Kein anderer Sektor ist ein so beliebtes Ziel für Cyberkriminelle wie das Banking. Laut der Finanzmarktaufsicht weist die Abwehr der hiesigen Branche teils noch grosse Lücken auf.

Anfang 2015 erpressten Hacker die Genfer Kantonalbank. Letzten Sommer wurde dann der Angriff bosnischer Cyberkrimineller auf eine «grosse Bank» am Platz Zürich bekannt, wie auch finews.ch berichtete. Das zeigt: Das Swiss Banking ist Zielscheibe von Attacken aus dem Internet, Experten sprechen mittlerweile von täglichen Vorfällen.

Das bereitet auch der Eidgenössischen Finanzmarktaufsicht (Finma) Sorgen, wie aus dem am Dienstag publizierten Jahresbericht hervorgeht. Neben den geltenden Vorschriften haben die Finanzplatz-Aufseher nun auch Zusatzprüfungen zum Thema Cyberrisiko bei den grössten Instituten – dazu zählen auch die UBS und die Credit Suisse – durchgeführt.

Weiter hat die Finma die rund 30 Banken der Aufsichtskategorie 3 «eingeladen», an einer Selbstbeurteilung in Sachen Cyberattacken teilzunehmen.

Einige sind ganz nackt

Die Zusatzprüfungen zeigten dabei, dass insbesondere bei der Identifikation von Bedrohungspotenzialen durch Cyberattacken sowie beim Schutzdispositiv noch «Defizite» bestehen, wie die Aufsicht berichtete. Entsprechend mussten die betroffenen Banken nachbessern.

Kein besonders beruhigendes Bild ergab auch die Umfrage bei den Kategorie-3-Banken, die mit ihrem Gewicht ein «bedeutendes Risiko» für das Schweizer Finanzsystem darstellen. Während einige Banken fast alle Massnahmen als vollständig umgesetzt beurteilten, gaben andere Institute an, dass praktisch keine davon vollständig implementiert wurde, so das Fazit der Finma (siehe Grafik unten).

HackerGrafik 500.jpg

Auf Stufe der kritischen Aspekte im Umgang mit Cyberrisiken konnte insbesondere Nachholbedarf im Bereich der Erkennung von Cyberattacken festgestellt werden, so die Finma weiter. Demnach wissen viele bedeutende Schweizer Institute nicht, wie ihnen bei Hackerangriffen geschieht.

Gehackt auf Einladung

Das ist umso bedrohlicher, als Cyberkriminelle gezielt einen Sektor nach Schwachstellen abtasten, um sich Zutritt ins Innere zu verschaffen. Weltweit wird keine Branche so häufig Ziel von Attacken aus dem Internet wie die Finanzdienstleister.

Bis am 1. Juli 2017 neue Bestimmungen inkraft treten, haben die grossen Institute in der Schweiz nun Zeit, ihre Abwehr zu verbessern. Wie finews.ch erfahren hat, setzen einzelne Institute dabei selber auf Hacker. Insbesondere Spezialisten aus Israel werden eingeladen, Angriffe auf die Banken-IT zu simulieren.