Zunahme von Cyberattacken: Durchführung von Vor-Ort-Kontrollen und Szenarioanalysen

Erfolgreiche Cyberangriffe auf Unternehmen aus allen Branchen sorgten in der Schweiz wie global auch 2022 wiederholt für Schlagzeilen. Die FINMA stellte ebenfalls eine zunehmende Zahl von gemeldeten Cyberattacken auf beaufsichtigte Institute fest.

Seit Inkrafttreten der Präzisierungen zur Cybermeldepflicht im September 2020 (siehe auch Aufsichtsmitteilung 05/2020) gingen bis Ende 2022 insgesamt 160 Meldungen von Cyberattacken von wesentlicher Bedeutung ein. 63 Meldungen erfolgten im Jahr 2022. 48 davon betrafen Banken. Mehr als die Hälfte der Cyberattacken richtete sich gegen kleine Institute. Rund je ein Viertel der Attacken zielte auf Institute der Aufsichtskategorien 3 und 4, und nur eine Cyberattacke betraf ein grösseres Institut (siehe auch Abbildung «Der FINMA gemeldete Cyberattacken 2022» unten). Detaillierte Informationen zu eingegangenen Meldungen sind im Risikomonitor 2022  aufgeführt.


In ihrem jährlich veröffentlichten Risikomonitor führte die FINMA das Cyberrisiko daher auch 2022 als eines von sieben Hauptrisiken für den Finanzplatz auf. Bei der Überwachung dieses Risikos standen für die FINMA zwei Aspekte im Fokus: Einerseits beobachtete und beurteilte sie laufend die Bedrohungslage und analysierte die Cybermeldungen; andererseits führte sie spezifische Vor-Ort-Kontrollen bei Beaufsichtigten sowie Szenarioanalysen durch.



JB22



Nach vermehrten sogenannten DDoS-Aktivitäten (Distributed Denial of Service) im Jahr davor waren 2022 insbesondere Angriffe mittels Schadsoftware zu verzeichnen, die die Integrität wesentlicher Informatikkomponenten bedrohten. Die Cybermeldungen zeigten zudem, dass der unberechtigte Zugriff auf die Infrastruktur von Beaufsichtigten weiterhin das Hauptziel der Angriffe war. Am häufigsten erfolgten die Attacken über einen externen Dienstleister im Rahmen eines Outsourcings von Dienstleistungen, gefolgt von webbasierten Angriffen.


Bei vielen gemeldeten Attacken auf Banken (66 Prozent) standen im Berichtsjahr Institute der Aufsichtskategorien 4 und 5  im Fokus. Es fiel auf, dass diese Institute besonders anfällig für Angriffe sind. Häufig war dabei Informations- und Kommunikationstechnologie betroffen, die an Dritte ausgelagert wurde (Outsourcing). Dabei zeigte sich auch, dass oft zu wenig klare Anforderungen hinsichtlich der Cybersicherheit an die Dienstleister gestellt oder die Einhaltung der Anforderungen nicht regelmässig überprüft wurde. Weiter stellte die FINMA fest, dass das qualitative operationelle Risikomanagement oftmals das Cyberrisiko nicht explizit berücksichtigte und dadurch kein systematisches und umfassendes Risikomanagement für den Cyberbereich gewährleistet wurde.


Im Rahmen der Totalrevision des Rundschreibens über das operationelle Risikomanagement bei Banken (siehe Abschnitt «Revision von Rundschreiben», Jahresbericht 2022, S. 69) wurden auch die aufsichtsrechtlichen Vorgaben über Cyberrisiken gezielt überarbeitet. Dies umfasste unter anderem die Präzisierung der Inventarisierung der Informations- und Kommunikationstechnologie (IKT) als Grundlage für eine zeitnahe Erkennung von Schwachstellen und von Zusammenhängen zwischen Bedrohungen und Risiken (sogenannter Threat Intelligence).

(Aus dem Jahresbericht 2022)

Jahresbericht 2022

Zuletzt geändert: 28.03.2023 Grösse: 2.51  MB
Zur Merkliste hinzufügen
FINMA-Aufsichtsmitteilung 05/2020

Meldepflicht von Cyber-Attacken gemäss Art. 29 Abs. 2 FINMAG

Zuletzt geändert: 07.05.2020 Grösse: 0.24  MB
Zur Merkliste hinzufügen
Backgroundimage