Relevanz und Wirkungen
(GRI 3-3 a. und b.)
Der rasante technologische Fortschritt der letzten Jahre hat die Wirkung und somit die strategische Bedeutung der Datenintelligenz (Data Analytics) verstärkt. Diese wirkt auf unterschiedlichen Ebenen und Tätigkeitsbereichen. Mit modernen Methoden, z.B. maschinelles Lernen, Visualisierungen usw., werden Geschäftsprozesse im Direktmarketing, Vertrieb sowie Risikomanagement optimiert. So können strategische Ziele der Organisation unterstützt werden, wie z.B. die Sicherung des Unternehmenserfolgs, die 360-Grad-Kundenbetreuung, die Nachhaltigkeit und die Mitarbeiterbefähigung.
Die Nutzung dieser neuen Technologien und der damit verbundene kulturelle Wandel erfordern neben einer modernisierten IT-Infrastruktur auch ein entsprechendes Mitarbeiter-Know-how.
Die fortschreitende Digitalisierung wird durch erhöhte regulatorische Vorgaben begleitet, die in der Unternehmung umgesetzt, stetig begleitet und kontrolliert werden müssen und eine entsprechende Betriebsorganisation erfordern.
Jede rasante Entwicklung führt auch zu einer erheblichen Veränderung der Risikolandschaft. So hat die technische, geopolitische und kulturelle Entwicklung der letzten Jahre einen erheblichen Einfluss auf die operationellen Risiken und Massnahmenplanung im Bereich der Datensicherheit. Heute wird der Cyberraum regelmässig in geopolitischen Konflikten von staatlichen sowie politisch motivierten Akteuren missbraucht. Die zuverlässige Nutzung des Cyberraums wird dadurch erschwert, was mit geeigneten Abwehrmassnahmen und Redundanzen adressiert wird. Von wesentlicher Bedeutung für Banken ist die Abwehr von Cyberangriffen. Diese sind zu einer Haupteinkunftsquelle der organisierten Kriminalität geworden und bedrohen zunehmen unsere Kundinnen und Kunden. Die einfache Verfügbarkeit von künstlicher Intelligenz ermöglicht es den Akteuren, die Maturität und Wirksamkeit von Cyberangriffen laufend zu erhöhen.
Herangehensweise
(GRI 3-3 c. bis f.)
Mit dem strategischen Ausbau der Digitalisierung und Automatisierung will der Konzern BKB schrittweise die Dienstleistungen und Finanzprodukte sowie interne Prozesse verbessern, die entsprechendes Optimierungspotenzial haben. Dafür wurde in der Konzernstrategie 2022+ als Umsetzungsgefäss die Stossrichtung «Datenarchitektur und -nutzung» geschaffen. Die strategische Stossrichtung fördert und überwacht die Weiterentwicklung der relevanten Prozesse sowie der Dateninfrastruktur.
Die gestiegene und intelligentere Nutzung der Daten erfordert ein entsprechend breites und tiefes Know-how, damit die regulatorischen Vorgaben zum Umgang mit Daten eingehalten werden. Dies wird im Konzern durch interne Weisungen, informative Intranetseiten für die Mitarbeitenden, regelmässige Schulungen und Kontrollen gewährleistet. Der Konzern hat in diesem Zusammenhang ein umfassendes Schulungskonzept mit über zwanzig Schulungen, webbasierten Trainings, Videobotschaften, spielerischen Online-Weiterbildungen und informative Intranetseiten umgesetzt. Die Inhalte werden regelmässig aktualisiert. Neben den Mitarbeitenden des Konzerns werden themenbezogen auch Mitarbeitende von Dienstleistern geschult.
Ergänzend zur regulatorischen Umsetzung in der Betriebsorganisation informiert der Konzern seine Kundinnen und Kunden sowie Dritte über die Bearbeitung von Daten durch den Konzern über seine Internetseiten, insbesondere die Datenschutzerklärung des Stammhauses BKB respektive der Bank Cler.
Die Datensicherheit wird sowohl im Betrieb sichergestellt als auch in Projekten berücksichtigt. Dazu ist auf Basis des international anerkannten Sicherheitsstandard ISO 27001 ein Sicherheits-Management-Prozess etabliert, der innerhalb der Bank wie auch bei Partnern und Lieferanten, die holistische Umsetzung von Sicherheitsmassnahmen nach ISO 27002 sowie weiterer anerkannter Sicherheitsstandards, Gesetze und Regularien gewährleistet. Die Bedrohungslage im Cyberraum wird laufend überwacht und daraus resultierende Risiken werden regelmässig neu beurteilt sowie mittels geeigneter technischer und organisatorischer Massnahmen gemildert. So wird das hohe Bewusstsein für Datensicherheit u. a. durch regelmässige Schulungen aller Mitarbeitenden, Sicherheitsübungen, Sensibilisierungstrainings, Informationen im Intranet zu aktuellen Vorkommnissen sowie weiteren, geeigneten Sensibilisierungsmassnahmen sichergestellt. Ebenfalls wird bei Vertragsabschlüssen sichergestellt, dass jeder externe Partner oder Lieferant, die Einhaltung des Bankkunden- und Geschäftsgeheimnisses garantiert. Dies gilt auch für die wesentlichen technischen und organisatorischen Vorgaben und Massnahmen zur Datensicherheit.
Die Effektivität der Sicherheitsmassnahmen wird mittels geeigneter Verfahren und unter Beizug externer Sicherheitsexperten regelmässig überprüft. Die Ergebnisse werden systematisch auf die Risikoauswirkung analysiert. Mindestens einmal pro Quartal wird den Geschäftsleitungen sowie den zuständigen Oberleitungsgremien der Konzernbanken (Bankrat der BKB respektive Verwaltungsrat der Bank Cler) dazu Bericht erstattet.
Aktuelle Entwicklungen
(GRI 3-3 e.)
Datenqualität und Kundenansprache
Voraussetzung für erfolgreiche datengestützte Massnahmen ist eine gute Datenqualität. Zur Messung der Datenqualität und ihrer Verbesserung hat der Konzern BKB den Total Quality Index (TQI) als Schlüsselkennzahl definiert. Diese Kennzahl basiert auf dem Kundenfokus und misst die Datenerfassung, die Datenpflege sowie die Datenverwendung. Ziel ist es, bis Ende des Jahres 2025 einen TQI von insgesamt 28 Punkten von maximal 30 Punkten zu erreichen. Der TQI wies zum 31. Dezember 2023 einen Wert von 25,34 auf (Steigerung um 1,43 Punkte zum Vorjahr). Die Aktivitäten im 2023 umfassten zur Hauptsache erneut die Bereinigung von Stammdaten (Anreden, Adressen physisch und elektronisch), Doubletten, Kontobereinigungen (Mieterspardepot) und Optimierungsmassnahmen in den damit verbundenen Prozessen.
Parallel zur Bereinigung der Stammdaten wurde die Umsetzung des neuen Datenschutzgesetzes dazu genutzt, um die Datenqualität bei der Erfassung von Kundendaten im Kernbankensystem zu erhöhen.
Interne Prozessoptimierungen und Datenkultur
Im Rahmen der zukünftigen Datenstrategie strebt der Konzern BKB eine «gelebte» Datenkultur an, in der vermehrt datengestützte Entscheidungen getroffen werden. Diese Entwicklung bedarf einer verstärkten Offenheit für neue Methoden und Anwendungen. Die Mitarbeitenden werden befähigt, im Datenumgang ihre Arbeitsweise zu modernisieren und erhalten Zugriff zu den benötigten Bereichen der dispositiven Datenhaltung, wenn sie die entsprechenden Fähigkeiten besitzen. Der methodische Einsatz der Datenintelligenz (A/B-Testing, maschinelles Lernen, Messung der Wirkung mittels Kontrollgruppen, usw.) bei relevanten Anwendungsfällen steigt kontinuierlich.
Datenschutz und Datensicherheit
Die Umsetzung der neuen regulatorischen Vorgaben des neuen schweizerischen Datenschutzgesetzes wurde im Berichtsjahr im Rahmen eines Projekts an die Hand genommen, welches neben betriebsorganisatorischen Fragestellungen (Verzeichnis der Bearbeitungstätigkeiten, Datenschutzfolgeabschätzungen) unter anderem auch die Stärkung der Betroffenenrechte im Fokus hatte. Detaillierte Erläuterungen finden sich diesbezüglich im Lagebericht in der Rubrik Gesetzliche und reglementarische Rahmenbedingungen und Reglementierung.
Im Herbst 2023 wurde vom Konzern BKB zusammen mit einem externen Partner erstmals ein geschlossenes Bug-Bounty-Programm, ein spezielles Prüfverfahren zur Identifikation von sicherheitsrelevanten Schwachstellen, durchgeführt. Die Einführung eines permanenten Bug-Bounty-Programms wird 2024, als Ergänzung zu den bisherigen Prüfungen zur Effektivität von Sicherheitsmassnahmen, geprüft. Ebenfalls werden laufend Verbesserungen und Ergänzungen an den bestehenden Sicherheitsmassnahmen vorgenommen, um beispielsweise Datenabflüsse, Datendiebstahl oder Systemunterbrüche durch Cyberangriffe – trotz der steigenden Bedrohungslage – verhindern zu können. Zusätzlich engagiert sich der Konzern BKB als Gründungsmitglied im Verein «Swiss Financial Sector Cyber Security Centre» (FS-CSC). Dieser hat das Ziel, die Widerstandsfähigkeit des Finanzsektors gegen Cyberrisiken – die sogenannte Cyberresilienz – zu stärken und die institutionelle Zusammenarbeit zwischen Finanzinstituten und Behörden zu strategischen und operativen Sicherheitsfragen zu fördern.