Die FINMA erinnert mit ihrer Aufsichtsmitteilung 05/2020 an die bereits geltende gesetzliche Meldepflicht von wesentlichen Vorkommnissen und präzisiert die Anforderungen in Bezug auf Cyber-Attacken. Der nachfolgende Artikel ist eine Auslegungshilfe zur Aufsichtsmitteilung und zeigt den Handlungsbedarf für FINMA beaufsichtigte Institute auf.
Was bezweckt die FINMA-Aufsichtsmitteilung?
Die Gefahr von Cyber-Attacken auf den Schweizer Finanzplatz erachtet die FINMA als sehr hoch. Cyber-Attacken können nicht nur einzelne Institute, sondern auch systemrelevante Institute oder mehrere Institute gleichzeitig oder Institute, die kritische Verbundleistungen erbringen, betreffen. Unter Umständen kann gar die Funktionsfähigkeit der Finanzmärkte in der Schweiz gefährdet sein.
Aus diesem Grund will sich die FINMA einen Überblick verschaffen, um bei Bedarf Einfluss auf die Beaufsichtigten zu nehmen. Mit der Aufsichtsmitteilung 05/2020 erinnert die FINMA an die bereits bestehende Meldepflicht von wesentlichen Vorkommnissen (Art. 29 Absatz 2 Finanzmarktaufsichtsgesetz, FINMAG), zu denen auch Cyber-Attacken gehören können. Die FINMA will wesentliche Vorkommnisse, welche sich auf den Individualschutz, die Funktionsfähigkeit der FINMA unterstellten Institute oder die Funktionsfähigkeit des Finanzmarktes auswirken, auswirken könnten oder diese sogar beeinträchtigen, rechtzeitig erkennen. Damit verschafft sich die FINMA einen Überblick über mögliche Risiken und stellt die Einhaltung ihrer Ziele sicher.
Die FINMA-Aufsichtsmitteilung 05/2020 definiert drei Schutzziele, welche durch eine Cyber-Attacke betroffen sein könnten. Das Schutzziel der Integrität, der Vertraulichkeit und der Verfügbarkeit von Daten oder Informationen. Durch erfolgreiche oder teilweise erfolgreiche Cyber-Attacken können einzelne oder mehrere dieser Schutzziele betroffen sein. Die FINMA erwähnt in ihrer Aufsichtsmitteilung, dass Cyber-Attacken in der Regel auf kritische Funktionen abzielen, zu welchen Produkte bzw. Dienstleistungen von Beaufsichtigten, ihre zugrundeliegenden Geschäftsprozesse sowie ihre kritischen Aktiven (d.h. Personal, Informationen, Technologieinfrastruktur, Gebäude und kritische Dienstleister) gehören.
Was versteht die FINMA unter einer Cyber-Attacke?
«Cyber-Attacke» ist zwar ein weit verbreiteter Begriff, doch nur Wenige wissen, was sich dahinter alles verbirgt. Die FINMA definiert diesen Begriff in ihrer Aufsichtsmitteilung 05/2020 als «Angriffe aus dem Internet und vergleichbaren Netzen, auf die Integrität, die Verfügbarkeit und die Vertraulichkeit der Technologieinfrastruktur, insbesondere in Bezug auf kritische und/oder sensitive Daten und IT-Systeme» und gibt Beispiele wie Brute-Force Angriffe, Identitätsdiebstahl, Ausnutzung einer Hardware-Schwachstelle, etc. Auch sollen «nur» Cyber-Attacken mit wesentlicher Bedeutung für die Aufsicht gemeldet werden. Die FINMA verweist hinsichtlich Wesentlichkeit auf die mit der Meldepflicht verbundenen Ziele, nämlich den Individualschutz und die Funktionsfähigkeit der Finanzmärkte. Gegenstand der Meldepflicht sind daher neben Personendatenschutzverletzungen, auch alle Cyber-Attacken, die Individuen, Institute und/oder den Finanzmarkt gefährden oder gefährden könnten.
Muss jede Cyber-Attacke gemeldet werden?
Nein, nicht jede Cyber-Attacke muss der FINMA gemeldet werden. Nur «Cyber-Attacken mit wesentlicher Bedeutung für die Aufsicht» sind meldepflichtig. Was heisst das?
Aus dem Wortlaut der FINMA-Aufsichtsmitteilung 05/2020 lässt sich entnehmen, dass erfolgreiche, aber auch bloss teilweise erfolgreiche Cyber-Attacken als wesentlich qualifizieren können. Nicht erfolgreiche Cyber-Attacken sind folglich nicht wesentlich. Dazu gehören unseres Erachtens Cyber-Attacken die in einem frühen Stadium entdeckt, verhindert oder abgewehrt werden konnten, ohne dass es zu einer Gefährdung für Individuen, das Institut (auch nicht über ihre kritischen Dienstleister) oder den Finanzmarkt kam.
Wesentlich sind zudem Cyber-Attacken, die die Funktionsfähigkeit der Finanzmärkte direkt oder indirekt beeinträchtigen. Dazu gehören Angriffe auf kritische Infrastrukturen des Instituts, wie Stromerzeuger, Internet Service Provider, etc.
MME hat einen Raster entwickelt, der bei einem Incident hilft, die Wesentlichkeit einer Cyber-Attacke unter Zeitdruck zu prüfen.
Wie ist der Meldeprozess?
Zielen Cyber-Attacken somit auf kritische Funktionen der FINMA Beaufsichtigten und sind die Cyber-Attacken erfolgreich oder teilweise erfolgreich und zudem noch Schutzziele betroffen oder gefährdet, so sind die Cyber-Attacken der FINMA unverzüglich zu melden.
Erster Schritt ist eine Vororientierung durch das Institut innerhalb von 24 Stunden seit Feststellung einer meldepflichtigen Cyber-Attacke.
Nach 72 Stunden seit Feststellung der Cyber-Attacke erfolgt dann die eigentliche Meldung an die FINMA über die Erhebungs- und Gesuchsplattform (EHP) mit den in der FINMA-Aufsichtsmitteilung definierten Parametern hinsichtlich Inhaltes und Struktur der Meldung. In der Meldung ist u.a. die Art des Angriffs zu erläutern, die kritischen Funktionen und Schutzziele anzugeben, getroffenen Massnahmen zu präzisieren und eine Einschätzung über Schweregrad der Cyber-Attacke und Prognose zu geben.
Eine erneute Meldung innert 72 Stunden ist notwendig, wenn das Institut neue Entwicklungen oder Einschätzungen zur gleichen Cyber-Attacke vorliegen hat.
Hat das FINMA beaufsichtigte Institut die Cyber-Attacke «intern» abgeschlossen, so verlangt die Aufsichtsmitteilung, je nach Schweregrad der Cyber-Attacke gewisse Folgemassnahmen, wie bspw. einen abschliessenden Ursachenbericht an die FINMA. Was dieser Bericht an die FINMA beinhalten soll, wird in der FINMA-Aufsichtsmitteilung 05/2020 – abgestuft nach Schweregrad – klargestellt.
Handlungsbedarf: Was gilt es vorzukehren?
Wir empfehlen folgendes Vorgehen bei der Implementierung:
1. Sofortmassnahmen:
- Bestimmung einer verantwortlichen Person
- Auftrag zur Ausarbeitung eines Notfallplans «Meldung Cyber-Attacke»
2. Definition der kritischen Funktionen des beaufsichtigten Instituts:
- Produkte bzw. Dienstleistungen des Beaufsichtigten
- Geschäftsprozesse: Zahlungsverkehr, Bargeldversorgung, Börsenhandel, Erstellung und Verwaltung von Versicherungsverträgen, Schaden- und Leistungsbearbeitung, Datenverwaltung von besonders schützenswerte Personendaten im Kranken- und Lebensversicherungsbereich; Verwaltung von Wertpapieren und Anlagen, usw. (vgl. FINMA-Aufsichtsmitteilung 05/2020, Fussnote 4).
- Kritische Aktiven: Personal, Technologieinfrastruktur, Informationen, Gebäude und kritische Dienstleister, welche die Geschäftsprozesse dieser kritischen Funktionen unterstützen.
3. Zuständigkeiten und Entscheidprozesse definieren:
- Definierung eines Berechtigungsverantwortlichen des Instituts und eines (Key)-Account Managers (FINMA).
- Mit der Erhebungs- und Gesuchsplattform der FINMA vertraut machen; Registrierung vornehmen.
- Klare Zuständigkeiten und Verantwortlichkeiten festhalten; Stellvertretungen ernennen und konkret bezeichnen. Aufgrund des Zeitdrucks sind kurze Dienstwege zu bevorzugen. Abläufe definieren und zusammen mit definierten Zuständigkeiten und Verantwortlichkeiten (inklusive Entscheidkompetenzen; Krisenstab) in einer Weisung festhalten.
- Technische und/oder personelle Warnhinweise definieren (z.B. über Logins).
- Kenntnis im Unternehmen schaffen (zum Beispiel mithilfe interner Factsheets); Mitarbeiter involvieren und mit dem Thema betraut machen, um zeitnahe Reaktion im Ernstfall sicherzustellen.
- Externe Ressourcen für den Notfall sicherstellen: technische Incident Response Experten, spezialisierte Anwälte, PR-Berater.
- Massgeschneiderte Entscheidhilfen (Raster) für Abklärung der Meldepflicht entwickeln.
4. Meldeschema:
- Ablaufplan – einzelne Schritte und Entscheide
- Template Vororientierung an FINMA
- Textbausteine Meldung an FINMA
5. Externe Dienstleister einbinden:
- Überblick über relevante externe Dienstleister verschaffen und in einer Liste festhalten
- Vertraglich sicherstellen, dass die externen Dienstleister Cyber-Attacken unverzüglich mit den erforderlichen Angaben melden (z.B. entsprechende Instruktion, etc.).
Wir unterstützen Sie gerne in der institutseigenen Umsetzung der FINMA-Aufsichtsmitteilung und stehen Ihnen bei weiteren Fragen zur Verfügung.
Weitere Dienstleistungen von MME im Zusammenhang mit Cyberangriffen finden Sie unter dem MME Cyber Risk Response Team.
