Finma: Banken haben Defizite beim Schutz vor Cyber-Attacken

Kritische Aspekte im Umgang mit Cyber-Risiken sind bei manchen Banken primär auf Papier geregelt.
 
"Die Geschäftsleitung hat ein Risikomanagement-Konzept für den Umgang mit Cyber-Risiken zu implementieren." Schreibt die Finma den Finanzinstituten seit 1. Januar 2009 vor und hat die Anforderungen in einem Rundschreiben 2016 in verschiedenen Punkten aktualisiert und revidiert. Man schenke Cyber-Risiken "grosse Beachtung", so der Jahresbericht 2016, denn "die Gefahr von Cyber-Attacken bei Finanzinstituten hat sich allgemein erhöht".
 
Jetzt zieht die Finma Bilanz, wie es bei Banken und Effektenhändler in Sachen Cyber-Security aktuell steht. Zusammenfassend: Durchwachsen und mittelmässig.
 
Dies zeigt sich zum einen in der Selbstbeurteilung von Banken selbst. Schon die Tatsache, dass man mit der Aufforderung zur Selbstbeurteilung kleinere Banken für Cyber-Risiken "sensibilisieren" muss, spricht kein gutes Zeugnis über diese.
 
Immerhin verfügen viele über eine Governance und können Bedrohungspotentiale für sensitive und kritische Daten identifizieren. Diverse haben mindestens teilweise Schutzmechanismen implementiert.
 
"Wesentliche Massnahmen gar nicht implementiert"
 
Bei der Erkennung von Cyber-Attacken allerdings bewegen sich nach eigenen Aussagen viele Institute auf dem Niveau, das Security-Experten auch bei KMUs in weniger sensitiven Brachen sehen. Es fehlen "einerseits Massnahmen, die den Umgang mit komplexeren Bedrohungsszenarien regeln, andererseits eine notwendige Erweiterung der Anwendung technischer Überwachungsansätze", so die Finma.
 
Sechs Prozent der kleineren Institute haben offenbar wenig dafür vorgesehen, um den normalen Geschäftsbetrieb nach einer Attacke zeitnah wieder aufnehmen zu können. Die Unterschiede zwischen den einzelnen Finanzprofis seien beträchtlich, so die Finma: "Während einige Banken fast alle Massnahmen als vollständig umgesetzt beurteilten, gaben andere Institute an, dass praktisch keine davon vollständig implementiert wurde."
 
Falls Sie sich nun fragen, ob Ihr Geld bei einer Amateurbank in Sachen Cyber-Security liegt: Namen nennt die Finma keine.
 
Auch Grossbanken haben Lücken
Wie sieht es bei systemrelevanten Instituten aus, bei welchen die Finma Zusatzprüfungen vorgenommen hat? Im Allgemeinen scheint die Bilanz nicht viel besser: "Die Zusatzprüfungen zeigten, dass insbesondere bei der Identifikation von Bedrohungspotenzialen durch Cyber-Attacken sowie beim Schutzdispositiv noch Defizite bestehen."
 
Es ist für manche Institute also noch ein längerer Weg hin
zu einem Niveau, das die Finma als "angemessen" definiert. Auf Anfrage von inside-it.ch präzisiert die Finma den Begriff: "Die Angemessenheit in der Abwehr von Bedrohungen aus dem Cyberspace bezieht sich dabei auf die Umsetzung und Konkretisierung dieser im Rundschreiben beschriebenen kritischen Aspekte durch die beaufsichtigten Banken. Die Finma verfolgt eine prinzipienbasierte Regulierung beziehungsweise eine risikoorientierte Aufsicht. Das heisst, die Angemessenheit in der Umsetzung wird entlang der Aufsichtskategorisierung und in Abhängigkeit der Grösse, Komplexität, Struktur und des Risikoprofils des beaufsichtigten Instituts beurteilt. Als Benchmark für die Umsetzung und Konkretisierung der kritischen Aspekte im Umgang mit Cyber-Risiken werden international anerkannte Rahmenwerke herangezogen, insbesondere das NIST-Konzept."
 
Banken ergreifen Schritte
Sechs Punkte umfasst das von der Finma geforderte Risikomanagement-Konzept, sie reichen vom Erkennen der Bedrohungspotentiale über zeitnahe Reaktionen bis hin zur raschen Recovery nach Attacken. Ein Inventar kritischer Technologien, die Definition eindeutiger Rollen und Rechte sowie die Sensibilisierung von Mitarbeitern kommen hinzu.
 
Konkrete organisatorische oder technologische Spezifikationen macht die Finma keine. Auch der Begriff 'zeitnah' wird nicht definiert: "Wie schnell oder 'zeitnah' Cyber-Attacken erkannt werden müssen, muss ein Institut im Einklang mit dem Risikomanagement-Konzept spezifisch definieren", antwortet ein Finma-Sprecher.
 
Was nun? Was tun die Banken in Konsequenz? Auch dies haben wir die Finma gefragt: "Die von der Finma durchgeführten Massnahmen im Umgang mit Cyber-Risiken hatten bei den beaufsichtigten Instituten unterschiedliche Projekte zur Folge. Als Beispiel sind Projekte hinsichtlich eines systematischen "Threat Intelligence" im Bereich der Identifikation von Cyberbedrohungen, Projekte in Bezug auf sog. "DLP"-Lösungen im Bereich Schutz vor Cyber-Attacken oder den Einsatz von 'Security Information und Event Management-Lösungen' bei Erkennung von Cyber-Attacken zu nennen." (Marcel Gamma)