Relevanz und Wirkungen
(GRI 3-3 a. und b.)
Der rasante technologische Fortschritt der letzten Jahre hat die Wirkung und somit die strategische Bedeutung der Datenintelligenz (Data Analytics) verstärkt. Diese wirkt auf unterschiedlichen Ebenen und andersartig je Tätigkeitsbereich.
Mit modernen Methoden, z.B. maschinelles Lernen, Visualisierung usw., werden Geschäftsprozesse im Direktmarketing, Vertrieb sowie Risikomanagement optimiert.
So können strategische Ziele der Organisation unterstützt werden, wie z.B. die Sicherung des Unternehmenserfolgs, die 360-Grad-Kundenbetreuung, die Nachhaltigkeit und die Mitarbeitendenbefähigung.
Die neuen Technologien und der damit verbundene kulturelle Wandel erfordern jedoch, neben einer modernisierten IT-Infrastruktur, ein entsprechendes Mitarbeitenden-Knowhow. Die fortschreitende digitale Transformation wird ausserdem durch erhöhte regulatorische Vorgaben begleitet, die in der Unternehmung umgesetzt, stetig begleitet und deren Einhaltung kontrolliert werden müssen und eine entsprechende Betriebsorganisation erfordern.
Jede rasante Entwicklung führt zu einer erheblichen Veränderung der Risikolandschaft. So hatte die technische, geopolitische und kulturelle Entwicklung der letzten Jahre einen erheblichen Einfluss auf die operationellen Risiken und Massnahmenplanung im Bereich der Datensicherheit. Heute wird der Cyberraum regelmässig in geopolitischen Konflikten von staatlichen sowie politisch motivierten Akteuren missbraucht. Die zuverlässige Nutzung des Cyberraums wird dadurch erschwert, was mit geeigneten Abwehrmassnahmen und Redundanzen adressiert werden muss.
Von wesentlicher Bedeutung für Banken ist die Abwehr von Cyberangriffen.
Diese sind zu einer Haupteinkunftsquelle der organisierten Kriminalität geworden und bedrohen zunehmend die Kundinnen und Kunden. Die einfache Verfügbarkeit von künstlicher Intelligenz ermöglicht es den Akteuren, die Maturität und Wirksamkeit von Cyberangriffen laufend zu erhöhen.
Herangehensweise
(GRI 3-3 c. bis f.)
Mit dem strategischen Ausbau der Digitalisierung und Automatisierung will der Konzern BKB schrittweise die Dienstleistungen und Finanzprodukte sowie interne Prozesse verbessern, die Optimierungspotenzial haben. Dafür wurde in der Konzernstrategie 2022+ als Umsetzungsgefäss die Stossrichtung «Datenarchitektur und -nutzung» geschaffen. Die strategische Stossrichtung fördert und überwacht die Weiterentwicklung der relevanten Prozesse sowie der Dateninfrastruktur.
Schulungen
Die gestiegene und intelligentere Nutzung der Daten erfordert ein breites und tiefes Know-how, damit die regulatorischen Vorgaben zum Umgang mit Daten eingehalten werden. Dies wird im Konzern durch interne Weisungen, informative Intranetseiten für die Mitarbeitenden, regelmässige Schulungen und Kontrollen gewährleistet. Der Konzern hat in diesem Zusammenhang ein umfassendes Schulungskonzept mit über zwanzig Schulungen, webbasierten Trainings, Videobotschaften, spielerischen Online-Weiterbildungen und informative Intranetseiten umgesetzt. Die Inhalte werden regelmässig aktualisiert. Neben den Mitarbeitenden des Konzerns werden themenbezogen auch Mitarbeitende von Dienstleistern geschult.
Interne Prozessoptimierungen und Datenkultur
Im Rahmen der zukünftigen Datenstrategie strebt der Konzern BKB eine «gelebte» Datenkultur an, in der vermehrt datengestützte Entscheidungen getroffen werden.
Diese Entwicklung bedarf einer verstärkten Offenheit für neue Methoden und Anwendungen. Die Mitarbeitenden werden befähigt, im Datenumgang ihre Arbeitsweise zu modernisieren und erhalten Zugriff zu den benötigten Bereichen der dispositiven Datenhaltung, wenn sie die Fähigkeiten besitzen. Der methodische Einsatz der Datenintelligenz (A/B-Testing, maschinelles Lernen, Messung der Wirkung mittels Kontrollgruppen usw.) bei relevanten Anwendungsfällen steigt kontinuierlich.
Im Rahmen des Innovationsmanagements beobachtet der Konzern BKB den Stand der neuen Technologien (z.B. generative künstliche Intelligenz) und prüft diese für mögliche zukünftige Anwendungen unter Einhaltung der regulatorischen Vorgaben.
Datenschutz und Datensicherheit
Ergänzend zur regulatorischen Umsetzung in der Betriebsorganisation informiert der Konzern seine Kundinnen und Kunden sowie Dritte über die Bearbeitung von Daten durch den Konzern über seine Internetseiten, insbesondere die Datenschutzerklärung des Stammhauses BKB respektive der Bank Cler.
Die Datensicherheit wird sowohl im Betrieb sichergestellt als auch in Projekten berücksichtigt. Dazu ist auf Basis des international anerkannten Sicherheitsstandards ISO 27001 ein Sicherheits-Management-Prozess etabliert.
Dieser gewährleistet innerhalb der Bank wie auch bei Partnern und Lieferanten die holistische Umsetzung von Sicherheitsmassnahmen nach ISO 27002 sowie weiterer anerkannter Sicherheitsstandards, Gesetze und Regularien. Die Bedrohungslage im Cyberraum wird laufend überwacht und daraus resultierende Risiken werden regelmässig neu beurteilt sowie mittels geeigneter technischer und organisatorischer Massnahmen gemildert. So wird das hohe Bewusstsein für Datensicherheit u.a. durch regelmässige Schulungen aller Mitarbeitenden, Sicherheitsübungen, Sensibilisierungstrainings, Informationen im Intranet zu aktuellen Vorkommnissen sowie weiteren geeigneten Sensibilisierungsmassnahmen sichergestellt. Ebenfalls wird bei Vertragsabschlüssen sichergestellt, dass jeder externe Partner oder Lieferant die Einhaltung des Bankkunden- und Geschäftsgeheimnisses garantiert. Dies gilt auch für die wesentlichen technischen und organisatorischen Vorgaben und Massnahmen zur Datensicherheit.
Die Effektivität der Sicherheitsmassnahmen wird mittels geeigneter Verfahren und unter Beizug externer Sicherheitsexperten regelmässig überprüft.
Die Ergebnisse werden systematisch auf die Risikoauswirkung analysiert. Mindestens einmal pro Quartal wird den Geschäftsleitungen sowie den zuständigen Oberleitungsgremien der Konzernbanken (Bankrat des Stammhauses BKB resp. Verwaltungsrat der Bank Cler) dazu Bericht erstattet.
Zusätzlich engagiert sich der Konzern BKB als Gründungsmitglied im Verein «Swiss Financial Sector Cyber Security Centre» (FS-CSC). Dieser hat das Ziel, die Widerstandsfähigkeit des Finanzsektors gegen Cyberrisiken – die sogenannte Cyberresilienz – zu stärken und die institutionelle Zusammenarbeit zwischen Finanzinstituten und Behörden zu strategischen und operativen Sicherheitsfragen zu fördern.
Aktuelle Entwicklungen
(GRI 3-3 e.)
Datenqualität und Kundenansprache
Voraussetzung für erfolgreiche datengestützte Massnahmen ist eine gute Datenqualität. Zur Messung der Datenqualität und ihrer Verbesserung hat der Konzern BKB den Total Quality Index (TQI) als Schlüsselkennzahl definiert. Diese Kennzahl basiert auf dem Kundenfokus und misst die Datenerfassung, die Datenpflege sowie die Datenverwendung. Ziel ist es, bis Ende des Jahres 2025 einen TQI von insgesamt 28 Punkten (von maximal 30 Punkten) zu erreichen. Der TQI wies zum 31. Dezember 2024 einen Wert von 26,91 auf (Steigerung um 1,57 Punkte zum Vorjahr). Die Aktivitäten im 2024 umfassten die Bereinigung der Stammdaten, die Optimierung der Kundenbearbeitung im Kernbankensystem und die Entwicklung einer Data Governance zur Optimierung und künftigen Sicherstellung einer nachhaltigen Datenqualität.
Datenschutz und Datensicherheit
Die Umsetzung der regulatorischen Vorgaben des schweizerischen Datenschutzgesetzes wurde im Berichtsjahr im Rahmen des Beschaffungsprozesses weiter optimiert und die Datenschutz-Folgenabschätzung in das Procurement Assessment integriert. Zudem wurden betriebsinterne Vorgänge in Zusammenhang mit den Betroffenenrechten teilweise digitalisiert und verbessert.
Im 2024 wurde ergänzend zu den bestehenden technischen Prüfverfahren (Penetration Tests) ein permanentes Bug-Bounty-Programm eingeführt und damit die Cyberresilienz der Bank gestärkt. Ebenfalls wurden die bestehenden Sicherheitsmassnahmen laufend ergänzt und verbessert, um beispielsweise Datenabflüsse, Datendiebstahl oder Systemunterbrüche durch Cyberangriffe – trotz der steigenden Bedrohungslage – zu verhindern.