Cyber Risiken & Cyber Security - Neue Vorgaben der FINMA für Banken. Spezielles IT-Risikomanagement für den Umgang mit Cyber-Risiken.
Die Eidgenössische Finanzmarktaufsicht FINMA hat neue Vorgaben zum Thema Cyber Security erlassen, die per 1. Juli 2017 in Kraft getreten sind. Zu beachten ist das neue Rundschreiben 2017/1 «Corporate Governance – Banken» sowie im Zusammenhang damit die Revision des Rundschreibens 2008/21 «Operationelle Risiken – Banken» und die Revision des Rundschreibens 2010/1 «Vergütungssysteme». Aufgehoben wurde das bisherige Rundschreiben 2008/24 «Überwachung und interne Kontrollen Banken».
Im revidierten Rundschreiben 2008/21 über operationelle Risiken von Banken werden neu speziell auch IT- und Cyberrisiken adressiert und die Liste der Risiken im Risikomanagementgrundsatz 4 betreffend die Technologieinfrastruktur ergänzt. Gefordert ist dabei die Geschäftsleitung. Sie hat sowohl ein allgemeines IT-Risikomanagement-Konzept als auch ein Risikomanagement-Konzept speziell für den Umgang mit Cyber-Risiken zu er-stellen und zu implementieren. Als Cyber-Risiken gelten Risiken in Bezug auf mögliche Verluste aus Cyber-Attacken.
Das von der Geschäftsleitung implementierte IT-Risikomanagement-Konzept muss mit der IT-Strategie und der von der Bank definierten Risikotoleranz übereinstimmen und hat die für das jeweilige Institut relevanten Aspekte gemäss international anerkannten Standards zu berücksichtigen.
Die Geschäftsleitung hat sicherzustellen, dass das IT-Risikomanagement-Konzept mindestens die nachfolgenden Punkte beinhaltet:
Die Geschäftsleitung hat zudem ein Risikomanagement-Konzept für den Umgang mit Cyber-Risiken zu implementieren. Dieses Konzept hat mindestens die nachfolgenden Aspekte abzudecken und eine effektive Umsetzung durch geeignete Prozesse sowie eine eindeutige Festlegung von Aufgaben, Rollen und Verantwortlichkeiten zu gewährleisten:
Neu sind Banken auch zu Penetration-Tests verpflichtet. Das revidierte Rundschreiben 2008/21 verlangt, dass die Geschäftsleitung einer Bank zum Schutz der kritischen und/oder sensitiven Daten und IT-Systemen vor Cyber-Attacken regelmässig Verwund-barkeitsanalysen und Penetration Testings (Ausnützen von Software-Schwachstellen und Sicherheitslücken in der Technologieinfrastruktur, um unberechtigten Zugang zu dieser Technologieinfrastruktur zu erhalten) durchführen lässt. Hierfür ist qualifiziertes Personal mit angemessenen Ressourcen einzusetzen.
Ausserdem wurden auch die Vorschriften für den Umgang mit elektronischen Kundendaten verschärft (Rundschreiben 2008/21, Anhang 3: Rz 2, 3, 5, 6, 7, 8, 16, 17, 30, 33, 34, 56).