Takea­ways (AI):
  • Cyber­ri­si­ken sind wei­ter­hin eines der gröss­ten ope­ra­tio­nel­len Risi­ken, mit hohem Druck auf Insti­tu­te zur Reak­ti­on und Über­prü­fung ihrer Infrastruktur.
  • Die FINMA hat die Auf­sichts­pra­xis bei Cyber­ri­si­ken im revi­dier­ten RS Ope­ra­tio­nel­le Risi­ken, gül­tig ab 1. Janu­ar 2024, ange­passt.
  • Neu erfasst Out­sour­cing als wesent­li­chen Trei­ber ope­ra­tio­nel­ler Risi­ken, was zu erhöh­ten Abhän­gig­kei­ten bei Finanz­in­sti­tu­ten führt.
  • Ins­ti­ute müs­sen das Wis­sen zum Manage­ment und zur Über­wa­chung aus­ge­la­ger­ter Funk­tio­nen auf­bau­en, um Risi­ken ange­mes­sen zu identifizieren.

Die FINMA ver­öf­fent­licht jähr­lich einen Risi­ko­mo­ni­tor als Über­blick über die von der FINMA als aktu­ell beson­ders bedeu­tend ein­ge­stuf­ten Risi­ken für die Beauf­sich­tig­ten und den Fokus ihrer Aufsichtstätigkeit.

Cyber-Risi­ken

Im Risk Moni­tor für das Jahr 2023 berich­tet die FINMA zuerst über Cyber­ri­si­ken (s. dazu auch das Dos­sier Cyber­ri­si­ken der FINMA). Sie sieht Cyber­ri­si­ken wei­ter­hin als eines der gröss­ten ope­ra­tio­nel­len Risi­ken. Die Anzahl der dazu bei der FINMA gemach­ten Mel­dun­gen (Art. 29 Abs. 2 FINMAG) ver­harr­te auf dem bis­he­ri­gen Niveau, aber der Druck auf Insti­tu­te, die aktu­el­le Bedro­hungs­la­ge im Blick zu hal­ten, schnell zu reagie­ren und fort­lau­fend die eige­ne Infra­struk­tur auf Schwach­stel­len zu testen, blei­be gross, beson­ders mit Blick auf Zero-Day-Exploits oder DDoS-Attacken. Die Art der Angrif­fe ver­teilt sich wie folgt:

Inner­halb der Auf­sichts­ka­te­go­rien stam­men die Mel­dun­gen in abso­lu­ten Zah­len vor allem von den gro­ssen Insti­tu­ten. Aller­dings wer­den klei­ne­re Insti­tu­te häu­fi­ger ange­grif­fen, und Ver­si­che­rungs­un­ter­neh­men (rund 30%) und Ver­mö­gens­ver­wal­ter (rund 20%) holen auf:

Bei den Angriffs­vek­to­ren ste­hen Soft­ware-Schwach­stel­len und Angrif­fe über eine Web-Schnitt­stel­le im Vor­der­grund, aber Angrif­fe über Dienst­lei­ster neh­men zu:

Unter ande­rem vor die­sem Hin­ter­grund hat die FINMA im revi­dier­ten RS Ope­ra­tio­nel­le Risi­ken (in Kraft am 1. Janu­ar 2024) die Auf­sichts­pra­xis bei Cyber­ri­si­ken ange­passt. Sie hat zudem bei klei­nen und mitt­le­ren Ver­si­che­run­gen eine Umfra­ge durch­ge­führt, um die Matu­ri­tät des Manage­ments von Cyber­ri­si­ken ein­schät­zen zu kön­nen, und sie wer­de gestützt dar­auf “wei­te­re punk­tu­el­le Auf­sichts­mass­nah­men defi­nie­ren”. Auch bei Ban­ken hat die FINMA einen ent­spre­chen­den Deep Dive durch­ge­führt, über den sie im Risi­ko­mo­ni­tor (noch) nicht berichtet.

Neu erfass­tes Risi­ko Outsourcing

Neu erfasst die FINMA im Risko­mo­ni­tor Out­sour­cing als “wesent­li­chen Trei­ber ope­ra­tio­nel­ler Risi­ken”. Mit einer Zunah­me der wesent­li­cher Aus­la­ge­run­gen steigt die Kom­ple­xi­tät der Lie­fer­ket­te. Finanz­in­sti­tu­te lagern vor allem Geschäfts­pro­zes­se wie den Zah­lungs­ver­kehr (2÷3 der Ban­ken), Wert­schrif­ten­ab­wick­lung oder IT-Infra­struk­tur (80% der Ban­ken, 60% der Ver­si­che­rer) ganz oder teil­wei­se aus. Dadurch erge­ben sich Abhän­gig­kei­ten, beson­ders bei Insti­tu­ten mit Kon­zen­tra­ti­ons­ri­si­ken wie ins­be­son­de­re bei Cloud-Dien­sten, aber – wie erwähnt – auch wei­te­re Risi­ken von Cyberangriffen.

Insti­tu­te blei­ben für die ord­nungs­ge­mä­sse Geschäfts­füh­rung ver­ant­wort­lich. Sie müs­sen daher das Wis­sen auf­bau­en, um aus­ge­la­ger­te Funk­tio­nen steu­ern und über­wa­chen und bei Bedarf Mass­nah­men ergrei­fen zu kön­nen. Nach­hol­be­darf sieht die FINMA ins­be­son­de­re bei der Iden­ti­fi­ka­ti­on der gesam­ten Lie­fer­ket­te und der damit ver­bun­de­nen Risi­ken, und Risi­ken im Zusam­men­hang mit wesent­li­chen Aus­la­ge­run­gen wer­den teil­wei­se nicht ange­mes­sen iden­ti­fi­ziert, über­wacht und gesteuert.

AI-generierte Takeaways können falsch sein.