Datenschutz, Datensicherheit und Cybersecurity

Relevanz des Themas für die Graubündner Kantonalbank und die Beteiligungsgesellschaften

Banken und Vermögensverwalter verfügen aufgrund ihrer Geschäftstätigkeit über besonders schützenswerte Informationen ihrer Kundinnen und Kunden, ihrer Mitarbeitenden wie auch ihrer Geschäftspartner und Lieferanten. Insbesondere zählen dazu die Personendaten, also alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Rechtlich unterstehen Banken und Vermögensverwalter deshalb in der Schweiz dem per 1. September 2023 revidierten Datenschutzgesetz. Banken unterstehen zusätzlich spezifischen Vorgaben, insbesondere dem Bankkundengeheimnis.

Der Schutz vor unbefugten Zugriffen sowie die Transparenz über den Zweck der Datenbearbeitung sind Teil des Datenschutzes, also eines verantwortungsbewussten Umgangs mit Personendaten. Datensicherheit ist die praktische Umsetzung des Schutzes digitaler Informationen gegen unbefugten Zugriff, Beschädigung oder Diebstahl während des gesamten Lebenszyklus. Die Cybersecurity befasst sich hauptsächlich mit dem Schutz der Computersysteme, Netzwerke und Daten vor Cyberangriffen, Datenschutzverletzungen und anderen Arten von Cyberbedrohungen aus dem Internet.

Mit einer allfälligen Datenschutzverletzung, einem allfälligen Datensicherheits- oder Cybersecurity-Vorfall sind für jede Bank wie auch jeden Vermögensverwalter sehr hohe Reputationsrisiken sowie finanzielle und regulatorische Risiken verbunden. Gemäss dem Risikomonitor 2024 der FINMA hat sich die Anzahl an gemeldeten Cyberattacken gegenüber dem Vorjahr um 30% erhöht. Entsprechend hoch ist die Relevanz des Themas auch für die GKB sowie für ihre Beteiligungsgesellschaften, und entsprechend umfassend sind die ergriffenen präventiven Schutzmassnahmen. Das Thema betrifft die GKB selbst, deren IT-Provider Inventx, an den die GKB den IT-Betrieb ausgelagert hat, die Beteiligungsgesellschaften Privatbank Bellerive AG und BZ Bank Aktiengesellschaft, für welche die GKB in unterschiedlichem Umfang als Outsourcing-Partner figuriert, die Beteiligungsgesellschaft Albin Kistler AG, die ebenfalls auf der IT-Plattform von der Inventx AG arbeitet, sowie alle Lieferanten und Geschäftspartner, mit denen Daten ausgetauscht werden.

Ambition der Graubündner Kantonalbank

Die GKB strebt einerseits danach, durch angemessene technische und organisatorische Massnahmen Angriffe auf die elektronischen Dienstleistungen wie das E-Banking sowie das bankinterne Netzwerk zu vermeiden und im Fall eines Angriffs angemessen zu reagieren, sprich diesen so rasch wie möglich erfolgreich abzuwehren. Andererseits gilt es Kundendaten, Vermögenswerte und Transaktionen bestmöglich zu schützen. Dabei soll die aktuelle Bedrohungslage stets im Blick behalten werden, und die eigene Infrastruktur soll fortlaufend auf Schwachstellen getestet und gegebenenfalls weiterentwickelt werden.

Aktuelle Herangehensweise der Graubündner Kantonalbank

Die Graubündner Kantonalbank verfügt über eine robuste IT-Infrastruktur. Diese schafft ein sehr gutes, branchenübliches Sicherheitsniveau, das den regulatorischen Anforderungen sowie der aktuellen Ambition der Graubündner Kantonalbank Rechnung trägt.

Umfassende Regelungen in internen Weisungen

Interne Weisungen der Graubündner Kantonalbank zu den Themen Datenschutz, IT-Sicherheit, Klassifizierung von Daten und Informationen, Geheimhaltungsverpflichtung, Outsourcing, Bankgeheimnis und allgemeine Anstellungsbedingungen definieren den betrieblichen Rahmen, um die aktuell gültigen regulatorischen Vorgaben im Bereich Datenschutz und -sicherheit einzuhalten. Gültig sind diese internen Weisungen grundsätzlich für alle Personen mit Zugang oder Zugriff zu IT-Systemen und Daten der Bank. Für die Einhaltung der Weisungen sind die erwähnten Personen selbst verantwortlich. Ergänzende Dokumente und Zusammenfassungen sollen den Mitarbeitenden Unterstützung bieten. Die erwähnten Weisungen und die Hilfsdokumente bilden auch Bestandteil der internen Datenschutzschulung.

Datenschutztechnisch besonders relevant sind die elektronischen Kommunikationskanäle als Schnittstellen zwischen dem Banknetzwerk und externen Netzwerken. Spezifische Vorgaben zum Verhalten im Internet, zur Definition und Aktualisierung von Passwörtern sowie für sicheren E-Mail-Verkehr sind deshalb für die Mitarbeitenden in einer internen Weisung der Bank definiert. Damit Unbefugte im Rahmen der Kommunikation innerhalb oder ausserhalb der Bank nicht Zugang zu sensiblen Bankkundendaten oder anderen Informationen erhalten, gibt es weiterführende Massnahmen und Handlungsanweisungen. Bei Gesprächen oder bei Bildschirmarbeiten sind die Mitarbeitenden der Bank angewiesen, auf ihre Umgebung zu achten. Kundinnen und Kunden müssen am Telefon oder bei Kontakten über andere Kommunikationskanäle zweifelsfrei identifiziert werden, bevor ihnen Informationen bekannt gegeben werden.

Umfassende Sensibilisierung und Schulungen

Alle Mitarbeitenden der GKB werden mindestens jährlich zu den Themen Datenschutz sowie IT- und Datensicherheit geschult. Personen mit weitergehenden Zugriffsrechten werden vertiefter geschult. Lieferanten und Beauftragte der Bank verpflichten sich vertraglich zur entsprechenden Ausbildung ihrer Mitarbeitenden. Die Einhaltung dieser Verpflichtung wird von der GKB bei strategischen Partnern im Rahmen des Kontrollberichts gemäss Prüfungsstandard «International Standard on Assurance Engagements 3402» (ISAE 3402) geprüft. Ausserdem ist der Zugriff der Mitarbeitenden der GKB und externer Dienstleister auf Systeme und Informationen der Bank nach Massgabe des Need-to-know- und Need-to-do-Prinzips eingeschränkt.

Datenschutz- und Sicherheitsaspekte bei IT-Projekten

Gemäss den etablierten Branchenstandards «Privacy by Default» und «Privacy by Design» werden bei der Graubündner Kantonalbank Datenschutz- und Sicherheitsaspekte bei IT-Projekten (inklusive IT-Lösung und IT-Services) in allen Projektphasen berücksichtigt – von der Anforderungsanalyse über Evaluation und Entwicklung sowie den Test der umgesetzten Lösung bis hin zur Definition von technischen und organisatorischen Massnahmen und Inbetriebnahme.

Weiterentwicklung der Standards

Ihre IT-Sicherheitsstandards entwickelt die GKB laufend in Abstimmung mit internen und externen Sicherheitsexperten weiter. Schwachstellen werden als Teil des Sicherheitsdispositivs entweder mehrmals jährlich oder risikoorientiert manuell und automatisiert geprüft. Die Bank analysiert Auffälligkeiten und definiert neue Massnahmen, wenn notwendig. Zur Prüfung der Systeme auf mögliche Schwachstellen zieht die Bank spezialisierte externe IT-Firmen bei.

Im Umfeld IT, Datenschutz und Cybersecurity nutzt die GKB für ihre Governance sowie für das Management der Systeme, der Bearbeitungstätigkeiten, der Risiken und der Kontrollen ein spezifisches Tool. Als eine wesentliche Grundlage im Umgang mit Cyberrisiken dient der Bank das NIST Cybersecurity Framework.

Wesentliche IT-Partner verfügen über eine ISO-Zertifizierung 27001 und über ein internes Kontrollsystem. Die Graubündner Kantonalbank erhält jährlich einen Kontrollbericht gemäss ISAE 3402, welcher durch einen externen Wirtschaftsprüfer erstellt wurde und über die Prüfung des internen Kontrollsystems des Partners berichtet.

Datensicherheit und Schutz vor ungewollten Zugriffen

Die GKB und ihre Partner setzen auf bestmögliche technische Lösungen, um die Datensicherheit zu gewährleisten und sich vor ungewollten Zugriffen zu schützen. Auffälliges Verhalten wird automatisch identifiziert und gemeldet. Ergänzend gilt eine Meldepflicht für die Mitarbeitenden im Verdachtsfall. Erkennen sie einen Zugriff durch Unberechtigte oder einen Datenverlust, so ist dies unverzüglich der IT-Security, den Chief Information Security Officer oder dem Data Protection Officer zu melden. Diese bearbeiten die Vorfälle fachkundig, prüfen die Meldepflicht, beispielsweise gegenüber der FINMA, dem Bundesamt für Cybersicherheit oder dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, und initiieren eine allfällige Meldung. Eine solche Meldung erfolgt nach Massgabe der rechtlichen Vorgaben (insbesondere Finanzmarktaufsichts- und Datenschutzgesetz) und im Rahmen des internen Prozesses. Mitarbeitende können verdächtige E-Mails automatisiert an die zuständige Stelle in der IT weiterleiten.

Kategorisierung schützenswerter Informationen

Die Graubündner Kantonalbank kategorisiert schützenswerte Informationen in drei Stufen, als «geheim», «vertraulich» oder «intern». Je nach Stufe gelten unterschiedliche Sicherheitsvorkehrungen. Die Einstufung erleichtert es, die Informationen korrekt zu handhaben – vom Erhalt über die Bearbeitung bis zur Entsorgung oder Löschung. Bei der GKB gilt eine Clean-Desk-Policy. Verlassen die Mitarbeitenden den Arbeitsplatz auch nur für kurze Zeit, so müssen sie sensible Daten vor einfachen Zugriffen schützen. Zum einen stehen dafür verschliessbare Büromöbel zur Verfügung, zum anderen ist am Computer die Bildschirmsperre zu aktivieren. Die Clean-Desk-Policy gilt bei der Arbeit im Homeoffice genauso wie im Büro. Die allgemeinen Anstellungsbedingungen enthalten entsprechende verpflichtende Anweisungen für alle Mitarbeitenden.

Transparente Information über Datenverwendung

Insbesondere mit der allgemeinen Datenschutzerklärung, der Datenschutzerklärung Web sowie der Datenschutzerklärung für Mitarbeitende informiert die Graubündner Kantonalbank verständlich und transparent über die Verwendung von Personendaten. Insbesondere die allgemeine Datenschutzerklärung der GKB steht allen Kundinnen und Kunden auf der Website der Bank jederzeit öffentlich zur Verfügung und gilt für alle Geschäftsbereiche. Wie dort festgehalten, verwendet die GKB die Daten von Kundinnen und Kunden im Rahmen der rechtlichen Vorgaben, insbesondere zur Erfüllung von vertraglichen Pflichten, im Rahmen ihres berechtigten Interesses, aufgrund von Einwilligungen und gesetzlichen Vorgaben sowie im öffentlichen Interesse. Sie vermietet oder verkauft keinerlei persönliche Daten an Dritte. Kundinnen und Kunden haben in Bezug auf die sie betreffenden Daten im Rahmen des anwendbaren Datenschutzrechts das Recht auf Auskunft, auf Berichtigung, auf Löschung, auf Einschränkung der Bearbeitung, auf Widerspruch und auf Datenübertragbarkeit. Darüber hinaus haben sie ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde.

Die GKB achtet auf Datensparsamkeit. Die Aufbewahrungsdauer von Daten bzw. die Datenlöschung richtet sich nach den rechtlichen Vorgaben und den betrieblichen Bedürfnissen der GKB.

Verantwortlichkeiten und Ressourcen

Insbesondere die nachfolgend aufgeführten Rollen sind bei der Graubündner Kantonalbank Anlaufstelle für die Themen Datenschutz und die Datensicherheit:

• Die Chief Information Security Officer sind basierend auf den Grundsätzen der Risikopolitik gesamtverantwortlich für die IT-Sicherheit der Graubündner Kantonalbank. Die Chief Information Security Officer machen entsprechende Vorgaben, unterstützen Projekte und die Mitarbeitenden in Fragen zur IT-Sicherheit und überwachen risikoorientiert die Einhaltung und Effektivität von Sicherheitsmassnahmen.
• Die IT-Security ist zuständig für die Benutzer- und Zugriffsverwaltung in den zentralen IT-Systemen und ist die zentrale Ansprechstelle für alle Mitarbeitenden bei IT-Security-Fragen (z. B. Phishing). Sie ist auch verantwortlich für die regelmässige Sensibilisierung der Mitarbeitenden in Bezug auf die IT-Sicherheit.
• Der Data Protection Officer ist Ansprechpartner für die betroffenen Personen, deren Daten von der Graubündner Kantonalbank bearbeitet werden  sowie für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. Er ist zentraler Zuständiger für die Datenschutz-Compliance sowie operationelle Risiken im Umgang mit Daten (z. B. für Schlüsselrisiken in Sachen Datenschutz). Dies umfasst u. a. die Schulung der Mitarbeitenden, Erstellung/Pflege von Datenschutz-Dokumenten, die Beratung der Mitarbeitenden bei Projekten sowie die Durchführung risikobasierter und ad-hoc-Kontrollen.

Die für Datenschutz- und -sicherheit zuständigen Personen verfügen über grosse Erfahrung und umfassendes Fachwissen in den Bereichen Netzwerksicherheit, Verschlüsselungstechnologien, Risikomanagement, Datenschutz und Compliance. Die ganzheitliche Sicht und die übergreifende Steuerung sind durch eine enge Zusammenarbeit der genannten Personen und regelmässigen Austausch sichergestellt.

Der Fachausschuss IT-Security setzt sich aus über zehn Personen verschiedener relevanter Bankbereiche zusammen. Er trifft sich mindestens halbjährlich und befasst sich mit IT-Sicherheitsthemen und genehmigt wesentliche Massnahmen bzw. stellt der Geschäftsleitung diesbezüglich Anträge. Der Ausschuss berichtet der Geschäftsleitung regelmässig zur Cyberrisikosituation sowie zu den wesentlichen Massnahmen im Bereich Cybersicherheits- und Datenschutzmanagement.

Zertifizierte externe IT-Provider, insbesondere die Inventx AG, stellen sicher, dass die Systeme, Applikationen, Datenbanken und Netzwerk-Komponenten gemäss den regulatorischen Vorgaben sowie den Anforderungen der Bank geschützt sind, zuverlässig arbeiten, laufend aktualisiert und regelmässig überprüft werden. Identifizierte Cyberangriffe werden gemäss den definierten Prozessen bearbeitet und der Graubündner Kantonalbank unverzüglich gemeldet. Die IT-Provider stellen ausserdem sicher, dass die IT-Infrastruktur, inklusive der Daten nach einem Angriff, wiederhergestellt werden kann.

Kontrollen, Reportings und laufende Anpassung des Managementansatzes und der Systeme

Systemausfälle, Sabotageversuche, Cyberrisiken, identifizierter fahrlässiger Umgang mit Daten und neue regulatorische Anforderungen werden von der IT halbjährlich dem Risk Controlling rapportiert. Die konsolidierte Risikoberichterstattung wird der Geschäftsleitung und dem Bankrat vorgelegt. Während die Geschäftsleitung für die Implementierung von wirksamen Massnahmen zur Gewährleistung der Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich ist, kommt dem Bankrat eine Überwachungsfunktion zu.

Unabhängige zertifizierte externe Security-Dienstleister beraten die Graubündner Kantonalbank bei Bedarf in Security-Fragestellungen, führen im Auftrag der GKB Reviews von Sicherheitskonzepten, Solution-Designs und Penetrationstests der Endgeräte, Server und Applikationen sowie des E-Bankings und des Mobile Bankings durch. Basierend auf den internen und externen Prüfungen und den Erkenntnissen der Fachbereiche werden die Schutzmassnahmen der Bank laufend dem sich wandelnden internen und externen Umfeld angepasst.

Der Notfall-Service einer externen Security-Firma würde die GKB und ihre IT-Provider unter anderem bei einem grösseren Sicherheitsvorfall mit Kenntnissen, Ressourcen und forensischen Untersuchungen unterstützen. Die IT-Sicherheit und der Datenschutz werden regelmässig durch die interne Revision überprüft.

Aktiver Austausch über Mitarbeit in Expertengremien

Den bilateralen Informationsaustausch mit Expertinnen und Experten, anderen Branchenvertretern und Behörden pflegt die GKB unter anderem in diversen Arbeitsgruppen. Im Sektor Finanzen des Bundesamtes für Cybersicherheit wird jeweils die aktuelle Bedrohungslage erörtert. Als Mitglied der Arbeitsgruppe «Sicherheit in der Informationstechnologie» des Verbands Schweizerischer Kantonalbanken tauscht sich die GKB mehrmals jährlich mit den IT-Sicherheitsorganisationen anderer Schweizer Kantonal- und Grossbanken aus. Die Bank ist Mitglied des von der Schweizerischen Bankiervereinigung gegründeten Vereins «Swiss Financial Sector – Cyber Security Centre» (FS-CSC), um die Prävention, die Resilienz und das Krisenmanagement des Schweizer Finanzmarkts gemeinsam mit den anderen Mitgliedern weiter zu stärken. Darüber hinaus ist sie Mitglied des Vereins Unternehmens-Datenschutz (VUD), in dessen Zentrum der Austausch zu den Best Practices bei der Umsetzung des Datenschutzes, unabhängige Meinungsbildung zu aktuellen Fragen des Datenschutzes und die Weiterentwicklung des Datenschutzes stehen.

Weiterentwicklung seitens Graubündner Kantonalbank im Berichtsjahr und nächste Schritte

Datenschutz – umgesetzte technische und organisatorische Massnahmen

Die Graubündner Kantonalbank möchte gegenüber ihren Anspruchsgruppen mehr Transparenz schaffen und hat in diesem Zusammenhang im Berichtsjahr 2024 die Datenschutzerklärung Web auf der Webseite publiziert, mithin die allgemeine Datenschutzerklärung aus dem Jahr 2023 aktualisiert. Auskunftsbegehren von Kundinnen und Kunden werden von der Bank unter Einhaltung der gesetzlichen Pflichten beantwortet. Diese Praxis wird über bewährte interne Prozesse gesteuert. Neu eintretende Mitarbeitende sind verpflichtet, eine Datenschutz-Sensibilisierung zu absolvieren. Darüber hinaus mussten sich sämtliche Mitarbeitenden der Bank im Rahmen des jährlichen Datenschutz-Weiterbildungskurses mit den Dos and Don’ts im Zusammenhang mit der Verwendung von Online-Übersetzungsdiensten, KI-Tools und Kommunikationsmitteln auseinandersetzen. Durch News im Intranet wurden die Mitarbeitenden zudem für Risiken im Bereich Datenschutz sensibilisiert. Des Weiteren wurden Datenschutz-Folgenabschätzungen und -Löschkonzepte verfeinert. Zudem wurden Verträge mit Partnern überprüft und erweitert, und die Prozesse im Hinblick auf die Meldepflichten wurden angepasst. Es erfolgten Datensicherheitsüberprüfungen, und das bankweite Verzeichnis der Bearbeitungstätigkeiten wurde aktualisiert.

Im Berichtsjahr wurden diverse IT-Projekte unter Berücksichtigung der Branchenstandards «Privacy by Default» bzw. «Privacy by Design» erfolgreich vorangetrieben bzw. abgeschlossen, darunter einige sicherheitsspezifische Projekte. So wurden zum Beispiel mit dem am 31. März 2024 in Kraft getretenen revidierten PCI Data Security Standard (PCI DSS) Zugriffsberechtigungen auf Kartendaten stark eingeschränkt und Kartendaten werden neuerdings grösstenteils pseudonymisiert. Als weiteres Beispiel können Cyber-Bedrohungen dank des ausgebauten Endpunkterkennungs- und -reaktionsservices (EDR) sowie des Digital Risk Monitorings noch rascher erkannt und angegangen werden.

Kontinuierliche Sensibilisierung

Die Graubündner Kantonalbank hat im Jahr 2024 diverse interne Kampagnen zu den Themen Cyberrisiken, IT und Informationssicherheit durchgeführt (z.B. zu den Themen Phishing, Social Media, E-Mail-Sicherheit, Cybersicherheit, Cyberrisiken). Da die Mitarbeitenden von Angreifern häufig als «Eingangstor» genutzt werden, ist die Sensibilisierung der Mitarbeitenden zentral. Zudem hat im Berichtsjahr eine Tabletop-Übung stattgefunden, welche die Reaktionsfähigkeit sowie die Zusammenarbeit zwischen der GKB und ihren IT-Partnern bei einem möglichen Cybervorfall getestet hat. Diese Übung hat gezeigt, dass die Verfahren und Prozesse im Incidentfall gut funktionieren.

Umsetzung des FINMA-Rundschreibens zu operationellen Risiken und Resilienz

Per 1. Januar 2024 trat das FINMA-Rundschreiben 2023/1, «Operationelle Risiken und Resilienz – Banken», in Kraft, das unter anderem Anforderungen an das Management der IT-Risiken, der Cyberrisiken der Risiken aus dem Umgang mit kritischen Daten stellt. Betreffend Management der Cyberrisiken wurde eine externe Beratungsgesellschaft mit der Prüfung der angemessenen Umsetzung der regulatorischen Anforderungen (FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken» und FINMA-Aufsichtsmitteilung 2024/03 «Erkenntnisse aus der Cyber-Risiko-Aufsichtstätigkeit, Präzisierung zur FINMA-Aufsichtsmitteilung 05/2020 und zu szenariobezogenen Cyber-Übungen») beauftragt. Dabei wurden keine wesentlichen Mängel festgestellt. Die identifizierten Empfehlungen werden umgesetzt.

Des Weiteren hat die GKB die relevanten Weisungen ergänzt, den Prozess zur Identifikation und zur Kategorisierung der Daten sowie die Identifizierung der kritischen Systeme durchgeführt, die kritischen Daten auf den kritischen Systemen inventarisiert und geeignete Massnahmen zur Einhaltung der Vertraulichkeit, der Integrität und der Verfügbarkeit bei der Verwaltung von kritischen Daten bzw. Systemen geprüft und implementiert. Im Rahmen der jährlichen Datenschutzschulung wurden die Mitarbeitenden auch im Umgang mit kritischen Daten geschult. Die GKB hat im Berichtsjahr in diesem Zusammenhang das Risk Controlling mit zusätzlichen Ressourcen ausgestattet.

Verwendung Künstlicher Intelligenz

DZum Thema Künstliche Intelligenz (KI) hat die Graubündner Kantonalbank Merkblätter verfasst und ihren Mitarbeitenden zur Verfügung gestellt. Alle Mitarbeitenden wurden im Rahmen des jährlichen Datenschutz-Weiterbildungskurses in Bezug auf den Umgang mit generativen KI-Werkzeugen geschult. Zudem hat die Graubündner Kantonalbank bereits ein KI-Verzeichnis erstellt, welches u.a. die IT-Systeme mit KI-Komponenten, Verantwortlichkeiten sowie Risiken festhält. Überdies ist eine KI-Weisung in Ausarbeitung, die Governance und Risikomanagement in Sachen KI regelt sowie potenziell missbräuchliche oder gefährliche KI-Anwendungen grundsätzlich verbietet. Die Graubündner Kantonalbank legt derweil im ersten Quartal 2025 fest, wie die getroffenen Massnahmen nach Massgabe der FINMA-Aufsichtsmitteilung 08/2024 zum Thema «Governance und Risikomanagement beim Einsatz Künstlicher Intelligenz» optimiert werden.

Keine Vorfälle im Berichtsjahr

Im Berichtsjahr ging bei der Graubündner Kantonalbank eine Beschwerde in Bezug auf die Verletzung des Schutzes von Kundendaten ein, welcher nachgegangen wird. Indes wurde kein datenschutzrechtliches Auskunftsbegehren gestellt. Wie bereits im Vorjahr gab es bei der Graubündner Kantonalbank auch in diesem Berichtsjahr nach Auslegung der Bank insgesamt keine IT-Vorfälle oder Verletzungen der Datensicherheit («data breaches»), welche dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen oder der FINMA hätten gemeldet werden müssen.

Geplante Massnahmen

Über die bisher üblichen laufenden Prüfungs- und Verbesserungsmassnahmen hinaus sind für das Jahr 2025 zusätzliche standardisierte Prüfungen (Penetrationstests, Sicherheitsanalysen und Security Reviews) geplant. Wie bisher werden laufend Sensibilisierungsmassnahmen für die Mitarbeitenden umgesetzt.

Weiter wird auch das Reporting bezüglich Cybersicherheit an die Geschäftsleitung erweitert. Diverse Projekte befassen sich mit der Nutzung zukunftsgerichteten Technologien, welche auch den Datenschutz und die Datensicherheit zusätzlich erhöhen werden.

Aktuelle Herangehensweise der Beteiligungsgesellschaften

Die Albin Kistler AG setzt im Bereich IT-Infrastruktur analog der Graubündner Kantonalbank auf die Zusammenarbeit mit der Inventx AG. Die Inventx AG erfüllt insbesondere im Bereich Datensicherheit die hohen Standards von Schweizer Finanzdienstleistern. Im Rahmen der technologischen Veränderungen werden vermehrt SaaS-Lösungen (Software-as-a-Service) eingesetzt, die nicht mehr lokal in Rechenzentren der Inventx AG betrieben werden. Diese werden direkt durch den Softwarelieferanten i. d. R. bei Hyperscalern (Microsoft/AWS) gehostet. Hyperscaler sind sich der besonderen Gegebenheiten und der hohen Ansprüche des Schweizer Marktes bewusst und investieren substanzielle Beträge in den Ausbau und die Sicherheit ihrer Schweizer Rechenzentren. Die Albin Kistler AG evaluiert solche Lösungen sorgfältig unter Einbezug von technischen und juristischen Spezialisten. Die Inventx AG fungiert als zentraler Ansprechpartner für die Gestaltung ganzheitlicher Lösungen. Im Risikomanagement wird der Datensicherheit höchste Priorität beigemessen. Die Albin Kistler AG strebt danach, die technischen Möglichkeiten zu nutzen und die Sicherheit stetig weiter zu erhöhen. Datenschutz ist und bleibt für die Albin Kistler AG aufgrund der schützenswerten Kundendaten sehr wichtig. Die Datenschutzerklärung informiert transparent darüber, wie die Albin Kistler AG mit welchen Daten umgeht.

Wie die Albin Kistler AG arbeitet die BZ Bank Aktiengesellschaft aktuell auf der Plattform von Inventx. Am 1. Juli 2024 erfolgte die Migration zur GKB, die seitdem als Outsourcing-Partner agiert. Im Bereich des Datenschutzes und der Datensicherheit (inklusive Cybersecurity) gelten für die BZ Bank Aktiengesellschaft somit die gleichen Anforderungen und die gleiche Herangehensweise wie bei der GKB (siehe oben). Die Datenschutzerklärung der Bank informiert transparent darüber, wie sie mit welchen Daten umgeht.

Für die Privatbank Bellerive AG agiert die GKB als Outsourcing-Partner. Die Privatbank führt jährlich eine Aus- und Weiterbildung der Mitarbeitenden zu rechtlichen und regulatorischen Themen durch. Dazu gehört die Sensibilisierung der End-User betreffend IT-Security im Allgemeinen und Cyberrisiken sowie Cyberattacken im Besonderen. Im Jahr 2024 gingen bei der Privatbank Bellerive AG keine Beschwerden wegen Verletzung des Schutzes von Kundendaten ein. Es wurden keine Fälle von Kundendaten-Diebstahl oder -Verlust festgestellt. Es gab keine IT-Vorfälle oder Verletzungen der Datensicherheit, die dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten oder der FINMA hätten gemeldet werden müssen. Die Datenschutzerklärung der Privatbank Bellerive AG informiert transparent darüber, wie sie mit welchen Daten umgeht.