Site Search

Menu

Dienstleistungen

Menu

Private Wealth & Entrepreneurs

Menu

Familienunternehmen & KMU Beratung

Featured

Künstliche Intelligenz

Ergebnisse laden


Strategische Cybersicherheit ist die Grundlage für Vertrauen und Wirtschaftlichkeit im Banking

Johannes Dohren
Partner, Cybersecurity and Privacy, PwC Switzerland

Alexander Locher
Senior Manager, Risk Consulting and Internal Audit Financial Services, PwC Switzerland

Cyberrisiken sind eine enorme Herausforderung für Unternehmen aller Branchen und Grössen. Im Finanzsektor, der seit jeher auf Vertrauen basiert und mit sensiblen Kundendaten arbeitet, ist Cybersicherheit nicht nur eine regulatorische Notwendigkeit, sondern ein Fundament der Geschäftstätigkeit. Da Cyberangriffe die Integrität von Banken angreifen und dem Finanzmarkt erheblichen Schaden zufügen können, hat die FINMA reagiert, mit Konsequenzen auch für kleinere Banken.

cyber security

Article overview

Die Bedrohungslage durch Cyber-Risiken hat sich in den letzten Jahren deutlich verschärft. Die zunehmende Digitalisierung und Vernetzung von Systemen, Prozessen und Lieferketten bietet Cyberkriminellen eine immer grössere Angriffsfläche. Mit immer raffinierteren Methoden versuchen Kriminelle an sensible Daten zu gelangen oder Systeme zu sabotieren, um beispielsweise an Geld zu kommen oder der Reputation eines Institutes zu schaden. Vor allem das Bankensystem steht aufgrund seiner zentralen wirtschaftlichen Rolle und seines auf Vertrauen basierenden Geschäftsmodells, unter permanentem Druck, sich gegen eine Vielzahl von Cyberbedrohungen zu schützen, die von Betrug und Datendiebstahl bis hin zu gezielten Angriffen auf die Stabilität der Finanzsysteme reichen.

Als Reaktion auf diese Entwicklung hat die Eidgenössische Finanzmarktaufsicht (FINMA) mit dem FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz - Banken» die Anforderungen an die Cybersicherheit von Banken präzisiert und deutlich erhöht. Es baut auf früheren Rundschreiben auf und verlangt wesentliche Anpassungen im Umgang mit Informations- und Kommunikationstechnologierisiken (IKT-Risiken), kritischen Daten, externen Dienstleistern und allgemeinen Resilienzüberlegungen. Die Anforderungen der FINMA im Bereich Cyber Security orientieren sich an den globalen Standards des National Institute of Standards and Technology (NIST). NIST adressiert die fünf zyklischen Phasen von Cyber-Risiken: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Die Prüfpunkte der FINMA (Publikation 09.01.24) sind neben den klaren Anforderungen an Governance und Risikomanagement ebenfalls entlang dieser NIST-Phasen definiert. Wichtig ist in diesem Zusammenhang, dass das neue Rundschreiben zusammen mit den bereits geltenden FINMA-Rundschreiben 2017/1 «Corporate Governance - Banken» und 2018/3 «Outsourcing» zu lesen ist, da die Bestimmungen zu Governance und Risikomanagement auch bei Auslagerung von Cyber-relevanten Services integraler Bestandteil sind.  Der Fokus auf Governance und Auslagerungsaufsicht wurde von der FINMA mit der Aufsichtsmitteilung vom 07.06.24 nochmals unterstrichen. Hauptziel der Regulierungsbemühungen im Bankensektor ist die Erhöhung der Resilienz und Sicherheit der Banken.

Cyber-Sicherheit betrifft nicht nur (grosse) Banken

Was bedeutet dies in der Praxis? Die neuen Anforderungen werden ab 2024 von den Regulatorischen Prüfern bei allen Bankinstituten geprüft, nicht wie bisher bei den Grossbanken mit der Interventionstiefe «Prüfung». Dabei werden die Interventionen bezüglich Cybersicherheit breiter und tiefer sein als unter der «alten» Regulierung.

Wenn Banken ihre Cyber-Sicherheit verbessern und ein gutes Resultat in solchen Prüfungen erreichen, müssen sie sich entlang «Governance, Berichterstattung und Risikomanagement», «Risikoidentifizierung und -bewertung», «Schutzmaßnahmen und Rahmenbedingungen», «Erkennung und Reaktion», «Wiederherstellung und Widerstandsfähigkeit» sowie «Verwundbarkeitsmanagement und Penetrationstests» verbessern. Konkret zusammengefasst:

Die Verantwortlichkeiten innerhalb des Instituts, einschließlich derjenigen des obersten Leitungsorgans (Verwaltungsrat/Bankrat) und der Geschäftsleitung, sind klar zu definieren. Diese Verantwortlichkeiten müssen sich in den Weisungen widerspiegeln und in den Entscheidungs- und Überwachungsgremien mit Leben erfüllt werden. Dazu gehört beispielsweise, dass das oberste Leitungsorgan jährlich eine Risikostrategie inklusive qualitativer und quantitativer Risikotoleranz definiert und verabschiedet. Die Berichterstattung über Cyber-Risiken und -Kontrollen ist entsprechend adressatengerecht und verständlich zu gestalten. Im Rahmen der Risikoüberwachung sind verstärkt «Reviews» und «Audits» vorzusehen.

Im Rahmen des Operationalen Risikomanagements ist der Kategorie der Cybersicherheit eine besondere Bedeutung beizumessen. Daher ist eine systematische Identifizierung und Bewertung der Cyberrisiken erforderlich. Dabei sind sowohl externe Faktoren, beispielsweise Informationen aus dem Darknet, als auch interne Faktoren, wie Resultate aus Cyber-Awareness-Trainings, zu berücksichtigen. Des Weiteren tragen Cyber-Awareness-Maßnahmen zur Steigerung der Effektivität der Risikoidentifikation bei. Eine effektive Identifikation umfasst die vollständige, präzise Katalogisierung und Bewertung von IKT-Komponenten und Schnittstellen zu Dritten, die Überprüfung von Schlüsselkontrollen hinsichtlich der Vollständigkeit und Richtigkeit des Inventars sowie die Bewertung von Verfahren zur Identifizierung von Bedrohungen und ihren Konsequenzen.

Das Schutzkonzept sollte sich an der identifizierten Gefährdungslage und Strategie orientieren. Dazu gehören Schutzmechanismen im Bereich der Zugriffskontrolle, Massnahmen zur Verhinderung von Datenverlusten (Data Loss Prevention), Massnahmen zur Netzwerk- und Infrastruktursicherheit, wie z.B. verschiedene Firewalls, sowie die Implementierung und Einhaltung von Standardkonfigurationen und Systemhärtung.

Die Institutionen benötigen in diesem Bereich geeignete Instrumente und «Use Cases», um Anomalien aus verschiedenen Datenpunkten zu erkennen und zu analysieren. Allerdings muss zunächst definiert werden, was als Anomalie gilt und wie weit die Analysen gehen sollen. Darüber hinaus müssen Banken auf den Ernstfall vorbereitet sein und Reaktionspläne definieren und aktuell halten.

Banken benötigen angemessene Pläne und Prozesse für die Wiederherstellung des Normalbetriebs. Das Hauptaugenmerk sollte dabei auf den Backup-Prozessen und dem Speicherort der Daten liegen. Die Wiederherstellungsprozesse müssen regelmässig auf ihre operationelle Effizienz getestet und aus Schwachstellen Lehren gezogen werden.

Verwundbarkeitsanalysen und Penetrationstest sind der Branche schon länger ein Begriff. Allerdings sind für die Demonstration eines effektiven Verwundbarkeitsmanagement mehr als nur Analysen und deren Berichte relevant. Banken tun gut daran, zu zeigen, dass Schwachstellen schnell geschlossen werden und die dafür etablierten Prozesse effizient sind. Darüber hinaus ist es wichtig, dass Verwundbarkeitsanalysen und Penetrationstests von kompetenten Parteien durchgeführt werden.

In der Praxis werden jedoch ("Core-Banking"-)Systeme, Applikationen, Tools oder sogar ganze IT-Abteilungen von Banken ausgelagert. Dies bringt eine zusätzliche Komplexität in die Umsetzung dieser Massnahmen. Während beispielsweise die Strategie inklusive Risikotoleranz von den Banken selbst definiert werden muss, sind die technischen Massnahmen von den externen Dritten umzusetzen. Es liegt in der Verantwortung der Banken, entsprechende Überwachungsmassnahmen zu implementieren und auf Schwachstellen bei Drittparteien zu reagieren. Ein weiterer Punkt ist, dass die Banken ihrer Meldepflicht bei Cybervorfällen gegenüber der FINMA und dem National Cyber Security Centre (NCSC) zeitnah nachkommen müssen, auch wenn sich die Vorfälle bei einem Dienstleister ereignen.Wirtschaftliche Herausforderung

Wirtschaftliche Herausforderung

Banken müssen zunächst ein umfassendes Verständnis der Cyber-Risiken bzw. der Bedrohungslage, der sie ausgesetzt sind, entwickeln und auf Institutsebene definieren, gegen welche Risiken sie sich schützen wollen. Eine effektive Sicherheitsstrategie muss von Anfang an in die Geschäftsprozesse integriert werden, um hohe Folgekosten zu vermeiden. Die Sicherheitsstrategie sollte sich durch alle Ebenen der Organisation ziehen und klare Verantwortlichkeiten definieren, einschließlich des Verwaltungsrates und der Geschäftsleitung. Nicht zuletzt sind die Kontrollfunktionen innerhalb der Bank zu stärken. Die frühzeitige Einbindung der richtigen Funktionen und Personen im Unternehmen ist entscheidend, um sicherzustellen, dass Sicherheitsüberlegungen integraler Bestandteil der Geschäftsstrategie und der Geschäftsprozesse sind. Darüber hinaus müssen die richtigen Entscheidungen darüber getroffen werden, welche Prozesse ausgelagert werden können und welche im eigenen Haus verbleiben sollen, wobei die Kontrolle der Dienstleister gewährleistet sein muss.

Die oben genannten Überlegungen und Maßnahmen haben auch wirtschaftliche Auswirkungen. Die (Weiter-)Entwicklung der Strategie, des Risikomanagements und generell des entsprechenden Know-hows ist mit Kosten verbunden. Auch die Verstärkung der Kontrollmechanismen, wie z.B. die Erhöhung der Prüffrequenz der zweiten und/oder dritten Verteidigungslinie oder Investitionen in geeignete Schutz- und/oder Überwachungssysteme, sind mit Kosten verbunden. Beim Outsourcing müssen die Banken sicherstellen, dass ihre Dienstleister angemessene Sicherheitsmaßnahmen umsetzen. Möglicherweise müssen die Banken in ihre Fähigkeit zur Überwachung dieser Risiken investieren oder externes Fachwissen einkaufen. Dies wird wahrscheinlich zu einem Anstieg der Betriebskosten führen, ist jedoch ein notwendiger Schritt, um die langfristige institutionelle Stabilität zu gewährleisten und schwerwiegende Sicherheitsverletzungen zu vermeiden. Diese Investitionen und zusätzlichen Kosten sind jedoch auch notwendig, um die Sicherheit der Banken zu erhöhen und das Vertrauen der Kunden und der Gesellschaft nicht zu verlieren. Ein schwerwiegender Cybervorfall kostet das betroffene Institut mehr als die notwendigen Investitionen. Daher stellt sich im Bereich Cyber die strategische Frage: Wie viel ist mir als Bank das Vertrauen meiner Kunden wert und wie viel bin ich bereit zu zahlen? Bei dieser komplexen und vielschichtigen Aufgabe kann der Beizug externer Experten von grossem Nutzen sein. Denn die Entwicklung einer umfassenden Strategie und die Umsetzung wirksamer und zugleich wirtschaftlich sinnvoller Maßnahmen sind der Schlüssel für ein intelligentes Risikomanagement in einer zunehmend digitalen Welt.

Kontaktieren Sie uns

Johannes Dohren

Partner, Cybersecurity and Privacy, PwC Switzerland

+41 58 792 22 20

E-Mail

Alexander Locher

Senior Manager, Risk Consulting and Internal Audit Financial Services, PwC Switzerland

E-Mail

Dienstleistungen Consulting Deals Familienunternehmen und KMU Globale Märkte Legal People und Organisation Private Wealth Steuerberatung Treuhand Wirtschaftsprüfung
Branchen Detailhandel und Konsumgüter Energie Finanzdienstleistungen Gesundheitswesen Immobilien Öffentlicher Sektor Pharma- und Life-Sciences Sports Business Advisory Telekommunikation und Medien Verarbeitende Industrie
Im Fokus Künstliche Intelligenz Workforce of the Future Finance Transformation Customer Transformation Cybersecurity Data & Analytics ESG: Die Kriterien und ihre Umsetzung
Über PwC Kontakt Presse Standorte Organisation und Führung Corporate Sustainability Zweck, Werte & Verhalten Fakten und Zahlen Geschichte Alumni
Karriere Karriere Events Offene Stellen Berufserfahrene Absolventen Studierende Lernende PwC als Arbeitgeber
Research & Insights Unsere neuesten Insights PwC Insights abonnieren Preference Centre

© 2018 - 2024 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.