Erkenntnisse aus der Cyberaufsicht 2021

Die FINMA stufte das Cyberrisiko weiterhin als eines der Hauptrisiken für den Finanzplatz Schweiz ein. Daher verschob sie im Berichtsjahr weitere Ressourcen in diesen Bereich. Zudem erhöhte die FINMA die Anzahl der cyberspezifischen Vor-Ort-Kontrollen gegenüber 2020 signifikant.

Erkenntnisse aus Vor-Ort-Kontrollen und Meldungen zu wesentlichen Cyberattacken

Beaufsichtigte Institute widmen dem Cyberrisiko immer mehr Aufmerksamkeit. Sehr oft bezeichnen sie dieses als eines ihrer Hauptrisiken. Während der Jahre 2019 bis 2021 verdreifachte die FINMA beinahe die Zahl der Vor-Ort-Kontrollen bei den Instituten. Für Jahr 2022 ist eine weitere Steigerung der Kontrollen geplant. Dennoch konnte im Berichtsjahr bei einigen beaufsichtigten Instituten auch festgestellt werden, dass keine regelmässige Berichterstattung über diese Risiken an die Geschäftsleitung oder den Verwaltungsrat erfolgte.

Im Bereich der Identifikation der institutsspezifischen Bedrohungspotenziale durch Cyberattacken fehlte bei einigen Instituten eine klare Definition des Umfangs und Inhalts von unternehmensspezifischen kritischen und/oder sensitiven Daten. Dies führte dazu, dass diese Institute Schwierigkeiten bekundeten, ein zielgerichtetes Schutzdispositiv zu erstellen.

Um einen umfassenderen und realitätsnahen Einblick in die Widerstandsfähigkeit gegen Cyberangriffe bei den Instituten zu erhalten, setzte die Cyberaufsicht im Berichtsjahr zum ersten Mal zwei verschiedene bedrohungsbasierte Szenarioanalysen als Aufsichtsinstrumente ein. Zum einen wurden mittels sogenannter Table-Top-Übungen, mit denen Angriffsszenarien simuliert werden, die Detektions- und Reaktionsprozesse bei einer Cyberattacke erprobt. Zum anderen mandatierte die FINMA Spezialisten, die Szenario-gesteuerte Tests, unter kontrollierten Bedingungen und nach Absprache mit den Instituten, durchführten.

Die meisten Feststellungen bei den Vor-Ort-Kontrollen betrafen den Schutz der Geschäftsprozesse und der Technologieinfrastruktur. Bei einigen Beaufsichtigten besteht Verbesserungspotenzial in den Bereichen Cybertraining und -Awareness. Für ein wirksames Schutzdispositiv ist es unerlässlich, dass Mitarbeitende auf allen Hierarchiestufen regelmässig über Cyberrisiken informiert werden, die gängigsten Angriffsmethoden wie etwa Phishing kennen und wissen, an welche Stellen sie sich im Unternehmen wenden sollen, wenn sie Hinweise für einen Cyberangriff erkennen.

Mehr als die Hälfte der eingegangenen Meldungen zu Cyberattacken mit wesentlicher Bedeutung waren Angriffe auf die Verfügbarkeit mittels Distributed Denial of Service (DDoS). Seit der Einführung der Meldepflicht im September 2020 wurden insgesamt drei Wellen von DDoS beobachtet. Vor allem die erste Welle im September 2020 hatte grosse Folgen und wirkte sich teilweise auf die Verfügbarkeit der Remote-Working-Infrastruktur, auf Online-Services und Dienstleistungen, auf die E-Mail-Infrastruktur und Weiteres aus. Einige Institute hatten ihre Abwehrmassnahmen in diesem Bereich vernachlässigt. Angriffe auf Drittparteien waren die zweithäufigste Meldekategorie. Rund 25 Prozent der betroffenen Beaufsichtigten wurden nicht direkt angegriffen, sondern indirekt über ihre wesentlichen Dienstleister.

Bei der Erkennung und Aufzeichnung von Cyberattacken zeigte sich, dass einige Institute ihre Technologieinfrastruktur nicht zeitnah und systematisch überwachen. Teilweise fehlte eine Auswertung von kritischen Log-Daten oder diese fand nur während der Bürozeiten statt.

Die meisten Institute trafen im Berichtsjahr Vorkehrungen, um eine zeitnahe Wiederherstellung des normalen Geschäftsbetriebs nach ausserordentlichen Ereignissen sicherzustellen. Was dabei allerdings oftmals noch fehlte, waren spezifische Wiederherstellungsmassnahmen nach Cyberattacken.

(Aus dem Jahresbericht 2021)