Wie schon in den Vorjahren wurde zusätzlich zu den regulären Prüfungen der Prüfgesellschaften mehr als ein Dutzend Institute mit cyberspezifischen Vor-Ort-Kontrollen direkt durch die FINMA geprüft. Darüber hinaus fanden mehrere Aufsichtsgespräche zum Thema mit den systemrelevanten Instituten statt.
Die Anzahl der bei der FINMA eingegangenen Meldungen über erfolgreiche Cyberattacken auf beaufsichtigte Institute blieb stabil auf dem Niveau von 2022. Die FINMA berichtete im Risikomonitor 2023 ausführlich darüber. Erneut waren externe Dienstleister von beaufsichtigten Instituten vermehrt das Ziel von Angriffen. Diese Angriffe machten 2022 rund 50 Prozent der gemeldeten Cyberattacken aus. Ein Trend, der sich 2023 leicht abgeschwächt fortsetzte (siehe dazu die Beiträge im Jahresbericht 2022 sowie im Risikomonitor 2022).
Die Erfahrungen aus den vergangenen Jahren zeigten, dass Angreifer vermehrt kleine Institute im Visier hatten und diese überdurchschnittlich oft von erfolgreichen Cyberattacken betroffen waren. Um dieses Risiko besser einschätzen zu können, wurde eine grossflächige Maturitätsanalyse bei mittleren und kleinen Versicherungsinstituten sowie bei ausgewählten Vermögensverwaltern durchgeführt.
Ein Grossteil der von der FINMA bei cyberspezifischen Vor-Ort-Kontrollen identifizierten Mängel lag im Bereich der Governance. Sehr oft, insbesondere bei mittelgrossen Instituten, stellte die FINMA eine unklare Abgrenzung zwischen der ersten und der zweiten Verteidigungslinie fest. Es ist wesentlich, dass der operative Umgang mit Cyberrisiken kontinuierlich von einer unabhängigen Risikokontrollorganisation überprüft wird, damit die dritte Verteidigungslinie ihre Audits gezielt auf die grössten Risiken im Cyberbereich des Instituts ausrichten kann.
Am zweithäufigsten deckten Vor-Ort-Kontrollen der FINMA Lücken im Bereich der Identifikation von institutsspezifischen Bedrohungspotenzialen auf. Einige Institute haben noch nicht klar definiert, was ihre kritischen Daten umfassen. Zudem ist oftmals nicht bekannt, welche Mitarbeitenden Zugriff auf kritische Daten haben, weil ein zentrales Berechtigungstool fehlt. Dieser Umstand erschwert es der Sicherheitsorganisation des Unternehmens, ein auf die wichtigsten Daten ausgerichtetes Schutzdispositiv zu erstellen.
Des Weiteren stellte die FINMA Lücken im Data-Loss-Prevention-Schutzdispositiv, ein fehlendes Cyberszenario im Business Continuity Management oder mangelhaft umgesetzte oder ungetestete Backup- oder Wiederherstellungspläne fest.
Hinsichtlich des Outsourcings formulierte die FINMA 2023 ihre klare Erwartung: Dienstleistungen können Beaufsichtigte auslagern, die damit einhergehende Verantwortung aber nicht.
Auch 2023 waren bei Cyberangriffen auf Institute zunehmend Informations- und Kommunikationstechnologien betroffen, die an Dritte ausgelagert wurden. Die Vor-Ort-Kontrollen zeigten, dass die Gründe dafür in unklaren Anforderungen hinsichtlich der Cybersicherheit an die beauftragten Dienstleister oder in der fehlenden oder unregelmässigen Überprüfung dieser Anforderungen lagen. Bei der Aufsicht über Cyberrisiken waren die wesentlichen Dienstleister daher ein Aufsichtsschwerpunkt. Das Ziel der FINMA war es, herauszufinden, warum Angriffe auf Dienstleister überdurchschnittlich häufig erfolgreich waren.
Die FINMA beobachtete oft, dass die direkt beaufsichtigten Institute schwerwiegende Schwachstellen schnell unter Kontrolle brachten und so einen direkten Schaden abwenden konnten. Ihre Dienstleister gingen jedoch oftmals nicht mit derselben Effektivität vor und waren nicht ausreichend auf erfolgreiche Cyberangriffe vorbereitet.
Nur sehr wenige Institute waren bei schwerwiegenden Sicherheitslücken im Austausch mit ihren wichtigsten Dienstleistern, um sicherzustellen, dass diese die Schwachstelle zügig und vor Eintritt eines Schadens schliessen können.
Sehr oft lag ein unvollständiges Inventar der Institute über ihre Dienstleister vor: Es fehlte eine Ergänzung, dass beim Dienstleister kritische Daten gespeichert sind oder dieser verantwortlich für die Erbringung einer kritischen Funktion ist. Dies führte dazu, dass die Institute der FINMA die Cyberattacken auf ihre Dienstleister, bei denen kritische Daten abgeflossen waren, zwar meldeten, den Dienstleister im Inventar aber nicht als wesentlich bzw. kritisch erfasst hatten. Deshalb fand dort oftmals eine lückenhafte oder gar keine regelmässige Kontrolle statt.
Die vorangehend genannte Beobachtung geht Hand in Hand mit der vorgängig beschriebenen Feststellung im Bereich der Identifikation: Die betroffenen Institute hatten keine klare Definition davon, was für sie kritische Daten sind. Dies erschwert nicht nur den internen Schutz dieser Daten, sondern auch die angemessene Klassifizierung der Dienstleister und die Bestimmung der erforderlichen Kontrollmassnahmen zur Reduktion der identifizierten Risiken.
(Aus dem Jahresbericht 2023)