diskutiert die Ergebnisse, hebt die Grenzen der Studie hervor und schlägt Möglichkeiten für zukünftige Forschung vor.

2 Vergleichende Übersicht über die Meldepflichten bei Cybervorfällen

Um die Herausforderungen zu erforschen, denen sich multinationale Unternehmen bei der Einhaltung der Meldepflichten für Cybervorfälle gegenübersehen, ist es von entscheidender Bedeutung, ein besseres Verständnis der Gemeinsamkeiten und Unterschiede dieser Vorschriften und Gesetze in den verschiedenen Rechtsordnungen zu erhalten. Daher bietet dieser Abschnitt einen relativen Überblick über ausgewählte Meldepflichten für Cybervorfälle in verschiedenen Rechtsordnungen. Der vergleichende Überblick enthält eine relative Bewertung der geltenden Meldepflichten für Cybervorfälle in acht Ländern: Australien, China, EU, Indien, Singapur, Südkorea, Schweiz und den USA. Unsere vergleichende Untersuchung zielt darauf ab, ein umfassendes Verständnis des regulatorischen Umfelds zu vermitteln und die operativen Herausforderungen hervorzuheben, mit denen multinationale Unternehmen konfrontiert sind, wenn sie die unterschiedlichen Anforderungen an die Meldung von Zwischenfällen in den verschiedenen Rechtsordnungen einhalten müssen. Die Struktur dieser Analyse ist von der Arbeit von Seng [24] inspiriert und bietet eine grundlegende Perspektive für unsere vergleichende Analyse. Darüber hinaus nutzen wir seine Arbeit, um die Analyse in Bezug auf die geografische Ausdehnung zu erweitern und so einen Überblick über die Meldepflichten für Cybervorfälle zu geben, der einen grossen Teil der globalen Wirtschaft und Bevölkerung abdeckt. Diese Analyse befasst sich mit den Besonderheiten des Ansatzes der einzelnen Länder bei der Meldung von Cybervorfällen. Sie konzentriert sich darauf, die meldepflichtigen Einrichtungen zu identifizieren, die meldepflichtigen Vorfälle detailliert zu beschreiben, die Protokolle für die Meldung zu untersuchen und die potenziellen Auswirkungen bei Nichteinhaltung zu skizzieren. Die vollständige Übersicht für jede Gerichtsbarkeit finden Sie unter 7. in Anhang A. Wir möchten betonen, dass die vergleichende Übersicht die wichtigsten Meldepflichten darstellt. Andere relevante Gesetze mit Meldepflichten, wie die GDPR oder (EU) 2022/2554 für Finanzinstitute in der EU, sind ebenfalls in der vollständigen Übersicht pro Rechtsordnung in Anhang A aufgeführt. Diese vergleichende Bewertung kann Organisationen in diesen Ländern helfen, sich in der komplizierten Landschaft der Cybersicherheitsvorschriften zurechtzufinden. Obwohl sich die regulatorische Landschaft ständig weiterentwickelt, ist die Bewertung ein Werkzeug für die Verantwortlichen in den Organisationen, um sich einen Überblick zu verschaffen.

Die Analyse der Rahmenbedingungen für die Berichterstattung über Cybersicherheit in den vorgestellten Ländern unterstreicht die unterschiedlichen rechtlichen Rahmenbedingungen, denen multinationale Unternehmen ausgesetzt sind. Unsere Auswertung zeigt Diskrepanzen in der Klarheit der jeweiligen Gesetze und der Strenge ihrer Durchsetzung in Bezug auf die Folgen bei Nichteinhaltung und den Zeitrahmen für die Berichterstattung.

Darüber hinaus grenzt jede Rechtsordnung die zur Meldung von Vorfällen verpflichteten Stellen mehr oder weniger klar ein. In China beispielsweise legt das Cybersicherheitsgesetz nahe, dass grundsätzlich alle Organisationen, die ein Computernetzwerk auf ihrem Gelände betreiben, den Verpflichtungen unterliegen, während in Australien nur eine genau definierte Gruppe von Organisationen mit kritischen Infrastrukturen unter das Gesetz fällt. Dasselbe gilt für die Definitionen von meldepflichtigen Vorfällen, die in einigen Ländern genau definiert sind, während sie in anderen Ländern eher unspezifisch sind. Die Meldefristen reichen von sofort (China, Südkorea) bis zu einer möglichen Frist von 72 Stunden in den USA. Darüber hinaus variiert der Umfang der in den Berichten geforderten Details, was den einzigartigen regulatorischen Schwerpunkt der einzelnen Länder widerspiegelt. Auch die Konsequenzen bei Nichteinhaltung der Vorschriften sind unterschiedlich und reichen von Geldbussen von ein paar Tausend Dollar für ein Unternehmen in Australien bis hin zu hohen Geldbussen oder strafrechtlichen Anklagen für Unternehmen und verantwortliche Personen in der EU oder in Singapur. Dies unterstreicht die Bedeutung eines umfassenden Verständnisses und der Einhaltung dieser unterschiedlichen Vorschriften.

3 Methode

Um unsere Forschungsfrage zu beantworten, haben wir Interviews mit neun Personen geführt, die in mehreren multinationalen Unternehmen mit Sitz in der Schweiz Schlüsselpositionen im Bereich der Cybersicherheit innehaben.

3.1 Rekrutierung von Probanden

Die Studie richtete sich speziell an Personen in Schlüsselpositionen der Cybersicherheit wie Chief Information Security Officer, Data Protection Officer, Cyber Incident Response Manager und Head of Cybersecurity. Diese Positionen sind im Bereich der Meldung und des Managements von Cybervorfällen von zentraler Bedeutung. Daher wird davon ausgegangen, dass die Teilnehmer über ein hohes Mass an Erfahrung und Fachwissen verfügen, das für die Studie relevant ist.

Die Unternehmen, aus denen die Teilnehmer ausgewählt wurden, sind multinationale Unternehmen mit Sitz in der Schweiz und Niederlassungen auf der ganzen Welt. Die Studie beschränkte sich nicht auf einen einzigen Industriesektor, sondern ermöglichte eine breite Einbeziehung von verschiedenen Bereichen wie Finanzen, Technik, Luxus und anderen.

Bei der Identifizierung potenzieller Teilnehmer wurde eine Kombination aus Online-Tools wie LinkedIn und Internetrecherchen sowie die Nutzung persönlicher Netzwerke eingesetzt. Es wurde eine vorläufige Liste erstellt, die etwa 30 multinationale Unternehmen mit Sitz in der Schweiz umfasste. Anschliessend wurde versucht, Cybersecurity-Experten aus diesen Unternehmen zu kontaktieren und zu engagieren. Bemerkenswerterweise lag die Rekrutierungsrate bei 30 %, so dass wir neun Interviews mit Fachleuten führen konnten, die wir per ‑E-Mail kontaktiert hatten‑.

Die Fokussierung auf international tätige Organisationen ist für die Forschungsfrage unabdingbar. Die Auswahlkriterien waren daher streng, um sicherzustellen, dass die Teilnehmer gut positioniert sind, um Einblicke in diese Herausforderungen und Praktiken in einem globalen operativen Kontext zu geben. Tabelle 2 fasst die wichtigsten demografischen und beruflichen Informationen für jeden Befragten zusammen.

3.2 Interview

Um Flexibilität und Bequemlichkeit für die Teilnehmer zu gewährleisten, wurden die Interviews über Remote-Plattformen wie Zoom und Microsoft Teams oder durch persönliche Treffen in den Büros der Teilnehmer durchgeführt.

Die Interviews waren halbstrukturiert und dauerten zwischen 10 und 20 Minuten. Dieses Format ermöglichte es, sowohl vordefinierte Fragen zu erforschen als auch das Gespräch auf der Grundlage der Antworten der Teilnehmer natürlich verlaufen zu lassen. Ein Leitfaden mit 10 offenen Fragen wurde verwendet, um die Gespräche zu lenken. Der Leitfaden wurde jedoch bei Bedarf angepasst, um ihn an den Kontext des jeweiligen Interviews anzupassen und zusätzliche Themen zu erkunden. Eine detaillierte Übersicht über das in dieser Studie verwendete Erhebungsinstrument finden Sie in Anhang B.

3.3 Umgang mit Daten und ethische Überlegungen

Angesichts des sensiblen Charakters der Forschung und der Notwendigkeit, die Privatsphäre der Teilnehmer zu wahren, war ein wirksamer Datenschutz von entscheidender Bedeutung. Die Interviews wurden nach Zustimmung der Teilnehmer aufgezeichnet, um die Gespräche genau festzuhalten. Diese Aufnahmen wurden dann kurz nach jeder Sitzung wortwörtlich transkribiert. Bei einigen Interviews wurde Otter.ai eingesetzt, um den Transkriptionsprozess zu beschleunigen. Um die Daten zu schützen, wurden die Aufzeichnungen kurz nach der Transkription gelöscht und die Transkripte sicher aufbewahrt.

Im Interesse des Schutzes der Privatsphäre der Teilnehmer wurden persönliche Identifikatoren und sensible Informationen in den Protokollen sorgfältig anonymisiert. Jedem Teilnehmer wurde ein numerischer Identifikator zugewiesen, um die Vertraulichkeit zu gewährleisten. Auf diese Weise wurde die Integrität der Daten gewahrt und eine genaue Darstellung der Erkenntnisse der Teilnehmer ermöglicht, während ihre Identität geschützt wurde.

Angesichts der Sensibilität unserer Interviews war die Einhaltung ethischer Standards für unsere Forschung entscheidend. Vor der Durchführung der Interviews wurde das Einverständnis aller Teilnehmer eingeholt. Diese Zustimmung bezog sich ausdrücklich auf die Aufzeichnung der Interviews und die anschliessende Verwendung der Daten in der Forschung, um sicherzustellen, dass sich die Teilnehmer über die Verwendung ihrer Daten im Klaren waren.

Der gesamte Forschungsprozess, einschliesslich der Datenverarbeitung und der Interaktion mit den Teilnehmern, wurde streng nach den ethischen Richtlinien der ETH Zürich durchgeführt. Darüber hinaus wurde die Studie von der Ethikkommission der ETH Zürich gründlich geprüft und genehmigt, um die Einhaltung der Standards für die Integrität der Forschung und das Wohlergehen der Teilnehmer zu gewährleisten.

Bei der Verwaltung und Verarbeitung der im Rahmen dieser Studie gesammelten Daten wurden die Grundsätze des Data Protection Act und der General Data Protection Regulation (GDPR) jederzeit streng beachtet. Diese Verpflichtung gewährleistete die vollständige Einhaltung der einschlägigen Datenschutzbestimmungen und schützte die Privatsphäre und die Rechte aller Teilnehmer. Es wurden Massnahmen ergriffen, um sicherzustellen, dass alle Datenverarbeitungspraktiken transparent und sicher sind und die Zustimmung der Teilnehmer respektieren, um so die Integrität der Forschung und das Vertrauen der Teilnehmer zu wahren.

3.4 Datenanalyse

Nach der Transkription führten wir eine methodische thematische Analyse durch, die sich an den Fragen der Umfrage orientierte, um die Übereinstimmung mit unseren Forschungszielen sicherzustellen. Die Analyse wurde auf der Grundlage gängiger Verfahren in der qualitativen Interviewforschung durchgeführt [10, 21]. Es wurde ein Codebuch erstellt, um Themen, Unterthemen und Beispiele von Zitaten zu erfassen, die den jeweiligen Themen zugeordnet wurden. Der Kodierungsprozess wurde iterativ von zwei Forschern durchgeführt (Referenz). Ein Forscher ging die transkribierten Interviews durch, analysierte sie nach Themen und erstellte ein Codebuch. Schliesslich überprüfte der Forscher das Kodierbuch. Der zweite Forscher analysierte die transkribierten Interviews und ergänzte das Codebuch, bevor er es schliesslich in einem letzten Schritt verifizierte.

Die thematische Analyse ergab fünf zentrale Themen, die direkt mit den Fragen der Umfrage zusammenhängen und unsere Untersuchung strukturieren. Tabelle 3 zeigt eine Momentaufnahme des Codebuchs mit den fünf zentralen Themen, die aufgedeckt wurden.

Um die Daten effizient zu organisieren und zu analysieren, haben wir einen iterativen Kodierungsprozess angewandt. Zunächst wurden die relevanten Zitate aus den Antworten der einzelnen Teilnehmer in einer Excel-Tabelle katalogisiert und den identifizierten Themen zugeordnet. Diese systematische Organisation erleichterte ein differenziertes Verständnis der verschiedenen Strategien und Herausforderungen, mit denen die Unternehmen konfrontiert waren. Anschliessend wurde ein Codebuch entwickelt, um jede Antwort zu kategorisieren. Dieses Codebuch diente als dynamisches Werkzeug, das es uns ermöglichte, die Antworten systematisch den einzelnen Themen zuzuordnen und unsere Analyse anhand der sich abzeichnenden Muster und Erkenntnisse weiter zu verfeinern.

4 Ergebnisse

4.1 Allgemeine Strategien zur Einhaltung der internationalen Berichterstattungspflichten im Bereich der Cybersicherheit

Bestimmte Meldepflichten verlangen die Einreichung von Berichten kurz nach Bekanntwerden eines Vorfalls, und manchmal werden viele verschiedene Details über den Vorfall verlangt. Multinationale Unternehmen, die in verschiedenen Ländern tätig sind und daher unterschiedlichen Verpflichtungen unterliegen, müssen schnell handeln, um die einzelnen gesetzlichen Anforderungen zu erfüllen und Konsequenzen bei Nichteinhaltung zu vermeiden. Sobald ein Vorfall und seine geografischen Auswirkungen erkannt werden, ist es entscheidend, die Informationen effizient und korrekt an die Aufsichtsbehörden auf der ganzen Welt weiterzugeben. Die erste von den Unternehmen beschriebene Strategie besteht darin, diesen Prozess zu standardisieren. Dazu gehört die Einführung eines „konzernweiten Standards, der alle lokalen Vorschriften abdeckt“, wie Teilnehmer 1 erklärt. Dieser Ansatz stellt sicher, dass die Unternehmen die Erwartungen der einzelnen Regulierungsbehörden erfüllen können. Teilnehmer 5 verfolgte einen ähnlichen Ansatz und beschrieb, wie sich seine Strategie an den strengsten behördlichen Anforderungen in Bezug auf die Details orientiert, die gemeldet werden müssen, um die globale Einhaltung zu gewährleisten. Das Erreichen eines einheitlichen globalen Standards bleibt jedoch eine grosse Herausforderung. Teilnehmer 8 hebt die Diskrepanz zwischen dem Streben nach einer einheitlichen Berichterstattungsstrategie und der betrieblichen Realität seines Unternehmens hervor. Trotz des Wunsches nach einem einzigen globalen Prozess stellt er fest, dass die Realität oft komplexer ist: „Auf dem Papier sieht es so aus, als gäbe es einen [globalen Prozess], aber in der Realität ist es schwierig, ihn global abzustimmen.“

Da es schwierig ist, einen einheitlichen konzernweiten Standard für die Meldung von Vorfällen einzuführen, haben Unternehmen alternative Ansätze entwickelt. Eine gängige Methode besteht darin, ein spezialisiertes Team zu benennen, das mit der Reaktion auf Vorfälle beauftragt wird. Sobald ein Vorfall bestätigt wird, leitet dieses Team eine gründliche Bewertung ein. Teilnehmer 9 beschreibt die ersten Schritte: „Wir gehen eine Checkliste über Schwellenwerte durch“, um die Meldepflichten in den verschiedenen Rechtsordnungen zu ermitteln. Teilnehmer 4 gibt weitere Einzelheiten zu dieser Methode an: „Wir haben eine Excel-Tabelle, in der für jedes Land, in dem wir tätig sind, festgelegt ist, wie wir den Vorfall klassifizieren müssen und welche Frist für die Meldung gilt.“

Angesichts der Probleme mit der Skalierbarkeit, mit denen das zentrale Team konfrontiert ist, ist das Fachwissen der verschiedenen lokalen Teams von entscheidender Bedeutung. „In jedem Land, in dem wir tätig sind, haben wir Rechtsexperten, die die Gesetze und Vorschriften prüfen„, sagt Teilnehmer 9 und betont die Bedeutung lokaler Rechtskenntnisse bei der Festlegung der Berichtsanforderungen. Diese Notwendigkeit erstreckt sich oft auch auf externe Rechtsberater, die über spezielles Fachwissen verfügen. Teilnehmer 9 stellt fest, dass seine Rechtsteams „häufig mit externen Rechtsberatern zusammenarbeiten, die Experten in diesen Bereichen sind„. Teilnehmer 5 unterstreicht diesen Punkt: „Wir haben Anwälte in den Vereinigten Staaten und in China, die wir einbeziehen, um die lokalen gesetzlichen Bestimmungen zu prüfen.

Teilnehmer 7 hebt einen vollständig dezentralisierten Ansatz hervor, bei dem Vorfälle intern an jedes lokale Rechtsteam weltweit gemeldet werden. Diese Teams „ergreifen auf der Grundlage ihrer eigenen Einschätzung der lokalen Vorschriften die notwendigen Schritte, um die Regulierungsbehörde zu informieren„, erklärt Teilnehmer 7. Trotz eines globalen Prozesses für die Cybersicherheit und das Management von Vorfällen wird die Entscheidung, die Aufsichtsbehörden zu informieren, auf lokaler Ebene getroffen.

Wenn es um die Meldung von Datenschutzverletzungen geht, sind die Teilnehmer mit „zahlreichen und sehr spezifischen Gesetzen“ konfrontiert, wie Teilnehmer 9 betont. Um diese Herausforderung zu bewältigen, haben die Unternehmen weltweit spezialisierte Abteilungen eingerichtet. „Wir setzen unser Datenschutzteam ein, um zu beurteilen, ob es irgendetwas gibt, das mit persönlichen Informationen zu tun hat„, so Teilnehmer 9. Teilnehmer 6 führt weiter aus: „Sie dienen als unsere Experten und Ansprechpartner für bestimmte Regionen, weil sie den lokalen Markt und das regulatorische Umfeld kennen“. Teilnehmer 3 berichtete von der Einführung einer Softwarelösung zur Bewältigung dieser Herausforderungen: „Wenn wir Cybervorfälle haben, bei denen Daten, insbesondere personenbezogene Daten, kompromittiert werden, verwenden wir die OneTrust-Plattform“. Diese Plattform wurde kürzlich angepasst, um das Management von Datenvorfällen zu unterstützen. Sie bietet Funktionen zur Vereinfachung der Einhaltung von Vorschriften, indem sie Meldepflichten auf der Grundlage der betroffenen Gerichtsbarkeiten festlegt.

4.2 Anpassung an sich entwickelnde Cybersicherheitsvorschriften durch Überwachungs- und Compliance-Strategien

Zur Bewältigung des dynamischen Charakters der rechtlichen Rahmenbedingungen erwähnten die Teilnehmer nicht die Verwendung von Software-Tools zur Verfolgung von Änderungen, was bedeutet, dass die Verantwortung, über neue Vorschriften auf dem Laufenden zu bleiben, stark von menschlicher Anstrengung abhängt. Diese Aufgabe stellt manchmal ein „grosses Problem“ dar, wie Teilnehmer 9 betonte. Um diese Herausforderung zu bewältigen, haben die meisten befragten Unternehmen Kooperationsstrategien entwickelt, die das Fachwissen von mindestens zwei verschiedenen Teams innerhalb der Organisation nutzen.

Ein gängiger Ansatz ist eine synergetische Methode, bei der ein Hauptteam, häufig das Hauptteam für Recht und Compliance, mit den lokalen Rechtsfunktionen zusammenarbeitet, um die regulatorischen Entwicklungen genau zu verfolgen. Teilnehmer 7 hebt sogar die Schaffung eines „Teams für Cyber-IT-Themen“ hervor, das mit lokalen Funktionen zusammenarbeitet.

Darüber hinaus skizziert Teilnehmer 4 eine zusätzliche Sicherung, die über die Zusammenarbeit zwischen dem zentralen Team und den lokalen Compliance-Abteilungen hinausgeht. Dabei handelt es sich um ein „ausfallsicheres“ Verfahren, das monatliche Telefonate mit einem lokalen Beauftragten für Informationssicherheit aus jedem Unternehmen weltweit vorsieht. Bei diesen Gesprächen werden verschiedene Themen besprochen, darunter auch alle Änderungen der Vorschriften, die als „letzter Ausweg“ dienen, um sicherzustellen, dass alle potenziellen Aktualisierungen der Vorschriften erfasst werden. Er äusserte auch den Wunsch nach Verbesserungen und bemerkte: „Es wird alles manuell gemacht, aber es wäre toll, eine Software zu haben“.

Wenn multinationale Unternehmen Veränderungen im regulatorischen Umfeld erkannt haben, verfolgen sie einen strategischen Ansatz, um die Einhaltung der Vorschriften in ihren globalen Betrieben sicherzustellen. Dieser Prozess umfasst in der Regel die Bewertung bestehender Richtlinien und Kontrollen im Hinblick auf neue oder geänderte gesetzliche Anforderungen.

Ein Schlüsselelement der Compliance-Strategie ist das Vorhandensein eines speziellen Teams, das die Aufgabe hat, regulatorische Änderungen zu überprüfen und ihre Auswirkungen auf die Geschäftstätigkeit des Unternehmens zu bewerten. Teilnehmer 3 skizziert diesen Prozess und weist darauf hin, dass das Team bei der Feststellung von Unstimmigkeiten oder erforderlichen Aktualisierungen entscheidende Schritte unternimmt, um „eine neue Kontrolle einzuführen oder die Richtlinie auf der Grundlage dieser gesetzlichen Anforderung zu ändern“, so dass das Unternehmen die neuesten gesetzlichen Anforderungen erfüllt.

Nach der Identifizierung von regulatorischen Änderungen skizziert Teilnehmer 8 einen strukturierten Ansatz, bei dem ein zentrales Team eine „Lückenanalyse“ durchführt, um die notwendigen Massnahmen zu bewerten. Zu den Aufgaben des zentralen Teams gehört es auch, einen Experten innerhalb der Organisation zu bestimmen, der dann mit der Verwaltung und Behebung des spezifischen Compliance-Problems beauftragt wird.

4.3 Schulung der Mitarbeiter für die Meldung von Cybervorfällen

Die zentrale Rolle des menschlichen Elements bei der Meldung von Cybersecurity-Vorfällen kann gar nicht hoch genug eingeschätzt werden. Da es keine umfassenden Softwarelösungen gibt, liegt die Verantwortung für die Navigation durch komplexe Vorschriften und die effektive Meldung von Vorfällen bei geschultem Personal. Dieser Abschnitt befasst sich mit den Strategien, die Unternehmen anwenden, um sicherzustellen, dass ihre Teams angemessen mit den notwendigen Kenntnissen und Fähigkeiten ausgestattet sind, um diese Herausforderungen zu meistern.

Die meisten der befragten Unternehmen haben interne Schulungsprogramme für die Meldung von Vorfällen als Teil umfassenderer Sensibilisierungskampagnen für die Cybersicherheit eingeführt, die sich an alle Mitarbeiter richten. Diese Programme sollen die Mitarbeiter über die Verfahren zur internen Meldung potenzieller Cybersicherheitsvorfälle aufklären. Wie Teilnehmer 9 hervorhob, „nehmen alle Mitarbeiter an einem grundlegenden Schulungsprogramm zur Informationssicherheit teil, das auch die Meldung von Vorfällen innerhalb unseres Unternehmens beinhaltet„. In ähnlicher Weise wies Teilnehmer 5 darauf hin, dass sein Sensibilisierungsprogramm als Projekt strukturiert ist, wobei „eines der Module im Inneren der Meldung von Vorfällen gewidmet ist“, in dem die Mitarbeiter über den Meldeprozess unterrichtet werden. Einige Unternehmen haben spezielle Schulungsprogramme initiiert, um die Fähigkeiten der Mitarbeiter zu verbessern, die für die Meldung von Cybervorfällen an externe Aufsichtsbehörden zuständig sind. Teilnehmer 3 erwähnte zum Beispiel: „Wir haben Trainingsprogramme, um unsere Datenschutzbeauftragten in der Meldung von Cyber-Vorfällen zu schulen„. Um die Fachkenntnisse der Mitarbeiter zu gewährleisten, die mit dem breiteren Spektrum des Incident Managements befasst sind, das neben anderen Aufgaben auch die Meldung von Vorfällen umfasst, verlangen einige Unternehmen ausserdem spezielle Zertifizierungen. Teilnehmer 9 erklärte: „Unsere Incident Responder müssen zertifizierte Incident Manager sein“.

Ein möglicher Ansatz zur Deckung des Schulungsbedarfs für die Berichterstattung an die Aufsichtsbehörden ist die Einbettung dieser Anweisung in ein breiter angelegtes Schulungsprogramm für das Management von Zwischenfällen. Allerdings scheint dies bei den befragten Unternehmen eine weniger verbreitete Praxis zu sein. Das Unternehmen von Teilnehmer 4 zeichnet sich dadurch aus, dass es „die Berichterstattung an die Aufsichtsbehörden als eine der Aufgaben“ in die Schulung zum Management von Zwischenfällen aufgenommen hat.

Obwohl spezifische Schulungsprogramme für die Meldung von Cybervorfällen an die Aufsichtsbehörden bei den befragten Unternehmen nicht weit verbreitet sind, wird die Notwendigkeit einer solchen speziellen Schulung klar erkannt. Die Berichterstattung an die Aufsichtsbehörden gilt als „eine Übung, bei der man sehr vorsichtig sein muss“, wie Teilnehmer 2 ausführte und auf das empfindliche Gleichgewicht hinwies, das erforderlich ist: Fehltritte bei der Berichterstattung können zu einer „Berichterstattung umsonst“ führen, wenn die Vorfälle weniger schwerwiegend sind als angenommen, oder schlimmer noch, eine unzureichende Berichterstattung könnte als Versuch gewertet werden, wichtige Probleme zu verbergen. Folglich schlägt Teilnehmer 8 vor: „Ich würde sagen, wir sollten wahrscheinlich mehr tun“. In ähnlicher Weise sieht auch Teilnehmer 3 den Wert einer gezielten Schulung: „Ich denke, es wäre nützlich, etwas in dieser Art zu haben.

4.4 Überlegungen zum Datenschutz in der Berichterstattung der Regulierungsbehörden

Angesichts unserer anfänglichen Bedenken hinsichtlich der Auswirkungen auf den Datenschutz bei der Meldung von Cybersicherheitsvorfällen an die Aufsichtsbehörden untersucht dieser Abschnitt die Erfahrungen und Perspektiven der Teilnehmer im Umgang mit dem Datenschutz in diesem Zusammenhang. Interessanterweise berichtete fast kein Teilnehmer über nennenswerte Schwierigkeiten im Zusammenhang mit dem Datenschutz, und zwar aus zwei Hauptgründen.

Der erste hervorgehobene Grund ist, dass die Aufsichtsbehörden in der Regel keine detaillierten oder sensiblen persönlichen Daten während des Meldeprozesses verlangen. Laut Teilnehmer 1 beinhaltet ihre Meldepflicht fast „nie die Anforderung, alles oder alle Details oder alle Beweise zu liefern“. Stattdessen sind die Aufsichtsbehörden eher an einer allgemeinen Beschreibung des Vorfalls und seiner Auswirkungen interessiert. Wenn beispielsweise personenbezogene Daten kompromittiert wurden, müssen Unternehmen die Aufsichtsbehörden über die Art der betroffenen Daten wie E-Mail-Adressen, Namen und Telefonnummern informieren, ohne die eigentlichen Daten zu nennen. Teilnehmer 6 betont, wie wichtig es ist, zu erklären, „was passiert ist, das zu dieser Art von Datenleck geführt hat“. Er betont, dass die Aufsichtsbehörden eher daran interessiert sind, die Ursache und die Auswirkungen des Vorfalls zu verstehen als die spezifischen Details der betroffenen Daten. Diese Ansicht wird von Teilnehmer 8 geteilt, der anmerkte, dass sie in der Regel „niemals irgendwelche Details, auch keine Kundendaten“ weitergeben und „nur beschreiben, was betroffen war„.

Der zweite Grund für das Fehlen datenschutzrechtlicher Bedenken ist das Vertrauen, das die Unternehmen in die Regulierungsbehörden setzen, da sie als „höchste Instanz“ gelten, wie Teilnehmer 4 betont. Er führt weiter aus: „Wir vertrauen darauf, dass die Aufsichtsbehörden gute Sicherheitsvorkehrungen treffen“, um die Vertraulichkeit der Daten zu gewährleisten.

Während die Rückmeldungen insgesamt darauf hindeuten, dass bei der Berichterstattung an die Aufsichtsbehörden keine nennenswerten Bedenken hinsichtlich des Datenschutzes bestehen, bringt Teilnehmer 3 einen interessanten Punkt über die Herausforderung der Verwaltung von geografisch gebundenen Daten ein. Er führt aus, dass es wichtig ist, zu verstehen, welche Daten ausserhalb bestimmter Regionen nicht weitergegeben werden dürfen, und wie wichtig es ist, solche Daten entsprechend zu kennzeichnen. Dieser Ansatz hilft dabei, die Einhaltung der regionalen Datenschutzbestimmungen zu gewährleisten. Sobald die Daten korrekt identifiziert und mit ihren geografischen Beschränkungen gekennzeichnet sind, ist laut Teilnehmer 3 „der technische Teil wirklich ziemlich einfach„.

4.5 Perspektiven für die Zukunft der Cybersicherheitsberichterstattung

Alle Teilnehmer sind sich einig, dass die Zahl der Vorschriften, die eine detaillierte Berichterstattung über Cybersicherheitsvorfälle vorschreiben, zunimmt. Diese Erwartung deutet auf eine wachsende Arbeitsbelastung im Zusammenhang mit der Einhaltung der Vorschriften hin. Dieser Ansatz wird es erforderlich machen, „die Art und Weise der Berichterstattung ein wenig zu ändern oder sie skalierbarer zu machen“, wie Teilnehmer 2 betont. Einige Teilnehmer finden den Meldeprozess bereits jetzt zu anspruchsvoll. Teilnehmer 8 wies darauf hin, dass „die Information der Aufsichtsbehörden mehr Aufwand erfordert als das Management des Vorfalls selbst“. Teilnehmer 9 fügte hinzu, dass die Meldepflicht „einen riesigen Haufen Arbeit auslöst“, insbesondere was die Kommunikation mit den Aufsichtsbehörden angeht.

Um diese Herausforderungen anzugehen, suchen die Teilnehmer nach verschiedenen Lösungen. Die erste besteht in der Entwicklung „besserer Hilfsmittel„, wie Teilnehmer 3 vorschlug, einschliesslich einer Software, die „den Bericht je nach Aufsichtsbehörde mit dem richtigen Detailgrad erstellen kann„, wie Teilnehmer 2 erwähnte. Ein weiterer Vorschlag ist die Einrichtung einer zentralen Anlaufstelle, die Informationen weltweit an die zuständigen Stellen weiterleiten könnte, so dass die Unternehmen „einfach nur eine Stelle informieren“ könnten, wie Teilnehmer 8 sagte. Darüber hinaus wird ein einheitlicher Ansatz gefordert, bei dem sich „die Regulierungsbehörden selbst auf einen Standard einigen“, wie Teilnehmer 4 es ausdrückte. Solche Standards würden idealerweise die Besonderheiten der Berichterstattung abdecken, wobei Teilnehmer 6 eine Angleichung auf „der Ebene der Details, der Art der Informationen“ vorschlägt und Teilnehmer 3 für eine „Standardisierung der Taxonomie“ für die Merkmale von Vorfällen plädiert. Trotz dieser Hoffnungen bleiben viele Teilnehmer pessimistisch, was die Zukunft der Meldung von Zwischenfällen angeht. Teilnehmer 6 bezweifelt die Durchführbarkeit einer internationalen Standardisierung und bemerkt: „Ich glaube nicht, dass dies ein realistisches Szenario ist“. Teilnehmer 9 teilt diese Skepsis und kommentiert: „Ich bin nicht optimistisch, wir werden weiterhin Vorschriften sehen, die uns dazu verpflichten, immer mehr zu melden„. Auch Teilnehmer 4 zweifelt an einer Vereinfachung: „Ich sehe keine Chance, es einfacher zu machen„.

Zwei Teilnehmer sind jedoch optimistischer, was die Zukunft der Berichterstattung über Cybersicherheit betrifft. Teilnehmer 5 beobachtet einen positiven Trend in der zunehmenden Sensibilisierung der Rechtsabteilungen für die Reaktion auf Cybersecurity-Vorfälle. Er hebt auch hervor, dass die nationalen Cybersicherheitszentren ihre Unterstützung verbessern, indem sie mehr Tools für die Berichterstattung anbieten, und meint, dass diese Entwicklungen „in die richtige Richtung gehen„. Auch Teilnehmer 3 sieht Potenzial für eine „stärkere Harmonisierung“ in diesem Bereich, nachdem er Gespräche mit hochrangigen politischen Entscheidungsträgern in den USA und Europa geführt hat. Seiner Erfahrung nach besteht ein Konsens über die Notwendigkeit einer Harmonisierung, was in Zukunft einen einheitlichen Ansatz für die Meldung von Cybersecurity-Vorfällen bedeuten könnte.

5 Diskussion und Schlussfolgerung

Bei der Untersuchung der Praktiken zur Meldung von Cybervorfällen in multinationalen Unternehmen bestätigt diese Studie den erwarteten Konsens der Teilnehmer aus verschiedenen Sektoren: Es gibt einen spürbaren Aufwärtstrend bei den gesetzlichen Anforderungen für die Meldung von Cybervorfällen. Unsere Untersuchung zeigt, dass die Unternehmen trotz der unterschiedlichen Ansätze zur Bewältigung dieser Herausforderungen die zunehmende Komplexität bei der Einhaltung der Vorschriften anerkennen. Die Ergebnisse unterstreichen den dringenden Bedarf an schlankeren Prozessen und innovativen Lösungen, um die steigenden Anforderungen der Aufsichtsbehörden zu erfüllen, ohne die Effizienz oder den Datenschutz zu beeinträchtigen.

Um den Berichterstattungsprozess zu skalieren, wurden drei primäre Techniken beobachtet und untersucht: Standardisierung, Delegation und Automatisierung. Was die Standardisierung betrifft, so war es offensichtlich, dass die Unternehmen sehr daran interessiert waren, ihren Berichtsprozess zu standardisieren, da dies die Abläufe erheblich vereinfachen würde. Einige Unternehmen, die möglicherweise kleiner sind oder weniger regulatorische Verpflichtungen haben als andere, waren in der Lage, einen konzernweiten Standard für diesen Prozess einzuführen. Grössere Unternehmen, die mit einer grösseren Anzahl von Vorschriften konfrontiert waren, berichteten jedoch von Schwierigkeiten, alle Vorschriften mit einem einzigen standardisierten Prozess in Einklang zu bringen.

Ein weit verbreiteter Ansatz bestand darin, die Berichterstattungsaufgaben an interne Stellen zu delegieren, die mit den lokalen Vorschriften der jeweiligen Region, in der sie tätig sind, vertraut sind. Diese Methode scheint zwar einfach und potenziell skalierbar zu sein, aber sie erfordert Rechtsexperten in jeder Region der Welt, was eine Reihe von Herausforderungen mit sich bringt.

Was die Automatisierung betrifft, so erwähnte nur ein Teilnehmer, dass er ein bestimmtes Softwaretool (OneTrust) für die Meldung von Datenschutzverletzungen verwendet, und wies darauf hin, dass diese Funktion erst kürzlich hinzugefügt wurde. Auffallend war jedoch das Fehlen von Softwarelösungen für die allgemeine Meldung von Cybervorfällen. Mehrere Teilnehmer äusserten den starken Wunsch nach solchen technologischen Hilfsmitteln, die ihrer Meinung nach die Skalierung des Meldeprozesses an die Aufsichtsbehörden erheblich erleichtern würden.

Was die Überwachung und Anpassung an neue Gesetze angeht, so zeigen die Ergebnisse, dass man sich auf manuelle Prozesse verlässt, an denen mehrere interne Teams beteiligt sind, um eine gewisse Redundanz bei der Verfolgung gesetzlicher Änderungen zu gewährleisten. Dieser manuelle Ansatz wird von vielen Unternehmen als problematisch angesehen, da er eine erhebliche Belastung darstellt, wenn es darum geht, sich über neue Vorschriften auf dem Laufenden zu halten. Sobald neue Gesetze identifiziert werden, wird ein bestimmtes Team innerhalb des Unternehmens damit beauftragt, die internen Prozesse an diese Aktualisierungen anzupassen, was die entscheidende Rolle menschlicher Bemühungen in diesem Bereich unterstreicht.

In Ermangelung von Softwarelösungen hängen die Aufgaben der Überwachung neuer Gesetze, der Anpassung an regulatorische Änderungen und der Sicherstellung der Einhaltung von Vorschriften stark von menschlichen Bemühungen ab. Ein Ansatz, um die Bereitschaft der Mitarbeiter für diese Aufgaben zu verbessern, bestand darin, Personen einzustellen, die bereits über Zertifizierungen im Bereich Cybersicherheit verfügen, insbesondere im Bereich des Managements von Cybervorfällen. Allerdings gaben nur wenige Unternehmen an, über einen Schulungsprozess zu verfügen, um ihre Mitarbeiter in der Meldung von Cybervorfällen zu schulen, obwohl grosse Unternehmen ihr potenzielles Interesse bekundeten und die Bedeutung einer speziellen Schulung für die Berichterstattung erkannten. Angesichts des offensichtlichen Mangels an Softwarelösungen gibt es viel Raum für die Entwicklung potenzieller Schulungsmethoden für Mitarbeiter. Diese Initiativen könnten die Bereitschaft der Mitarbeiter verbessern, sich an die neuen Gesetze zu halten und die notwendigen Meldungen an die Aufsichtsbehörden korrekt vorzunehmen.

Ursprünglich wurde davon ausgegangen, dass der Schutz der Privatsphäre eine grosse Herausforderung für den Berichtsprozess darstellt. Dieses Thema gehörte zu den ersten Fragen, die wir im Rahmen unseres Projekts untersuchen wollten. Es stellte sich jedoch heraus, dass diese Bedenken bei weitem nicht das Hauptproblem für die Organisationen waren. Die Teilnehmer gaben an, dass die Aufsichtsbehörden in der Regel keine detaillierten oder sensiblen persönlichen Informationen verlangen, was die Risiken für den Datenschutz erheblich mindert. Der Schwerpunkt liegt eher auf einer umfassenden Beschreibung von Vorfällen und deren Auswirkungen als auf detaillierten persönlichen Daten. Das Vertrauen in die Aufsichtsbehörden, die Vertraulichkeit der Daten zu gewährleisten, mildert die Bedenken hinsichtlich des Datenschutzes weiter. Dennoch erfordert die Notwendigkeit, Daten zu verwalten, die nicht ausserhalb bestimmter Gerichtsbarkeiten weitergegeben werden können, sorgfältige Aufmerksamkeit und eine angemessene Kennzeichnung, um die regionalen Datenschutzgesetze einzuhalten.

5.1 Einschränkungen der Studie

Die Interviews ermöglichten zwar eine eingehende Untersuchung der Berichterstattung über Cybervorfälle, aber die begrenzte Anzahl der Teilnehmer schränkt die Breite der erfassten Perspektiven und Erfahrungen ein. Zweitens ist auch die sich schnell entwickelnde Natur der Cybersicherheitsvorschriften einschränkend. Unsere Studie bietet zwar eine eingehende Untersuchung der aktuellen Meldepraktiken multinationaler Unternehmen, doch stellt das dynamische regulatorische Umfeld eine Herausforderung dar, um ein umfassendes Bild zu erhalten. Die rechtlichen Rahmenbedingungen werden ständig aktualisiert, um auf neue Cyber-Bedrohungen und technologische Fortschritte zu reagieren, so dass es für eine einzelne Studie schwierig ist, das gesamte Spektrum der Strategien und Anpassungen zu erfassen, die von Unternehmen in verschiedenen Branchen eingesetzt werden. Folglich stellen unsere Ergebnisse eine Momentaufnahme dar, die wertvolle Einblicke bietet, aber auch durch den zeitlichen Kontext einer sich ständig verändernden regulatorischen Landschaft begrenzt ist.

5.2 Zukünftige Forschung

5.2.1 Besondere Aspekte der Berichterstattung über Cybervorfälle

Erstens sollte sich die künftige Forschung darauf konzentrieren, wie multinationale Unternehmen Protokolle für die Meldung von Cyber-Vorfällen an internationale Regulierungsbehörden entwickeln und umsetzen. Diese Untersuchung könnte sich auch mit der Komplexität der Schaffung eines einheitlichen globalen Prozesses befassen, der darauf abzielt, einen umfassenden Berichtsrahmen zu schaffen. Eine solche Untersuchung würde entscheidende Einblicke in die Vereinfachung der Compliance-Verfahren in verschiedenen Rechtsordnungen liefern und damit direkt auf die Forderungen der Unternehmen nach einem rationalisierten, globalen Ansatz eingehen. Zweitens könnten sich künftige Studien auf die Methoden konzentrieren, die Unternehmen anwenden, um mit regulatorischen Änderungen Schritt zu halten und sich an diese anzupassen, und die besten Strategien und potenziellen Instrumente untersuchen, die diesen Prozess rationalisieren könnten. Drittens sollte die Wirksamkeit von Schulungsprogrammen zur Verbesserung des Bewusstseins der Mitarbeiter und der Einhaltung der Meldepflichten weiter untersucht werden, insbesondere angesichts des derzeitigen Mangels an Softwarelösungen für die Meldung von Vorfällen.

5.2.2 Sektor-, grössen- und rollenspezifische Studien

Künftige Forschungen, die sich auf einzelne Sektoren konzentrieren, insbesondere auf solche mit einzigartigen regulatorischen Anforderungen, können sehr nützlich sein. Dieser gezielte Ansatz könnte die Entwicklung optimierter Berichterstattungsprozesse oder sektorspezifischer Softwarelösungen erleichtern und so die Schaffung globaler Prozesse oder Tools erleichtern, die auf die Bedürfnisse von Branchen wie dem Finanzsektor zugeschnitten sind, die strengen Berichtspflichten unterliegen. Zweitens könnte sich die künftige Forschung nur auf grosse Unternehmen konzentrieren, da diese in der Regel ein breiteres Spektrum an Berichtspflichten haben und diese Anforderungen verwalten. Drittens könnten künftige Studien speziell auf die Erkenntnisse von CISOs abzielen, um einen umfassenden Überblick über die Meldeprozesse für Cybervorfälle zu erhalten, oder von Datenschutzbeauftragten, um die spezifischen Herausforderungen bei der Meldung von Datenschutzverletzungen zu untersuchen.

6 Schlussfolgerung

In dieser Studie wurde zunächst der zunehmende Trend unter den Staaten beschrieben, nationale Meldepflichten für Cybervorfälle einzuführen, um die Widerstandsfähigkeit gegen Cyberbedrohungen zu stärken. Es wurde festgestellt, dass die Einrichtungen, die diesen Verpflichtungen unterliegen, unterschiedlich sind, ebenso wie die Definitionen dessen, was ein Cybervorfall ist, und die spezifischen Anforderungen an die Berichterstattung in Bezug auf den Zeitrahmen und die Details in den verschiedenen Rechtsordnungen. Ausserdem wurde hervorgehoben, dass die Nichteinhaltung dieser Vorschriften zu erheblichen Sanktionen für Unternehmen führen kann.

Um den aktuellen Stand der Berichterstattung über Vorfälle in multinationalen Unternehmen zu untersuchen, haben wir neun Interviews mit Cybersecurity-Experten aus verschiedenen Unternehmen geführt. Die Ergebnisse zeigen, dass sich die Teilnehmer einig sind, dass die Zahl der Cybersecurity-Vorschriften zunimmt. Die Studie befasste sich mit den verschiedenen Strategien, die Unternehmen anwenden, um die Einhaltung der Vorschriften zu gewährleisten, sich über neue Vorschriften auf dem Laufenden zu halten und verantwortliche Mitarbeiter zu schulen. Es stellte sich heraus, dass die Einhaltung von Vorschriften in allen befragten Sektoren eine Herausforderung darstellt, was zu Forderungen nach einer Standardisierung von Vorschriften oder Prozessen und verbesserten Automatisierungslösungen führte. Ein Beispiel für den technologischen Fortschritt in diesem Bereich ist der Einsatz von Softwarelösungen wie OneTrust, das vor kurzem seine Möglichkeiten zur Automatisierung des Prozesses der Meldung von Datenschutzverletzungen, einer Untergruppe der Meldung von Vorfällen, erweitert hat. Solche Tools stellen eine vielversprechende Richtung für die Zukunft der Verwaltung von Meldepflichten für multinationale Unternehmen dar.

Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.

https://doi.org/10.1365/s43439-024-00129-x

Thomas Ecabert, Fabian Muhly, Verena Zimmermann in: Internationale Zeitschrift für Cybersicherheitsrecht

Springer, Wiesbaden, 2024

http://creativecommons.org/licenses/by/4.0/

Übersetzung Boris Wanzeck, Swiss Infosec AG

Kategorie: Cybersecurity | Datenschutz | Informationssicherheit
© Swiss Infosec AG 2026