Erkenntnisse aus der Cyberaufsicht 2021
Im Berichtsjahr wurde in den Schlagzeilen über erfolgreiche Cyberangriffe auf etablierte Unternehmen aller Branchen sowohl in der Schweiz als auch im Rest der Welt berichtet. Auch die SFMA beobachtet eine zunehmende Zahl gemeldeter Cyberangriffe. Seit Inkrafttreten der Klarstellungen zur Meldepflicht von Cyberangriffen, wie sie in der SFMA-Guideline 05/2020 veröffentlicht wurden, im September 2020 wurden insgesamt 95 Cyberangriffe von erheblicher Bedeutung für die betroffenen Institutionen gemeldet. Am stärksten betroffen waren Banken, gefolgt von Vermögensverwaltern und Versicherungen.
Die SFMA betrachtet Cyber-Risiken weiterhin als eines der Hauptrisiken für den Finanzplatz Schweiz. Im Berichtsjahr wurden daher weitere Ressourcen für diesen Bereich bereitgestellt. Im Vergleich zu 2020 führte die SFMA zudem deutlich mehr cyberspezifische Vor-Ort-Aufsichtsprüfungen durch.
Ergebnisse aus Vor-Ort-Aufsichtsprüfungen und gemeldete Fälle schwerer Cyberangriffe
Beaufsichtigte Institute richten ihr Augenmerk zunehmend auf Cyber-Risiken, die sie sehr häufig als einen ihrer Hauptrisikobereiche identifizieren. Zwischen 2019 und 2021 hat die SFMA die Zahl der bei Instituten durchgeführten Aufsichtsüberprüfungen vor Ort fast verdreifacht. Für das Jahr 2022 ist ein weiterer Anstieg der Anzahl der Überprüfungen geplant. Allerdings wurde im Berichtsjahr auch festgestellt, dass einige beaufsichtigte Unternehmen es versäumten, ihrer Geschäftsleitung oder ihrem Verwaltungsrat regelmäßig über diese Risiken zu berichten. Im Hinblick auf die Identifizierung institutsspezifischer potenzieller Bedrohungen durch Cyberangriffe fehlte es einigen Institutionen an einer klaren Definition des Umfangs und Inhalts ihrer kritischen und/oder sensiblen unternehmensspezifischen Daten. Diese Institutionen berichteten daher von Schwierigkeiten bei der Umsetzung der angestrebten Schutzmaßnahmen. Um einen umfassenderen und realistischeren Einblick in die Widerstandsfähigkeit von Institutionen gegenüber Cyberangriffen zu erhalten, umfasste die Cyberaufsicht der SFMA im Berichtsjahr erstmals zwei verschiedene bedrohungsbasierte Szenarioanalysen. Zunächst wurden die Prozesse zur Erkennung und Reaktion auf einen Cyberangriff anhand von Tabletop-Übungen getestet, bei denen Angriffsszenarien simuliert werden. Zweitens beauftragte die SFMA Spezialisten, szenariobasierte Tests unter kontrollierten Bedingungen und in Absprache mit den Institutionen durchzuführen. Die meisten Erkenntnisse aus den Aufsichtsprüfungen vor Ort betrafen den Schutz von Geschäftsprozessen und technologischer Infrastruktur. Einige beaufsichtigte Unternehmen zeigten Verbesserungspotenzial in den Bereichen Cyberschulung und -bewusstsein. Damit die Schutzmaßnahmen wirksam sind, ist es unerlässlich, sicherzustellen, dass Mitarbeiter aller Hierarchieebenen regelmäßig über die Cyberrisiken informiert werden und die häufigsten Angriffsmethoden wie Phishing kennen und verstehen; Sie müssen außerdem wissen, an wen sie sich innerhalb des Unternehmens wenden können, wenn sie Anzeichen eines Cyberangriffs erkennen. Mehr als die Hälfte der eingegangenen Meldungen über Cyberangriffe von erheblicher Bedeutung betrafen Angriffe auf die Verfügbarkeit durch Distributed Denial of Service (DDoS). Seit Einführung der Meldepflicht im September 2020 wurden insgesamt drei DDoS-Wellen beobachtet. Insbesondere die erste Welle im September 2020 hatte gravierende Folgen und beeinträchtigte teilweise die Verfügbarkeit von Telearbeitsinfrastruktur, Onlinediensten, E-Mail-Infrastruktur und anderen Systemen. Einige Institutionen hatten in diesem Bereich ihre Abwehrmechanismen vernachlässigt. Die zweithäufigste Meldekategorie betraf Angriffe auf Dritte. Etwa 25 % der betroffenen beaufsichtigten Unternehmen wurden nicht direkt angegriffen; Stattdessen wurden sie indirekt über ihre wichtigsten Dienstleister angegriffen. Im Hinblick auf die Identifizierung und Protokollierung von Cyberangriffen wurde deutlich, dass es einigen Institutionen versäumt hatte, ihre technologische Infrastruktur rechtzeitig und systematisch zu überwachen. In einigen Fällen wurden kritische Protokolldaten nicht analysiert oder solche Analysen wurden nur während der Bürozeiten durchgeführt. Im Berichtsjahr haben die meisten Institute Vorkehrungen getroffen, um nach außergewöhnlichen Ereignissen eine zeitnahe Wiederherstellung des normalen Geschäftsbetriebs sicherzustellen. Allerdings fehlten in vielen Fällen noch konkrete Maßnahmen zur Wiederherstellung des Betriebs nach Cyberangriffen. (Aus dem Geschäftsbericht 2021)