Cybersicherheit kommt im Finanzsektor nur langsam voran

Bei den Finanzdienstleistern bestehen seit Jahren Lücken in der Abwehr von Cyberrisiken. Obwohl die Vorgaben der Finanzmarktaufsicht angemessen sind, kommen konkrete Massnahmen nur langsam voran. Grund sind unklare Verantwortlichkeiten und Kompetenzen.

Das konstatiert die Eidgenössische Finanzkontrolle (EFK) in einem am Montag veröffentlichten Bericht. Die Krisenorganisation bei den Banken und Effektenhändlern ist erst im Aufbau. Und regelmässige sektorübergreifende Übungen gegen Cyberangriffe wurden erst einmal durchgeführt.

Die Kontrolle über die Bewältigung von Cyberrisiken im Finanzsektor führt die Eidgenössische Finanzmarktaufsicht (Finma). Die Cyberrisiken sind eines der sechs Hauptrisiken, welche die Finma beobachtet. Die EFK attestiert ihr dabei, sie habe ihre verfügbaren Ressourcen weiter entwickelt.

Alles konnte die Eidgenössische Finanzmarktaufsicht nicht umsetzten. Sie erkannte das gemäss EFK und nahm Anfang 2020 organisatorische sowie formelle Anpassungen vor.

Die EFK ortet indessen die Gefahr, dass sich die Aufsicht in ihrer Tätigkeit nicht nach den geplanten Tätigkeiten ausrichtet. Eher läge der Fokus auf den vorhandenen Ressourcen. Bei der Erhebung und Auswertung der Überprüfungen könnte die Finma zudem effizienter werden.

Die Banken nahmen ihre Meldepflicht bei Cybervorfällen nur ungenügend wahr, bemängelt die Finanzkontrolle weiter. Diese Missachtung blieb für sie ohne Konsequenzen, obwohl es Sanktionsmöglichkeiten gibt. Die Eidgenössische Finanzmarktaufsicht verfügt damit nicht über eine wesentliche Quelle für die Cybersicherheit bei den Instituten.

Diese Situation verschärft sich zusätzlich. Die Banken lehnen den direkten Zugriff der Finma auf die Daten der Melde- und Analysestelle Informationssicherung (Melani) ab. Zur Beseitigung dieser Lücken schlägt die EFK intensivere Vor-Ort-Kontrollen vor.

Die Eidgenössische Finanzmarktaufsicht wies darauf hin, dass sie bei ihrer Aufsichtstätigkeit generell einen risikobasierten und proportionalen Ansatz verfolgt. Darum sei der Fokus eher auf grössere Institute und bekannte Schwachpunkte gerichtet. Trotz der grösseren Gefahr für kleinere Institute könne die Finma ihre Ressourcen nur aufgrund dieses Fokus effizient einsetzen.

Bis jetzt führte die Finma ihren Angaben zufolge bis auf die systemweiten Übungen alles termingerecht durch. Seit langem weise sie auf Schwächen in der systemweiten Analyse, Kooperation und Koordination zwischen öffentlichem und privatem Sektor hin.

Durch einen Delegierten des Bundes für Cybersicherheit verbesserte sich die Lage durch eine Koordinationsstelle und ein Analysezentrum seit Mitte 2019. Das sogenannte Financial Services Information Sharing and Analysis Center wird dabei die Koordination zwischen Behörden und Behörden sicherstellen, hiess es.

Für Verbesserungen bei der Meldepflicht von Cybervorfällen erliess die Finma im Mai 2020 eine Aufsichtsmitteilung. Das teilt sie in ihrer Stellungnahme zum EFK-Bericht mit. Seither stieg die Zahl der Meldungen merklich.