EN / DE / FR / IT
SFMA

Cyberrisiken (2023/2)

Die Cyberrisiken, denen der Finanzmarkt ausgesetzt ist, bleiben hoch. Das Management von Cyber-Risiken bildete daher im Jahr 2023 einen Schwerpunkt der Aufsichtstätigkeit der SFMA.

Wie bereits in den Vorjahren führte die SFMA zusätzlich zu den regelmäßigen Prüfungen durch Wirtschaftsprüfungsgesellschaften bei mehr als einem Dutzend Instituten direkt cyberspezifische Vor-Ort-Aufsichtsprüfungen durch. Darüber hinaus fanden zahlreiche Aufsichtsaustausche mit systemrelevanten Institutionen zum Thema Cyber-Risiken statt.

Die Zahl der Cyber-Angriffe bleibt hoch

Die Zahl der an die SFMA übermittelten Meldungen über erfolgreiche Cyber-Angriffe auf beaufsichtigte Unternehmen blieb stabil auf dem Niveau von 2022. Die SFMA hat ausführlich über diese Angriffe im Risk Monitor 2023 berichtet. Auch Angriffe auf externe Dienstleister beaufsichtigter Unternehmen nahmen weiter zu. Im Jahr 2022 machten solche Angriffe etwa 50 % der gemeldeten Cyberangriffe aus. Dieser Trend setzte sich im Jahr 2023 in etwas abgeschwächter Form fort (siehe hierzu die Ausführungen im Geschäftsbericht 2022 und im Risikomonitor 2022).

Die Erfahrungen aus den vergangenen Jahren haben gezeigt, dass Angreifer zunehmend kleinere Institute ins Visier genommen haben und diese Institute überdurchschnittlich häufig von erfolgreichen Cyberangriffen betroffen waren. Um diese Risiken besser einschätzen zu können, wurde eine umfassende Analyse durchgeführt, um den Stand der Vorbereitung bei kleinen und mittleren Versicherungsunternehmen sowie ausgewählten Portfoliomanagern zu beurteilen.

Erkenntnisse aus der Cyberaufsicht: Mängel im Bereich Governance und Identifizierung potenzieller Bedrohungen

Ein großer Teil der von der SFMA im Rahmen ihrer cyberspezifischen Vor-Ort-Aufsichtsprüfungen identifizierten Mängel lag im Bereich Governance. Insbesondere bei mittelgroßen Institutionen stellte die SFMA häufig eine unklare Grenze zwischen der ersten und zweiten Verteidigungslinie fest. Es ist wichtig, dass das operative Management von Cyber-Risiken kontinuierlich von einer unabhängigen Risikokontrollorganisation überprüft wird, damit die dritte Verteidigungslinie ihre Prüfungen auf die bedeutendsten Cyber-Risiken für das Institut konzentrieren kann.

Mängel bei der Identifizierung potenzieller institutsspezifischer Bedrohungen waren das zweithäufigste Problem, das die SFMA im Rahmen ihrer Aufsichtsüberprüfungen vor Ort identifizierte. Bei einigen Institutionen fehlt noch eine klare Definition, was ihre kritischen Daten umfassen. Darüber hinaus wissen sie oft nicht, welche ihrer Mitarbeiter Zugriff auf kritische Daten haben, da ihnen ein zentrales Autorisierungstool fehlt. Dadurch wird es für die Sicherheitsorganisation der Institution schwieriger, Schutzmaßnahmen zu etablieren, die sich auf die wichtigsten Daten konzentrieren.

SFMA stellte außerdem Mängel bei den Schutzmaßnahmen zur Verhinderung von Datenverlusten, das Fehlen eines Cyber-Szenarios in Business-Continuity-Management-Systemen und unzureichend implementierte oder ungetestete Backup- oder Wiederherstellungspläne fest.

Höhere Cyber-Risiken im Zusammenhang mit Outsourcing

Im Jahr 2023 äußerte die SFMA deutlich ihre Erwartung bezüglich Outsourcing: überwacht Unternehmen dürfen Dienstleistungen auslagern, nicht jedoch die damit verbundene Verantwortung.

Im Jahr 2023 stieg der Anteil der Cyberangriffe auf Institutionen, die an Dritte ausgelagerte Informations- und Kommunikationstechnologien betrafen, weiter an. Die Ergebnisse der aufsichtsrechtlichen Prüfungen vor Ort deuten darauf hin, dass dieser Trend darauf zurückzuführen ist, dass den beauftragten Dienstleistern keine klaren Cybersicherheitsanforderungen zur Verfügung gestellt wurden oder die Einhaltung dieser Anforderungen nicht überwacht bzw. regelmäßig überprüft wurde. Die großen Dienstleister standen daher im Mittelpunkt der Cyber-Risikoüberwachungsarbeit. Ziel der SFMA war herauszufinden, warum Angriffe auf Dienstleister überdurchschnittliche Erfolgsraten erzielen.

  • Die SFMA beobachtete immer wieder, dass es direkt beaufsichtigten Unternehmen gelingt, ihre gravierendsten Schwachstellen schnell unter Kontrolle zu bringen und so direkten Schaden abzuwenden. Ihre Dienstleister agierten jedoch oft nicht mit der gleichen Effektivität und waren auf erfolgreiche Cyber-Angriffe nur unzureichend vorbereitet.
  • In Fällen schwerwiegender Sicherheitslücken kommunizierten nur sehr wenige Institutionen mit ihren Dienstleistern, um sicherzustellen, dass sie diese Lücken schnell und vor Schadenseintritt schließen konnten.
  • In vielen Fällen fehlte den Institutionen eine vollständige Bestandsaufnahme ihrer Dienstleister. Es fehlten auch zusätzliche Informationen, die darauf hindeuteten, dass kritische Daten bei einem Dienstleister gespeichert werden oder dass ein Dienstleister für die Bereitstellung einer kritischen Funktion verantwortlich ist. Folglich hatten die Institute der SFMA zwar Meldungen über Cyberangriffe auf ihre Dienstleister übermittelt, die zum Verlust kritischer Daten führten, es jedoch versäumt, den Dienstleister im Inventar als „schwerwiegend“ oder „kritisch“ zu erfassen. Dies führte dazu, dass Dienstleister häufig nur unvollständig oder gar nicht regelmäßig kontrolliert wurden.
  • Diese Beobachtung geht einher mit der oben beschriebenen Feststellung im Bereich der Identifizierung, bei der den zuständigen Institutionen eine klare Definition fehlte, was für sie kritische Daten sind. Dies erschwert nicht nur die Umsetzung interner Maßnahmen zum Schutz der relevanten Daten, sondern erschwert auch die entsprechende Einstufung des Dienstleisters und die Festlegung notwendiger Überwachungsmaßnahmen zur Reduzierung der identifizierten Risiken.

(Aus dem Geschäftsbericht 2023)

Dokumente

Jahresbericht 2023