FIN­MA-Auf­sichts­mit­tei­lung 05/2020: Mel­de­pflicht von Cyber-Attacken

Die FINMA hat mit Datum vom 7. Mai 2020 die Auf­sichts­mit­tei­lung 05/2020 betr. Mel­de­pflicht von Cyber-Attacken ver­öf­fent­licht. Sie steht vor dem Hin­ter­grund der wei­ter­hin – und beson­ders in Stress-Situa­ti­on wie der aktu­el­len Pan­de­mie – als “sehr hoch” beur­teil­ten Gefahr von Cyber-Attacken auf den Schwei­zer Finanz­platz.

Auf­sichts­mit­tei­lung

Die Auf­sichts­mit­tei­lung soll alle beauf­sich­tig­ten Insti­tu­te an die Mel­de­pflicht nach Art. 29 Abs. 2 FINMAG erin­nern:

2 Die Beauf­sich­tig­ten und die Prüf­ge­sell­schaf­ten, die bei ihnen Prü­fun­gen durch­füh­ren, müs­sen der FINMA zudem unver­züg­lich Vor­komm­nis­se mel­den, die für die Auf­sicht von wesent­li­cher Bedeu­tung sind.

Die Umset­zung der Auf­sichts­mit­tei­lung erwar­tet die FINMA bis spä­te­stens per 1. Sep­tem­ber 2020 oder auf Best-Effort-Basis bereits frü­her.

Das Kri­te­ri­um der “Wesent­lich­keit” ist erreicht, wenn der Schutz der Gläu­bi­ger, der Anle­ger
und der Ver­si­cher­ten und/oder die Funk­ti­ons­fä­hig­keit der Finanz­märk­te beein­träch­tigt wird. Das kann auch indi­rekt gesche­hen, z.B. bei Angrif­fen auf für die Insti­tu­te kri­ti­sche Infra­struk­tu­ren (ISPs, Strom­erzeu­ger usw.).

Im Fall einer Mel­de­pflicht muss die Mel­dung “unver­züg­lich” erfol­gen, d.h.

  • durch Vor­ori­en­tie­rung der FINMA über den zustän­di­gen (Key-)Account Mana­ger inner­halb von 24 Stun­den nach Fest­stel­lung der Cyber-Attacke und einer Erst­be­ur­tei­lung über des­sen Kri­ti­ka­li­tät, und
  • durch die eigent­li­che Mel­dung inner­halb von 72 Stun­den über die Erhe­bungs- und Gesuchs­platt­form (EHP) der FINMA (ab dem 1.6.2020: www.finma.ch/de/finma/extranet/erhebungs – und-gesuchs­platt­form).

Der Inhalt der Mel­dung soll sich dabei an den fol­gen­den Punk­ten ori­en­tie­ren:

  • Name des Insti­tuts
  • Kon­takt­per­son inkl. Kon­takt­da­ten (Tele­fon & E‑Mail Adres­se)
  • Datum / Uhr­zeit Mel­dung an FINMA
  • Datum / Uhr­zeit Fest­stel­lung Angriff
  • Datum / Uhr­zeit Angriffs­zeit­punkt (sofern bereits bekannt)
  • Beschrei­bung der Cyber-Attacke und aktu­el­ler Sta­tus
  • Erst­be­ur­tei­lung Schwe­re­grad der Cyber-Attacke (Sie­he Anhang 1) (Ein­fach­aus­wahl: mit­tel, hoch, schwer­wie­gend)
  • Trend des Schwe­re­grads (Ein­fach­aus­wahl: abneh­mend, sta­bil, erhö­hend)
  • Betrof­fe­ne Enti­tä­ten (Betrof­fe­ne Organisationseinheit(en) im Insti­tut bzw. Dienst­lei­ster)
  • Betrof­fe­ne Schutz­zie­le (Mehr­fach­aus­wahl: Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit)
  • Betrof­fe­ne kri­ti­sche Funk­tio­nen, Geschäfts­pro­zes­se bzw. Akti­ven (Betrof­fe­ne Infor­ma­tio­nen, Tech­no­lo­gie­in­fra­struk­tur, Gebäu­de oder Per­so­nal)
  • Betrof­fe­ne Anzahl Kun­den (aktu­el­ler Stand)
  • Angriffs­vek­to­ren (Mehr­fach­aus­wahl: E‑Mail, Web-basier­ter Angriff, Bru­te-For­ce-Angriff, Iden­ti­täts­dieb­stahl, exter­ne Wech­sel­me­di­en, Verlust/Diebstahl von Gerä­ten, Aus­nut­zung von Soft­ware-Schwach­stel­le,
    Aus­nut­zung von Hard­ware-Schwach­stel­le, Ande­re [Bit­te defi­nie­ren])
  • Typus des Angriffs (Beschrei­bung) (z.B. DDoS, Unau­to­ri­sier­ter Zugriff, Schad­soft­ware, Miss­brauch / unsach­ge­mä­sse Benut­zung von Tech­no­lo­gie­in­fra­struk­tur usw.)
  • Admi­ni­stra­ti­ve, ope­ra­ti­ve und/oder tech­ni­sche Gegen­mass­nah­men mit erwar­te­ter Fri­stig­keit
  • Kom­mu­ni­ka­ti­ons­mass­nah­men (was, an wen, wann)

Bei neu­en Ent­wick­lun­gen oder Ein­schät­zun­gen ist inner­halb von 72 Stun­den eine erneu­te Mel­dung zu erstat­ten.

Nach Abschluss der Fall­be­ar­bei­tung durch das Insti­tut erwar­tet die FINMA fol­gen­des:

  • Schwe­re­grad Hoch und Schwer­wie­gend: Ursa­chen­be­richt (Root-Cau­se-Ana­ly­se) inkl. einer Ana­ly­se, Grund für den Erfolg der Attacke, Aus­wir­kun­gen der Attacke für die Ein­hal­tung von regu­la­to­ri­schen Vor­ga­ben, den Betrieb und die Kun­den sowie min­dern­de Mass­nah­men, um die Kon­se­quen­zen der Attacke zu adres­sie­ren;
  • Schwe­re­grad Schwer­wie­gend; zudem Nach­wei­se und Ana­ly­sen zur Funk­ti­ons­fä­hig­keit der Kri­sen­or­ga­ni­sa­ti­on;
  • Schwe­re­grad Mit­tel: nur abschlie­ssen­der Ursa­chen­be­richt.

In den bei­den Anhän­gen der Auf­sichts­mit­tei­lung fin­den sich

  • Kri­te­ri­en zur Ermitt­lung des Schwe­re­gra­des einer Cyber-Attacke, und
  • Bei­spie­le für kri­ti­sche Akti­ven und Cyber-Attacken auf des­sen Schutz­zie­le.

Daten­schutz­recht­li­che Mel­de­pflicht

Die finanz­markt­auf­sichts­recht­li­che Mel­de­pflicht kon­kur­riert mit einer etwai­gen daten­schutz­recht­li­chen Mel­de­pflicht:

  • Das heu­ti­ge DSG kennt kei­ne Mel­de­pflicht gegen­über dem EDÖB (aber eine frei­wil­li­ge Bera­tung durch den EDÖB, die ggf. vor­sich­tig ein­zu­schät­zen ist, und unter bestimm­ten Umstän­den aus­nahms­wei­se eine Mit­tei­lungs­pflicht gegen­über betrof­fe­nen Per­so­nen).
  • Die DSGVO kennt bei Daten­si­cher­heits­ver­let­zun­gen mit rele­van­tem Risi­ko eine Mel­de­pflicht gegen­über den zustän­di­gen Daten­schutz­auf­sichts­be­hör­den (oder, im Fall (i) einer EU-Ver­tre­tung oder (ii) bei Zustän­dig­keit einer Haupt­nie­der­las­sung oder ein­zi­gen Nie­der­las­sung im EWR-Raum: gegen­über einer zustän­di­gen Behör­de). Bei vor­aus­sicht­lich hohem Risi­ko für betrof­fe­ne Per­so­nen ( (und auf Anwei­sung der Behör­de) besteht zudem eine Mit­tei­lungs­pflicht ggü. den betrof­fe­nen Per­so­nen.
  • Im Ent­wurf des revi­d­i­der­ten DSG (E‑DSG) ist eben­falls eine Mel­de­pflicht ggü. dem EDÖB vor­ge­se­hen, sofern die Ver­let­zung vor­aus­sicht­lich zu einem hohen Risi­ko führt. Die betrof­fe­nen Per­so­nen sind zu infor­mie­ren, wenn es für ihren Schutz erfor­der­lich ist (und auf Anwei­sung des EDÖB).

Sind die Tat­be­stän­de sowohl der Mel­de­pflicht nach Art. 29 Abs. 2 FINMAG als auch einer daten­schutz­recht­li­che Mel­de­pflicht ggü. Behör­den erfüllt, sind bei­de Mel­dun­gen ver­pflich­tend.