Im März 2016 führten mehrere Cyberattacken zu Ausfällen bei verschiedensten Schweizer Online-Handelsplattformen. Ebenfalls im März wurde der Beinahe-Milliardenraub bei der Zentralbank von Bangladesch bekannt. Dies war der wohl vorläufige Höhepunkt einer Reihe öffentlich bekannter, internationaler Cyberattacken auf – vereinzelt auch Schweizer – Finanzinstitute. Diese Angriffe richteten sich nicht gezielt an die Kunden der Bank, sondern auch an die Bank selbst.
Als schweizerischer Höhepunkt ist ausserdem die Cyber-Spionage bei einem schweizerischen Rüstungskonzern zu nennen. Nach jahrelanger Attacke wurde diese erst im Januar 2016 aufgedeckt und im Mai desselben Jahres zwecks Anschauungsunterricht veröffentlicht.
Gefahr von Cyberattacken
Diese wenigen Beispiele zeigen deutlich, dass Cyberrisiken zunehmen und Cyberattacken zu einem grossen finanziellen und/oder Reputationsschaden für die Firmen führen können. Die Wahrscheinlichkeit, selbst Ziel einer Cyberattacke zu werden, nimmt mit voranschreitender Digitalisierung, Vernetzung und Komplexität stetig zu. Damit ist ein angemessener Umgang mit Cyberrisiken unabdingbar.
Anforderungen für den Umgang mit Cyberrisiken
Die Eidgenössische Finanzmarksicht (FINMA) hat in einem Entwurf des überarbeiteten Rundschreibens 2008/21 «Operationelle Risiken» Anforderungen für den Umgang mit Cyberrisiken definiert und konkretisiert. Diese Anforderungen sind von allgemeiner Charakteristik und lassen sich auch von nicht regulierten Finanzinstituten als Grundlage verwenden.
Die im Entwurf vorliegenden Anforderungen sehen vor, dass regulierte Finanzinstitute ein Konzept zu erarbeiten und entsprechend zu implementieren haben. Mittels angemessener Prozesse sowie eindeutiger Festlegung von Aufgaben sowie Rollen und Verantwortlichkeiten wird ein ganzheitlicher Ansatz für den Umgang mit Cyberrisiken sichergestellt. Das Konzept hat dabei mindestens folgenden grundlegenden Aspekten Rechnung zu tragen:
- Identifizieren: Identifizierung von Bedrohungen durch Cyberattacken – insbesondere in Bezug auf besonders schützenswerte Daten und Systeme. Als Grundlage für die Identifikation von Cyberrisiken soll hierbei eine aktuelle und vollständige Übersicht über die wesentlichsten Bestandteile der IT-Netzwerkumgebung des Finanzinstituts dienen.
- Schützen: Definition und Implementierung von Schutzmassnahmen vor Cyberattacken. Für die Sicherstellung eines angemessenen Schutzes müssen durch geeignete Stellen (z.B. externe Dienstleister oder auch intern qualifiziertes Personal und Ressourcen) regelmässig Verwundbarkeitsanalysen und Penetration-Testings durchgeführt werden.
- Detektieren: systematische Überwachung der Infrastruktur zur Aufklärung von Cyberattacken.
- Reagieren: zeitnahe und angemessene Reaktion auf ermittelte Cyberattacken. Diese Reaktion muss dabei mit dem Business Continuity Management (BMC) abgestimmt sein, falls durch die Cyberattacke die Verfügbarkeit eines kritischen Geschäftsfeldes betroffen sein sollte.
- Wiederherstellen: Aktivitäten und Massnahmen, um nach einer Cyberattacke wieder einen geordneten, normalen Betrieb sicherzustellen sowie Massnahmen zur Verbesserung des Konzepts abzuleiten.
Ausblick und Empfehlung
Cyberattacken werden leider auch in Zukunft schwierig zu vermeiden sein. Jedoch sollten Unternehmen sich auf Basis der oben ausgeführten Aspekte aktiv vorbereiten. Dies erlaubt einerseits, dass Unternehmen auf Cyberattacken vorbereitet sind und sich Auswirkungen durch eine rasche und gezielte Reaktion minimieren lassen. Andererseits erlaubt der bewusste Umgang mit solchen Risiken den gezielten Einsatz von personellen und finanziellen Ressourcen.
(Quelle: © pixdeluxe/iStockphoto)
