Takea­ways (AI):
  • Die FINMA ver­öf­fent­lich­te am 7. Juni 2024 die Auf­sichts­mit­tei­lung 03/2024 zu Cyber-Risi­ken.
  • Prä­zi­sie­rung zur Mel­de­pflicht von Cyber-Attacken: Mel­dung bin­nen 24 Stun­den nach Ent­deckung der Attacke.
  • Erwar­tun­gen an Schutz­mass­nah­men: Umfas­sen­de Erfas­sung kri­ti­scher Daten und effek­ti­ve Resi­li­en­z­tests sind mangelhaft.
  • Vie­le Insti­tu­te haben nicht aus­rei­chen­de Reak­ti­ons­plä­ne für Cyber-Vorfälle.
  • Sze­na­rio-basier­te Cyber-Übun­gen sind Pflicht für system­re­le­van­te Insti­tu­te gemäß dem RS 23/1 Prinzip.

Die FINMA hat am 7. Juni 2024 eine Auf­sichts­mit­tei­lung 03/2024 zu Cyber-Risi­ken ver­öf­fent­licht (u.a. deutsch und eng­lisch).

Die FIN­MA-Auf­sichts­mit­tei­lung “03/2024 – Erkennt­nis­se aus der Cyber-Risi­ko-Auf­sichts­tä­tig­keit, Prä­zi­sie­rung zur FIN­MA-Auf­sichts­mit­tei­lung 05/2020 und zu sze­na­rio­be­zo­ge­nen Cyber-Übun­gen” enthält

  • Erkennt­nis­se aus der Cyber-Risi­ko-Auf­sichts­tä­tig­keit der FINMA, u.a. der Deep Dives bei Banken;
  • eine Prä­zi­sie­rung zur FIN­MA-Auf­sichts­mit­tei­lung 05/2020 zur Mel­de­pflicht von Cyber-Attacken; und
  • Hin­wei­se zu den sze­na­rio-basier­ten Cyber-Übun­gen gemäss dem Rund­schrei­ben Ope­ra­tio­nel­le Risi­ken und Resilienz.

Erkennt­nis­se aus der Cyber-Risiko-Aufsichtstätigkeit

Die FINMA hat im Rah­men von Vor-Ort-Kon­trol­len u.a. bei Ban­ken (“Deep Dives”) die Fra­ge zu beant­wor­ten ver­sucht, wel­che Fak­to­ren für den Erfolg von Cyber­an­grif­fen beson­de­re Bedeu­tung haben.

Auf Ebe­ne der Dienst­lei­ster ist das Bild offen­bar ernüch­ternd. Ins­ge­samt fehlt häu­fig eine kla­re Sicht auf die Dienst­lei­ster, die Bedeu­tung der von ihnen erbrach­ten Lei­stun­gen im Rah­men der Tätig­keit des Insti­tuts, die mit der Aus­la­ge­rung ver­bun­de­nen Risi­ken und die Art und Bedeu­tung der bear­bei­te­ten Daten. Es hapert offen­bar auch bei der Ein­bin­dung der Risi­ko­kon­trol­len ins IKS und beim Aus­tausch zwi­schen Insti­tut und Provider:

  • Nur “sehr weni­ge” Insti­tu­te tau­schen sich nach der Iden­ti­fi­ka­ti­on von Sicher­heits­lücken mit den wich­tig­sten Dienst­lei­stern aus, damit die­se die Lücken schliessen.
  • Man­che Dienst­lei­ster waren beim Schlie­ssen von Schwach­stel­len offen­bar nachlässig.
  • Sehr oft” fehlt ein voll­stän­di­ges Inven­tar der Dienst­lei­ster, auch der kri­ti­schen Funk­tio­nen oder der beim Dienst­lei­ster gespei­cher­ten kri­ti­schen Daten. Die Kon­trol­le der Dienst­lei­ster war des­halb lückenhaft.
  • Man­che Insti­tu­te erfas­sen offen­bar wesent­li­che Unter­ak­kor­dan­ten nicht richtig.
  • Auch bei der Klas­si­fi­zie­rung kri­ti­scher Daten hapert es – “die betrof­fe­nen Insti­tu­te hat­ten gröss­ten­teils nicht klar defi­niert”, was für sie kri­ti­sche Daten sind.

Auch bei der Gover­nan­ce hat die FINMA Män­gel festgestellt:

  • Mit­tel­gro­sse Insti­tu­ten gren­zen oft den ope­ra­ti­ven Umgang mit Cyber-Risi­ken und der unab­hän­gi­gen Kon­troll­in­stanz nicht kor­rekt ab.
  • Cyber-Risi­ko-Bedro­hungs­po­ten­zia­le wer­den oft nicht rich­tig iden­ti­fi­ziert, und Zugriffs­rech­te von Mit­ar­bei­ten­den sind man­gels eines zen­tra­len Berech­ti­gungs­tools oft unklar.
  • Etli­che” Insti­tu­te haben Cyber-Risi­ken nicht expli­zit in das Manage­ment der ope­ra­tio­nel­len Risi­ken integriert.
  • Eini­ge beauf­sich­tig­te Insti­tu­te” defi­nier­ten Cyber-Risi­ken und ihren Risi­ko­ap­pe­tit bzw. die Risi­ko­to­le­ranz ungenügend.

Bei den Schutz­mass­nah­men sieht die FINMA fol­gen­de Män­gel, auch wenn die “Ten­denz” ins­ge­samt posi­tiv sei:

  • Die Schutz­mass­nah­men zur Data Loss Pre­ven­ti­on (DLP) haben einen zu engen Fokus auf CID bzw. Kre­dit­kar­ten­num­mern. Ande­re kri­ti­sche Daten wie z.B. “schüt­zens­wer­te Per­so­nen­da­ten”, Geschäfts­ge­heim­nis­se, gei­sti­ges Eigen­tum usw. wer­den oft nicht erfasst.
  • Eini­ge Insti­tu­te testen ihre Pro­zes­se zur Daten­si­che­rung und Wie­der­her­stel­lungs­plä­ne nicht auf ihre Resi­li­enz im Fal­le bspw. eines Angriffs durch Ransomware.
  • Bei einer “gro­ssen Anzahl” von Insti­tu­ten sind Trai­ning und Awa­re­ness im Cyber­be­reich mangelhaft.

Bei der Detek­ti­on, Reak­ti­on und Wie­der­her­stel­lung nach Cyber-Attacken sieht die FINMA fol­gen­de Muster:

  • Eini­ge Insti­tu­te hat­ten kei­ne aus­rei­chen­den Reak­ti­ons­plä­ne für Cyber-Vorfälle.
  • Eini­ge Insti­tu­te über­wa­chen ihre Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie nicht zeit­nah und systematisch.
  • Oft waren kei­ne spe­zi­fi­schen Wie­der­her­stel­lungs­mass­nah­men nach Cyber-Attacken definiert.

Das Bild, das die FINMA hier zeich­net, ist nicht über­ra­schend und natür­lich nicht auf regu­lier­te Sek­to­ren beschränkt. Der Schutz vor Risi­ken kann nur effek­tiv sein, wenn er alle System­kom­po­nen­ten mit­ein­be­zieht, d.h. wenn auch Schnitt­stel­len zu exter­nen Dien­sten in die Risi­ko­be­wer­tung ein­be­zo­gen wer­den, und wenn die Pro­zes­se zum Manage­ment von Risi­ken zu Ende gedacht sind. Es gibt bei vie­len Unter­neh­men eine etwas insu­lä­re Sicht auf den eige­nen Bereich, ohne die Mit­ver­ant­wor­tung für Schnit­stel­len und ein­ge­kauf­te Lei­stun­gen aus­rei­chend ein­zu­be­zie­hen. Ein erheb­li­cher Teil der Cyber­an­grif­fe erfolgt aber über Pro­vi­der. Gemäss öffent­li­chen Quel­len erfol­gen rund 40% der Cyber­an­grif­fe über die Sup­p­ly Chain, und mehr als 90% aller Unter­neh­men sol­len von sol­chen Angrif­fen betrof­fen sein.

Prä­zi­sie­rung zur FIN­MA-Auf­sichts­mit­tei­lung Mel­de­pflicht von Cyber-Attacken

Die FINMA hat am 7. Mai 2020 ihre Auf­sichts­mit­tei­lung 05/2020 – Mel­de­pflicht von Cyber-Attacken ver­öf­fent­licht. Seit­her hat sie “diver­se Anfra­gen zu deren Aus­le­gung” erhal­ten – beson­ders wohl in letz­ter Zeit im Zuge des neu­en Rund­schrei­bens Ope­ra­tio­nel­le Risi­ken und Resi­li­enz (RS 2023/1). Sie nimmt dies zum Anlass für Prä­zi­sie­run­gen der Auf­sichts­mit­tei­lung 05/2020, die in Zukunft also zusam­men mit der vor­lie­gen­den Auf­sichts­mit­tei­lung 03/24 zu lesen ist.

Die Prä­zi­sie­run­gen bezie­hen sich auf die Mel­de­pflicht nach Art. 29 Abs. 2 FINMAG, die die FINMA zum einen in der Auf­sichts­mit­tei­lung 05/2020 für alle beauf­sich­tig­ten Insti­tu­te und zum ande­ren im RS 2023/1 für Ban­ken und Wert­pa­pier­häu­ser kon­kre­ti­siert hat. For­mal nimmt die Auf­sichts­mit­tei­lung 03/24 nur auf die frü­he­re Auf­sichts­mit­tei­lung 05/2020 Bezug (die durch das RS 2023/1 nicht auf­ge­ho­ben wur­de), inhalt­lich gel­ten ihre Aus­füh­run­gen aber natür­lich auch für die par­al­le­len Pflich­ten im RS 2023/1.

Die FINMA kon­kre­ti­siert ihre Auf­sichts­er­war­tun­gen folgendermassen:

Frist für die Meldungen

Hier bestä­tigt die FINMA Bekannn­tes: Ab dem Zeit­punkt der Ent­deckung einer Cyber-Attacke hat das Insti­tut 24 Stun­den Zeit für eine Erst­mel­dung an die FINMA. Inner­halb die­ser 24 Stun­den müs­sen die Insti­tu­te eine Erst­be­ur­tei­lung über die Kri­ti­k­ali­tät vor­neh­men, mit dem Ziel ein­zu­schät­zen, ob die Cyber-Attacke eine Mel­dung an die FINMA verlangt.

Die “eigent­li­che” Mel­dung muss dann inner­halb von total 72 Stun­den über die­Er­he­bungs- und Gesuchs­platt­form (EHP) der FINMA erfolgen.

Erwar­tun­gen für die Erstmeldung

Die FINMA prä­zi­siert, dass es bei der Erst­mel­dung vor allem auf Recht­zei­tig­keit ankommt. For­mal und inhalt­lich gel­ten kei­ne beson­de­ren Erwar­tun­gen, und Erst­mel­dun­gen kön­nen auch wider­ru­fen werden:

  • Die Erst­mel­dung kann form­los erfol­gen, es reicht eine Mel­dung per E‑Mail, Tele­fon usw. Es geht dabei dar­um, auf Basis der Erst­be­ur­tei­lung den dann­zu­mal bekann­ten Sach­ver­halt wie­der­zu­ge­ben. Mehr ist zu die­sem Zeit­punkt nicht erfor­der­lich. Es geht der FINMA hier um die rasche Reak­ti­on; der Inhalt der Erst­mel­dung ist sekundär.
  • Es kann natür­lich sein, dass sich bei den wei­te­ren Abklä­run­gen her­aus­stellt, dass die Erst­mel­dung nicht zwin­gend gewe­sen wäre. Insti­tu­te kön­nen Erst­mel­dun­gen des­halb jeder­zeit wie­der zurück­zie­hen.

Wenn ein Insti­tut eben­falls der Mel­de­pflicht nach dem ISG unter­steht, kann die Erst­mel­dung auch über das Mel­de­for­mu­lar des BACS ein­ge­reicht wer­den, wenn die Opti­on ange­wählt wird, die Mel­dung an die FINMA wei­ter­zu­lei­ten (gestützt auf Art. 73d E‑ISG). Das Insti­tut muss aller­dings sicher­stel­len, dass die Frist dabei ein­ge­hal­ten wer­den kann. Die Zeit zwi­schen der Mel­dung an das BACS und der Wei­ter­lei­tung an die FINMA liegt also in der Ver­ant­wor­tung des Insti­tuts. Soweit bekannt erfolgt die Wei­ter­lei­tung durch das BACS aber auto­ma­ti­siert und ohne Fil­ter, also ver­mu­tungs­wei­se sofort. Die eigent­li­che Mel­dung muss dann wei­ter­hin über die EHP abge­setzt werden.

Erwar­tun­gen für die eigent­li­che Meldung

Die Auf­sichts­mit­tei­lung 05/2020 ver­langt für Mel­dun­gen von Cyber-Attacken mit dem Schwe­re­grad “mit­tel” oder mehr einen abschlie­ssen­den Ursa­chen­be­richt, der min­de­stens den inter­nen oder exter­nen Unter­su­chungs- bzw. foren­si­schen Bericht ent­hält (wei­te­re Anfor­de­run­gen fin­den sich in der Auf­sichts­mit­tei­lung 05/2020). Wie die FINMA nun klar­stellt, soll­te der Ursa­chen­be­richt beim Schwe­re­grad “hoch” oder “schwer­wie­gend” fol­gen­de Punk­te umfassen:

  • Grund für den Erfolg der Cyber-Attacke;
  • Aus­wir­kun­gen der Attacke auf die Ein­hal­tung der auf­sichts­recht­li­chen Vor­ga­ben, den Betrieb des Insti­tuts und die Kunden;
  • ein­ge­lei­te­te Min­de­rungs­mass­nah­men, um die Aus­wir­kun­gen der Attacke zu adressieren.

Für Cyber-Attacken mit dem Schwe­re­grad “schwer­wie­gend” sind zudem Nach­wei­se und Ana­ly­sen zur Funk­ti­ons­fä­hig­keit der Kri­sen­or­ga­ni­sa­ti­on einzureichen.

Frist­be­ginn und ‑berech­nung

Die FINMA bestä­tigt hier vor allem ihre seit eini­ger Zeit bekann­te Pra­xis, dass die Fri­sten für die Mel­dung bei einer Aus­la­ge­rung zu lau­fen begin­nen, wenn der Pro­vi­der Kennt­nis vom Cyber-Angriff erhält. Eine Aus­la­ge­rung erfolgt in der Ver­ant­wor­tung der Insti­tu­te. Dar­aus schliesst die FINMA,

dass die Mel­de­frist zu lau­fen beginnt, sobald das Insti­tut, oder bei aus­ge­la­ger­ten Funk­tio­nen der Dritt­an­bie­ter, einen Cyber-Vor­fall ent­deckt hat. Dies stellt auch die auf­sichts­recht­li­che Gleich­be­hand­lung von Insti­tu­ten sicher, wel­che kei­ne Funk­tio­nen aus­ge­la­gert haben.

Das gilt jeden­falls für Anbie­ter wesent­li­cher Funk­tio­nen. Wenn ein Dienst­lei­stungs­er­brin­ger kein wesent­li­cher Out­sour­cing-Part­ner ist, muss das Insti­tut sicher­stel­len, dass es über Cyber-Vor­fäl­le infor­miert wird.

Bei der Berech­nung der Fri­sten für die Erst­mel­dung und die Fol­ge­mel­dung zäh­len nur offi­zi­el­le Bank­ar­beits­ta­ge. Eine Aus­nah­me gilt bei Attacken mit dem Schwe­re­grad “schwer­wie­gend”. Hier läuft die Frist für die Erst­mel­dung auch ausser­halb von Bank­ar­beits­ta­gen. Man muss die FINMA hier wohl so lesen, dass das nicht für die Frist für die Fol­ge­mel­dung gilt.

Sze­na­rio-basier­te Cyber-Übungen

Die FINMA stellt eini­ge Punk­te klar bei den­sze­na­rio­be­zo­ge­nen Cyber-Übun­gen von Ban­ken und Wert­pa­pier­häu­sern. Umfang und Inhalt die­ser Übun­gen rich­ten sich dabei nach dem im RS 23/1 all­ge­mein gel­ten­den Pro­por­tio­na­li­täts­prin­zip. System­re­le­van­te Insti­tu­te müs­sen dabei auch Red-Team­ing-Übun­gen durch­füh­ren, und ande­re Insti­tu­te min­de­stens jähr­lich eine Table-Top-Übung. Die klei­ne­ren Insti­tu­te (Auf­sichts­ka­te­go­rien 4 und 5) kön­nen dazu auch an den Übun­gen des Swiss Finan­cial Sec­tor Cyber Secu­ri­ty Cent­re (Swiss FS-CSC) teil­neh­men, solan­ge das insti­tuts­spe­zi­fi­sche Bedro­hungs­po­ten­zi­al mit der ent­spre­chen­den Übung des Swiss FS-CSC bestimmt wer­den kann.

Die FINMA behält sich fer­ner vor,

sol­che risi­ko­ba­sier­te sze­na­rio­be­zo­ge­ne Cyber- Übun­gen selek­tiv im Rah­men der auf­sichts­recht­li­chen Prü­fung oder einer Zusatz­prü­fung durch­füh­ren zu las­sen und eng zu begleiten.

AI-generierte Takeaways können falsch sein.