Cyberrisiken (2024)
Der Schweizer Finanzsektor ist nach wie vor ein regelmässiges Ziel von Cyberangriffen. Die Anzahl der bei der SFMA eingegangenen Meldungen über erfolgreiche oder teilweise erfolgreiche Angriffe stieg im Vergleich zum Vorjahr um 30 %. Cyber-Risiken gehören nach wie vor zu den Hauptrisiken für die von der SFMA beaufsichtigten Institute und das Risiko liegt auf einem konstant hohen Niveau. In der SFMA Guidance 03/2024 hob die SFMA wichtige Erkenntnisse aus ihrer Überwachung von Cyberrisiken hervor.
Der Schweizer Finanzplatz bleibt ein Schwerpunkt der internationalen Cyberkriminalität, unter anderem für bekannte internationale Ransomware-Gruppen wie PLAY, AKIRA und Lockbit 3.0. Gleichzeitig verzeichnet die SFMA durch die verstärkte Überwachung kleinerer Marktteilnehmer wie unabhängiger Vermögensverwalter und ungebundener Versicherungsvermittler eine wachsende Zahl von Cyberangriffen auf diese Unternehmen. Beaufsichtigte Institute aller Aufsichtskategorien meldeten zunehmend Cybervorfälle im Zusammenhang mit Business Email Compromise (BEC; siehe Business E-Mail Compromise) und Formen des Cyberbetrugs wie CEO Fraud (Form des Identitätsdiebstahls zur Umgehung der Multi-Faktor-Authentifizierung, bei der eine digitale SIM-Karte erstellt oder gestohlen wird). Teilweise handelte es sich bei den Vorfällen um hohe Summen für die betroffenen Institute und deren Kunden. Auch SIM-Swapping-Angriffe5 wurden der SFMA gemeldet.
Der E-Mail-Verkehr ist nach wie vor der häufigste Infektionsvektor für kleinere Institutionen bei einem Cybervorfall. Die Ursachenanalyse hat gezeigt, dass diese beaufsichtigten Unternehmen über begrenzte oder weniger ausgefeilte Cyberschutzvorkehrungen verfügten. Dies umfasste sowohl einen Mangel an technischen Abwehrmaßnahmen als auch die dringende Notwendigkeit, das Bewusstsein zu schärfen. Unzureichende Prozesse zur Identifizierung und Behebung von Softwareschwachstellen innerhalb der Technologieinfrastruktur sowie Lücken im Konfigurationsmanagement waren weitere Einfallstore für Angreifer. Beispielsweise konnten sie aufgrund von Konfigurationsfehlern die Multi-Faktor-Authentifizierung umgehen oder die betroffenen Institutionen setzten die Zwei-Faktor-Authentifizierung nicht flächendeckend ein.
In vielen Fällen bemerkten die Institutionen die Cyberangriffe über einen längeren Zeitraum nicht. Die Angriffe erfolgten auf veralteter technischer Infrastruktur, die nicht mehr gewartet und aktualisiert wurde, oder externe Dienstleister informierten die Institutionen nicht zeitnah. Dies deutet erstens darauf hin, dass es einige gravierende Mängel im Lebenszyklusmanagement der IT-Infrastruktur gibt. Zweitens werden Schwachstellen in der Cybersicherheitspolitik im Zusammenhang mit Dienstanbietern hervorgehoben. Die Erkennungs- und Reaktionsfähigkeiten der Institutionen bleiben Schlüsselfaktoren für den erfolgreichen Umgang mit Cyberangriffen. Dies wird dadurch unterstrichen, dass es sich bei einem Viertel der gemeldeten Vorfälle um Infektionen mit Schadsoftware handelt. Im vergangenen Jahr kam es erneut zu mehreren Wellen von Distributed-Denial-of-Service-Angriffen (DDoS) (Angriffe auf die Verfügbarkeit der technischen Infrastruktur), die zu zeitlich begrenzten Leistungseinschränkungen für Schweizer Finanzmarktteilnehmer und deren Kunden führten. Die Angriffe waren meist finanziell motiviert und wurden von Erpressungsbriefen begleitet. Kritische Infrastrukturen in der Schweiz wurden auch von ideologisch motivierten DDoS-Angriffen getroffen.
Angriffe auf die Lieferkette und Cybervorfälle im Zusammenhang mit ausgelagerten Diensten und Funktionen bleiben weiterhin relevant und machen weiterhin fast ein Drittel aller gemeldeten Cybervorfälle aus. Es ist davon auszugehen, dass Cyberangriffe auf Lieferketten der Informations- und Kommunikationstechnik weiter zunehmen werden. Beaufsichtigte Institute müssen daher technische und organisatorische Maßnahmen ergreifen, um ihre wichtigsten Geschäftsprozesse und kritischen Daten zu schützen.
Dokumente
Diagramme und visuelle Informationen
