Die CSS Gruppe mit Sitz in Luzern wurde 1899 gegründet. Das traditionsreiche Unternehmen versichert rund 1.66 Millionen Menschen und zählt mit einem Prämienvolumen von 5.86 Milliarden Franken zu den führenden Schweizer Kranken-, Unfall- und Sachversicherern. In der Grundversicherung ist sie Marktführerin. Die CSS stellt Informationen zur Verfügung, die Orientierung bieten und bei Entscheidungen in Gesundheitsfragen unterstützen.

Damit diese Leistungen erbracht werden können, betreibt die CSS Versicherung eine moderne und vielseitige ICT-Landschaft. Dabei muss die Sicherheit der Daten stets gewährleistet sein und die Umgebung und die darauf verarbeiteten Daten müssen vor Cyber-Angriffen, unerlaubter Einsicht oder Verlust geschützt werden.

Ein vorausschauendes ICT-Risikomanagement hilft, mögliche Bedrohungen frühzeitig und strategisch zu erfassen und daraus resultierende Risiken regelmässig zu beurteilen, um bei Bedarf passende Massnahmen auf strategischer und operativer Ebene zur Minderung der Risiken zu ergreifen.

Während drei Jahren haben die Berater der Redguard AG das ICT-Risikomanagement der CSS Versicherung inhaltlich und methodisch unterstützt. Im Rahmen dieser Unterstützung wurde die bereits existierende Methodik zur Risikoidentifizierung und -bewertung weiterentwickelt und ausgebaut. Nach erfolgter Erarbeitung der Grundlagen wurde eine erstmalige Bedrohungs- und Risikoerfassung gemeinsam mit den CSS-internen Fachspezialisten durchgeführt. Im weiteren Verlauf wurde das Risikoportfolio regelmässig mit der Unterstützung von Redguard überprüft und aktualisiert. Dies mit dem Ziel, die Risikosituation jeweils aktuell zu erfassen und daraus die Top-10-ICT-Risiken zu ermitteln und der Konzernleitung und dem Verwaltungsratsausschuss Informatik zu berichten.

Schritt 1: Bedrohungs- und Risikoerkennung

Die Erkennung von möglichen Bedrohungen und Risiken erfolgte jeweils in verschiedenen Workshops. Beim ersten Zusammenkommen haben die Spezialisten von Redguard die aktuelle Bedrohungslage sowie Trends und Entwicklungen vorgestellt. Die Bedrohungslandkarte wurde anlässlich des Workshops gemeinsam mit den CSS-internen Spezialisten verfeinert und vervollständigt.

Die aktualisierte Bedrohungslandkarte diente in einem zweiten Workshop als Grundlage für die Erkennung und Beurteilung von ICT-Risiken. Dabei wurde das Risikoportfolio jeweils auf seine Vollständigkeit hin überprüft und bisher noch nicht erfasste Risiken wurden als neue Risiken aufgenommen. Die Ergebnisse wurden von Redguard zusammengefasst und grafisch aufbereitet.

Schritt 2: Risikobewertung und Massnahmendefinition

Alle neu erfassten ICT-Risiken wurden anhand eines definierten Beurteilungsschemas gemeinsam bewertet und einem Risikoeigner zugeordnet. Ebenso verfuhr man mit den bereits bekannten ICT-Risiken, welche anlässlich der Überprüfung und Aktualisierung neu beurteilt wurden. Bekannte ICT-Risiken, welche die vom Management definierte Risikotoleranzstufe überschritten, wurden weiter aufbereitet. Gemeinsam mit den Risikoeignern wurden mögliche Massnahmen zur Risikosteuerung ermittelt und anlässlich eines weiteren Workshops dem ICT-Führungsteam vorgestellt. Dabei wurde festgelegt, wie die Umsetzung von Massnahmen die ICT-Risiken voraussichtlich beeinflussen wird. Nebst der heutigen Risikosituation konnten auf dieser Basis mögliche Szenarien der Risikoentwicklung dargestellt werden. Dies als Entscheidungsgrundlage für das Management der CSS Versicherung.

Schritt 3: Aufbereitung und Kommunikation

Im dritten und letzten Schritt wurden die erarbeiteten Grundlagen inhaltlich und grafisch von Redguard im Rahmen einer Management-Präsentation aufbereitet. Zusätzlich zur Bedrohungslandkarte wurden die ermittelten Top-ICT-Risiken sowie die möglichen Auswirkungen bei einem Risikoeintritt managementgerecht beschrieben. Für alle Top-ICT-Risiken wurden entsprechende Massnahmenvorschläge ausgearbeitet und die voraussichtliche Risikoentwicklung bei der Umsetzung der Massnahmen wurde ergänzt.

Die Ergebnisse wurden zyklisch an die Konzernleitung und den Verwaltungsratsausschuss Informatik der CSS Versicherung berichtet und dienten gleichzeitig als strategisches Instrument zur Steuerung und Weiterentwicklung der ICT-Landschaft.

Zusammenarbeit mit Redguard

Aufgrund der Expertise und der breiten Erfahrung von Redguard ist eine erfolgreiche Zusammenarbeit entstanden.

“Die letzten drei Jahre waren für uns sehr wertvoll. Dank Redguard konnten wir die bestehenden Methoden und Hilfsmittel des ICT-Risikomanagements gezielt weiterentwickeln und verbessern.” Bruno Hodel, IT-Risikomanager der CSS Kranken-Versicherung AG

Ein funktionierendes und breitabgestütztes ICT-Risikomanagement stellt für jede Unternehmung ein hilfreiches Instrument für die Gefahrenbekämpfung dar. Laut Bruno Hodel ist es unabdingbar, dass die Unternehmung ihre Risiken kennt und diese auch aktiv bearbeitet. Durch das vollumfängliche Risikomanagement erkennt die CSS, wo ihre ICT-Risiken sind und kann bei der Ermittlung von Massnahmen auf das vielseitige Know-how von Redguard zurückgreifen. Zur Zusammenarbeit mit Redguard meint Bruno Hodel, dass diese seit Beginn bestens funktioniert und dass die Bedürfnisse der CSS Versicherung stets berücksichtigt werden.

“Mit einem strukturierten Risk-Management kann man Cyber-Angriffe zwar nicht verhindern, aber man kann sich gezielt darauf vorbereiten. Mit Redguard gelang es uns, eine umfassende Sicht auf die Cyber-Risk-Thematik zu erlangen und diese zu managen.” Bruno Hodel, IT-Risikomanager der CSS Kranken-Versicherung AG