Zunahme von Cyberangriffen: Durchführung von Aufsichtsprüfungen und Szenarioanalysen vor Ort

Im Jahr 2022 sorgen erfolgreiche Cyberangriffe auf Unternehmen aller Branchen sowohl in der Schweiz als auch weltweit erneut für Schlagzeilen. Zudem stellte die SFMA eine zunehmende Zahl gemeldeter Cyber-Angriffe auf beaufsichtigte Institute fest.

Seit Inkrafttreten der Abklärungen zur Meldepflicht von Cyber-Angriffen im September 2020 (siehe auch Wegleitung 05/2020) gingen bis Ende 2022 160 Meldungen über Cyber-Angriffe von erheblicher Bedeutung ein. Von 63 im Jahr 2022 eingegangenen Meldungen waren 48 Banken betroffen. Mehr als die Hälfte der Cyberangriffe richteten sich gegen kleine Institutionen. Rund ein Viertel der Angriffe richteten sich gegen Institute der Aufsichtskategorien 3 und 4, und nur ein Cyberangriff betraf ein größeres Institut (siehe auch Abbildung „An die SFMA gemeldete Cyberangriffe im Jahr 2022“ weiter unten). Detaillierte Informationen zu den eingegangenen Meldungen finden Sie im Risikomonitor 2022. Daher listet die SFMA in ihrem jährlich veröffentlichten Risikomonitor weiterhin Cyberrisiken als eines von sieben Hauptrisiken auf, denen der Finanzplatz im Jahr 2022 ausgesetzt ist. Bei der Überwachung dieses Risikos konzentrierte sich die SFMA auf zwei Aspekte. Erstens beobachtete und bewertete es kontinuierlich die Bedrohungslage und analysierte die Cyber-Meldungen; Zweitens wurden gezielte Vor-Ort-Prüfungen bei beaufsichtigten Unternehmen durchgeführt und Szenarioanalysen durchgeführt.

Während das Jahr 2021 einen Anstieg der DDoS-Aktivitäten (Distributed Denial of Service) verzeichnete, war das Jahr 2022 insbesondere durch Malware-Angriffe geprägt, die die Integrität wesentlicher IT-Komponenten bedrohten. Aus der Cyberberichterstattung geht zudem hervor, dass der primäre Zweck der Angriffe nach wie vor darin bestand, sich unbefugten Zugriff auf die Infrastruktur der beaufsichtigten Unternehmen zu verschaffen. Bei ausgelagerten Dienstleistungen erfolgten die Angriffe am häufigsten über einen externen Dienstleister, gefolgt von webbasierten Angriffen. Im Berichtsjahr lag der Schwerpunkt auf Instituten der Aufsichtskategorien 4 und 5, auf die ein Großteil der gemeldeten Angriffe auf Banken entfielen (66 %). Es wurde festgestellt, dass diese Institutionen besonders anfällig für Angriffe seien. Betroffen waren häufig an Dritte ausgelagerte Informations- und Kommunikationstechnologien (IKT). In diesem Zusammenhang zeigte sich auch, dass den Dienstleistern häufig nicht hinreichend klare Anweisungen zur Cybersicherheit erteilt wurden oder regelmäßige Kontrollen zur Überprüfung der Einhaltung dieser Anweisungen nicht durchgeführt wurden. SFMA stellte außerdem fest, dass qualitative Prozesse des operationellen Risikomanagements Cyberrisiken häufig nicht explizit berücksichtigten und daher kein systematisches und umfassendes Risikomanagementsystem für den Cyberbereich gewährleistet war. Im Rahmen einer Totalrevision des Rundschreibens zu den operationellen Risiken der Banken (siehe „Überarbeitung der Rundschreiben“, Geschäftsbericht Seite 69) wurden auch die aufsichtsrechtlichen Regelungen zu Cyberrisiken konkret überarbeitet. Dazu gehörten unter anderem Klarstellungen zur Erstellung von IKT-Inventaren als Grundlage für die schnelle Identifizierung von Schwachstellen und Zusammenhängen zwischen Bedrohungen und Risiken (sogenannte Threat Intelligence). (Aus dem Jahresbericht 2022)

Dokumente

Diagramme und visuelle Informationen