EN / DE / FR / IT
SFMA

Cyberrisiken und Outsourcing (2024)

Die Cyberrisiken für den Finanzmarkt blieben auch im Jahr 2024 hoch. Daher stand das Cyberrisikomanagement der beaufsichtigten Institute erneut im Mittelpunkt der Aufsichtstätigkeit der SFMA.

Zusätzlich zu den regelmäßigen Prüfungen durch externe Wirtschaftsprüfungsgesellschaften führte die SFMA mehr als ein Dutzend cyberspezifische Aufsichtsprüfungen vor Ort durch. Diese Überprüfungen basierten im Wesentlichen auf dem SFMA-Rundschreiben 2023/1 „Operationelle Risiken und Resilienz – Banken“, das am 1. Januar 2024 in Kraft trat. Es enthält aktualisierte Anforderungen an das Management von Cyberrisiken, insbesondere in Bezug auf die Abwicklung szenariobasierter Cyberrisikoübungen. Die SFMA hatte bereits im Jahr 2020 ihre Guidance 05/2020 zum Thema Cyber-Risiken veröffentlicht. In der neuen Guidance 03/2024 hat die SFMA die Erkenntnisse aus der Aufsichtsarbeit zum Cyber-Risikomanagement zur Kenntnis genommen und den Prozess im Zusammenhang mit Cyber-Vorfällen sowie den Umgang mit szenariobasierten Cyber-Risk-Übungen konkretisiert.

Die Anzahl der bei der SFMA eingegangenen Meldungen über erfolgreiche oder teilweise erfolgreiche Cyber-Angriffe ist im Vergleich zu um rund 30 % gestiegen 2023. Die SFMA berichtete in ihrem Risikomonitor 2024 ausführlich über diese Angriffe. Auch Angriffe auf externe Dienstleister beaufsichtigter Unternehmen nahmen weiter zu. Diese Angriffe machten etwa 30 % der gemeldeten Cyberangriffe aus. Als Folge der verschärften Aufsicht kleinerer Marktteilnehmer, wie beispielsweise unabhängiger Portfoliomanager oder ungebundener Versicherungsvermittler, wurden auch vermehrt Cyberangriffe auf diese beaufsichtigten Unternehmen und Einzelpersonen registriert.

Konzentrationsrisiko im Fokus im Bereich Outsourcing

Wie auch in ihrem Risikomonitor 2024 erläutert, betrachtet die SFMA die Auslagerung wesentlicher Funktionen an Dritte als eines der wichtigsten Risiken für beaufsichtigte Unternehmen. Finanzinstitute sind bei der Erbringung wichtiger Funktionen zunehmend auf Dienstleister angewiesen. Im Jahr 2024 kam es zu einem weiteren Anstieg der Zahl ausgelagerter Dienstleistungen rund um kritische Funktionen der beaufsichtigten Unternehmen. Mit der Zunahme der ausgelagerten Leistungen stieg auch die Zahl der Sub-Outsourcer, wodurch die Komplexität der Lieferketten zunahm. Die beaufsichtigten Unternehmen sind daher zur Erbringung ihrer Dienstleistungen und zur Sicherstellung der Kontinuität ihrer Geschäftstätigkeit in hohem Maße auf Dritte angewiesen.

Im Berichtszeitraum sammelte die SFMA kontinuierlich Daten zu bedeutenden Outsourcing-Aktivitäten von Banken, Versicherungen, Finanzmarktinfrastrukturen und anderen Finanzmarktteilnehmern. Es identifizierte bestehende Konzentrationsrisiken und stellte eine zunehmende Konzentration bei einzelnen Dienstleistern fest, die für zahlreiche Finanzinstitute wesentliche oder sogar kritische Funktionen erbringen. Ein Ausfall bei einem dieser Dienstleister oder ein Vorfall mit unbefugtem Zugriff auf sensible Daten dieser Dienstleister könnte schwerwiegende Auswirkungen auf den Schweizer Finanzmarkt haben. Die Auslagerung von IT-Infrastruktur und kritischen Daten in die Public Cloud hat erheblich zugenommen. Im Jahr 2024 lagerte bereits jede fünfte Bank oder Versicherung wesentliche Daten oder Funktionen an öffentliche Cloud-Dienstleister aus. Die SFMA hat sowohl bei den Institutionen als auch bei den Dienstleistern das Bewusstsein für die erhöhte Risikosituation geschärft; Dabei stand die operative Belastbarkeit sowohl der Institutionen als auch des Schweizer Finanzmarktes insgesamt im Fokus. Darüber hinaus beobachtete die SFMA auch die internationalen Entwicklungen in diesem Bereich des Drittrisikomanagements genau. Im Jahr 2024 hat der Basler Ausschuss für Bankenaufsicht (BCBS) damit begonnen, neue Grundsätze zur Gewährleistung eines soliden Risikomanagements bei Vereinbarungen mit Dritten zu definieren.

Beratung als wirksames Instrument zur Förderung der Stabilität im Cyberbereich

Cyberrisiken – und deren Management – ​​sind seit vielen Jahren ein Hauptrisikofeld für die beaufsichtigten Unternehmen. Dementsprechend hat die SFMA ihre Aufsichtsarbeit in diesem Bereich im Jahr 2024 intensiviert. Dies spiegelte sich insbesondere in der erhöhten Anzahl von Aufsichtsüberprüfungen vor Ort sowie im Einsatz einer breiten Palette von Aufsichtsinstrumenten wie Szenarioanalysen, Tabletop- oder Red-Teaming-Übungen oder der Veröffentlichung von Leitlinien wider. In Tischübungen werden anhand von Risikoszenarien Rollen und Reaktionen im Notfall besprochen; Bei Red-Teaming-Übungen wird die Unternehmenssicherheit durch simulierte Cyber-Angriffe erhöht.

Gerade dieser Leitfaden hat sich als wirksames Instrument zur Bewältigung eines hochdynamischen Risikos, wie beispielsweise des Cyber-Risikos, und einer sich ständig ändernden Bedrohungslage erwiesen. Die sich aus der Bedrohungslage ergebenden aktuellen Zustände und kritische Erkenntnisse, beispielsweise aus Vor-Ort-Aufsichtsprüfungen, Aufsichtsgesprächen oder dem Cyber-Reporting-Prozess, können so zeitnah mit den betreuten Unternehmen geteilt werden. Ebenso werden Entwicklungen im Finanzmarkt, wie zum Beispiel der Einsatz von Cloud-Lösungen, oder im Technologiebereich, zum Beispiel der Einsatz von Künstlicher Intelligenz (KI) beim Management von Cyber-Risiken, im Leitfaden detailliert dargelegt. Die im Berichtsjahr veröffentlichte SFMA-Leitlinie 03/2024 stellt die Erkenntnisse aus der Aufsichtsarbeit zu Cyber-Risiken dar und liefert ergänzend zur SFMA-Leitlinie 05/2020 sowie in Bezug auf die szenariobasierten Cyber-Risikoübungen weitere Erläuterungen. Im Rahmen der bestehenden aufsichtsrechtlichen Anforderungen trägt die SFMA damit dazu bei, gezielte und kontinuierliche Verbesserungen bei der Umsetzung dieser Anforderungen voranzutreiben. Die Veröffentlichung sorgte dafür, dass das Bewusstsein der beaufsichtigten Unternehmen für Cyber-Risiken im Jahr 2024 auf einem konstant hohen Niveau blieb. Auch nach der Veröffentlichung der aufsichtsrechtlichen Anforderungen trug die SFMA weiterhin dazu bei, den Reifegrad der beaufsichtigten Unternehmen im Cyber-Risikomanagement kontinuierlich zu steigern. Dadurch stärkte es die Stabilität sowohl der einzelnen Institutionen als auch des Finanzmarktes insgesamt. Folglich war im Jahr 2024 die Zahl der Cyberangriffe auf beaufsichtigte Unternehmen, die ernsthaft kritische Ausmaße erreichten, gering. (Aus dem Jahresbericht 2024)

Dokumente

Jahresbericht 2024

Diagramme und visuelle Informationen

Cyberattacken
Cyberattacken
Cyberattacken
Cyberattacken
Cyberattacken
Cyberattacken