Sicher ist sicher

Sicher ist sicher

Daten sind ein empfindliches Gut. Der Schutz und die Sicherheit von Daten hat für SIX höchste Priorität. Im Gespräch erzählen Thomas Koch (Chief Security Officer), Jochen Dürr (Chief Risk Officer) und Thomas Aregger (Head Compliance), wie SIX den Datenschutz in einem sich wandelnden technologischen Umfeld weiter verbessern und sich vor Cyberangriffen schützen kann.

Was bedeuten Datenschutz und -sicher­heit bei SIX?

Thomas Koch (TK): Die Bedeutung ist sehr gross. Ich beschreibe das gerne mit dem Begriff der Datenintegrität. Die Daten, wel­che bei uns lagern, müssen wir vor ungewollter Veränderung schützen und Zugriffe verhindern. Sie müssen selbstverständlich verfügbar und die Vertraulichkeit jederzeit gewährleistet sein.

Jochen Dürr (JD): In der Bewertung von Risiken spielt das Thema Datensicherheit eine zentrale Rolle. Wir analysieren fortlaufend, welche Lösungen dazu beitragen, unsere Risiken bezüglich Datensicherheit zu senken.

Thomas Aregger (TA): Neben den rein technischen Sicherheitsanforderungen zum Schutz von Daten gibt es auch rechtliche Vorgaben, die wir beachten müssen. Das interne Regelwerk gibt vor, wie die Mitarbeitenden mit den jeweiligen Daten und Informationen umgehen müssen. Auch automatisieren wir laufend Prozesse, um sicherzustellen, dass das tägliche Handeln der Mitarbeitenden mit den gesetzlichen Bedingungen – und natürlich auch den vertraglichen Vereinbarungen mit unseren Geschäftspartnern – im Einklang steht.

Ein Teil der Dienstleistungen von SIX sind systemrelevant. Wie angreifbar ist SIX heute?

TK: Wir sind dem Risiko externer Angriffe ausgesetzt. Das ist einer der Gründe, warum wir eine Partnerschaft mit IBM eingegangen sind. Gemeinsam bauen wir ein Security Operations Center (SOC) auf. Das SOC nutzt die kognitive Intelligenz «Wat­son» von IBM und soll nicht nur unserer Si­cherheit dienen. Zusammen mit IBM wollen wir das SOC zentral auch kleineren und mittleren Banken anbieten, die sich kostenintensive Abwehrsysteme nicht leisten könnten. Damit würde die Sicherheit für den Finanzplatz insgesamt erhöht. Wir unterstützen aber auch intensiv die Lehre und Forschung im Bereich der Informationssicherheit. In einer Kooperation mit dem Zurich Information Security and Privacy Center (ZISC) an der ETH Zürich legen wir ein besonderes Augenmerk auf den Bereich Cybersecurity und Innovation in der Cloud.

Welche Bedeutung haben Cyberrisiken für eine Organisation wie SIX?

JD: Die Bedeutung von Cyberrisiken wird aus meiner Sicht in den kommenden ein bis drei Jahren nochmals deutlich steigen. Sicherheit, Stabilität und Verfügbarkeit sind Kernelemente des Auftrags von SIX. Gerade deshalb hat das Erkennen und Managen von IT- und Cyberrisiken einen hohen Stellenwert. Wir bringen nicht zuletzt deshalb unsere Risiko- und Sicherheitsfunktionen auch näher zusammen, stellen sie unter eine einheitliche Verantwortung und stärken so die gruppenweite Zusammenarbeit.

Das Wort «Cloud» ist in aller Munde. Ist eine Cloud eine Option für SIX? Und wenn ja, wie stellt SIX den Datenschutz sicher?

TK: Die Nutzung einer Cloud muss immer im Einzelfall geprüft werden. Je nachdem bietet eine sichere und gut bewirtschafte Cloud für SIX klare Vorteile und ist damit eine realistische Option, um Daten flexibler (z.B. Office Suite) bearbeiten zu können. Durch eine stringente und automatisierte Datenklassifizierung und höhere Schutzmechanismen in der Cloud würden wir die Datenverfügbarkeit verbessern und dadurch eine höhere Flexibilität für die Anwender erreichen. Internationale Tochtergesell­schaften wären zum Beispiel schneller an SIX angeschlossen.

Welche Voraussetzungen müssen gegeben sein?

TA: Bevor eine Cloudlösung für eine bestimmte Datenbearbeitung überhaupt in Frage kommt, gibt es diverse rechtliche Fragen zu klären. Es ist wichtig zu betonen, dass wir immer genau prüfen müssen, welche Daten überhaupt cloudfähig sind. Bestimmte Daten wie z.B. solche von beaufsichtigten Gruppengesellschaften, aber auch Kundendaten dürfen unsere Unternehmensgrenzen grundsätzlich nicht verlassen. Sie würden darum auf unseren Systemen verbleiben. Allenfalls muss die Nutzung einer Cloud zudem durch die zuständigen Aufsichtsbehörden bewilligt werden. SIX steht mit den Aufsichtsbehörden in der Schweiz wie auch in den anderen Ländern, in denen SIX tätig ist, im Kontakt, um diese Fragen zu klären.

TK: Es ist eine Bedingung für uns, dass unsere Daten verschlüsselt und unabhängig von anderen Daten in der Cloud gespeichert werden. Nur Mitarbeitende von SIX dürfen Zugriff auf unsere Daten haben. Für das Datenhosting kommen ausschliesslich Server in Europa in Frage. Dazu gibt es natürlich noch eine Reihe von weiteren Sicherheitsauflagen. Wenn diese erfüllt wären, würde eine cloudbasierte Lösung unseren strengen Compliance- und Sicherheitsanforderungen entsprechen.

JD: Die öffentliche Wahrnehmung der Cloud verleitet oft zu falschen Schlüssen. Die Cloud ist kein diffuses, unkontrollierbares Gebilde. Im Gegenteil: Die Cloud, wie wir sie nutzen würden, wäre ein Zugewinn an Sicherheit. Denn die Mittel, welche die grossen und spezialisierten Anbieter von Cloudlösungen für den täglichen Daten­schutz und sicherheitsrelevante Verbesserungen aufwenden können, sind um ein Vielfaches grösser als bei einem einzelnen Unternehmen wie SIX. In der Gesamtbetrachtung würden wir daher mit einer Cloudlösung unsere Sicherheitsrisiken senken.

Downloads

Broschüre

SIX Corporate Responsibility

Unsere Verantwortung für den Finanzmarkt, die Mitarbeitenden, die Umwelt und die Gesellschaft