Cyberrisiken (2024)

Der Schweizer Finanzplatz steht nach wie vor im Fokus der internationalen Cyberkriminalität, unter anderem von bekannten internationalen Ransomware-Gruppierungen wie etwa PLAY, AKIRA und Lockbit 3.0. Gleichzeitig hat die FINMA mit der verstärkten Aufsicht von kleineren Marktteilnehmern wie unabhängigen Vermögensverwalterinnen und -verwaltern oder ungebundenen Versicherungsvermittlerinnen und -vermittlern eine steigende Anzahl von Cyberattacken auf diese Beaufsichtigten registriert.

Vermehrt meldeten Beaufsichtigte über alle Aufsichtskategorien hinweg Cybervorfälle im Zusammenhang mit dem sogenannten Business-E-Mail-Compromise (BEC; Rechnungsmanipulationsbetrug) und mit Cyber-Betrugsformen wie CEO-Fraud (betrügerische Zahlungsaufforderung unter Identitätsmissbrauch einer Führungsperson).

Die Vorfälle waren zum Teil mit hohen Schadensummen für die betroffenen Institute und deren Kundinnen und Kunden verbunden. Auch SIM-Swapping-Angriffe (Form des Identitätsdiebstahls via Umgehung der Multifaktorauthentifizierung, bei der eine digitale SIM-Karte erzeugt bzw. gestohlen wird) wurden der FINMA gemeldet.

Der E-Mail-Verkehr bleibt bei kleineren Beaufsichtigten der häufigste Infektionsvektor bei einem Cybervorfall. Die erhaltenen Ursachenberichte zeigen, dass bei diesen Beaufsichtigten die getroffenen Cyber-Schutzvorkehrungen einen geringeren Umfang bzw. Reifegrad aufwiesen. Dies betraf sowohl die Sensibilisierung als auch die technischen Schutzmassnahmen.

Unzureichende Prozesse zur Erkennung und zeitnahen Behebung von Software-Schwachstellen innerhalb der Technologieinfrastruktur sowie Lücken im Konfigurationsmanagement waren weitere Eintrittstore für Angreifer. So konnten beispielsweise die Multifaktorauthentifizierungen aufgrund von Konfigurationsfehlern umgangen werden oder betroffene Institute hatten keine flächendeckende Zweifaktorauthentifizierung im Einsatz.

Wiederholt bemerkten betroffene Institute die Cyberattacken über längere Zeit nicht. Die Angriffe erfolgten auf eine veraltete und nicht mehr gewartete Technologieinfrastruktur oder externe Dienstleister informierten die betroffenen Institute nicht rechtzeitig. Dies deutet einerseits auf grosse Lücken im Lifecycle-Management der IT-Infrastruktur hin. Andererseits zeigt es Schwächen im Cyber-Sicherheitsdispositiv im Zusammenhang mit Dienstleistern auf. Die Erkennungs- und Reaktionsfähigkeit der Institute bleiben entscheidende Faktoren bei der erfolgreichen Bewältigung von Cyberattacken. Allein der Umstand, dass es sich bei einem Viertel der gemeldeten Vorfälle um Infektionen mit Schadsoftware handelt, unterstreicht diese Tatsache.

Im vergangenen Jahr traten erneut mehrfach Wellen von Angriffen auf die Verfügbarkeit von Technologieinfrastruktur auf, sogenannte Distributed-Denial-of-Service-Attacken (DDoS; Angriffe auf die Verfügbarkeit der Technologieinfrastruktur). Sie führten zu zeitlich begrenzten Einschränkungen für Schweizer Finanzmarktteilnehmer und ihre Kundinnen und Kunden. Die Angriffe waren meist finanziell motiviert und gingen mit Erpressungsschreiben einher. Auch ideologisch motivierte DDoS-Wellen trafen kritische Infrastrukturen in der Schweiz.

Supply-Chain-Attacken und Cybervorfälle im Zusammenhang mit ausgelagerten Dienstleistungen und Funktionen bleiben relevant und betreffen weiterhin fast ein Drittel aller gemeldeten Cybervorfälle. Es ist davon auszugehen, dass Cyberattacken auf die Informations- und Kommunikationstechnologie-Lieferketten weiter zunehmen werden. Entsprechend sind technische und organisatorische Massnahmen zu ergreifen, um die wesentlichen Geschäftsprozesse sowie kritischen Daten zu schützen.

(Aus dem Risikomonitor 2024)