Auf einen Blick: die Bedrohung durch Cyberangriffe

Schweizer Banken müssen ihre Infrastruktur vor verschiedenen Angriffsarten schützen. Neben Phishing, Malware und Störungen der Computerverfügbarkeit werden die belastenden Szenarien, mit denen Schweizer Finanzinstitute konfrontiert sind, immer ausgefeilter und komplexer.

Im Rahmen der Revision des SFMA-Rundschreibens 08/21 „Operationelle Risiken – Banken“ hat die SFMA beschlossen, ihre Bestimmungen zur technologischen Infrastruktur um kritische Aspekte des Umgangs mit Cyberrisiken zu erweitern. Das Rundschreiben verpflichtet Banken und Wertpapierhändler zu einem integrierten und systematischen Ansatz zur Abwehr von Bedrohungen aus der virtuellen Welt. Der Ansatz muss konkrete Maßnahmen zur Governance, Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung bedrohter Systeme und Dienste im Zusammenhang mit Cyberrisiken und -angriffen umfassen. Die SFMA nahm zudem eine Bewertung der Massnahmen einzelner Banken zur Abwehr von Cyberangriffen vor. Dazu gehörte, dass Banken der Aufsichtskategorien 1 und 2 angewiesen wurden, zusätzliche Cyber-Risikoprüfungen durchzuführen. Die SFMA forderte Banken der Aufsichtskategorie 3 außerdem auf, an einer Selbstbewertung ihrer Umsetzung von Gegenmaßnahmen gegen Cyberangriffe teilzunehmen. Sowohl die Prüfungen als auch die Selbstbewertung konzentrierten sich auf die kritischen Aspekte von Cyber-Risiken gemäß den überarbeiteten Ausführungsbestimmungen.

Zusätzliche Prüfung

Die zusätzlichen Prüfungen zeigten anhaltende Defizite, insbesondere bei der Identifizierung potenzieller Cyber-Bedrohungen und Schutzmaßnahmen. Basierend auf diesen Erkenntnissen ergriffen die betroffenen Banken weitere Schritte, um ihre Widerstandsfähigkeit zu erhöhen.

Selbstbewertung

Ziel der Selbstbewertung war es, den Fortschritt bei der Umsetzung von Maßnahmen zur Bekämpfung von Cyberrisiken zu ermitteln und das Bewusstsein für die kritischen Aspekte bei Banken der Aufsichtskategorie 3 zu schärfen. Die Auswertung der Selbstbewertung durch Banken ergab große Unterschiede: Einige Banken bewerteten fast alle Maßnahmen als vollständig umgesetzt, andere fast keine davon. Hinsichtlich der kritischen Aspekte wurde insbesondere die Erkennung von Cyber-Angriffen als verbesserungswürdig eingestuft. Teilweise fehlten Maßnahmen zur Bewältigung komplexerer Bedrohungsszenarien; in anderen musste der Einsatz der technischen Überwachung ausgeweitet werden. Aber auch bei den anderen kritischen Aspekten besteht Handlungsbedarf.

Fazit

Zusammenfassend ergaben die zusätzlichen Audits und die Auswertung der Selbstbewertungen, dass es Anfang 2016 noch viel zu tun gibt, um eine ausreichende Widerstandsfähigkeit gegenüber Bedrohungen aus der virtuellen Welt sicherzustellen. Mit dem Inkrafttreten der überarbeiteten Ausführungsbestimmungen am 1. Juli 2017 haben Banken der Aufsichtskategorien 1 bis 3 daher gezielt Projekte zur Verbesserung ihrer Widerstandsfähigkeit gegen Cyberangriffe initiiert. Die Anfang 2016 durchgeführte Selbsteinschätzung bei Banken der Aufsichtskategorie 3 ergab Verbesserungsbedarf in allen wesentlichen Aspekten des Umgangs mit Cyberrisiken. Insbesondere im Hinblick auf die rechtzeitige Erkennung von Cyberangriffen hatte die Mehrheit der Teilnehmer wichtige Maßnahmen nicht oder nicht vollständig umgesetzt.

(Aus dem Geschäftsbericht 2016)

Dokumente

Diagramme und visuelle Informationen