Tobias Schumacher, Senior Risk Management Specialist Cyber bei der FINMA erklärt im Interview, vor welchen Cyber-Risiken sich Finanzinstitute besonders in Acht nehmen müssen. Seine Botschaft ist klar: Handlungsbedarf bleibt auch im Jahr 2026 bestehen.
Herr Schumacher, der FINMA-Risikomonitor 2025 enthält erneut deutliche Warnsignale. Wie beurteilt die FINMA die aktuelle Cyber-Bedrohungslage?
Die Schweizer Finanzbranche sieht sich mit zunehmenden Herausforderungen im Bereich der Cyber-Sicherheit konfrontiert. Die technologische Vernetzung und externe Abhängigkeiten von Drittanbietern erhöhen die Risiken. Entscheidend ist ein integrierter Ansatz für Schutz, Erkennung, Reaktions- und Widerstandsfähigkeit.
Wo sehen Sie konkret die grössten Gefahren?
Die aktuelle Risikolandschaft ist von erhöhter Komplexität geprägt. Neben finanziellen Risiken nehmen nicht-finanzielle Risiken an Bedeutung zu, etwa Cyberangriffe. Der Risikomonitor zeigt, dass die Schweizer Finanzbranche auch 2025 ein bevorzugtes Ziel von Cyberkriminellen war. Banken, Versicherungen und weitere Finanzinstitute sind aufgrund ihrer hohen technologischen Vernetzung, ihrer kritischen Dienstleistungen sowie ihrer Abhängigkeiten von externen Dienstleistern einem besonders hohen Risiko ausgesetzt. Angreifer werden immer professioneller und ihre Methoden entwickeln sich weiter, insbesondere durch schnellere Automatisierung und die Nutzung von generativer AI. Gleichzeitig ist das Management von Cyber-Risiken bei vielen Instituten noch immer unzureichend koordiniert. Die Organisation und Kontrolle der Cyber-Sicherheitsmassnahmen erfolgt häufig isoliert innerhalb der IT, ohne ausreichende Verankerung in der Governance, im Internen Kontrollsystem oder im operationellen Risikomanagement.
Was meinen Sie mit Cyber-Risiken sind unzureichend koordiniert?
Ein modernes Sicherheitskonzept besteht nicht aus einzelnen technischen Massnahmen, sondern aus abgestimmten, risikobasierten Sicherheitsmechanismen. Gerade bei Cloud-Plattformen und anderen externen Infrastrukturen gibt es noch erhebliche blinde Flecken. Anforderungen werden nicht durchgängig definiert, die Wirksamkeit von Sicherheitsmassnahmen nicht restlos nachgewiesen, und es fehlt oft eine lückenlose Einbindung in das Erkennungssystem. Auch Prüfberichte von Dienstleistern werden oft nicht konsequent auf Cyber-Relevanz analysiert. Dadurch entstehen Lücken an zentralen Schnittstellen, die von Angreifern bewusst ausgenutzt werden.
Wo sehen Sie weiteren Optimierungsbedarf?
In den Bereichen Erkennung und Reaktion. Die Fähigkeit, sicherheitskritische Ereignisse schnell zu identifizieren, zu priorisieren und einzudämmen, ist essenziell. Zwar verfügen viele Institute über Werkzeuge für die Überwachung, doch fehlen oftmals institutsspezifische Anwendungsfälle, klare operative Zuständigkeiten in kritischen Situationen sowie regelmässige Tests der Reaktionsprozesse. Ohne konsistente Integration von Governance, Detektion und Reaktion bleibt die Wirksamkeit einzelner Lösungen begrenzt.
Ein weiterer zentraler Punkt ist die Wiederherstellungsfähigkeit nach Cybervorfällen. Wo bestehen hier die grössten Herausforderungen?
Obwohl Cyber-Szenarien seit Jahren Bestandteil des Business Continuity Managements sein sollten, wird deren Umsetzung sowie gemeinsame Übungen mit Dienstleistern oft vernachlässigt. Backups sind nur dann wertvoll, wenn sie unter realen Bedingungen funktionieren. Erkenntnisse aus Tests und tatsächlichen Vorfällen müssen in die Prozesse zur Stärkung der Widerstandsfähigkeit einfliessen. Erst die Verbindung von Schutz, Detektion, Reaktion und Wiederanlauf ergibt eine robuste operationelle Widerstandsfähigkeit.
Wie wichtig ist eine integrierte Sichtweise für die Widerstandsfähigkeit der Institute?
Um Cyber-Risiken wirksam kontrollieren zu können, muss eine integrierte Sichtweise erreicht werden, die Cyber-Aspekte klar in die Linienverantwortung und das Gesamtrisikomanagement überführt. Die Risikoidentifikation, -bewertung und -dokumentation muss einheitlich erfolgen und relevante Sicherheitskontrollen sind formell im Internen Kontrollsystem zu führen und auf ihre Wirksamkeit zu testen. Besonders entscheidend ist der Umgang mit ausgelagerten Funktionen. Verantwortlichkeiten, Eskalationspfade und die Kontrolle des Sicherheitsniveaus bei Dienstleistern müssen institutionalisiert erfolgen, da Probleme bei wenigen kritischen Dienstleistern immer häufiger mehrere Institute gleichzeitig betreffen können. Die FINMA beobachtete auch 2025 eine starke Zunahme von Meldungen von Cyberattacken über Lieferketten und Drittparteien sowie vermehrt Datendiebstähle durch interne Täter. Dies zeigt die Relevanz eines wirksamen Rahmenwerks für Insider-Bedrohungen und Anomalie-Erkennung.
Was bedeutet das alles für die Stabilität des Finanzplatzes?
Cyber-Resilienz ist zu einem Schlüsselfaktor für die Stabilität des Schweizer Finanzplatzes geworden. Die Frage lautet nicht mehr, ob oder wann ein Institut zum Ziel eines Cyberangriffs wird. Entscheidend ist, wie widerstandsfähig es in der Bewältigung des Angriffs ist. Die Qualitätsunterschiede liegen nicht in der Technologie, sondern im Zusammenspiel von Governance, Risikokultur, technischem Schutz, Reaktionsfähigkeit und Wiederherstellungskompetenz. Die Institute verfügen über die notwendigen Grundlagen. Entscheidend ist, wie gut sie diese im Ernstfall einsetzen können.
Welche Rolle wird die FINMA künftig spielen?
Die FINMA definiert die Cyberthematik weiter als eines der Toprisiken. Sie legt den Fokus auf eine datenbasierte Aufsicht und verstärkt die Beurteilung des Cybersicherheitsdispositivs der Beaufsichtigten mit geeigneten Instrumenten, beispielsweise mit szenariobasierten Cyberübungen. So setzt sich die FINMA für den Schutz von Finanzmarktkundinnen und -kunden sowie für die Funktionsfähigkeit der Finanzmärkte ein.
