28. September 2017

Cyber Risiken & Cyber Security

  • Artikel
  • Legal
  • Blockchain / Digital Assets
  • Daten / Technologie / IP
  • Governance / ESG
  • Regulatory Compliance

Cyber Risiken & Cyber Security - Neue Vorgaben der FINMA für Banken. Spezielles IT-Risikomanagement für den Umgang mit Cyber-Risiken.

Die Eidgenössische Finanzmarktaufsicht FINMA hat neue Vorgaben zum Thema Cyber Security erlassen, die per 1. Juli 2017 in Kraft getreten sind. Zu beachten ist das neue Rundschreiben 2017/1 «Corporate Governance – Banken» sowie im Zusammenhang damit die Revision des Rundschreibens 2008/21 «Operationelle Risiken – Banken» und die Revision des Rundschreibens 2010/1 «Vergütungssysteme». Aufgehoben wurde das bisherige Rundschreiben 2008/24 «Überwachung und interne Kontrollen Banken».

Im revidierten Rundschreiben 2008/21 über operationelle Risiken von Banken werden neu speziell auch IT- und Cyberrisiken adressiert und die Liste der Risiken im Risikomanagementgrundsatz 4 betreffend die Technologieinfrastruktur ergänzt. Gefordert ist dabei die Geschäftsleitung. Sie hat sowohl ein allgemeines IT-Risikomanagement-Konzept als auch ein Risikomanagement-Konzept speziell für den Umgang mit Cyber-Risiken zu er-stellen und zu implementieren. Als Cyber-Risiken gelten Risiken in Bezug auf mögliche Verluste aus Cyber-Attacken.

Das von der Geschäftsleitung implementierte IT-Risikomanagement-Konzept muss mit der IT-Strategie und der von der Bank definierten Risikotoleranz übereinstimmen und hat die für das jeweilige Institut relevanten Aspekte gemäss international anerkannten Standards zu berücksichtigen.

Die Geschäftsleitung hat sicherzustellen, dass das IT-Risikomanagement-Konzept mindestens die nachfolgenden Punkte beinhaltet:

  • Organisation: die eindeutige Festlegung von Rollen, Aufgaben und Verantwortlichkeiten in Bezug auf die kritischen Applikationen sowie damit verbundener IT-Infrastruktur und kritischen und/oder sensitiven Daten und Prozesse,
  • Inventar: eine aktuelle Übersicht über die wesentlichsten Bestandteile der Netzwerkinfrastruktur und ein Inventar aller kritischen Applikationen und der damit ver-bundenen IT-Infrastruktur sowie Schnittstellen mit Dritten,
  • Prozesse: einen systematischen Prozess im Hinblick auf die Identifikation und Beurteilung von IT- Risiken im Rahmen der Due Diligence, insbesondere bei Ak-quisitionen bzw. Auslagerungen im IT-Bereich sowie bei der Überwachung von Dienstleistungsvereinbarungen, und 
  • Awareness: Massnahmen zur Stärkung des Bewusstseins der Mitarbeitenden im Hinblick auf ihre Verantwortung zur Reduktion von IT-Risiken sowie Einhaltung und Stärkung der IT- Informationssicherheit.

Die Geschäftsleitung hat zudem ein Risikomanagement-Konzept für den Umgang mit Cyber-Risiken zu implementieren. Dieses Konzept hat mindestens die nachfolgenden Aspekte abzudecken und eine effektive Umsetzung durch geeignete Prozesse sowie eine eindeutige Festlegung von Aufgaben, Rollen und Verantwortlichkeiten zu gewährleisten:

  • Identifikation der institutsspezifischen Bedrohungspotenziale durch Cyber-Attacken, insbesondere in Bezug auf kritische und/oder sensitive Daten und IT-Systeme,
  • Schutz der Geschäftsprozesse und der Technologieinfrastruktur vor Cyber-Attacken, insbesondere im Hinblick auf die Vertraulichkeit, Integrität und Verfüg-barkeit der kritischen und/oder sensitiven Daten und IT-Systeme,
  • zeitnahe Erkennung und Aufzeichnung von Cyber-Attacken auf Basis eines Pro-zesses zur systematischen Überwachung der Technologieinfrastruktur,
  • Reaktion auf Cyber-Attacken durch zeitnahe und gezielte Massnahmen sowie bei wesentlichen, die Aufrechterhaltung des normalen Geschäftsbetriebs bedrohenden Cyber-Attacken in Abstimmung mit dem Business Continuity Management (BCM), und
  • Sicherstellung einer zeitnahen Wiederherstellung des normalen Geschäftsbetriebs nach Cyber-Attacken durch geeignete Massnahmen.

Neu sind Banken auch zu Penetration-Tests verpflichtet. Das revidierte Rundschreiben 2008/21 verlangt, dass die Geschäftsleitung einer Bank zum Schutz der kritischen und/oder sensitiven Daten und IT-Systemen vor Cyber-Attacken regelmässig Verwund-barkeitsanalysen und Penetration Testings (Ausnützen von Software-Schwachstellen und Sicherheitslücken in der Technologieinfrastruktur, um unberechtigten Zugang zu dieser Technologieinfrastruktur zu erhalten) durchführen lässt. Hierfür ist qualifiziertes Personal mit angemessenen Ressourcen einzusetzen.

Ausserdem wurden auch die Vorschriften für den Umgang mit elektronischen Kundendaten verschärft (Rundschreiben 2008/21, Anhang 3: Rz 2, 3, 5, 6, 7, 8, 16, 17, 30, 33, 34, 56). 

Neuer Call-to-Action
Zurück