CISOs der Schweizer Finanzwelt sorgen sich um Cybersicherheit

10. November 2020 um 16:39
  • finanzindustrie
  • security
  • studie
  • coronavirus
  • six
image

Wieso gibt es im Vergleich so wenige Angriffe auf hiesige Banken, obwohl das Security-Ranking der Schweiz schlecht ist? Ein Report von SIX bietet Antworten.

In der Pandemie mussten auch viele Firmen des Finanzsektors ihre IT-Architektur im Eiltempo umkrempeln und etwa vermehrt Homeoffice anbieten. Die Chief Information Security Officer (CISOs) befürchten nun, dass sie auf diese grossen Veränderungen nicht adäquat reagieren könnten. Sie fordern angemessene Budgets, um die Sicherheit hoch zu halten. Dies geht aus einem Cyber-Security-Report zum Schweizer Finanzsektor hervor, den SIX heute präsentiert hat.
So wollen die 53 befragten Cyber-Security-Manager genügend Ressourcen für den Betrieb sicherstellen, aber auch die notwendigen Fachleute im Unternehmen behalten. Die Chefetagen sollen der Cyber-Security Priorität einräumen, fordern sie. Schliesslich hegen die CISOs in der Finanzbranche in Sachen Cloud-Migration und Risikomanagement von Drittanbietern einige Bedenken. Sie wünschen sich von den Aufsichtsbehörden dafür angemessene Sicherheitsrichtlinien.

Grosse Angriffsfläche, wenig Angriffe?

Im März, als die erste Welle der Pandemie über Europa rollte, beobachteten die Security-Forscher von SIX eine starke Zunahme von Cyber-Angriffen auf Finanzfirmen weltweit. Die Zahl sei aber insgesamt etwa auf dem Niveau des Vorjahres geblieben.

image
Auszug aus dem ITU Global Security Index
Der Schweizer Finanzsektor verzeichnete im Vergleich zu anderen Ländern nach wie vor eine sehr geringe Zahl von Cyberattacken. 80 Prozent der befragten Schweizer CISOs haben weniger als 50 Sicherheitsvorfälle innerhalb von 12 Monaten registriert. Das macht stutzig. Die Schweiz rangiert im ITU Global Security Index, der das Engagement von Ländern im Bereich der Cybersicherheit misst, nur gerade auf Rang 37. Zugleich dürfte der grosse hiesige Finanzplatz auch für Cyber-Kriminelle attraktiv sein.
Bernhard Distl, Cyber Security Expert bei SIX, hielt an der Präsentation des Studie dann auch fest, dass dies sein Team schon seit letztem Jahr umtreibe. Die geringe Zahl der beobachteten Angriffe sei überraschend. Eine Erklärung bietet laut dem Report die relativ kleine Anzahl grosser Retailbanken. Denn diese seien anderswo öfter im Fokus von Hackern gewesen. Zudem sei die Schweiz stark reguliert und deshalb bei den Instituten ein entsprechendes Sicherheitsniveau zu vermuten.

Wenig Visibilität, schlechte Meldungsstrukturen

Aber dies erklärt den Gap nur teilweise, die weiteren Antworten sind nicht eben schmeichelhaft: Die Umfrage habe nämlich ergeben, dass viele hiesige CISOs nur eine begrenzte Einsicht in Cyberangriffe hätten. Jene die eine hohe Sichtbarkeit angaben, hätten auch mehr Vorfälle beobachtet. Allerdings ist die Selbsteinsicht offenbar nicht sehr hoch: Auch unter jenen, die nur 50 oder weniger Vorfälle gemeldet hatten, gaben 43 Prozent an, dass sie eine gute Visibilität hätten.
Die Autoren des Reports halten zudem fest: "Diese niedrige Beobachtungsrate deutet nicht unbedingt darauf hin, dass Schweizer Finanzinstitute weniger ins Visier genommen werden als Institute in anderen Ländern. Es ist wahrscheinlich, dass ein gewisser Prozentsatz der Fälle aufgrund eines Mangels an einer robusten Infrastruktur für den Informationsaustausch nicht gemeldet wird."
In den USA seien Cyber-Angriffe deutlich besser dokumentiert, während die Informationen in der Schweiz offenbar teils spärlich sind. Neben einer internationalen Gemeinschaft für den Informationsaustausch fordern die Studien-Autoren von SIX deshalb auch, dass definiert wird, was Cybervorfälle sind und wie sie gemeldet werden sollten.
Angesichts der Entwicklung der Cyberrisiken stelle sich die Frage, ob dieser freiwillige Austausch genüge, um Bedrohungen frühzeitig und sektorenübergreifend zu erkennen, teilte der Bundesrat im letzten Dezember mit. Derzeit wird abgeklärt, ab welchem Ausmass Cybervorfälle meldepflichtig werden, welche Fristen gelten und ob Meldungen anonym abgegeben werden können. Bis Ende 2020 soll der Regierung vom Zentrum für Cyber-Sicherheit (NCSC) und dem Bundesamt für Bevölkerungsschutz (Babs) eine Vorlage unterbreitet werden.
Im Rahmen des Cyber Security Reports 2020 wurden rund 90 Mitglieder des SIX Security Hubs befragt, zudem flossen Erkenntnisse der hauseigenen Sicherheits-Fachleute ein. An der Untersuchung der aktuellen Cyberbedrohungen beteiligte sich auch die ETH Zürich.

Loading

Mehr erfahren

Mehr zum Thema

image

Behörden schalten grosses Hacker-Forum aus

Auf Breachforums wurden zuletzt die Datensätze von Dell und Europol verkauft. Beteiligt an der internationalen Aktion war auch die Kantonspolizei Zürich. In der Schweiz wurden Server sichergestellt.

publiziert am 16.5.2024
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollte nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

Datenleck bei BFH betrifft 9600 Kursteilnehmende

Die Berner Fachhochschule (BFH) hat eigenen Angaben zufolge sofort reagiert und die Betroffenen informiert.

publiziert am 14.5.2024