Meinungen

Cybersecurity fordert Finanzsektor

Gegen digitale Angriffe bietet nur ein Weg wirksamen Schutz: enge Zusammenarbeit von Finanzdienstleistern, Kundschaft, Zulieferern, Infrastrukturanbietern und Behörden. Von Mark Branson.

Mark Branson
«Die Banken müssen sich systematisch mit Cyberrisiken befassen.»

Die Akteure auf dem Schweizer Finanzmarkt streben nach mehr Effizienz in der Wertschöpfungskette und Innovation bei Dienstleistungen. Die Digitalisierung in der Finanzindustrie birgt dafür enorme Chancen. Die Institute können ihrer Kundschaft dank digitalisierter Prozesse qualitativ bessere, günstigere oder schnellere Dienstleistungen anbieten. Logisch daher, dass wir uns zuerst auf die Vorteile der Digitalisierung konzentrieren, bevor wir uns den Kopf darüber zerbrechen, wie wir uns vor Risiken schützen können.

Doch die neuen Möglichkeiten der Digitalisierung zeigen auch unerwünschte Nebenwirkungen: die Cyberkriminalität. Es würde überraschen, wenn das Bankwesen davon verschont bliebe, denn ob analog oder digital: Bankräuber gehören seit jeher zum Bankwesen. Neu ist allerdings, dass es bei den unlauteren Machenschaften nicht nur um Diebstahl gehen muss. So wurde 2017 etwa der Internetverkehr mehrerer Finanzdienstleister auf der ganzen Welt, darunter auch derjenige der Kreditkartenfirmen Visa (V 177.06 1.25%) und Mastercard (MA 265 3.52%), während knapp sieben Minuten über einen russischen Telecomanbieter umgeleitet. Dabei bestand die Möglichkeit, dass in der Zeit der Fehlleitung die Kommunikation analysiert oder schlimmstenfalls gar verändert wurde. In einem anderen Fall bei einer brasilianischen Bank übernahmen Angreifer den Internetverkehr während fünf Stunden komplett.

Auf diese Weise können potenziell Transaktionen ausgespäht, Zugangsdaten abgegriffen und Kundengeräte mit Malware infiziert werden. Digitale Attacken können also ganz andere Dimensionen annehmen, denn sie legen potenziell ganze Systeme von einzelnen Instituten oder gar das Finanzsystem lahm.

Vernetzung erhöht Anfälligkeit

Mit der Digitalisierung nimmt die Vernetzung der Finanzmarktakteure stetig zu. Das Internet verbindet die Banken mit der Welt. Die Institute sind digital auch viel stärker mit ihren Partnern, Lieferanten und Kunden vernetzt. Dank der digitalen Möglichkeiten konzentrieren sich Finanzinstitute vermehrt auf ihre Kernkompetenzen wie die Einlagen- und die Vermögensverwaltung oder die Kreditvergabe und lagern Bereiche der Wertschöpfungskette aus, die als nicht strategisch erachtet werden. So beziehen bereits heute rund 85% der Banken in der Schweiz Kernfunktionen von Drittanbietern, wobei Dienstleistungen für den Betrieb von IT-Systemen klar dominieren.

Analoge Finanzdienstleistungen hingegen werden tendenziell immer weniger genutzt, da sie für die Institute teuer und damit weniger attraktiv sind. Teilweise verschwinden sie sogar ganz: Wer benutzt heute zum Beispiel noch ein Scheckbuch? Weil mehr und mehr digital abläuft und analoge Alternativen fehlen, sind wir auch stärker denn je vom Funktionieren der digitalen Dienstleistungen abhängig. Damit steigen die Erwartungen an die Zuverlässigkeit und die Verfügbarkeit der digitalen Systeme und andrerseits die Verletzlichkeit der Anbieter.

Diese erhöhte Verletzlichkeit für Cyberattacken betrifft sowohl die Finanzinstitute als auch die Kundschaft. Die Technologiesysteme von Finanzdienstleistern können aufgrund von böswilligen Attacken gefährdet werden. Pro Jahr werden beispielsweise rund tausend gefälschte Kopien von Internetseiten (sogenannte Phishing-Seiten) von Schweizer Banken erstellt. Da die Technologieinfrastruktur mehr und mehr ausgelagert ist, zielen Cyberangriffe nicht mehr nur auf Banken, sondern vermehrt auf Drittparteien ab. So hätte beispielsweise der Angriff auf eine der für den Zahlungsverkehr zentralen Infrastrukturen der Schweiz erhebliche Auswirkungen auf den Finanzmarkt und die Bevölkerung. Aber auch die Endgeräte von Kunden werden Ziel von Cyberangriffen. Daher ist grundsätzlich das gesamte System in der Schweiz gefordert, die Bedrohungslage laufend zu beurteilen und Massnahmen koordiniert zu ergreifen.

In einer digitalisierten Welt sind Cyberrisiken kein Hype-Thema und kein punktuelles Problem. Sie stellen eine permanente Herausforderung und wahrscheinlich das wichtigste operationelle Risiko bei den Instituten der Finanzbranche dar. Entsprechend befasst sich die Eidgenössische Finanzmarktaufsicht, die Finma, intensiv damit.

Gegen Risiken rüsten

Zwar kann eine Aufsichtsbehörde nicht das gesamte Finanzsystem vor Cyberangriffen schützen, doch es gehört zur Rolle der Finma, für die nötige Sensibilisierung bezüglich der Problematik zu sorgen, in der Finanzbranche und bei ihren Partnern und Zulieferern. Für ihren Teil hat die Finma daher Anforderungen für den Umgang mit Cyberrisiken bei Banken in ihrer Regulierung kurz und prägnant festgelegt. Zudem hat sie gezielt die Aufsicht über diese Risiken verstärkt und Spezialisten mit dem entsprechenden Know-how eingestellt, denn die Finanzmarktaufsicht muss in der Lage sein, die richtigen Fragen zu stellen und die Antworten zu analysieren und zu beurteilen.

Auch hat die Finma 2018 viele Banken diesbezüglich kontrolliert. Die Ergebnisse der Aufsicht zeigen, dass die Banken den Umgang mit Cyberrisiken in den vergangenen Jahren verbessert haben. Es liegt aus offensichtlichen Reputations- und finanziellen Gründen in ihrem ureigenen Interesse, diese Risiken im Griff zu haben. Für Finanzinstitute steht im Zentrum, dass Daten sicher gelagert oder transportiert werden.

Die Finma erwartet von den Banken, dass sie sich systematisch mit Cyberrisiken befassen und zielgerichtete Prozesse sowie interne Verantwortlichkeiten festlegen. Fünf Elemente stehen dabei im Vordergrund. Die Banken müssen erstens die potenziell gefährdeten Daten und Systeme identifizieren. Zweitens gilt es dann, die Vertraulichkeit, die Integrität und die Verfügbarkeit dieser Daten und Systeme bestmöglich zu schützen. Drittens sollen Banken in der Lage sein, Attacken auf ihre Technologieinfrastruktur mit einer systematischen Überwachung und Aufzeichnung frühzeitig zu erkennen. Viertens müssen sie Reaktionsmassnahmen vorbereiten, damit sie während eines Vorfalls den Betrieb aufrechterhalten können. Letztlich brauchen die Institute einen Plan, wie der normale Geschäftsbetrieb rasch wiederhergestellt werden kann.

Systemweites Krisenmanagement

Zusätzlich zu diesen fünf Punkten verlangt die Finanzmarktaufsicht von den Banken, dass sie ihr Dispositiv regelmässig testen. Sie lassen dafür ihr System probehalber angreifen (Penetration Testing). Auf diesem Weg lassen sich mögliche Schwachstellen ausfindig machen und korrigieren.

Neben den Massnahmen der einzelnen Institute ist für den Umgang mit Cyberrisiken aufgrund der erwähnten systemischen Vernetzung auch ein systemweites Abwehrdispositiv in der Schweiz gefragt. Die Finma unterstützt explizit die Bestrebungen des Bundesrats: Es braucht nun rasch ein schweizerisches Cyberkompetenzzentrum als zentrale Ansprechstelle für die Anliegen der Wirtschaft. Das Ziel muss sein, dass alle Akteure sich einfach ein Bild der aktuellen Bedrohungslage machen können, um umgehend darauf reagieren zu können. Zudem braucht es ein systemweites Krisenmanagement als Vorbereitung auf Angriffe, die auf die Finanzstabilität der Schweiz durchschlagen.

Letztlich bietet nur ein Weg den besten Schutz vor Cyberattacken: die enge Zusammenarbeit von Kundschaft, Finanzdienstleistern, Zulieferern, Infrastrukturanbietern und Behörden.

Leser-Kommentare

Die Kommentarfunktion ist deaktiviert.