IT-Sicherheit und Cyberkriminalität

Management des wesentlichen Themas (GRI 3-3)

Mit zunehmender Digitalisierung des Gesundheitswesens steigt die Gefahr von Cyberattacken. Einer der grössten Risikofaktoren im Zusammenhang mit Cyberattacken ist der Mensch, denn viele Cyberangriffe zielen auf die Mitarbeitenden ab, beispielsweise mittels betrügerischen E-Mails (Phishing). Die IT-Sicherheit ist bei Galenica von hoher Relevanz. Als Gesundheitsdienstleisterin bearbeitet das Unternehmen sensible Informationen und Daten. Galenica stellt sicher, dass diese vor unberechtigten Zugriffen und unerlaubten Änderungen oder Verlusten geschützt sind, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherzustellen, wirtschaftliche Schäden zu vermeiden und Risiken zu minimieren. Bei den Logistikbetrieben und Apotheken ist der Schutz der IT-Systeme besonders entscheidend, um letztlich die Versorgungssicherheit der Bevölkerung zu gewährleisten. Zudem trägt die IT-Sicherheit zur Akzeptanz in der Gesellschaft sowie zur Zufriedenheit der Kunden, Partner und Lieferanten bei und damit zur Stärkung des Gesundheitssystems in der Schweiz.

Verantwortlichkeiten

Auf Gruppenebene wird das Thema IT-Sicherheit vom Leiter Information Security & Quality Assurance koordiniert. 2022 hat Galenica die Verantwortlichkeiten und Organisation von IT-Sicherheit neu aufgestellt. Das neu formierte IT Security Board ist für den Interessensabgleich zwischen IT und den einzelnen Business Units zuständig und koordiniert IT-sicherheitsrelevante Themen und Massnahmen. Diese werden von den Mitgliedern in ihren jeweiligen Bereichen umgesetzt. Das Board ist für die IT-Security Strategie verantwortlich und stellt deren Umsetzung sicher. Das Ziel der Strategie ist es, eine gruppenweit verlässliche und effiziente IT-Security zu erreichen. Das Board tagt quartalsweise oder nach Bedarf und hat seine Arbeit 2023 aufgenommen.

Klare Richtlinien regeln den Betrieb

Die IT-Security-Policy definiert die Ziele der Informations- und IT-Sicherheit, die Kompetenzen und Verantwortlichkeiten sowie die IT-Sicherheitsprinzipien der Galenica Gruppe. Die Policy gilt für alle Gesellschaften der Galenica Gruppe und bildet die Grundlage aller schriftlichen IT-Sicherheitsanweisungen. Daneben hält das IT-Nutzungsreglement die sicherheitsbezogenen Verhaltensregeln im Umgang mit IT-Arbeitsmitteln fest, wie zum Beispiel die Nutzung von privaten Geräten, das Arbeiten von unterwegs oder im Home-Office. Das IT-Security-Manual schliesslich richtet sich an die Mitarbeitenden der IT-Abteilungen und regelt den sicheren IT-Betrieb.

Sensibilisierte Mitarbeitende

Um die Informations- und IT-Sicherheit zu gewährleisten, ist die Mitwirkung aller Mitarbeitenden erforderlich. Neben den technischen Massnahmen fördert Galenica deshalb das Sicherheitsbewusstsein der Mitarbeitenden durch spezifische E-Learning-Module und Intranet-News. Bereits am Einführungstag werden neue Mitarbeitende für die wesentlichen Elemente des IT-Nutzungsreglements sensibilisiert. Galenica führt regelmässig E-Learnings zu Datensicherheit und dem Umgang mit Phishing und Cyberangriffen durch. Ausserdem werden regelmässig Informationen zu Cyberkriminalität im Intranet für die Mitarbeitenden publiziert.

↗  Realistisch
→ Teilweise verzögert/kritisch
↘  Kritisch
=  Erreicht
×  Nicht erreicht

Im Berichtsjahr wurden zwei E-Learnings im Bereich IT-Sicherheit und Cyberkriminalität angeboten. Die Teilnehmerquote lag durchschnittlich bei 88%.

Beurteilung des Managementansatzes und der Massnahmen

• Security Audit: Die IT-Security-Policy und ihre Umsetzung wird regelmässig durch interne Stellen oder externe Spezialisten auf ihre Aktualität und Wirksamkeit geprüft.
• Monitoring: Das Security-Monitoring-System überwacht sämtliche IT-Systeme und schlägt bei Auffälligkeiten Alarm. Dies wird durch ein externes Security Operation Center (SOC) sichergestellt.
• E-Learning: Die Teilnehmerquote an den E-Learning-Modulen zu Daten- und Cybersicherheit werden regelmässig erhoben und ausgewertet.