Die Finanzwelt spielt sich mehr denn je digital ab, was enorme Vorteile bietet. Doch jede Medaille hat auch eine Kehrseite: Es entstehen neue Angriffsflächen ‒ und damit verbunden Risiken. Dies zeigt sich in der Vielzahl von Cyberattacken der letzten Jahren auf Finanzinstitute, wie beispielsweise durch Ransomware, DDoS-Attacken oder APT-Angriffe (Advanced Persistent Threat). Die FINMA hat darauf reagiert und fordert Finanzinstitute auf, ein Risikomanagement-Konzept mit entsprechenden Massnahmen zum Schutz vor Cyberattacken umzusetzen – und die Vorgaben gelten bereits seit Juli 2017. Was das für Sie bedeutet, erfahren Sie in unserem Beitrag!
Die Eidgenössische Finanzmarktaufsicht FINMA regelt mit den sogenannten Rundschreiben (RS) wichtige Themen für die betroffenen Finanzinstitute. So regelt das RS 2008/21 den Umgang mit operationellen Risiken. Ursprünglich enthielt das RS 08/21 keine Anforderungen bezüglich IT und Datenverarbeitung. Das änderte vor wenigen Jahren mit dem Anhang 3: «Umgang mit elektronischen Kundendaten». Dadurch wurden Banken verpflichtet, umfassende Sicherheitsmassnahmen für den Schutz der Vertraulichkeit von Kundendaten umzusetzen. Im September 2016 wurde das RS 08/21 mit zusätzlichen, IT-relevanten Bestimmungen ausgeweitet. Doch was heisst das für Sie konkret? Wir haben für Sie die neuen Bestimmungen analysiert und geben Ihnen praktische Umsetzungsempfehlungen.
Beginnen wir zuerst mit der Definition von operationellen Risiken gemäss dem FINMA RS 2008/21:
Operationelle Risiken sind gemäss Art. 89 ERV definiert als die «Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen oder Systemen oder in Folge von externen Ereignissen eintreten.» Die Definition umfasst sämtliche Rechts- bzw. Compliance-Risiken, soweit sie einen direkten, finanziellen Verlust darstellen, d.h. inklusive Bussen durch Aufsichtsbehörden und Vergleiche.
Relevant für die IT ist dabei der erste Abschnitt. Der nachfolgende Hinweis auf Rechts- und Compliance-Risiken ist insbesondere bezüglich der ab Mai 2018 gültigen DSGVO (GDPR) und dem voraussichtlich ab August 2018 gültigen, total-revidierten Schweizer Datenschutzgesetz interessant. In einem früheren Blogpost haben wir Ihnen bereits erklärt, wie Sie die Herausforderung der GDPR erfolgreich meistern können.
Wichtig für die Umsetzung ist die Risikobewertung. Deshalb werden auch verschiedene quantitative Ansätze zur Risikobewertung aufgeführt. Allerdings ist genau diese Quantifizierung von Technologie-Risiken noch immer ein sehr neues Thema; entsprechend fehlt es weitgehend an Referenzdaten und statistischen Grundlagen. Spannender wird es im Teil «IV. Qualitative Anforderungen an den Umgang mit operationellen Risiken» im Grundsatz 2: Identifizierung, Begrenzung und Überwachung.
«Eine wirksame Risikoidentifikation, welche die Grundlage für die Begrenzung und Überwachung der operationellen Risiken bildet, berücksichtigt sowohl interne als auch externe Faktoren. Hierzu gehören mindestens Risiko- und Kontrollbeurteilungen sowie Revisionsergebnisse.»
Man kann sich somit nicht nur auf die (jährlichen) Revisionsergebnisse verlassen, sondern muss selber Beurteilungen der Risiken und Kontrollen resp. Massnahmen zur Risikobewirtschaftung durchführen. Aus der praktischen Erfahrung ist es leider oft so, dass mögliche Risiken zwar identifiziert, jedoch für die weitere Bearbeitung zurückgestellt werden, nach dem Motto: Die Revision wird diese Risiken schon beanstanden, wenn sie denn tatsächlich relevant sind. Wir empfehlen Ihnen aber, die Risiken dann zu bewirtschaften, wenn sie identifiziert wurden. Dies spart Zeit, Kosten und verhindert unnötigen Stress.
Weitere IT-relevante Themen sind im Grundsatz 2, Randziffer 129 zu finden:
Inzwischen ist die Digitalisierung und Vernetzung von Systemen zur Datenbearbeitung allgegenwärtig. Entsprechend muss eine solche Erhebung und Analyse externer Ereignisse auch technologie-spezifische Ereignisse berücksichtigen, wie zum Beispiel Cyberangriffe durch kriminelle Organisationen, Erpressung mit Ransomware oder Denial of Service-Angriffen.
Und auch hier ist die IT gefordert, um für die (schwer quantifizierbaren) IT-Risiken entsprechende «Key Risk Indicators» zu definieren und zu implementieren. Ein nützliches Hilfsmittel dazu ist zum Beispiel das «Risk IT Framework» von ISACA (mit weiteren praktischen Hilfsmitteln in einer Toolbox und dem «Risk IT Practictioner Guide» oder auch der ISO 27005 Standard «Information Security Risk Management».
Der Grundsatz 4 wendet sich nun direkt an die IT und legt folgende Anforderungen fest: «Die Geschäftsleitung hat ein IT-Risikomanagement-Konzept in Übereinstimmung mit der IT-Strategie und der definierten Risikotoleranz sowie unter Berücksichtigung von für das jeweilige Institut relevanten Aspekte gemäss international anerkannten Standards zu implementieren.»
Die oben referenzierten Standards bieten sich auch für die Definition eines umfassenden IT-Risikomanagement-Konzepts an. Dieses muss dabei folgende minimalen Aspekte abdecken:
Tipp: Diese oben beschriebenen Anforderungen umzusetzen, auch wenn sie keine durch das RS betroffene Bank sind, lohnt sich übrigens auch im Hinblick auf die Einhaltung der Datenschutz-Gesetze und zur effizienteren Umsetzung von entsprechenden Sicherheitsmassnahmen!
Mit Randziffer 135.6 bis 135.11 folgen weitere, speziell auf «Cyberrisiken» fokussierte Anforderungen. Diese orientieren sich dabei stark am NIST Cyber Security Framework:
«Die Geschäftsleitung hat zudem ein Risikomanagement-Konzept für den Umgang mit Cyberrisiken. Dieses Konzept hat mindestens die folgenden Aspekte abzudecken und eine effektive Umsetzung durch geeignete Prozesse sowie eine eindeutige Festlegung von Aufgaben, Rollen und Verantwortlichkeiten zu gewährleisten...»
Die betroffenen Banken dürften für die meisten dieser Punkte bereits wirksame Sicherheitsmassnahmen umgesetzt haben. Ein Novum stellt dabei die «zeitnahe Erkennung und Aufzeichnung von Cyberattacken» dar. Betroffene Banken ‒ und als ideale Ergänzung zu präventiven Massnahmen auch für Nicht-Banken ‒ müssen hiermit eine Aufbau- und Ablauforganisation konzipieren, um eine 24/7-Erkennung von Cyberattacken gewährleisten zu können. Ohne ein entsprechendes «Security Operation Center» (SOC) ist dies nicht zu bewerkstelligen. Zudem besteht nun auch die Verpflichtung, die Sicherheitsmassnahmen und insbesondere «Disaster Recovery»-Massnahmen als Reaktion auf Cyberattacken mit dem Business Continuity Management (BCM) unternehmensweit abzustimmen.
Zu guter Letzt fordert das RS 08/21 in der Randziffer 135.12 eine regelmässige Durchführung von Verwundbarkeitsanalysen (sog. «Vulnerability Assessments»), bis hin zu simulierten Attacken und effektiven Angriffsversuchen (Penetration Testing) auf kritische IT-Systeme und sensitive Daten.
«Die Geschäftsleitung lässt zum Schutz der kritischen und/oder sensitiven Daten und IT-Systemen vor Cyberattacken regelmässig Verwundbarkeitsanalysen und Penetration Testings durchführen. Diese müssen durch qualifiziertes Personal mit angemessenen Ressourcen durchgeführt werden.»
Solch qualifiziertes Personal ist schwer zu finden ‒ aber glücklicherweise gibt es etablierte Dienstleister für diese Zwecke! Denn gerade die Umsetzung von regulatorischen und gesetzlichen Vorgaben wie dem FINMA RS 2017/01 «Corporate Governance – Banken», 2008/07 «Outsourcing Banken» resp. 2008/21 «Operationelle Risiken Banken» sowie dem Datenschutzgesetz, beinhalten viele Vorgaben, die technisch sowie organisatorisch sehr anspruchsvoll sind. Deshalb lohnt es sich, einen erfahrenen Cyber Security-Experten beizuziehen.
Unabhängig ob strategisch, IT-übergreifend oder in spezifischen Bereichen: InfoGuard kann Sie kompetent bei der Erfüllung der Cyber Security-Vorgaben aus dem überarbeiteten FINMA Rundschreiben 2008/21 unterstützen. Vertrauen Sie uns und behalten Sie so die operationellen Risiken im Griff! Wir freuen uns, mit Ihnen über Ihre spezifischen Herausforderungen zu sprechen.