Schweizer Finanzbranche ist regelmässig Ziel von Cyberattacken

Auch im aktuellen Finma-Risikomonitor 2024 werden Cyberrisiken wiederum als eines der Hauptrisiken ausgewiesen. Sie sind bereits seit mehreren Jahren im Risikomonitor vertreten. Seit dem Start einer systematischen Erhebung der Cybermeldungen im Jahr 2020 stellt die Schweizerische finanzmarktaufsicht (Finma) einen stetigen Anstieg der Meldungen über erfolgreiche oder teilweise erfolgreiche Cyberattacken fest. Aufgrund dessen bestätigt sich, dass Cyberbedrohungen für die Finanzinstitute weiterhin ein hohes Risiko darstellen.

Um bessere Hinweise zur Sicherheitslage erstellen und teilen zu können, wurde mit der Finma-Aufsichtsmitteilung 03/2024 die Meldepflicht vom Mai 2020 präzisiert. Dabei fordert die Finma detaillierte Berichte über Art und Umfang der Vorfälle sowie die ergriffenen Massnahmen. Beaufsichtigte, über alle Aufsichtskategorien hinweg, melden beispielsweise Cybervorfälle im Zusammenhang mit dem sogenannten Business-E-Mail-Compromise (BEC) und mit Cyber-Betrugsformen wie CEO-Fraud. Die Vorfälle sind teilweise mit hohen Schadenssummen für die betroffenen Finanzinstitute verbunden.

Der E-Mail-Verkehr bleibt insbesondere bei kleineren Beaufsichtigten der häufigste Infektionsvektor bei einem Cybervorfall. Die erhaltenen Ursachenberichte zeigen, dass bei den betroffenen Finanzinstituten die getroffenen Cyberschutzvorkehrungen einen geringeren Reifegrad aufwiesen. Dies betraf sowohl die Sensibilisierung als auch die technischen Schutzmassnahmen.

Weitere Eintrittstore für Angreifer sind insbesondere auch unzureichende Prozesse zur Erkennung und zeitnahen Behebung von Software-Schwachstellen innerhalb der Technologieinfrastruktur sowie Lücken im Konfigurationsmanagement. So konnten beispielsweise die Multifaktorauthentifizierungen aufgrund von Konfigurationsfehlern umgangen werden oder betroffene Institute hatten keine flächendeckende Zweifaktorauthentifizierung im Einsatz.

Positive Tendenz beim Schutzdispositiv mit Vorsicht zu geniessen

Im Bereich des Schutzdispositivs konnte in der laufenden Aufsicht der vergangenen Jahre eine positive Tendenz beobachtet werden. Allerdings gab es auch in diesem Bereich wesentliche Erkenntnisse zu vorhandenen Schwachstellen, wie beispielsweise der Vermeidung von Datenverlust durch interne und externe Akteure.

Die Schutzmassnahmen zur Data Loss Prevention (DLP) beschränkten sich oftmals nur auf Kundenidentifikationsmerkmale bzw. Kreditkartennummern. Weitere kritische Daten wie etwa schützenswerte Personendaten, Geschäftsgeheimnisse, geistiges Eigentum, und so weiter wurden von DLP-Schutzmassnahmen nicht erfasst.

Detektion, Reaktion und Wiederherstellung

Anhand der eingegangenen Meldungen wurde ersichtlich, dass wiederholt betroffene Finanzinstitute die Cyberattacken über längere Zeit nicht bemerkten. Die Fähigkeit, zeitnah Cyber-Attacken aufzuzeichnen, zu erkennen und darauf zu reagieren, ist daher bei den meisten Vor-Ort-Kontrollen der Finma zum Umgang mit Cyberrisiken ein Schwerpunkt.

Während diesen Vor-Ort-Kontrollen beobachtete die Finma insbesondere folgende wiederkehrende Muster bei den beaufsichtigten Finanzinstituten:

• Einige dieser Institute hatten keine oder nur unvollständige Reaktionspläne für Cybervorfälle oder überprüften diese nicht (regelmässig) auf ihre Effektivität hin.
• Bei der Erkennung und Aufzeichnung von Cyberattacken zeigte sich zudem, dass einige Institute ihre Informations- und Kommunikationstechnologie (IKT) nicht zeitnah und systematisch überwachten. Teilweise fehlte eine Auswertung von kritischen Log-Daten oder diese fand nur während der Bürozeiten statt.
• Die meisten der Institute trafen Vorkehrungen, um eine zeitnahe Wiederherstellung des normalen Geschäftsbetriebs nach ausserordentlichen Ereignissen sicherzustellen. Dabei fehlten allerdings oftmals spezifische Wiederherstellungsmassnahmen wie bspw. szenariobezogene Cyberübungen oder Kommunikationsstrategien.

Cyberattacken auf die Lieferketten

Weiterhin relevant sind insbesondere auch Cyberattacken im Rahmen von Lieferketten bzw. im Zusammenhang mit ausgelagerten Dienstleistungen und Funktionen. Diese betreffen rund ein Drittel aller gemeldeten Cybervorfälle. Es ist davon auszugehen, dass Cyberattacken auf die Lieferketten insbesondere im Bereich der IKT weiter zunehmen werden. Entsprechend sind technische und organisatorische Massnahmen zu ergreifen, um die wesentlichen Geschäftsprozesse sowie kritischen Daten zu schützen. So sollen Lieferanten sorgfältig bewertet und regelmässig hinsichtlich ihres Umgangs mit Cyberrisiken überprüft werden. Weiter bedarf es zwischen dem auslagernden Finanzinstitut und dem Dienstleister vertragliche Verpflichtungen, in der klare Anforderungen zur Cybersicherheit und Meldepflicht von Cybervorfällen enthalten sind. Zudem müssen die auslagernden Finanzinstitute mittels Szenarien und Übungen ihre Reaktion auf Störungen in der Lieferkette regelmässig testen, um im Ernstfall schnell und effektiv reagieren zu können.

Szenariobezogene Cyberübungen

Im Hinblick auf solche Cyberübungen besteht die Anforderung der Finma, dass die Geschäftsleitung regelmässig Verwundbarkeitsanalysen und Penetrationstests durchführt. Diese müssen durch qualifiziertes Personal mit angemessenen Ressourcen ausgeführt werden. Dabei sind alle inventarisierten Bestandteile der IKT, die über das Internet erreichbar sind, zu berücksichtigen. Darüber hinaus sind inventarisierte IKT-Komponenten zu berücksichtigen, die nicht über das Internet erreichbar aber für die Durchführung kritischer Prozesse notwendig sind, oder kritische elektronische Daten enthalten. Basierend darauf sind unter Berücksichtigung dieser Bestandteile der IKT institutsspezifische Bedrohungspotenziale und Szenarien zu identifizieren bzw. zu entwickeln, die risikobasiert in szenariobezogenen Cyberübungen getestet werden. Das Ergebnis dieser Übungen ist in geeigneter Form zu dokumentieren und zu rapportieren. Szenariobasierte Cyberübungen sind geeignete Instrumente für die Beurteilung des Cybersicherheitsdispositivs der Beaufsichtigten durch die Finma. Die Finma legt den Fokus auf eine datenbasierte Aufsicht und baut gezielt ihre eigene Expertise weiter aus, um im Bereich der Cyberrisiken eine wirkungsvolle Aufsicht ausüben zu können. Um einen bestmöglichen Kundenschutz sowie einen stabilen Finanzplatz Schweiz zu garantieren, sind diese Massnahmen notwendig. Denn auch in naher Zukunft werden die Cyberrisiken weiterhin hoch bleiben.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.