- Cyberrisiken sind weiterhin eines der grössten operationellen Risiken, mit hohem Druck auf Institute zur Reaktion und Überprüfung ihrer Infrastruktur.
- Die FINMA hat die Aufsichtspraxis bei Cyberrisiken im revidierten RS Operationelle Risiken, gültig ab 1. Januar 2024, angepasst.
- Neu erfasst Outsourcing als wesentlichen Treiber operationeller Risiken, was zu erhöhten Abhängigkeiten bei Finanzinstituten führt.
- Instiute müssen das Wissen zum Management und zur Überwachung ausgelagerter Funktionen aufbauen, um Risiken angemessen zu identifizieren.
Die FINMA veröffentlicht jährlich einen Risikomonitor als Überblick über die von der FINMA als aktuell besonders bedeutend eingestuften Risiken für die Beaufsichtigten und den Fokus ihrer Aufsichtstätigkeit.
Cyber-Risiken
Im Risk Monitor für das Jahr 2023 berichtet die FINMA zuerst über Cyberrisiken (s. dazu auch das Dossier Cyberrisiken der FINMA). Sie sieht Cyberrisiken weiterhin als eines der grössten operationellen Risiken. Die Anzahl der dazu bei der FINMA gemachten Meldungen (Art. 29 Abs. 2 FINMAG) verharrte auf dem bisherigen Niveau, aber der Druck auf Institute, die aktuelle Bedrohungslage im Blick zu halten, schnell zu reagieren und fortlaufend die eigene Infrastruktur auf Schwachstellen zu testen, bleibe gross, besonders mit Blick auf Zero-Day-Exploits oder DDoS-Attacken. Die Art der Angriffe verteilt sich wie folgt:
Innerhalb der Aufsichtskategorien stammen die Meldungen in absoluten Zahlen vor allem von den grossen Instituten. Allerdings werden kleinere Institute häufiger angegriffen, und Versicherungsunternehmen (rund 30%) und Vermögensverwalter (rund 20%) holen auf:
Bei den Angriffsvektoren stehen Software-Schwachstellen und Angriffe über eine Web-Schnittstelle im Vordergrund, aber Angriffe über Dienstleister nehmen zu:
Unter anderem vor diesem Hintergrund hat die FINMA im revidierten RS Operationelle Risiken (in Kraft am 1. Januar 2024) die Aufsichtspraxis bei Cyberrisiken angepasst. Sie hat zudem bei kleinen und mittleren Versicherungen eine Umfrage durchgeführt, um die Maturität des Managements von Cyberrisiken einschätzen zu können, und sie werde gestützt darauf “weitere punktuelle Aufsichtsmassnahmen definieren”. Auch bei Banken hat die FINMA einen entsprechenden Deep Dive durchgeführt, über den sie im Risikomonitor (noch) nicht berichtet.
Neu erfasstes Risiko Outsourcing
Neu erfasst die FINMA im Riskomonitor Outsourcing als “wesentlichen Treiber operationeller Risiken”. Mit einer Zunahme der wesentlicher Auslagerungen steigt die Komplexität der Lieferkette. Finanzinstitute lagern vor allem Geschäftsprozesse wie den Zahlungsverkehr (2÷3 der Banken), Wertschriftenabwicklung oder IT-Infrastruktur (80% der Banken, 60% der Versicherer) ganz oder teilweise aus. Dadurch ergeben sich Abhängigkeiten, besonders bei Instituten mit Konzentrationsrisiken wie insbesondere bei Cloud-Diensten, aber – wie erwähnt – auch weitere Risiken von Cyberangriffen.
Institute bleiben für die ordnungsgemässe Geschäftsführung verantwortlich. Sie müssen daher das Wissen aufbauen, um ausgelagerte Funktionen steuern und überwachen und bei Bedarf Massnahmen ergreifen zu können. Nachholbedarf sieht die FINMA insbesondere bei der Identifikation der gesamten Lieferkette und der damit verbundenen Risiken, und Risiken im Zusammenhang mit wesentlichen Auslagerungen werden teilweise nicht angemessen identifiziert, überwacht und gesteuert.