Johannes Dohren
Partner, Cybersecurity and Privacy, PwC Switzerland
Alexander Locher
Senior Manager, Risk Consulting and Internal Audit Financial Services, PwC Switzerland
Cyberrisiken sind eine enorme Herausforderung für Unternehmen aller Branchen und Grössen. Im Finanzsektor, der seit jeher auf Vertrauen basiert und mit sensiblen Kundendaten arbeitet, ist Cybersicherheit nicht nur eine regulatorische Notwendigkeit, sondern ein Fundament der Geschäftstätigkeit. Da Cyberangriffe die Integrität von Banken angreifen und dem Finanzmarkt erheblichen Schaden zufügen können, hat die FINMA reagiert, mit Konsequenzen auch für kleinere Banken.
Die Bedrohungslage durch Cyber-Risiken hat sich in den letzten Jahren deutlich verschärft. Die zunehmende Digitalisierung und Vernetzung von Systemen, Prozessen und Lieferketten bietet Cyberkriminellen eine immer grössere Angriffsfläche. Mit immer raffinierteren Methoden versuchen Kriminelle an sensible Daten zu gelangen oder Systeme zu sabotieren, um beispielsweise an Geld zu kommen oder der Reputation eines Institutes zu schaden. Vor allem das Bankensystem steht aufgrund seiner zentralen wirtschaftlichen Rolle und seines auf Vertrauen basierenden Geschäftsmodells, unter permanentem Druck, sich gegen eine Vielzahl von Cyberbedrohungen zu schützen, die von Betrug und Datendiebstahl bis hin zu gezielten Angriffen auf die Stabilität der Finanzsysteme reichen.
Als Reaktion auf diese Entwicklung hat die Eidgenössische Finanzmarktaufsicht (FINMA) mit dem FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz - Banken» die Anforderungen an die Cybersicherheit von Banken präzisiert und deutlich erhöht. Es baut auf früheren Rundschreiben auf und verlangt wesentliche Anpassungen im Umgang mit Informations- und Kommunikationstechnologierisiken (IKT-Risiken), kritischen Daten, externen Dienstleistern und allgemeinen Resilienzüberlegungen. Die Anforderungen der FINMA im Bereich Cyber Security orientieren sich an den globalen Standards des National Institute of Standards and Technology (NIST). NIST adressiert die fünf zyklischen Phasen von Cyber-Risiken: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Die Prüfpunkte der FINMA (Publikation 09.01.24) sind neben den klaren Anforderungen an Governance und Risikomanagement ebenfalls entlang dieser NIST-Phasen definiert. Wichtig ist in diesem Zusammenhang, dass das neue Rundschreiben zusammen mit den bereits geltenden FINMA-Rundschreiben 2017/1 «Corporate Governance - Banken» und 2018/3 «Outsourcing» zu lesen ist, da die Bestimmungen zu Governance und Risikomanagement auch bei Auslagerung von Cyber-relevanten Services integraler Bestandteil sind. Der Fokus auf Governance und Auslagerungsaufsicht wurde von der FINMA mit der Aufsichtsmitteilung vom 07.06.24 nochmals unterstrichen. Hauptziel der Regulierungsbemühungen im Bankensektor ist die Erhöhung der Resilienz und Sicherheit der Banken.
Was bedeutet dies in der Praxis? Die neuen Anforderungen werden ab 2024 von den Regulatorischen Prüfern bei allen Bankinstituten geprüft, nicht wie bisher bei den Grossbanken mit der Interventionstiefe «Prüfung». Dabei werden die Interventionen bezüglich Cybersicherheit breiter und tiefer sein als unter der «alten» Regulierung.
Wenn Banken ihre Cyber-Sicherheit verbessern und ein gutes Resultat in solchen Prüfungen erreichen, müssen sie sich entlang «Governance, Berichterstattung und Risikomanagement», «Risikoidentifizierung und -bewertung», «Schutzmaßnahmen und Rahmenbedingungen», «Erkennung und Reaktion», «Wiederherstellung und Widerstandsfähigkeit» sowie «Verwundbarkeitsmanagement und Penetrationstests» verbessern. Konkret zusammengefasst:
In der Praxis werden jedoch ("Core-Banking"-)Systeme, Applikationen, Tools oder sogar ganze IT-Abteilungen von Banken ausgelagert. Dies bringt eine zusätzliche Komplexität in die Umsetzung dieser Massnahmen. Während beispielsweise die Strategie inklusive Risikotoleranz von den Banken selbst definiert werden muss, sind die technischen Massnahmen von den externen Dritten umzusetzen. Es liegt in der Verantwortung der Banken, entsprechende Überwachungsmassnahmen zu implementieren und auf Schwachstellen bei Drittparteien zu reagieren. Ein weiterer Punkt ist, dass die Banken ihrer Meldepflicht bei Cybervorfällen gegenüber der FINMA und dem National Cyber Security Centre (NCSC) zeitnah nachkommen müssen, auch wenn sich die Vorfälle bei einem Dienstleister ereignen.Wirtschaftliche Herausforderung
Banken müssen zunächst ein umfassendes Verständnis der Cyber-Risiken bzw. der Bedrohungslage, der sie ausgesetzt sind, entwickeln und auf Institutsebene definieren, gegen welche Risiken sie sich schützen wollen. Eine effektive Sicherheitsstrategie muss von Anfang an in die Geschäftsprozesse integriert werden, um hohe Folgekosten zu vermeiden. Die Sicherheitsstrategie sollte sich durch alle Ebenen der Organisation ziehen und klare Verantwortlichkeiten definieren, einschließlich des Verwaltungsrates und der Geschäftsleitung. Nicht zuletzt sind die Kontrollfunktionen innerhalb der Bank zu stärken. Die frühzeitige Einbindung der richtigen Funktionen und Personen im Unternehmen ist entscheidend, um sicherzustellen, dass Sicherheitsüberlegungen integraler Bestandteil der Geschäftsstrategie und der Geschäftsprozesse sind. Darüber hinaus müssen die richtigen Entscheidungen darüber getroffen werden, welche Prozesse ausgelagert werden können und welche im eigenen Haus verbleiben sollen, wobei die Kontrolle der Dienstleister gewährleistet sein muss.
Die oben genannten Überlegungen und Maßnahmen haben auch wirtschaftliche Auswirkungen. Die (Weiter-)Entwicklung der Strategie, des Risikomanagements und generell des entsprechenden Know-hows ist mit Kosten verbunden. Auch die Verstärkung der Kontrollmechanismen, wie z.B. die Erhöhung der Prüffrequenz der zweiten und/oder dritten Verteidigungslinie oder Investitionen in geeignete Schutz- und/oder Überwachungssysteme, sind mit Kosten verbunden. Beim Outsourcing müssen die Banken sicherstellen, dass ihre Dienstleister angemessene Sicherheitsmaßnahmen umsetzen. Möglicherweise müssen die Banken in ihre Fähigkeit zur Überwachung dieser Risiken investieren oder externes Fachwissen einkaufen. Dies wird wahrscheinlich zu einem Anstieg der Betriebskosten führen, ist jedoch ein notwendiger Schritt, um die langfristige institutionelle Stabilität zu gewährleisten und schwerwiegende Sicherheitsverletzungen zu vermeiden. Diese Investitionen und zusätzlichen Kosten sind jedoch auch notwendig, um die Sicherheit der Banken zu erhöhen und das Vertrauen der Kunden und der Gesellschaft nicht zu verlieren. Ein schwerwiegender Cybervorfall kostet das betroffene Institut mehr als die notwendigen Investitionen. Daher stellt sich im Bereich Cyber die strategische Frage: Wie viel ist mir als Bank das Vertrauen meiner Kunden wert und wie viel bin ich bereit zu zahlen? Bei dieser komplexen und vielschichtigen Aufgabe kann der Beizug externer Experten von grossem Nutzen sein. Denn die Entwicklung einer umfassenden Strategie und die Umsetzung wirksamer und zugleich wirtschaftlich sinnvoller Maßnahmen sind der Schlüssel für ein intelligentes Risikomanagement in einer zunehmend digitalen Welt.
Alexander Locher
Senior Manager, Risk Consulting and Internal Audit Financial Services, PwC Switzerland