Sind die Banken gegen Cyberrisiken gewappnet? Diese Frage muss die Finanzmarktaufsicht Finma regelmässig beantworten, wenn sie den Geldhäusern auf die Finger schaut. Denn Cyberattacken können verheerende Folgen haben.
Wir haben beim Thema Cyber festgestellt, dass noch gewisse Verbesserungen möglich sind.
Nun hat die Eidgenössische Finanzkontrolle (EFK) kontrolliert, ob die Finma ihrer Aufsichtsfunktion genügend nachkommt. Federführend bei dieser Überprüfung war Andreas Baumann vom Kader der EFK. Sein Fazit: «Wir haben beim Thema Cyber festgestellt, dass noch gewisse Verbesserungen möglich sind.»
Mangelhafte Kontrollen vor Ort
Zwar betone die Finma regelmässig, dass ihr das Thema Cybersicherheit auf dem Finanzplatz wichtig sei. Doch kontrolliere sie die Sicherheitsvorkehrungen bei den einzelnen Geldhäusern zu wenig gut.
Baumann untermauert seine Kritik mit konkreten Zahlen: «Im Zeitraum 2017 und 2019 hat die Finma 138 Kontrollen direkt bei den Banken vor Ort gemacht, und nur 10 waren im Bereich Cyber.»
Aus Sicht der Finanzkontrolle sei das zu wenig, sagt Baumann, zumal die Finma immer wieder betone, dass Cyberangriffe zu den grössten Risiken auf dem Finanzplatz zählen würden.
Nur die grossen Geldhäuser im Fokus – zu Recht?
Die Finma prüfe vor allem Grossbanken spezifisch auf das Risiko von Cyberangriffen: «Wir haben aber festgestellt, dass 98 Prozent der Banken nicht im Fokus stehen. Hier muss man wissen, dass aber gerade kleine Institute Schwächen aufweisen, wenn es um das Dispositiv geht in Bezug auf Cyber-Risiken.»
Wir überprüfen nicht alle Institute flächendeckend gleich intensiv, sondern wir gehen dahin, wo wir meinen, dass die grössten Risiken stecken.
Die Finma verteidigt ihr Vorgehen. Sprecher Tobias Lux erklärt, sie gehe bewusst risikobasiert vor: «Das heisst, wir überprüfen nicht alle Institute flächendeckend gleich intensiv, sondern wir gehen dahin, wo wir meinen, dass die grössten Risiken stecken.» Dies etwa, weil das Institut besonders gross oder wichtig für den Finanzplatz Schweiz sei, oder weil die Aufsichtsarbeit Mängel ans Tageslicht gebracht habe.
Banken ignorierten Meldepflicht lange
Ein weiterer Kritikpunkt der EFK bezieht sich auf die Meldung von Cyberattacken. Andreas Baumann sagt: «Die Banken müssen wesentliche Vorkommnisse melden, und dazu gehören auch Cyberattacken.» Doch zu solchen Cyberattacken habe die Finma lange kaum Meldungen bekommen.
Finma-Sprecher Tobias Lux bestreitet diesen Umstand nicht. Zugleich betont er: «Die Banken müssen der Finma nur ‹wesentliche Vorfälle› melden. Weil da zu wenig gemeldet wurde, haben wir gemerkt, dass wir den Begriff ‹wesentlich› präzisieren müssen.»
Das habe die Finma im Mai 2020 gemacht: «Seither hat sich die Zahl der Meldungen von Cybervorfällen deutlich erhöht. Wir haben seither rund 50 Meldungen erhalten.»
In einem Punkt sind sich Finma und EFK einig: Cybersicherheit wird ein immer wichtigeres Thema, gerade in der Finanzbranche, wo Banken und Versicherungen ihre Dienstleistungen zunehmend digitalisieren. Entsprechend ist allen Beteiligten daran gelegen, dass sich die Institute gut gegen Cyberattacken schützen.
