Finanzregulierung & Cybersecurity

FINMA Cybersecurity: Die 7 wichtigsten Anforderungen für Finanzinstitute

· 12 Min. Lesezeit

Die Eidgenössische Finanzmarktaufsicht (FINMA) hat mit dem Rundschreiben 2023/1 "Operationelle Risiken und Resilienz – Banken" den regulatorischen Rahmen für Cybersecurity im Schweizer Finanzsektor grundlegend verschärft. Für Banken, Versicherungen und andere beaufsichtigte Institute bedeutet das: Cyberresilienz ist nicht mehr nur eine IT-Frage, sondern eine Governance-Pflicht auf Stufe Verwaltungsrat. Hier sind die sieben wichtigsten Anforderungen, die jedes Finanzinstitut kennen und umsetzen muss.

Kernaussage

Das FINMA-Rundschreiben 2023/1 verlangt von beaufsichtigten Instituten eine ganzheitliche Cyber-Resilienz-Strategie mit regelmässigen Sicherheitstests. Für systemrelevante Banken wird die Durchführung von Red-Teaming-Übungen ausdrücklich erwartet.

Was ist das FINMA-Rundschreiben 2023/1?

Das FINMA-Rundschreiben 2023/1 "Operationelle Risiken und Resilienz – Banken" ist am 1. Januar 2024 in Kraft getreten und ersetzt das bisherige Rundschreiben 2008/21 "Operationelle Risiken – Banken". Es integriert die Erkenntnisse aus der zunehmenden Digitalisierung des Finanzsektors und den steigenden Cyber-Bedrohungen. Das Rundschreiben übernimmt dabei wesentliche Prinzipien des Basler Ausschusses für Bankenaufsicht (BCBS) sowie internationale Best Practices.

Die FINMA beobachtet seit Jahren einen Anstieg der gemeldeten Cyber-Vorfälle. Im Risikomonitor 2024 hat die FINMA Cyberrisiken als eines der fünf bedeutendsten Risiken für den Schweizer Finanzplatz eingestuft. Laut dem Nationalen Zentrum für Cybersicherheit (NCSC, heute BACS) wurden im Jahr 2023 über 49'000 Cybervorfälle in der Schweiz gemeldet – ein Anstieg von rund 30% gegenüber dem Vorjahr.

Die 7 wichtigsten FINMA-Cybersecurity-Anforderungen

1. Risikobewertung und Cyber-Risikorahmen

Die FINMA verlangt einen systematischen Ansatz zur Identifikation, Bewertung und Überwachung von Cyberrisiken. Institute müssen ein umfassendes Cyber-Risk-Assessment durchführen, das mindestens folgende Elemente umfasst:

  • Identifikation der kritischen IT-Assets und ihrer Abhängigkeiten
  • Bewertung der Bedrohungslandschaft und der relevanten Angriffsszenarien
  • Analyse der bestehenden Schutzmassnahmen und ihrer Wirksamkeit
  • Regelmässige Aktualisierung der Risikobewertung (mindestens jährlich)

Das Ergebnis muss in den übergeordneten Risikomanagement-Rahmen des Instituts integriert werden und dem Verwaltungsrat regelmässig berichtet werden.

2. Schutzmassnahmen (Protect)

Institute müssen angemessene technische und organisatorische Schutzmassnahmen implementieren. Die FINMA erwartet einen Defense-in-Depth-Ansatz mit mehreren Sicherheitsschichten:

  • Netzwerksicherheit: Segmentierung, Firewalls, Intrusion Prevention
  • Identitäts- und Zugriffsmanagement: Multi-Faktor-Authentifizierung, Least-Privilege-Prinzip
  • Datensicherheit: Verschlüsselung, Data Loss Prevention
  • Anwendungssicherheit: Sichere Entwicklung, regelmässige Sicherheitstests
  • Endpunktsicherheit: Endpoint Detection and Response (EDR)

Ein Penetrationstest ist der effektivste Weg, die Wirksamkeit dieser Schutzmassnahmen zu validieren.

3. Erkennungsfähigkeiten (Detect)

Das Rundschreiben 2023/1 stellt hohe Anforderungen an die Fähigkeit, Cyberangriffe zu erkennen. Institute müssen in der Lage sein, Sicherheitsvorfälle zeitnah zu detektieren. Erwartet werden:

  • Ein Security Operations Center (SOC) oder gleichwertige Überwachung, 24/7 für systemrelevante Institute
  • Security Information and Event Management (SIEM) Systeme
  • Threat Intelligence zur proaktiven Erkennung neuer Bedrohungen
  • Regelmässige Überprüfung der Erkennungsfähigkeiten durch Simulationen

Praxistipp

Ein Red-Teaming-Engagement testet nicht nur die technischen Schutzmassnahmen, sondern auch die Erkennungsfähigkeiten Ihres SOC unter realistischen Bedingungen. Die FINMA bewertet dies als besonders aussagekräftigen Nachweis für die Wirksamkeit Ihrer Detect-Funktionen.

4. Incident Response und Krisenmanagement

Ein dokumentierter und regelmässig getesteter Incident-Response-Plan ist Pflicht. Die FINMA erwartet:

  • Klare Rollen und Verantwortlichkeiten für den Krisenfall
  • Definierte Eskalationspfade bis auf Stufe Verwaltungsrat
  • Kommunikationspläne für interne und externe Stakeholder
  • Regelmässige Übungen und Simulationen (Tabletop Exercises)
  • Meldepflicht an die FINMA bei schwerwiegenden Cyber-Vorfällen

Die FINMA erwartet, dass Institute Cyber-Vorfälle innerhalb von 24 Stunden melden, wenn diese die Interessen der Kunden gefährden oder die Funktionsfähigkeit des Instituts beeinträchtigen könnten. Dies ist deutlich strenger als die allgemeine Meldepflicht unter dem nDSG.

5. Recovery und Business Continuity

Institute müssen sicherstellen, dass sie nach einem Cyber-Angriff ihre kritischen Funktionen zeitnah wiederherstellen können. Die Anforderungen umfassen:

  • Business-Continuity-Pläne spezifisch für Cyber-Szenarien
  • Definierte Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) für kritische Systeme
  • Regelmässige Tests der Wiederherstellungsprozesse
  • Immutable Backups zum Schutz vor Ransomware
  • Für systemrelevante Institute: Nachweis der Fähigkeit zur Fortführung systemrelevanter Funktionen auch unter Stress

6. Management von Drittparteirisiken

Die zunehmende Auslagerung von IT-Diensten stellt ein wachsendes Risiko dar. Das Rundschreiben 2023/1 verlangt eine umfassende Steuerung der Risiken bei Outsourcing und Cloud-Nutzung:

  • Due-Diligence-Prüfungen bei der Auswahl von IT-Dienstleistern
  • Vertragliche Sicherheitsanforderungen und Prüfrechte
  • Laufendes Monitoring der Sicherheitslage bei Drittparteien
  • Ausstiegsstrategien (Exit-Pläne) für kritische Auslagerungen
  • Konzentration von Auslagerungen bei einem Anbieter muss als Risiko bewertet werden

Ein Cloud Security Assessment hilft Ihnen, die Risiken Ihrer Cloud-Auslagerungen systematisch zu bewerten und die FINMA-Anforderungen zu erfüllen.

7. Governance und Verantwortlichkeit

Die vielleicht wichtigste Neuerung: Cybersecurity ist explizit Chefsache. Die FINMA erwartet:

  • Verwaltungsrat: Übergeordnete Verantwortung für die Cyber-Resilienz, regelmässige Berichterstattung
  • Geschäftsleitung: Operative Verantwortung für die Umsetzung der Cyber-Strategie
  • CISO-Funktion: Klare Zuordnung der Verantwortung für Informationssicherheit
  • Drei-Linien-Modell: Unabhängige Prüfung der Cybersecurity durch die interne Revision
  • Regelmässige Schulungen: Alle Mitarbeitenden müssen in Cyber-Awareness geschult werden

Unser Cyber Awareness Training ist speziell für regulierte Finanzinstitute konzipiert und erfüllt die Schulungsanforderungen der FINMA.

Red Teaming und TIBER-CH: Der Goldstandard für systemrelevante Banken

Für systemrelevante Banken (D-SIBs) geht die FINMA noch einen Schritt weiter: Sie erwartet die Durchführung von Threat-Intelligence-Based Ethical Red Teaming (TIBER) Übungen. Die Schweiz hat dafür das TIBER-CH-Rahmenwerk entwickelt, das sich am europäischen TIBER-EU-Standard orientiert.

Was ist TIBER-CH?

TIBER-CH ist ein strukturiertes Rahmenwerk für die Durchführung von Red-Teaming-Übungen bei Finanzinstituten. Es umfasst drei Phasen:

  1. Vorbereitungsphase: Scoping, Threat-Intelligence-Bericht über die relevante Bedrohungslandschaft
  2. Testphase: Red-Team-Angriffssimulation basierend auf den identifizierten Bedrohungsszenarien (typisch 10-12 Wochen)
  3. Abschlussphase: Gemeinsame Analyse, Purple-Teaming-Workshop, Massnahmenplan

Ein TIBER-CH-Test unterscheidet sich von einem herkömmlichen Penetrationstest durch seinen strategischen Ansatz: Er basiert auf realer Threat Intelligence, simuliert die Taktiken spezifischer Bedrohungsakteure und testet die gesamte Angriffskette von Initial Access bis zur Exfiltration. Nur wenige Teams in der Schweiz verfügen über die Erfahrung und Zertifizierungen, um TIBER-konforme Red-Teaming-Engagements durchzuführen.

Statistik

Laut dem FINMA-Risikomonitor 2024 haben Cyberangriffe auf den Schweizer Finanzsektor in den letzten drei Jahren um über 50% zugenommen. Die durchschnittlichen Kosten eines erfolgreichen Cyberangriffs auf ein Schweizer Finanzinstitut belaufen sich laut IBM Cost of a Data Breach Report 2024 auf rund CHF 5,3 Millionen.

Wie sollten sich regulierte Institute vorbereiten?

Die Umsetzung der FINMA-Anforderungen erfordert einen strukturierten Ansatz. Wir empfehlen folgende Schritte:

  1. Gap-Analyse: Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den Anforderungen des Rundschreibens 2023/1. Identifizieren Sie Lücken.
  2. Penetrationstest: Lassen Sie Ihre kritischen Systeme und Anwendungen durch einen professionellen Penetrationstest prüfen, um technische Schwachstellen zu identifizieren.
  3. Red Teaming: Für systemrelevante Institute oder solche mit hohem Risikoprofil: Führen Sie ein Red-Teaming-Engagement durch, das Ihre gesamte Verteidigungskette testet.
  4. Cloud Security Assessment: Wenn Sie Cloud-Dienste nutzen, führen Sie ein Cloud Security Assessment durch, um Drittparteirisiken zu bewerten.
  5. Awareness Training: Schulen Sie alle Mitarbeitenden und insbesondere den Verwaltungsrat in Cyber-Awareness. Unser Schulungsprogramm ist auf FINMA-Anforderungen zugeschnitten.
  6. Dokumentation: Stellen Sie sicher, dass alle Massnahmen, Tests und Ergebnisse revisionssicher dokumentiert sind.

Möchten Sie wissen, wo Ihr Institut in Bezug auf die FINMA-Cybersecurity-Anforderungen steht? Buchen Sie eine kostenlose Bedrohungsanalyse – unsere Experten bewerten Ihren aktuellen Stand und zeigen Ihnen die kritischsten Handlungsfelder auf.

🏔️ Weiterführende Ressourcen

RedTeam Partners ist stolzer Träger des Alpine-Excellence-Siegels für herausragende Schweizer Cybersicherheit.

Häufig gestellte Fragen (FAQ)

Für welche Institute gilt das FINMA-Rundschreiben 2023/1?

Das Rundschreiben 2023/1 gilt für alle von der FINMA beaufsichtigten Banken und Wertpapierhäuser. Die Anforderungen werden nach Aufsichtskategorie abgestuft: Systemrelevante Institute (Kategorie 1-2) müssen die strengsten Anforderungen erfüllen, während für kleinere Institute (Kategorie 4-5) das Proportionalitätsprinzip gilt. Grundsätzlich müssen jedoch alle beaufsichtigten Institute die Kernprinzipien der Cyber-Resilienz umsetzen.

Ist Red Teaming für alle Finanzinstitute Pflicht?

Red Teaming im Sinne von TIBER-CH wird von der FINMA primär für systemrelevante Banken (D-SIBs) erwartet. Für andere Institute empfiehlt die FINMA regelmässige Penetrationstests und Sicherheitsübungen. Jedoch betrachtet die FINMA zunehmend auch nicht-systemrelevante Institute mit kritischer Infrastruktur als Kandidaten für Red-Teaming-Übungen. In der Praxis führen immer mehr Schweizer Banken der Kategorie 3 freiwillig Red Teaming durch, um ihre Cyberresilienz zu demonstrieren.

Wie oft müssen Sicherheitstests durchgeführt werden?

Die FINMA verlangt keine starre Frequenz, erwartet aber "regelmässige" Tests. In der Praxis hat sich für Penetrationstests ein jährlicher Zyklus als Minimum etabliert. TIBER-CH-Übungen werden typischerweise alle zwei bis drei Jahre durchgeführt. Bei wesentlichen Änderungen an der IT-Infrastruktur oder nach einem Sicherheitsvorfall sind zusätzliche Tests erforderlich. Systemrelevante Institute sollten einen kontinuierlichen Testzyklus etablieren.

Was passiert bei Nichteinhaltung der FINMA-Cybersecurity-Anforderungen?

Die FINMA verfügt über weitreichende Enforcement-Instrumente. Bei Mängeln in der Cyber-Resilienz kann die FINMA Auflagen erteilen, Fristen setzen und bei schwerwiegenden Verstössen Enforcementverfahren einleiten. Im Extremfall kann dies bis zum Entzug der Bewilligung führen. In der Praxis setzt die FINMA vor allem auf den Dialog und die Festlegung konkreter Massnahmenpläne. Es empfiehlt sich jedoch dringend, proaktiv zu handeln, anstatt auf eine FINMA-Prüfung zu warten.

Wie unterscheidet sich das FINMA-Rundschreiben vom nDSG?

Das nDSG ist ein allgemeines Datenschutzgesetz, das den Schutz personenbezogener Daten für alle Unternehmen regelt. Das FINMA-Rundschreiben 2023/1 ist eine sektorspezifische Regulierung, die sich auf die operationelle Resilienz und Cybersicherheit von Finanzinstituten fokussiert. Beaufsichtigte Institute müssen beide Regelwerke einhalten. Das FINMA-Rundschreiben geht in den meisten Bereichen über die allgemeinen nDSG-Anforderungen hinaus und verlangt spezifischere Massnahmen wie Red Teaming, SOC-Fähigkeiten und strukturierte Incident-Response-Prozesse.

Bereit zu sehen, was Angreifer sehen?

Buchen Sie eine kostenlose 30-minutige Cyber-Bedrohungsanalyse. Wir zeigen Ihnen genau, was ein Angreifer in den ersten 30 Minuten in Ihrer Umgebung tun könnte, und wie Sie ihn stoppen.

Keine Verpflichtung, kein Verkaufsgespräch, nur umsetzbare Sicherheitserkenntnisse

30-minutiger Videocall mit einem CREST-zertifizierten Sicherheitsexperten

Personalisierte Bedrohungsanalyse basierend auf Ihrer Infrastruktur

Kostenlose Analyse buchen

Beantworten Sie einige kurze Fragen, um zu starten

100% Kostenlos
Sicher & Vertraulich