Cyber-Risiken stellen erhebliches Gefahrenpotenzial im Finanzsektor dar
Die Bedrohung durch Cyber-Angriffe ist im Zuge der Digitalisierung und infolge erhöhter krimineller Internetaktivitäten weiterhin steigend. Zur Stärkung der Cyber-Resilienz des Finanzsektors werden verschiedentlich institutsspezifische sowie institutsübergreifende Massnahmen implementiert und umgesetzt, 2022 wurde in diesem Zusammenhang etwa das Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC) gegründet.
Auch die FINMA stellt fest, dass vermehrt Cyber-Attacken durch die Beaufsichtigten gemeldet werden und führt Cyber-Risiken in ihrem jährlichen Risikomonitor seit Längerem unter den Top-Risiken auf. Wie die FINMA mitteilt, geben die entsprechenden Meldungen zu Cyber-Angriffen Einblick in die Bedrohungslage sowie die Angriffsmethoden und -ziele. Im Rahmen der Aufsichtstätigkeit erlangt die FINMA zudem vertiefte Kenntnis hinsichtlich dessen, wie seitens der Finanzinstitute mit diesen Cyber-Risiken umgegangen wird. In der Aufsichtsmitteilung 03/2024 informiert sie dazu spezifisch (zur FINMA-Aufsichtsmitteilung 03/2024).
Im Rahmen der Aufsicht konnten Sicherheitslücken festgestellt werden
Die FINMA geht in der Aufsichtsmitteilung auf wesentliche Feststellungen ein und zeigt den identifizierten Handlungsbedarf in vier Teilbereichen auf.
Auslagerungen
Cyber-Angriffe auf die Lieferketten der Institute machen mittlerweile mehr als 50% der Meldungen aus. Entsprechende Risiken im Kontext von Auslagerungen stehen daher im Fokus der Aufsicht. Folgende Punkte wurden gemäss Ausführungen der FINMA als Schwachstellen identifiziert:
- Unklare Anforderungen von Instituten an Dienstleister in Bezug auf Cyber-Sicherheit
- Fehlende Überprüfung der Erfüllung dieser Anforderungen
- Nach Identifikation von Mängeln, nur vereinzelt proaktive Institute, die Schwachstellen schlossen
- Erhebliche Schwachstellen wurden von vielen Instituten meist zügig bearbeitet, von Dienstleistern oftmals nicht
- Mangelhafte Definition und Handhabung von kritischen Daten
Bei einer Auslagerung bleibt das Institut verantwortlich für die Einhaltung der Anforderungen. Deshalb wird seitens FINMA empfohlen, ein aktuelles Inventar aller wesentlichen Auslagerungen inklusive Unterakkordanten zu pflegen.
Governance und Identifikation
Vielfach wurde bemängelt, dass Cyber-Risiken als IT-Problem betrachtet werden. Die Thematik sollte aber in ihrer bereichsübergreifenden Bedeutsamkeit angemessen eingestuft und folglich auch entsprechende Beachtung durch die obersten Leitungsorgane erhalten. Auf dem Gebiet von Governance und Identifikation wurden insbesondere folgende Kritikpunkte von der FINMA hervorgehoben:
- Operativer Umgang mit Cyber-Risiken häufig nicht unabhängig von Kontrollinstanz
- Identifizierung der Bedrohungspotenziale lückenhaft
- Cyber-Risiken nicht Teil des Managements operationeller Risiken
- Risikoappetit und -toleranz ungenügend definiert
Cyber-Risiken sollten im Rahmen des Managements qualitativer operativer Risiken spezifisch gehandhabt werden. Es wird zudem empfohlen, entsprechende Schlüsselkontrollen in das interne Kontrollsystem (IKS) aufzunehmen und diese hinsichtlich ihrer Effektivität durch eine unabhängige Instanz prüfen zu lassen. Ausserdem sollte eine Trennung der Aufgaben, Kompetenzen und Verantwortlichkeiten (AKV) vorliegen, um Unabhängigkeit zu gewährleisten und Interessenskonflikten vorzubeugen.
Schutzdispositiv
Aufgrund verbesserter Schutzmassnahmen, etwa im Zusammenhang mit Distributed-Denial-of-Service-Angriffen, wird die Entwicklung im Bereich des Schutzdispositivs von der FINMA grundsätzlich positiv beurteilt. Dennoch konnten verschiedentlich Verbesserungspotenziale aufgedeckt werden:
- «Data Loss Prevention» (DLP) umfasste relevante kritische Daten nur unzureichend; schützenswerte Personendaten, Geschäftsgeheimnisse und geistiges Eigentum häufig nicht innerhalb des Wirkbereichs der Massnahmen
- Richtlinien und Prozesse zur Datensicherung (Back-up) sowie Wiederherstellungspläne nahezu durchgängig vorhanden, teilweise aber Test dieser Prozesse im Falle eines Cyber-Angriffs fehlend
- Schulung und Sensibilisierung von Mitarbeitenden auf allen Hierarchiestufen im Zusammenhang mit Cyber-Risiko-Thematik bei den meisten Instituten weiter ausbaufähig
Cyber-Risiko-Training und -Bewusstsein zählt zu den zentralen Aspekten des Schutzdispositivs. Im Weiteren sollten Szenarios durchgespielt werden, bei denen die bestehenden Schutzvorkehrungen überwunden werden und die Back-up- und Wiederherstellungsstrategien entsprechend getestet werden können.
Detektion, Reaktion und Wiederherstellung
Ob ein Institut in der Lage ist, Cyber-Attacken aufzuzeichnen, zu erkennen und darauf zu reagieren, stellt gemäss FINMA einen Kernaspekt der Aufsichtstätigkeit dar. Hier wurden folgende Muster identifiziert:
- Zum Teil fehlende oder mangelhafte Reaktionspläne und keine Überprüfung hinsichtlich Wirksamkeit
- Vielfach keine umfassende und systematische Überwachung der Informations- und Kommunikationstechnologie des Instituts
- Häufig keine spezifischen Massnahmen zur Wiederherstellung des Geschäftsbetriebs nach Cyber-Attacken
Wie die FINMA ausführt, ist in Bezug auf Cyber-Angriffe eine an den Risiken ausgerichtete und auf Szenarien basierende Vorbereitung essenziell. Passende und geprüfte Reaktionspläne sind hierbei ein wichtiges Instrument, zudem sollten erfolgreiche Attacken analysiert und identifizierte Sicherheitslücken geschlossen werden.
Fazit
Wie die FINMA in ihrer Aufsichtsmitteilung 03/2024 erläutert, ist der adäquate Umgang mit Cyber-Risiken seitens hiesiger Finanzinstitute umfassend sicherzustellen. Hinsichtlich der szenariobezogenen Übungen zu Cyber-Angriffen sieht die FINMA für systemrelevante Institute Red-Teaming-Übungen (effektive Angriffe durch Sicherheitsexperten) vor, während nicht-systemrelevante Institute jährliche Table-Top-Übungen (papierbasierte Simulationen) durchführen sollten. Für Beaufsichtigte der Kategorien 4 und 5 bietet das Swiss FS-CSC entsprechende Übungen an. Aufgrund des vorhandenen Gefahrenpotenzials sind angemessene und institutsspezifische Vorkehrungen in Bezug auf Cyber-Vorfälle und -Krisen unabdingbar.
Die Praxis zeigt, dass eine umfassende Sicherstellung im Umgang mit Cyber-Risiken nur erreicht werden kann, wenn alle involvierten Parteien - namentlich IT-Dienstleister - die Vorgaben des Institutes richtig umsetzen. Des Weiteren sollten die Krisensimulationen im Zusammenhang mit Cyber-Attacken umfassend sein, da sich die Implikationen auf den gesamten Geschäftsbetrieb eines Institutes auswirken.