Auf einen Blick: Bedrohung durch Cyber-Attacken

Angriffe auf die Informatik-Infrastruktur der Schweizer Banken stellen in verschiedener Hinsicht eine Bedrohung dar. Neben Phishing-Attacken, dem Einsatz von Schadsoftware oder Beeinträchtigungen der Erreichbarkeit von Computern sind die Schweizer Finanzinstitute mit immer raffinierteren und komplexeren Bedrohungsszenarien konfrontiert.

Im Rahmen der Revision des FINMA-Rundschreiben 2008/21 «Operationelle Risiken Banken» hat die FINMA beschlossen, die Ausführungsbestimmungen über die Technologieinfrastruktur um kritische Aspekte im Umgang mit Cyber-Risiken zu ergänzen. Das Rundschreiben fordert von den Banken und Effektenhändlern den Einsatz eines gesamtheitlichen und systematischen Konzepts zur Abwehr von Bedrohungen aus der virtuellen Welt. Um durch Cyber-Risiken oder -Attacken bedrohte Systeme oder Dienstleistungen zu schützen, sind in diesem Cyber-Abwehrkonzept konkrete Massnahmen in den Bereichen Governance, Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung definiert.

Die FINMA nahm zudem eine Beurteilung der Massnahmen im Umgang mit Cyber-Attacken bei spezifischen Banken vor. Diese Beurteilung umfasste unter anderem eine Anordnung von Zusatzprüfungen zum Thema Cyber-Risiko bei Banken der Aufsichtskategorien 1 und 2. Weiter lud die FINMA Banken der Aufsichtskategorie 3 ein, an einer Selbstbeurteilung über den Umsetzungsstand von Massnahmen gegen Cyber-Attacken teilzunehmen. Sowohl die Zusatzprüfungen als auch die Selbstbeurteilung orientierten sich an den kritischen Aspekten zu den Cyber-Risiken gemäss Revision der Ausführungsbestimmungen.

Zusatzprüfung

Die Zusatzprüfungen zeigten, dass insbesondere bei der Identifikation von Bedrohungspotenzialen durch Cyber-Attacken sowie beim Schutzdispositiv noch Defizite bestehen. Die betroffenen Banken haben aufgrund dieser Feststellungen weitere Schritte zur Erhöhung der Resilienz gegenüber Cyber-Attacken vorgenommen.

Selbstbeurteilung

Die Selbstbeurteilung wurde mit dem Ziel durchgeführt, einerseits den Umsetzungsstand der Massnahmen im Umgang mit Cyber-Risiken zu eruieren, und andererseits die Banken der Aufsichtskategorie 3 für die kritischen Aspekte zu sensibilisieren.

Die Auswertung der Selbstbeurteilung durch die Banken zeichnet ein heterogenes Bild. Während einige Banken fast alle Massnahmen als vollständig umgesetzt beurteilten, gaben andere Institute an, dass praktisch keine davon vollständig implementiert wurde.

Auf Stufe der kritischen Aspekte im Umgang mit Cyber-Risiken konnte insbesondere Nachholbedarf im Bereich der Erkennung von Cyber-Attacken festgestellt werden. Dabei handelt es sich einerseits um fehlende Massnahmen, die den Umgang mit komplexeren Bedrohungsszenarien regeln, andererseits um eine notwendige Erweiterung der Anwendung technischer Überwachungsansätze. Jedoch ist auch bei den weiteren kritischen Aspekten noch Handlungsbedarf erkennbar.

Fazit

Die Zusatzprüfungen sowie die Auswertung der Selbstbeurteilung haben zusammenfassend aufgezeigt, dass Anfang 2016 noch einige Bestrebungen erforderlich waren, um eine angemessene Abwehr von Bedrohungen aus dem Cyberspace sicherzustellen. Die Banken der Aufsichtskategorien 1 bis 3 haben daher auch im Hinblick auf die Inkraftsetzung der revidierten Ausführungsbestimmungen per 1. Juli 2017 spezifische Projekte in Angriff genommen, um die Resilienz gegenüber Cyber-Attacken zu erhöhen.

Die Anfang 2016 bei den Banken der Aufsichtskategorie 3 durchgeführte Selbstbeurteilung zeigte bei allen wesentlichen Aspekten im Umgang mit Cyber-Risiken Handlungsbedarf auf. Insbesondere bei der zeitnahen Erkennung von Cyber-Attacken hatte die Mehrheit der teilnehmenden Banken wesentliche Massnahmen noch nicht vollständig oder gar nicht implementiert.

 

Cyberstatistik


(Aus dem Jahresbericht 2016)