- Die FINMA veröffentlichte am 7. Juni 2024 die Aufsichtsmitteilung 03/2024 zu Cyber-Risiken.
- Präzisierung zur Meldepflicht von Cyber-Attacken: Meldung binnen 24 Stunden nach Entdeckung der Attacke.
- Erwartungen an Schutzmassnahmen: Umfassende Erfassung kritischer Daten und effektive Resilienztests sind mangelhaft.
- Viele Institute haben nicht ausreichende Reaktionspläne für Cyber-Vorfälle.
- Szenario-basierte Cyber-Übungen sind Pflicht für systemrelevante Institute gemäß dem RS 23/1 Prinzip.
Die FINMA hat am 7. Juni 2024 eine Aufsichtsmitteilung 03/2024 zu Cyber-Risiken veröffentlicht (u.a. deutsch und englisch).
Die FINMA-Aufsichtsmitteilung “03/2024 – Erkenntnisse aus der Cyber-Risiko-Aufsichtstätigkeit, Präzisierung zur FINMA-Aufsichtsmitteilung 05/2020 und zu szenariobezogenen Cyber-Übungen” enthält
- Erkenntnisse aus der Cyber-Risiko-Aufsichtstätigkeit der FINMA, u.a. der Deep Dives bei Banken;
- eine Präzisierung zur FINMA-Aufsichtsmitteilung 05/2020 zur Meldepflicht von Cyber-Attacken; und
- Hinweise zu den szenario-basierten Cyber-Übungen gemäss dem Rundschreiben Operationelle Risiken und Resilienz.
Erkenntnisse aus der Cyber-Risiko-Aufsichtstätigkeit
Die FINMA hat im Rahmen von Vor-Ort-Kontrollen u.a. bei Banken (“Deep Dives”) die Frage zu beantworten versucht, welche Faktoren für den Erfolg von Cyberangriffen besondere Bedeutung haben.
Auf Ebene der Dienstleister ist das Bild offenbar ernüchternd. Insgesamt fehlt häufig eine klare Sicht auf die Dienstleister, die Bedeutung der von ihnen erbrachten Leistungen im Rahmen der Tätigkeit des Instituts, die mit der Auslagerung verbundenen Risiken und die Art und Bedeutung der bearbeiteten Daten. Es hapert offenbar auch bei der Einbindung der Risikokontrollen ins IKS und beim Austausch zwischen Institut und Provider:
- Nur “sehr wenige” Institute tauschen sich nach der Identifikation von Sicherheitslücken mit den wichtigsten Dienstleistern aus, damit diese die Lücken schliessen.
- Manche Dienstleister waren beim Schliessen von Schwachstellen offenbar nachlässig.
- “Sehr oft” fehlt ein vollständiges Inventar der Dienstleister, auch der kritischen Funktionen oder der beim Dienstleister gespeicherten kritischen Daten. Die Kontrolle der Dienstleister war deshalb lückenhaft.
- Manche Institute erfassen offenbar wesentliche Unterakkordanten nicht richtig.
- Auch bei der Klassifizierung kritischer Daten hapert es – “die betroffenen Institute hatten grösstenteils nicht klar definiert”, was für sie kritische Daten sind.
Auch bei der Governance hat die FINMA Mängel festgestellt:
- Mittelgrosse Instituten grenzen oft den operativen Umgang mit Cyber-Risiken und der unabhängigen Kontrollinstanz nicht korrekt ab.
- Cyber-Risiko-Bedrohungspotenziale werden oft nicht richtig identifiziert, und Zugriffsrechte von Mitarbeitenden sind mangels eines zentralen Berechtigungstools oft unklar.
- “Etliche” Institute haben Cyber-Risiken nicht explizit in das Management der operationellen Risiken integriert.
- “Einige beaufsichtigte Institute” definierten Cyber-Risiken und ihren Risikoappetit bzw. die Risikotoleranz ungenügend.
Bei den Schutzmassnahmen sieht die FINMA folgende Mängel, auch wenn die “Tendenz” insgesamt positiv sei:
- Die Schutzmassnahmen zur Data Loss Prevention (DLP) haben einen zu engen Fokus auf CID bzw. Kreditkartennummern. Andere kritische Daten wie z.B. “schützenswerte Personendaten”, Geschäftsgeheimnisse, geistiges Eigentum usw. werden oft nicht erfasst.
- Einige Institute testen ihre Prozesse zur Datensicherung und Wiederherstellungspläne nicht auf ihre Resilienz im Falle bspw. eines Angriffs durch Ransomware.
- Bei einer “grossen Anzahl” von Instituten sind Training und Awareness im Cyberbereich mangelhaft.
Bei der Detektion, Reaktion und Wiederherstellung nach Cyber-Attacken sieht die FINMA folgende Muster:
- Einige Institute hatten keine ausreichenden Reaktionspläne für Cyber-Vorfälle.
- Einige Institute überwachen ihre Informations- und Kommunikationstechnologie nicht zeitnah und systematisch.
- Oft waren keine spezifischen Wiederherstellungsmassnahmen nach Cyber-Attacken definiert.
Das Bild, das die FINMA hier zeichnet, ist nicht überraschend und natürlich nicht auf regulierte Sektoren beschränkt. Der Schutz vor Risiken kann nur effektiv sein, wenn er alle Systemkomponenten miteinbezieht, d.h. wenn auch Schnittstellen zu externen Diensten in die Risikobewertung einbezogen werden, und wenn die Prozesse zum Management von Risiken zu Ende gedacht sind. Es gibt bei vielen Unternehmen eine etwas insuläre Sicht auf den eigenen Bereich, ohne die Mitverantwortung für Schnitstellen und eingekaufte Leistungen ausreichend einzubeziehen. Ein erheblicher Teil der Cyberangriffe erfolgt aber über Provider. Gemäss öffentlichen Quellen erfolgen rund 40% der Cyberangriffe über die Supply Chain, und mehr als 90% aller Unternehmen sollen von solchen Angriffen betroffen sein.
Präzisierung zur FINMA-Aufsichtsmitteilung Meldepflicht von Cyber-Attacken
Die FINMA hat am 7. Mai 2020 ihre Aufsichtsmitteilung 05/2020 – Meldepflicht von Cyber-Attacken veröffentlicht. Seither hat sie “diverse Anfragen zu deren Auslegung” erhalten – besonders wohl in letzter Zeit im Zuge des neuen Rundschreibens Operationelle Risiken und Resilienz (RS 2023/1). Sie nimmt dies zum Anlass für Präzisierungen der Aufsichtsmitteilung 05/2020, die in Zukunft also zusammen mit der vorliegenden Aufsichtsmitteilung 03/24 zu lesen ist.
Die Präzisierungen beziehen sich auf die Meldepflicht nach Art. 29 Abs. 2 FINMAG, die die FINMA zum einen in der Aufsichtsmitteilung 05/2020 für alle beaufsichtigten Institute und zum anderen im RS 2023/1 für Banken und Wertpapierhäuser konkretisiert hat. Formal nimmt die Aufsichtsmitteilung 03/24 nur auf die frühere Aufsichtsmitteilung 05/2020 Bezug (die durch das RS 2023/1 nicht aufgehoben wurde), inhaltlich gelten ihre Ausführungen aber natürlich auch für die parallelen Pflichten im RS 2023/1.
Die FINMA konkretisiert ihre Aufsichtserwartungen folgendermassen:
Frist für die Meldungen
Hier bestätigt die FINMA Bekannntes: Ab dem Zeitpunkt der Entdeckung einer Cyber-Attacke hat das Institut 24 Stunden Zeit für eine Erstmeldung an die FINMA. Innerhalb dieser 24 Stunden müssen die Institute eine Erstbeurteilung über die Kritikalität vornehmen, mit dem Ziel einzuschätzen, ob die Cyber-Attacke eine Meldung an die FINMA verlangt.
Die “eigentliche” Meldung muss dann innerhalb von total 72 Stunden über dieErhebungs- und Gesuchsplattform (EHP) der FINMA erfolgen.
Erwartungen für die Erstmeldung
Die FINMA präzisiert, dass es bei der Erstmeldung vor allem auf Rechtzeitigkeit ankommt. Formal und inhaltlich gelten keine besonderen Erwartungen, und Erstmeldungen können auch widerrufen werden:
- Die Erstmeldung kann formlos erfolgen, es reicht eine Meldung per E‑Mail, Telefon usw. Es geht dabei darum, auf Basis der Erstbeurteilung den dannzumal bekannten Sachverhalt wiederzugeben. Mehr ist zu diesem Zeitpunkt nicht erforderlich. Es geht der FINMA hier um die rasche Reaktion; der Inhalt der Erstmeldung ist sekundär.
- Es kann natürlich sein, dass sich bei den weiteren Abklärungen herausstellt, dass die Erstmeldung nicht zwingend gewesen wäre. Institute können Erstmeldungen deshalb jederzeit wieder zurückziehen.
Wenn ein Institut ebenfalls der Meldepflicht nach dem ISG untersteht, kann die Erstmeldung auch über das Meldeformular des BACS eingereicht werden, wenn die Option angewählt wird, die Meldung an die FINMA weiterzuleiten (gestützt auf Art. 73d E‑ISG). Das Institut muss allerdings sicherstellen, dass die Frist dabei eingehalten werden kann. Die Zeit zwischen der Meldung an das BACS und der Weiterleitung an die FINMA liegt also in der Verantwortung des Instituts. Soweit bekannt erfolgt die Weiterleitung durch das BACS aber automatisiert und ohne Filter, also vermutungsweise sofort. Die eigentliche Meldung muss dann weiterhin über die EHP abgesetzt werden.
Erwartungen für die eigentliche Meldung
Die Aufsichtsmitteilung 05/2020 verlangt für Meldungen von Cyber-Attacken mit dem Schweregrad “mittel” oder mehr einen abschliessenden Ursachenbericht, der mindestens den internen oder externen Untersuchungs- bzw. forensischen Bericht enthält (weitere Anforderungen finden sich in der Aufsichtsmitteilung 05/2020). Wie die FINMA nun klarstellt, sollte der Ursachenbericht beim Schweregrad “hoch” oder “schwerwiegend” folgende Punkte umfassen:
- Grund für den Erfolg der Cyber-Attacke;
- Auswirkungen der Attacke auf die Einhaltung der aufsichtsrechtlichen Vorgaben, den Betrieb des Instituts und die Kunden;
- eingeleitete Minderungsmassnahmen, um die Auswirkungen der Attacke zu adressieren.
Für Cyber-Attacken mit dem Schweregrad “schwerwiegend” sind zudem Nachweise und Analysen zur Funktionsfähigkeit der Krisenorganisation einzureichen.
Fristbeginn und ‑berechnung
Die FINMA bestätigt hier vor allem ihre seit einiger Zeit bekannte Praxis, dass die Fristen für die Meldung bei einer Auslagerung zu laufen beginnen, wenn der Provider Kenntnis vom Cyber-Angriff erhält. Eine Auslagerung erfolgt in der Verantwortung der Institute. Daraus schliesst die FINMA,
dass die Meldefrist zu laufen beginnt, sobald das Institut, oder bei ausgelagerten Funktionen der Drittanbieter, einen Cyber-Vorfall entdeckt hat. Dies stellt auch die aufsichtsrechtliche Gleichbehandlung von Instituten sicher, welche keine Funktionen ausgelagert haben.
Das gilt jedenfalls für Anbieter wesentlicher Funktionen. Wenn ein Dienstleistungserbringer kein wesentlicher Outsourcing-Partner ist, muss das Institut sicherstellen, dass es über Cyber-Vorfälle informiert wird.
Bei der Berechnung der Fristen für die Erstmeldung und die Folgemeldung zählen nur offizielle Bankarbeitstage. Eine Ausnahme gilt bei Attacken mit dem Schweregrad “schwerwiegend”. Hier läuft die Frist für die Erstmeldung auch ausserhalb von Bankarbeitstagen. Man muss die FINMA hier wohl so lesen, dass das nicht für die Frist für die Folgemeldung gilt.
Szenario-basierte Cyber-Übungen
Die FINMA stellt einige Punkte klar bei denszenariobezogenen Cyber-Übungen von Banken und Wertpapierhäusern. Umfang und Inhalt dieser Übungen richten sich dabei nach dem im RS 23/1 allgemein geltenden Proportionalitätsprinzip. Systemrelevante Institute müssen dabei auch Red-Teaming-Übungen durchführen, und andere Institute mindestens jährlich eine Table-Top-Übung. Die kleineren Institute (Aufsichtskategorien 4 und 5) können dazu auch an den Übungen des Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC) teilnehmen, solange das institutsspezifische Bedrohungspotenzial mit der entsprechenden Übung des Swiss FS-CSC bestimmt werden kann.
Die FINMA behält sich ferner vor,
solche risikobasierte szenariobezogene Cyber- Übungen selektiv im Rahmen der aufsichtsrechtlichen Prüfung oder einer Zusatzprüfung durchführen zu lassen und eng zu begleiten.