Cyber-Risiken im Finanzsektor: Handlungsbedarf bleibt bestehen

Die Finma legt im Risikomonitor 2025 offen, wo sie die grössten Gefahren für den Schweizer Finanzplatz sieht. Die Befunde sprechen eine klare Sprache: Die aktuelle Risikolandschaft ist von erhöhter Komplexität geprägt. Neben finanziellen Risiken nehmen nicht-finanzielle Risiken an Bedeutung zu, z. B. Cyberangriffe. So zeigt der Risikomonitor, dass die Schweizer Finanzbranche auch 2025 ein bevorzugtes Ziel von Cyberkriminellen war.

Banken, Versicherungen und weitere Finanzinstitute sind aufgrund ihrer hohen technologischen Vernetzung, ihrer kritischen Dienstleistungen sowie ihrer Abhängigkeiten von externen Dienstleistern einem besonders hohen Risiko ausgesetzt. Angreifer werden immer professioneller und ihre Methoden entwickeln sich ständig weiter, insbesondere durch schnellere Automatisierung und die Nutzung von generativer AI. Gleichzeitig ist das Management von Cyber-Risiken bei vielen Instituten noch immer unzureichend koordiniert. Die Organisation und Kontrolle der Cyber-Sicherheitsmassnahmenerfolgt häufig isoliert innerhalb der IT, ohne ausreichende Verankerung in der Governance, im Internen Kontrollsystem (IKS) oder im operationellen Risikomanagement.

Blinde Flecken bei Cloud und Drittanbietern

Ein modernes Sicherheitskonzept besteht nicht aus einzelnen technischen Massnahmen, sondern aus abgestimmten, risikobasierten Sicherheitsmechanismen, die über Grenzen einzelner Lösungen und Plattformen hinweg wirksam sind. Gerade bei Cloud-Plattformen und anderen externen Infrastrukturen gibt es in der Praxis jedoch noch erhebliche blinde Flecken: So werden Anforderungen nicht durchgängig definiert, die Wirksamkeit von Sicherheitsmassnahmen nicht restlos nachgewiesen und es fehlt oft eine lückenlose Einbindung in das Erkennungssystem. Auch Prüfberichte von Dienstleistern werden oft nicht konsequent auf Cyber-Relevanz analysiert. Dadurch entstehen Lücken an zentralen Schnittstellen, die von Angreifern bewusst ausgenutzt werden.

Erkennung und Reaktion: Prozesse müssen greifen

In den Bereichen Erkennung und Reaktion besteht Optimierungsbedarf. Die Fähigkeit, sicherheitskritische Ereignisse schnell zu identifizieren, zu priorisieren und einzudämmen, ist für die Widerstandsfähigkeit eines Instituts essenziell. Zwar verfügen viele Institute über eine SIEM-Lösung (Security Information and Event Management) und weitere Werkzeuge für die Überwachung, doch fehlen oftmals institutsspezifische Anwendungsfälle, klare operative Zuständigkeiten in kritischen Situationen sowie regelmässige Tests der Reaktionsprozesse. Ohne eine konsistente Integration von Governance, Detektion, und Reaktion bleibt die Wirksamkeit einzelner Lösungen begrenzt. Ein Alarm ist ineffektiv, wenn er nicht rechtzeitig bewertet und mit der entsprechenden Entscheidungsbefugnis adressiert wird.

Wiederherstellungsfähigkeit bleibt kritisch

Die Wiederherstellungsfähigkeit nach Cybervorfällen ist ein weiterer Bereich, in dem deutliche Reifegradunterschiede bestehen im Schweizer Finanzsektor. Obwohl Cyber-Szenarien seit Jahren Bestandteil des Business Continuity Managements sein sollten, wird deren Umsetzung sowie gemeinsame Übungen mit Dienstleistern oft vernachlässigt. Backups sind nur dann wertvoll, wenn sie unter realen Bedingungen funktionieren. Erkenntnisse aus Tests und tatsächlichen Vorfällen müssen nachweislich in die Prozesse zur Stärkung der Widerstandsfähigkeit einfliessen. Erst die Verbindung von Schutz, Detektion, Reaktion und Wiederanlauf ergibt eine robuste operationelle Widerstandsfähigkeit. 

Integrierte Sichtweise als Schlüssel zur Resilienz

Um Cyber-Risiken wirksam kontrollieren zu können, muss eine integrierte Sichtweise erreicht werden, die Cyber-Aspekte klar in die Linienverantwortung und das Gesamtrisikomanagement überführt. Die Risikoidentifikation, -bewertung und -dokumentation muss einheitlich erfolgen und die relevanten Sicherheitskontrollen sind formell in einem IKS zu führen und regelmässig auf ihre Wirksamkeit zu testen. Besonders entscheidend ist dabei der Umgang mit ausgelagerten Funktionen. Verantwortlichkeiten, Eskalationspfade und die Kontrolle des Sicherheitsniveaus bei Dienstleistern müssen institutionalisiert erfolgen, da Probleme bei wenigen kritischen Dienstleistern immer häufiger mehrere Institute gleichzeitig betreffen können. Die Finma beobachtete auch im Jahr 2025 eine starke Zunahme von Meldungen von Cyberattacken, bei denen Beaufsichtigte über Lieferketten und Drittparteien betroffen waren, insbesondere bei Datenabflüssen. Auch wurden der Finma vermehrt Datendiebstähle durch interne Täter gemeldet. Dies zeigt die Relevanz eines wirksamen Rahmenwerks für Insider-Bedrohungen und wirksamer Anomalie-Erkennung.

Cyber-Resilienz ist längst zu einem Schlüsselfaktor für die Stabilität des Schweizer Finanzplatzes geworden. Die Frage lautet nicht mehr, ob oder wann ein Institut zum Ziel eines Cyberangriffs wird. Entscheidend ist, wie widerstandsfähig es in der Bewältigung des Angriffs ist, wie schnell die Erkennung erfolgt, wie wirksam die Eindämmung funktioniert und ob der kritische Geschäftsbetrieb verlässlich fortgeführt werden kann. Die Qualitätsunterschiede liegen nicht in der Technologie, sondern im Zusammenspiel von Governance, Risikokultur, technischem Schutz, Reaktionsfähigkeit und Wiederherstellungskompetenz. Die Institute verfügen über die notwendigen Grundlagen. Entscheidend ist, wie gut sie diese im Ernstfall einsetzen können. 

Die Finma definiert die Cyberthematik weiter als eines der Toprisiken für den Finanzplatz. Sie legt den Fokus auf eine datenbasierte Aufsicht und verstärkt die Beurteilung des Cybersicherheitsdispositivs der Beaufsichtigten mit geeigneten Instrumenten, beispielsweise mit szenariobasierten Cyberübungen. So kommt die Finma ihrer Verantwortung nach und setzt sich für den Schutz von Finanzmarktkundinnen und -kunden sowie für die Funktionsfähigkeit der Finanzmärkte ein.