Cyber-Security

Umgang mit Cyber-Risiken

Mit dem zunehmenden Einsatz neuer Technologien und IT-Systeme gehen zahlreiche Vorteile, aber auch Gefahren einher. Durch die globale Vernetzung und die grosse Datendichte, die der technische Fortschritt mit sich bringt, kann jeder Finanzintermediär zum möglichen Ziel von Cyberkriminalität werden. Die FMA misst dem Thema Cyber-Security deshalb eine grosse Bedeutung bei.

Im Folgenden wird ein kurzer Überblick über die häufigsten Bedrohungsszenarien gegeben:

  • Distributed Denial of Service (DDoS): Hierbei handelt es sich um einen Angriff auf Computersysteme, der die Verfügbarkeit des Systems stören soll. Von vielen verteilten Rechnern aus werden grosse Datenmengen an das Zielsystem gesendet, um eine Überlastung zu erwirken.
  • Insider-Bedrohungen (insbesondere Social Engineering/Phishing): Unter Ausnützung ihrer Gutgläubigkeit oder Unsicherheiten werden Mitarbeitende unter anderem dazu bewegt, Passwörter oder andere vertrauliche Daten preiszugeben, nicht autorisierte Transaktionen zu tätigen oder bösartige Software einzuschleusen.
  • Schadsoftware in E-Mails: Der Empfänger wird zum Öffnen eines E-Mail-Anhangs oder Klick auf einen Link verleitet, der automatisch einen bösartigen Code ausführt. Dieser bezweckt beispielsweise die weitere Verbreitung der Schadsoftware oder die Zerstörung bzw. den Diebstahl von Daten.
  • Verschlüsselungstrojaner: Das System wird mit einer bestimmten Art von Schadsoftware infiziert, die Daten auf dem Laufwerk des Empfängers sowie auf verbundenen Netzlaufwerken verschlüsselt. Meist wird der Betroffene sodann aufgefordert, zur Entschlüsselung der Daten eine Zahlung an die Angreifer zu leisten.

FMA-Mitteilung 2018/3

Diesen und anderen Bedrohungen gilt es, mithilfe eines adäquaten IT-Risikomanagements entgegenzuwirken. Die erforderlichen Massnahmen im Umgang mit Cyber-Risiken werden in der FMA-Mitteilung 2018/3 konkretisiert. Es muss nicht nur ein der Bedrohungslage angemessenes Sicherheitsniveau gewährleistet werden, sondern auch ein entsprechendes Notfallmanagement bestehen, um nach einem Angriff schnellstmöglich den normalen Geschäftsbetrieb wieder aufnehmen zu können. In Anlehnung an den global etablierten NIST-Standard (National Institute of Standards and Technology) werden sechs Prozesselemente dargelegt: Identifikation, Schutz, Erkennung, Reaktion, Wiederherstellung und Meldung.

Bei einer allfälligen Auslagerung der IT an externe Dienstleister gelten die genannten Anforderungen gleichermassen. Darum sollte darauf geachtet werden, IT-Dienstleister bei der Implementierung der geeigneten Massnahmen in das Risikomanagement miteinzubeziehen.

Die FMA-Mitteilung 2018/3 legt einen Mindeststandard fest und hindert sohin die angesprochenen Finanzintermediäre nicht daran, höhere Standards und detailliertere Regelungen im Umgang mit Cyber-Risiken festzulegen.

Etwaige (künftige) Bestimmungen auf europäischer Ebene bleiben durch diese Mitteilung unberührt.

Seite drucken