Behalten Sie als Schweizer Bank Ihre operationellen Risiken im Griff

Autor
Daniel Däppen
Veröffentlicht
04. Oktober 2017

Die Finanzwelt spielt sich mehr denn je digital ab, was enorme Vorteile bietet. Doch jede Medaille hat auch eine Kehrseite: Es entstehen neue Angriffsflächen ‒ und damit verbunden Risiken. Dies zeigt sich in der Vielzahl von Cyberattacken der letzten Jahren auf Finanzinstitute, wie beispielsweise durch Ransomware, DDoS-Attacken oder APT-Angriffe (Advanced Persistent Threat). Die FINMA hat darauf reagiert und fordert Finanzinstitute auf, ein Risikomanagement-Konzept mit entsprechenden Massnahmen zum Schutz vor Cyberattacken umzusetzen – und die Vorgaben gelten bereits seit Juli 2017. Was das für Sie bedeutet, erfahren Sie in unserem Beitrag!

Die Eidgenössische Finanzmarktaufsicht FINMA regelt mit den sogenannten Rundschreiben (RS) wichtige Themen für die betroffenen Finanzinstitute. So regelt das RS 2008/21 den Umgang mit operationellen Risiken. Ursprünglich enthielt das RS 08/21 keine Anforderungen bezüglich IT und Datenverarbeitung. Das änderte vor wenigen Jahren mit dem Anhang 3: «Umgang mit elektronischen Kundendaten». Dadurch wurden Banken verpflichtet, umfassende Sicherheitsmassnahmen für den Schutz der Vertraulichkeit von Kundendaten umzusetzen. Im September 2016 wurde das RS 08/21 mit zusätzlichen, IT-relevanten Bestimmungen ausgeweitet. Doch was heisst das für Sie konkret? Wir haben für Sie die neuen Bestimmungen analysiert und geben Ihnen praktische Umsetzungsempfehlungen.

Was versteht die FINMA unter «Operationellen Risiken»?

Beginnen wir zuerst mit der Definition von operationellen Risiken gemäss dem FINMA RS 2008/21:

Operationelle Risiken sind gemäss Art. 89 ERV definiert als die «Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen oder Systemen oder in Folge von externen Ereignissen eintreten.» Die Definition umfasst sämtliche Rechts- bzw. Compliance-Risiken, soweit sie einen direkten, finanziellen Verlust darstellen, d.h. inklusive Bussen durch Aufsichtsbehörden und Vergleiche.

Relevant für die IT ist dabei der erste Abschnitt. Der nachfolgende Hinweis auf Rechts- und Compliance-Risiken ist insbesondere bezüglich der ab Mai 2018 gültigen DSGVO (GDPR) und dem voraussichtlich ab August 2018 gültigen, total-revidierten Schweizer Datenschutzgesetz interessant. In einem früheren Blogpost haben wir Ihnen bereits erklärt, wie Sie die Herausforderung der GDPR erfolgreich meistern können.

Risikoidentifikation, Risikobegrenzung und Überwachung als Basis

Wichtig für die Umsetzung ist die Risikobewertung. Deshalb werden auch verschiedene quantitative Ansätze zur Risikobewertung aufgeführt. Allerdings ist genau diese Quantifizierung von Technologie-Risiken noch immer ein sehr neues Thema; entsprechend fehlt es weitgehend an Referenzdaten und statistischen Grundlagen. Spannender wird es im Teil «IV. Qualitative Anforderungen an den Umgang mit operationellen Risiken» im Grundsatz 2: Identifizierung, Begrenzung und Überwachung.

«Eine wirksame Risikoidentifikation, welche die Grundlage für die Begrenzung und Überwachung der operationellen Risiken bildet, berücksichtigt sowohl interne als auch externe Faktoren. Hierzu gehören mindestens Risiko- und Kontrollbeurteilungen sowie Revisionsergebnisse.»

Man kann sich somit nicht nur auf die (jährlichen) Revisionsergebnisse verlassen, sondern muss selber Beurteilungen der Risiken und Kontrollen resp. Massnahmen zur Risikobewirtschaftung durchführen. Aus der praktischen Erfahrung ist es leider oft so, dass mögliche Risiken zwar identifiziert, jedoch für die weitere Bearbeitung zurückgestellt werden, nach dem Motto: Die Revision wird diese Risiken schon beanstanden, wenn sie denn tatsächlich relevant sind. Wir empfehlen Ihnen aber, die Risiken dann zu bewirtschaften, wenn sie identifiziert wurden. Dies spart Zeit, Kosten und verhindert unnötigen Stress.
Weitere IT-relevante Themen sind im Grundsatz 2, Randziffer 129 zu finden:

«Erhebung und Analyse externer Ereignisse, die mit operationellen Risiken verbunden sind»

Inzwischen ist die Digitalisierung und Vernetzung von Systemen zur Datenbearbeitung allgegenwärtig. Entsprechend muss eine solche Erhebung und Analyse externer Ereignisse auch technologie-spezifische Ereignisse berücksichtigen, wie zum Beispiel Cyberangriffe durch kriminelle Organisationen, Erpressung mit Ransomware oder Denial of Service-Angriffen.

«Risiko- und Performance-Indikatoren für die Überwachung von operationellen Risiken und Indikatoren für die Wirksamkeit des internen Kontrollsystems»

Und auch hier ist die IT gefordert, um für die (schwer quantifizierbaren) IT-Risiken entsprechende «Key Risk Indicators» zu definieren und zu implementieren. Ein nützliches Hilfsmittel dazu ist zum Beispiel das «Risk IT Framework» von ISACA (mit weiteren praktischen Hilfsmitteln in einer Toolbox und dem «Risk IT Practictioner Guide» oder auch der ISO 27005 Standard «Information Security Risk Management».

Risikomanagement zur gezielten Reduzierung der operationellen Risiken

Der Grundsatz 4 wendet sich nun direkt an die IT und legt folgende Anforderungen fest: «Die Geschäftsleitung hat ein IT-Risikomanagement-Konzept in Übereinstimmung mit der IT-Strategie und der definierten Risikotoleranz sowie unter Berücksichtigung von für das jeweilige Institut relevanten Aspekte gemäss international anerkannten Standards zu implementieren.»

Die oben referenzierten Standards bieten sich auch für die Definition eines umfassenden IT-Risikomanagement-Konzepts an. Dieses muss dabei folgende minimalen Aspekte abdecken:

  1. «Aktuelle Übersicht über die wesentlichsten Bestandteile der Netzwerkinfrastruktur und ein Inventar aller kritischen Applikationen und der damit verbundenen IT-Infrastruktur sowie Schnittstellen mit Dritten.» 

    Je nach Komplexität der Infrastruktur und bereits bestehendem Inventar, bedeutet diese
    Anforderung mehr oder weniger Aufwand. Zudem muss hier auch berücksichtigt werden, dass ein Outsourcing oder der Bezug von cloud-basierten Dienstleistungen nicht davon entbindet, diese Übersicht trotzdem zu behalten. An dieser Stelle ist insbesondere der Punkt «Schnittstellen mit Dritten» zu berücksichtigen!

  2. «Eindeutige Festlegung von Rollen, Aufgaben und Verantwortlichkeiten in Bezug auf die kritischen Applikationen sowie damit verbundener IT-Infrastruktur und kritischen und/oder sensitiven Daten und Prozesse.» 

    Die Definition und Dokumentation von AKV – Aufgaben, Kompetenzen, Verantwortungen – der hier fokussierten Rollen stellt eine Grundlage dar, um anschliessend die Abläufe in Form von Prozessen zu identifizieren und zu dokumentieren. Auch hier gilt: Dieser Punkt ist unabhängig davon, ob die Systeme selber betrieben werden – durch Dienstleister im Outsourcing oder durch einen Cloud Service Provider.

  3. «Systematischer Prozess im Hinblick auf die Identifikation und Beurteilung von IT-Risiken im Rahmen der Sorgfaltsprüfung (Due Diligence) insbesondere bei Akquisitionen bzw. Auslagerungen im IT-Bereich sowie bei der Überwachung von Dienstleistungsvereinbarungen.» 

    Hier wird ein angemessener Prozess zur Prüfung von Outsourcing und (extern erbrachten) Dienstleistungen spezifisch gefordert. Insbesondere standardisierte Attestierungen und Zertifikate, wie beispielsweise ISO 27001 oder (ISAE 3402) SOC Control Reports, stellen ein nützliches Instrument für die effiziente Prüfung von Dienstleistern dar.

  4. «Massnahmen zur Stärkung des Bewusstseins der Mitarbeiter im Hinblick auf ihre Verantwortung zur Reduktion von IT-Risiken sowie Einhaltung und Stärkung der IT-Informationssicherheit.» 

    Die Sensibilisierung (security awareness) der Mitarbeitenden darf nicht zu kurz kommen und wird an dieser Stelle explizit regulatorisch gefordert. 

 

Tipp: Diese oben beschriebenen Anforderungen umzusetzen, auch wenn sie keine durch das RS betroffene Bank sind, lohnt sich übrigens auch im Hinblick auf die Einhaltung der Datenschutz-Gesetze und zur effizienteren Umsetzung von entsprechenden Sicherheitsmassnahmen!

Cyberrisiken im Fokus des FINMA RS 2008/21

Mit Randziffer 135.6 bis 135.11 folgen weitere, speziell auf «Cyberrisiken» fokussierte Anforderungen. Diese orientieren sich dabei stark am NIST Cyber Security Framework:

«Die Geschäftsleitung hat zudem ein Risikomanagement-Konzept für den Umgang mit Cyberrisiken. Dieses Konzept hat mindestens die folgenden Aspekte abzudecken und eine effektive Umsetzung durch geeignete Prozesse sowie eine eindeutige Festlegung von Aufgaben, Rollen und Verantwortlichkeiten zu gewährleisten...»

Die betroffenen Banken dürften für die meisten dieser Punkte bereits wirksame Sicherheitsmassnahmen umgesetzt haben. Ein Novum stellt dabei die «zeitnahe Erkennung und Aufzeichnung von Cyberattacken» dar. Betroffene Banken ‒ und als ideale Ergänzung zu präventiven Massnahmen auch für Nicht-Banken ‒ müssen hiermit eine Aufbau- und Ablauforganisation konzipieren, um eine 24/7-Erkennung von Cyberattacken gewährleisten zu können. Ohne ein entsprechendes «Security Operation Center» (SOC) ist dies nicht zu bewerkstelligen. Zudem besteht nun auch die Verpflichtung, die Sicherheitsmassnahmen und insbesondere «Disaster Recovery»-Massnahmen als Reaktion auf Cyberattacken mit dem Business Continuity Management (BCM) unternehmensweit abzustimmen.

Proaktive Reduzierung von Risiken durch simulierte Cyberattacken

Zu guter Letzt fordert das RS 08/21 in der Randziffer 135.12 eine regelmässige Durchführung von Verwundbarkeitsanalysen (sog. «Vulnerability Assessments»), bis hin zu simulierten Attacken und effektiven Angriffsversuchen (Penetration Testing) auf kritische IT-Systeme und sensitive Daten.

«Die Geschäftsleitung lässt zum Schutz der kritischen und/oder sensitiven Daten und IT-Systemen vor Cyberattacken regelmässig Verwundbarkeitsanalysen und Penetration Testings durchführen. Diese müssen durch qualifiziertes Personal mit angemessenen Ressourcen durchgeführt werden.»

Wenn Cyber Security-Experten gefragt sind

Solch qualifiziertes Personal ist schwer zu finden ‒ aber glücklicherweise gibt es etablierte Dienstleister für diese Zwecke! Denn gerade die Umsetzung von regulatorischen und gesetzlichen Vorgaben wie dem FINMA RS 2017/01 «Corporate Governance – Banken», 2008/07 «Outsourcing Banken» resp. 2008/21 «Operationelle Risiken Banken» sowie dem Datenschutzgesetz, beinhalten viele Vorgaben, die technisch sowie organisatorisch sehr anspruchsvoll sind. Deshalb lohnt es sich, einen erfahrenen Cyber Security-Experten beizuziehen.

Cyber Security aus der Schweiz

Unabhängig ob strategisch, IT-übergreifend oder in spezifischen Bereichen: InfoGuard kann Sie kompetent bei der Erfüllung der Cyber Security-Vorgaben aus dem überarbeiteten FINMA Rundschreiben 2008/21 unterstützen. Vertrauen Sie uns und behalten Sie so die operationellen Risiken im Griff! Wir freuen uns, mit Ihnen über Ihre spezifischen Herausforderungen zu sprechen.

 

Kontaktieren Sie uns!

 

Artikel teilen