In der Pandemie mussten auch viele Firmen des Finanzsektors ihre IT-Architektur im Eiltempo umkrempeln und etwa vermehrt Homeoffice anbieten. Die Chief Information Security Officer (CISOs) befürchten nun, dass sie auf diese grossen Veränderungen nicht adäquat reagieren könnten. Sie fordern angemessene Budgets, um die Sicherheit hoch zu halten. Dies geht aus einem Cyber-Security-Report zum Schweizer Finanzsektor hervor, den SIX heute präsentiert hat.

So wollen die 53 befragten Cyber-Security-Manager genügend Ressourcen für den Betrieb sicherstellen, aber auch die notwendigen Fachleute im Unternehmen behalten. Die Chefetagen sollen der Cyber-Security Priorität einräumen, fordern sie. Schliesslich hegen die CISOs in der Finanzbranche in Sachen Cloud-Migration und Risikomanagement von Drittanbietern einige Bedenken. Sie wünschen sich von den Aufsichtsbehörden dafür angemessene Sicherheitsrichtlinien.

Im März, als die erste Welle der Pandemie über Europa rollte, beobachteten die Security-Forscher von SIX eine starke Zunahme von Cyber-Angriffen auf Finanzfirmen weltweit. Die Zahl sei aber insgesamt etwa auf dem Niveau des Vorjahres geblieben.

Der Schweizer Finanzsektor verzeichnete im Vergleich zu anderen Ländern nach wie vor eine sehr geringe Zahl von Cyberattacken. 80 Prozent der befragten Schweizer CISOs haben weniger als 50 Sicherheitsvorfälle innerhalb von 12 Monaten registriert. Das macht stutzig. Die Schweiz rangiert im ITU Global Security Index, der das Engagement von Ländern im Bereich der Cybersicherheit misst, nur gerade auf Rang 37. Zugleich dürfte der grosse hiesige Finanzplatz auch für Cyber-Kriminelle attraktiv sein.

Bernhard Distl, Cyber Security Expert bei SIX, hielt an der Präsentation des Studie dann auch fest, dass dies sein Team schon seit letztem Jahr umtreibe. Die geringe Zahl der beobachteten Angriffe sei überraschend. Eine Erklärung bietet laut dem Report die relativ kleine Anzahl grosser Retailbanken. Denn diese seien anderswo öfter im Fokus von Hackern gewesen. Zudem sei die Schweiz stark reguliert und deshalb bei den Instituten ein entsprechendes Sicherheitsniveau zu vermuten.

Aber dies erklärt den Gap nur teilweise, die weiteren Antworten sind nicht eben schmeichelhaft: Die Umfrage habe nämlich ergeben, dass viele hiesige CISOs nur eine begrenzte Einsicht in Cyberangriffe hätten. Jene die eine hohe Sichtbarkeit angaben, hätten auch mehr Vorfälle beobachtet. Allerdings ist die Selbsteinsicht offenbar nicht sehr hoch: Auch unter jenen, die nur 50 oder weniger Vorfälle gemeldet hatten, gaben 43 Prozent an, dass sie eine gute Visibilität hätten.

Die Autoren des Reports halten zudem fest: "Diese niedrige Beobachtungsrate deutet nicht unbedingt darauf hin, dass Schweizer Finanzinstitute weniger ins Visier genommen werden als Institute in anderen Ländern. Es ist wahrscheinlich, dass ein gewisser Prozentsatz der Fälle aufgrund eines Mangels an einer robusten Infrastruktur für den Informationsaustausch nicht gemeldet wird."

In den USA seien Cyber-Angriffe deutlich besser dokumentiert, während die Informationen in der Schweiz offenbar teils spärlich sind. Neben einer internationalen Gemeinschaft für den Informationsaustausch fordern die Studien-Autoren von SIX deshalb auch, dass definiert wird, was Cybervorfälle sind und wie sie gemeldet werden sollten.

Angesichts der Entwicklung der Cyberrisiken stelle sich die Frage, ob dieser freiwillige Austausch genüge, um Bedrohungen frühzeitig und sektorenübergreifend zu erkennen, teilte der Bundesrat im letzten Dezember mit. Derzeit wird abgeklärt, ab welchem Ausmass Cybervorfälle meldepflichtig werden, welche Fristen gelten und ob Meldungen anonym abgegeben werden können. Bis Ende 2020 soll der Regierung vom Zentrum für Cyber-Sicherheit (NCSC) und dem Bundesamt für Bevölkerungsschutz (Babs) eine Vorlage unterbreitet werden.

Im Rahmen des Cyber Security Reports 2020 wurden rund 90 Mitglieder des SIX Security Hubs befragt, zudem flossen Erkenntnisse der hauseigenen Sicherheits-Fachleute ein. An der Untersuchung der aktuellen Cyberbedrohungen beteiligte sich auch die ETH Zürich.