In einer neuen Aufsichtsmitteilung gibt die Finma den Finanzinstituten spezifische Tipps für den Umgang mit Cyber-Risiken. Sie nutzt die Gelegenheit auch für Präzisierungen zur Meldepflicht von Cyber-Attacken.

Seit Jahren betrachtet die Eidgenössische Finanzmarktaufsicht (Finma) Cyber-Risiken in ihrem Risikomonitor als eines der Hauptrisiken für den Schweizer Finanzplatz, und die Zahl der Meldungen, die ihr Finanzinstitute über (teilweise) erfolgreiche Cyber-Attacken übermitteln, schwillt stetig an. Nun hat die Finma eine neue Aufsichtsmitteilung publiziert, in der sie den Finanzinstituten spezifische Hinweise zum Umgang mit Cyber-Risiken gibt.

Die Finma stützt sich dabei nicht nur auf die Meldungen, sondern auch auf die Erfahrungen, die sie als Behörde bezüglich Umgang mit Cyber-Risiken in den Finanzinstituten gesammelt hat. Vor allem die cyberspezifischen Vor-Ort-Kontrollen würden es ihr ermöglichen, den Reifegrad eines Cyberabwehrdispositives zu beurteilen, schreibt sie in der Mitteilung. Nachfolgend in Kurzform die vier wichtigsten Tipps aus der Küche der Aufsicht in Kurzform.

  1. Würden kritische Funktionen beziehungsweise Daten an einen externen Dienstleister ausgelagert, müssten dort dieselben regulatorischen Anforderungen wie beim beaufsichtigten Institut eingehalten werden, wofür dieses verantwortlich sei, mahnt die Behörde. Deshalb empfehle sich das Führen und fortlaufende Aktualisieren eines Inventars der wesentlichen Auslagerungen samt Unterakkordanten.
  2.  In Bezug auf die Governance und Identifikation erinnert die Finma daran, dass Cyber-Risiken im Risikomanagement als eigenständige Kategorie zu erfassen und zu behandeln sind. Das Interne Kontrollsystem (IKS) der Finanzinstitute müsse dabei international anerkannte Standards anwenden. Das IKS müsse auch regelmässig prüfen, ob Aufgaben, Kompetenzen und Verantwortlichkeiten so getrennt sind, dass die Unabhängigkeit sichergestellt und Interessenkonflikten vorgebeugt wird.
  3. Beim Schutzdispositiv wünscht sich die Finma, dass sich alle Institute mit dem Worst-Case-Szenario auseinandersetzen, also dem Fall, dass ein Cyber-Angreifer sämtliche Sicherheitsvorkehrungen überwindet und massenhaft kritische Daten löscht.
  4.  Bei der Vorbereitung auf Cyber-Vorfälle stellten realistische bzw. getestete Reaktionspläne einen wesentlichen Erfolgsfaktor dar, um Stressituationen bei Cyber-Attacken zu meistern. Zudem empfiehlt die Finma, nach gravierenden Attacken Lehren zu ziehen und Verbesserungen umgehend umzusetzen.

Die Behörde nutzt die Mitteilung auch dazu, eine Reihe von Präzisierungen zu einer älteren Aufsichtsmitteilung zur Meldepflicht von Cyber-Attacken vorzunehmen. Es dürfte sich - dies nicht als Hinweis der Finma, sondern von finews.ch - für alle, die bei Finanzinstituten für Cybersicherheit verantwortlich sind, lohnen, auch auf diese Liste einen aufmerksamen Blick zu werfen, genauso wie auf die Ausführungen zu «szenariobezogenen Cyber-Übungen» am Schluss der Finma-Mitteilung.