Die Luzerner Kantonalbank AG schützt ihre Systeme, Daten und Kunden mit einem ganzheitlichen Ansatz für Informations- und Cybersicherheit (Information and Cyber Security Policy). Erprobte Standards, klare Zuständigkeiten und moderne Schutzmechanismen sorgen für einen sicheren Bankbetrieb.
Als regulierte Bank setzt die LUKB auf einen umfassenden Sicherheitsrahmen, der bewährte Standards, Best Practices und FINMA-Vorgaben vereint.
Die Sicherheit wird innerhalb der LUKB als ganzheitlicher Ansatz umgesetzt und soll einen sicheren Betrieb gewährleisten. Dazugehörige Anforderungen und Kontrollen werden nicht isoliert implementiert, sondern sind Teil eines umfassenden Schutzrahmens. Dieser berücksichtigt Best Practice Ansätze sowie anerkannte Frameworks und Standards (vgl. «Vorschriften und Standards»). Die LUKB unterliegt der Aufsicht und Regulierung durch die FINMA. Damit eingehend erfüllt sie Vorgaben der FINMA an die Sicherheit.
Die LUKB steuert ihre Cyber-Risiken über klar definierte Verantwortlichkeiten, internationale Standards und ein dreistufiges Verteidigungsmodell. Strategische Vorgaben und operative Umsetzung sind eng aufeinander abgestimmt und unterliegen strengen internen Kontrollen.
Der Verwaltungsrat ist in seiner Funktion als Oberleitungsorgan für die Festlegung der Cyber-Risiko-Strategie und der Risikopolitik verantwortlich. Der Risiko- und Strategieausschuss des Verwaltungsrates konkretisiert die Vorgaben der Risikopolitik in entsprechenden Subpolitiken und überwacht die Umsetzung der Risikostrategien. Die operative Gesamtverantwortung für die Cyber-Risiken liegt bei der Konzernleitung, welche die Umsetzung an die hierfür zuständigen operativen Einheiten delegiert. Die Umsetzung, Kontrolle und Überwachung erfolgt mittels organisatorischer Umsetzung der drei unabhängigen Verteidigungslinien (Three Lines of Defence) gemäss FINMA-Rundschreiben 17/1 «Corporate Governance - Banken», wobei der Chief Information Security Officer (CISO) der unabhängigen zweiten Verteidigungslinie zugeordnet ist.
Abgestimmt mit den Zielen der Konzern-, ICT- und Cyber-Risiko-Strategie definiert die Risikopolitik das Rahmenkonzept für das institutsweite Risikomanagement als Instrument zur Erreichung der geschäftspolitischen Ziele und zur Sicherstellung des ordnungsgemässen Institutbetriebs. Die Subpolitik operationelle Risiken konkretisiert die in der Risikopolitik festgelegten Grundsätze für das Management der operationellen Risiken der LUKB, insbesondere auch im Hinblick auf die darin integrierten Cyber-Risiken. Die daraus abgeleiteten Sicherheitsprinzipien werden auf Stufe Weisung definiert, welche sich an den internationalen Standards NIST Cyber Security Framework und ISO/IEC 27002:2022 orientiert. Die Konkretisierung der Sicherheitsprinzipien erfolgt im LUKB-Sicherheitshandbuch mit entsprechenden Sicherheitsanforderungen.
Der Verwaltungsrat, der Risiko- und Strategieausschuss des Verwaltungsrates und die Konzernleitung werden regelmässig über die identifizierten Cyber-Risiken informiert (periodische Berichterstattung mittels Risikobericht der unabhängigen zweiten Verteidigungslinie) und je nach eingeschätztem Risiko bei Entscheiden abgeholt.
Die internen Vorgaben der Risikopolitik, der Subpolitik operationelle Risiken, der Weisung Sicherheitsprinzipien und des LUKB-Sicherheitshandbuchs sind aus Sicherheitsgründen vertraulich und können extern nicht zugänglich gemacht werden. Ebenso unterliegen Prüfberichte der internen Revision, der externen Prüfgesellschaft sowie der FINMA dem Geschäftsgeheimnis und können daher nicht an Externe zur Verfügung gestellt werden.
Der folgende Auszug soll die für die LUKB relevanten, umgesetzten Sicherheitsmassnahmen aufzeigen. Die LUKB orientiert sich am NIST Cyber Security Framework (National Institute of Standards and Technology).
Die LUKB führt regelmässige Risikoanalysen und Risk-Assessments durch. Unser ICT-Provider überwacht 7/24h ausgewählte Systeme auf Schwachstellen. Die LUKB ist als kritische Infrastruktur mit der Informations- und Meldeplattform des Bundesamtes für Cyber-Sicherheit (BACS) verbunden.
Unser ICT-Provider hat einen marktüblichen ICT-Grundschutz implementiert. Die LUKB-Mitarbeitenden absolvieren regelmässige Awareness-Trainings zum Thema Sicherheit. Die LUKB überwacht in Abstimmung mit internen und externen Sicherheitsexperten die Einhaltung der Richtlinien zum Schutz der kritischen Daten durch technische und organisatorische Sicherheitsmassnahmen. Zudem führt die LUKB zusammen mit externen Experten regelmässige Penetrationstests durch, um ihre ICT-Systeme abzusichern bzw. auf Schwachstellen zu prüfen.
Das Security Operation Center (SOC) von unserem ICT-Provider überwacht seine eigenen und unsere Systeme 7/24h auf Cyber-Angriffe. Kunden und Mitarbeitende haben die Möglichkeit Security-Incidents (bspw. Schwachstellen) über die bestehenden Eskalationsprozesse zu melden.
Das Security Operation Center (SOC) unseres ICT-Providers reagiert zusammen mit den LUKB ICT- und Security-Stellen auf allfällige Cyber-Angriffe. Dabei werden sie bei Bedarf vom Computer Security Incident and Response Team (CSIRT) des ICT-Providers unterstützt. Die LUKB betreibt eine interne Krisenorganisation und hat sich auf schwerwiegende, plausible Szenarien mittels Business Continuity Pläne und regelmässigen Übungen vorbereitet.
Unser ICT-Provider stellt im Notfall unsere kritischen Systeme mittels Disaster Recovery Pläne (DRP) im Rahmen der vereinbarten Service Level Agreements (SLAs) wieder her.
Die nachfolgende Auflistung ist eine nicht abschliessende Übersicht von relevanten Vorschriften und Standards, welche in der Governance und im Risikomanagement berücksichtigt werden.
Weiterführende Informationen finden Sie im Nachhaltigkeitsbericht 2024 unter dem Kapitel «Datenschutz und Privatsphäre».
