Cyberrisiken und Outsourcing (2024)

Zusätzlich zu den regulären Prüfungen durch externe Prüfgesellschaften nahm die FINMA über ein Dutzend cyberspezifische Vor-Ort-Kontrollen vor. Als Grundlage diente vor allem das am 1. Januar 2024 in Kraft gesetzte FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken». Es enthält aktualisierte Anforderungen zum Umgang mit Cyberrisiken, insbesondere mit szenariobezoge nen Cyberübungen. Bereits 2020 veröffentlichte die FINMA eine Aufsichtsmitteilung 05/2020 zum Thema Cyberrisiken. In der neuen Aufsichtsmitteilung 03/2024 hält die FINMA die Erkenntnisse aus der Aufsichtstätigkeit im Umgang mit Cyberrisiken fest und präzisiert den Prozess im Zusammenhang mit Cybervorfällen und den Umgang mit szenariobezogenen Cyberübungen.

Die Anzahl der bei der FINMA eingegangenen Meldungen über erfolgreiche oder teilweise erfolgreiche Cyberattacken nahm gegenüber 2023 um rund 30 Prozent zu. Die FINMA berichtete in ihrem Risikomonitor 2024 ausführlich darüber. Erneut waren externe Dienstleister von beaufsichtigten Instituten vermehrt das Ziel von Angriffen. Diese Attacken betrafen rund 30 Prozent der gemeldeten Cyberattacken. Als Folge der verstärkten Aufsicht von kleineren Marktteilnehmerinnen und -teilnehmern wie den unabhängigen Vermögensverwalterinnen und -verwaltern oder den ungebundenen Versicherungsvermittlerinnen und -vermittlern wurde auch bei diesen Beaufsichtigten eine steigende Anzahl an Cyberattacken registriert.

Fokus auf das Konzentrationsrisiko im Bereich der Auslagerungen

Die FINMA beurteilt die Auslagerung von wesentlichen Funktionen an Dritte als eines der bedeutendsten Risiken für die Beaufsichtigten, wie sie dies auch im Risikomonitor 2024 ausführt. Die Finanzinstitute werden bei der Erbringung von wichtigen Funktionen zunehmend von Dienstleistern abhängig. Die Anzahl an Auslagerungen, die einen Bezug zu einer kritischen Funktion für die Beaufsichtigten aufweisen, nahm auch 2024 zu. Mit den Auslagerungen wuchs auch die Anzahl an Unterakkordanten und damit die Komplexität der Lieferkette. Somit sind die Beaufsichtigten für die Erbringung ihrer Dienstleistungen und die Weiterführung ihrer Geschäftstätigkeit massgeblich von Dritten abhängig.

Die FINMA erhob in der Berichtsperiode laufend die wesentlichen Auslagerungen von Banken, Versicherungen, Finanzmarktinfrastrukturen und weiteren Finanzmarktteilnehmerinnen und -teilnehmern. Sie identifizierte bestehende Konzentrationsrisiken und stellte eine erhöhte Konzentration bei einzelnen Dienstleistern fest, die für zahlreiche Finanzinstitute wesentliche oder gar kritische Funktionen erbringen. Ein Unterbruch bei einem dieser Dienstleister oder ein unbefugter Zugriff auf sensible Daten kann massive Auswirkungen auf den Schweizer Finanzmarkt nach sich ziehen. Die Zunahme an Auslagerungen der IT-Infrastruktur und von kritischen Daten in die sogenannte Public Cloud ist bedeutend. 2024 lagerte bereits jede fünfte Bank oder Versicherung wesentliche Daten oder Funktionen an Public-Cloud-Dienstleister aus.

Die FINMA sensibilisierte sowohl Institute als auch die Dienstleister für die erhöhte Risikosituation und richtete ihren Fokus auf die operationelle Resilienz der Institute und des Schweizer Finanzmarktes insgesamt. Des Weiteren beobachtete die FINMA die internationale Entwicklung im Bereich dieses «Third-Party-Risk-Management» aufmerksam. Der Basler Ausschuss für Bankenaufsicht (BCBS) begann 2024 mit der Definition neuer Prinzipien zur Sicherstellung eines soliden Risikomanagements im Zusammenhang mit Vereinbarungen mit Drittparteien.

Aufsichtsmitteilungen als wirksames Instrument zur Förderung der Stabilität im Cyberbereich

Cyberrisiken und der Umgang damit stellen für die Beaufsichtigten seit mehreren Jahren ein Hauptrisiko dar. Entsprechend verstärkte die FINMA 2024 ihre Aufsicht in diesem Bereich. Dies zeigte sich insbesondere mit vermehrten Vor-Ort-Kontrollen, wie auch mit der Anwendung einer breiten Palette an unterschiedlichen Aufsichtsinstrumenten wie Szenarioanalysen, Table-Top- oder Red-Teaming-Übungen oder der Veröffentlichung von Aufsichtsmitteilungen. Bei Table-Top-Übungen werden anhand von Risikoszenarien Rollen und Reaktionen während eines Notfalls besprochen; mit Red-Teaming-Übungen wird die Unternehmenssicherheit durch simulierte Cyberangriffe verbessert.

Gerade die Aufsichtsmitteilungen erwiesen sich als wirksames Instrument für den Umgang mit einem sehr dynamischen Risiko wie dem Cyberrisiko und einer sich stets verändernden Bedrohungslage. Aktuelle Gegebenheiten aus der Bedrohungslage wie auch kritische Erkenntnisse etwa aus Vor-Ort-Kontrollen, Aufsichtsgesprächen oder dem Cybermeldeprozess können so zeitnah mit den Beaufsichtigten geteilt werden. Ebenso werden Entwicklungen am Finanzmarkt wie die Anwendung von Cloud-Lösungen oder im technologischen Bereich wie der Einsatz von künstlicher Intelligenz (KI) in Bezug auf den Umgang mit Cyberrisiken in den Aufsichtsmitteilungen präzisiert.

Die im Berichtsjahr veröffentlichte Aufsichtsmitteilung 03/2024 beinhaltet Erkenntnisse aus der Aufsichtstätigkeit zum Cyberrisiko sowie Präzisierungen zur FINMA-Aufsichtsmitteilung 05/2020 und zu den szenariobezogenen Cyberübungen. Die FINMA unterstützt damit im Rahmen der bestehenden aufsichtsrechtlichen Anforderungen eine gezielte, laufende Verbesserung der Umsetzung dieser Anforderungen.

Die Veröffentlichung hielt das Bewusstsein für Cyberrisiko bei den Beaufsichtigten auch 2024 konstant hoch. Die FINMA trug auch nach der Veröffentlichung der aufsichtsrechtlichen Anforderungen zur stetigen Erhöhung der Maturität der Beaufsichtigten im Umgang mit Cyberrisiken bei. Dies förderte die Stabilität der einzelnen Institute und des gesamten Finanzmarkts. Entsprechend tief war 2024 die Zahl der Cyberattacken, die bei Beaufsichtigten eine schwerwiegende Kritikalität erreichten.

(Aus dem Jahresbericht 2024)