Management von IT- und Cyberrisiken – wo stehen Sie?

Jens Probst Partner and Leader Business Process Assurance, PwC Switzerland 16 Nov 2018

Die meisten Finanzinstitute haben robuste Prozesse zum Management von IT- und Cyberrisiken implementiert. Einige Verbesserungen sind möglich, insbesondere in Bezug auf die Erkennung von Vorfällen durch Cyberangriffe.

Basierend auf unserer Analyse stellen sich die wichtigsten Schwachstellen im Management von Cyberrisiken, denen Finanzinstitute ausgesetzt sind, wie folgt dar:

  • Die Umsetzung von Sicherheitsmaßnahmen steht nicht immer im Einklang mit den tatsächlichen Bedrohungen, die durch einen formalen Cyber-Risikoanalyseprozess identifiziert werden sollten.
  • Bestehende Prozesse und Tools legen großen Wert auf den Schutz vor Cyber-Angriffen auf Kosten von Erkennung und Reaktion.
  • Einige Finanzinstitute haben die Empfehlungen der SBVg 2013 zum Business Continuity Management noch nicht umgesetzt.

Dementsprechend empfehlen wir den Finanzinstituten, ihre Bemühungen über das gesamte Spektrum der Cybersicherheit, von der Strategie über die Reaktion bis hin zur Wiederherstellung, durch Identifizierung, Schutz und Aufdeckung, besser aufeinander abzustimmen.

 

Hintergrund

Im September 2016 überarbeitete die FINMA das Rundschreiben 2008/21 „Operationelle Risiken“. Die Überarbeitung führte unter anderem zu verschärften Anforderungen an das Management von IT- und Cyberrisiken bei Finanzinstituten (FI). Die FINMA verlangte von der externen Revisionsstelle der Institute eine Bestätigung, dass die IT- und Cyberrisikomanagement-Konzepte der FI implementiert wurden und dass diese ab dem 1. Juli 2017 wirksam sind.

 

Ergebnisse unserer Benchmark-Studie von IT- und Cyberrisikomanagement-Konzepten

PwC Schweiz nahm eine Evaluierung der Reifegrade der folgenden sieben Anforderungen aus dem Grundsatz 4 des FINMA-Rundschreibens 2008/21 „Operationelle Risiken“ in Bezug auf IT- und Cyberrisiken vor:

 

  1. IT-Risikomanagement: Die Geschäftsleitung gewährleistet die Implementierung eines IT-Risikomanagement-Konzepts;
  2. Cyberrisiken – Strategie und Richtlinien: Die Geschäftsleitung gewährleistet die Implementierung eines Risikomanagement-Konzepts für den Umfang mit
  3. Cyberrisiken, das mindestens die folgenden fünf Anforderungen abzudecken hat und das die Rollen und Verantwortlichkeiten in diesem Zusammenhang festlegt; 
  4. Cyberrisiken – Identifikation: FI gewährleisten die Identifikation von potenziellen Bedrohungen durch Cyberattacken; 
  5. Cyberrisiken – Schutz: Die Geschäftsleitung gewährleistet den Schutz der Geschäftsprozesse und IT-Infrastrukturen gegen Cyberattacken;
  6. Cyberrisiken – Erkennung: FI gewährleisten die zeitnahe Identifikation und Erkennung von Cyberattacken auf der Basis von systematischen Überwachungsprozessen;
  7. Cyberrisiken – Reaktion: FI gewährleisten eine zeitnahe Reaktion auf Cyberattacken durch gezielte Massnahmen;
    Cyberrisiken – Wiederherstellung: FI gewährleisten die zeitnahe Wiederherstellung der Geschäftsprozesse und IT-Infrastruktur nach einer erfolgreichen Cyberattacke.

 

Wir haben eine Konsolidierung und Anonymisierung unserer Evaluierungsergebnisse vorgenommen, um einen Benchmark zu schaffen, der den Stand der FI bezüglich Erfüllung der FINMA-Anforderungen aufzeigt. Zudem haben wir Informationen zu den Sicherheitstools und Risikoszenarien, die von den FI des Benchmark-Panels berücksichtigt werden, gesammelt.

Unsere Evaluierung basiert auf professionellem Urteilsvermögen und nicht auf quantifizierbaren und objektiven Daten und ist daher subjektiv. Die hier vorgestellten Ergebnisse basieren auf der Auswertung eines Panels von 114 Banken und 8 Wertpapierhändlern in der Schweiz, mit folgender nationaler Aufteilung:

  • Französischsprachige Schweiz: 24%
  • Deutschsprachige Schweiz: 71%
  • Italienischsprachige Schweiz: 5%

 

Wir wenden folgende Skala an:

4 Die Prozesse entsprechen der Best Practice auf dem Markt
3 Die Prozesse sind robust
2 Die Prozesse sind angemessen, weisen jedoch einige Mängel auf
1 Die Prozesse sind definiert, weisen jedoch viele Mängel auf
0 Kein Prozess vorhanden

Um den Anforderungen der FINMA gerecht zu werden, müssen die FI über robuste Prozesse (Rating 3) oder über Prozesse, die auf die Best Practice abgestimmt sind (Rating 4), verfügen.

Wir haben die sieben Anforderungen aus dem Grundsatz 4 des FINMA-Rundschreibens 2008/21 „Operationelle Risiken“ von höchstem bis tiefstem Reifegrad klassifiziert.

pwc-it-cyber-benchmark

Klassifizierung der Prinzipien von bester Umsetzung bis tiefstem Reifegrad

Scala

Wichtigste Erkenntnisse

Eine starke Grundlage im IT-Risikomanagement („IT-Risikomanagement“)

93% der Teilnehmer des Benchmark-Panels verfügen über IT-Risikomanagement-Prozesse, die mindestens „robust“ oder „abgestimmt auf Best Practice“ sind. Diese hohe Rate ist darauf zurückzuführen, dass die FI in den letzten drei Jahren als Reaktion auf die verstärkte Risikomanagement-Überprüfung durch die FINMA ihre IT-Risikomanagement-Prozesse verbessert haben.

Ist die Cybersicherheitsstrategie auf die Cyberrisiken abgestimmt? („Cyberrisiken – Strategie und Richtlinien“, „Cyberrisiken – Identifikation“)

Wir stellen fest, dass 24% der Panel-Teilnehmer im Hinblick auf die Implementierung eines Risikomanagement-Konzepts zum Umgang mit Cyberattacken („Cyberrisiken – Strategie“) und die Identifikation von potenziellen Bedrohungen durch Cyberattacken („Cyberrisiken – Identifikation“) keinen ausreichenden Reifegrad aufweisen. Ausgehend von unseren Zahlen kommen wir zum Schluss, dass die Cyberabwehr der betroffenen Unternehmen möglicherweise nicht ausreichend auf die Cyberrisiken abgestimmt ist, was zur Implementierung von ungeeigneten Kontrollen und Sicherheitsmassnahmen führen könnte.

Hohe Investitionen in Sicherheitslösungen („Cyberrisiken – Schutz“, „Cyberrisiken – Erkennung“)

Der Benchmark verdeutlicht die hohe Anwendungsrate von Sicherheitstools. Es ist wichtig, zu beachten, dass wir das Wort „Anwendung“ und nicht „Implementierung“ verwenden, da unser Benchmark auf professionellem Urteilsvermögen und nicht auf quantifizierbaren und objektiven Daten basiert.

Im Laufe der Jahre haben die FI erheblich in technische Lösungen zum Schutz ihrer Informationsbestände und Infrastrukturen investiert, was den hohen Anteil an Panel-Teilnehmern mit mindestens „robusten“ Prozessen erklärt (83%).

Neben den standardmässigen netzwerkbasierten Sicherheitseinrichtungen (z.B. IDS) besteht ein Trend zur Anwendung immer fortschrittlicherer Technologien zu Zwecken der Sicherheitsalarmierung (z.B. Verhaltensanalysen, SIEM, DLP, SOC etc.). Diese unterstützen im Rahmen der Informationssicherheit die Erkennungsfunktion für Cyberrisiken („Cyberrisiken – Erkennung“), bei welcher der Benchmark derzeit einen mangelhaften Reifegrad aufzeigt. Gegenwärtig erfüllen 19% der Benchmark-Teilnehmer die FINMA-Anforderungen in diesem Bereich nicht vollständig.

Eine weitere interessante Feststellung besteht darin, dass 68% der Panel-Teilnehmer die Dienste eines internen oder externen Security Operation Centre (SOC) entweder in Anspruch genommen haben oder beabsichtigen, dies zu tun. Diese hohe Rate an (potenzieller) Inanspruchnahme solcher Dienste verdeutlicht, dass die Teilnehmer die wachsende Komplexität von Cyberrisiken verstehen und ihnen die Notwendigkeit bewusst ist, ihre Abwehr- und Erkennungskapazitäten so zu organisieren, dass sie mit Cyberbedrohungen umgehen können.

Benchmark highlights

Sind FI in der Lage, auf Cyberattacken zu reagieren und sich von ihnen zu erholen? („Cyberrisiken – Reaktion“ und „Cyberrisiken – Wiederherstellung“)

In den letzten zwei Jahren konnten wir beobachten, dass FI ihre Mitarbeitenden im Umgang mit Cyberattacken schulen und in einigen Fällen auch Tabletop-Übungen durchführen. Dies wird in unserer Umfrage bestätigt durch die 82% an FI, welche die diesbezüglichen FINMA-Anforderungen erfüllen.

Die meisten Benchmark-Teilnehmer verfügen über einen ausgereiften Business Continuity Plan (BCP), der auf den Empfehlungen der Schweizerischen Bankenvereinigung (SBVg) basiert. Diese BCPs wurden dahingehend angepasst, dass sie Massnahmen zur Wiederherstellung nach einer Cyberattacke berücksichtigen. Wir stellen jedoch fest, dass 17% der FI in dieser Hinsicht noch Arbeit vor sich haben, da sie die Anforderungen nicht vollständig erfüllen.

Was sind die Hauptsorgen von FI?

Wie jüngste Ereignisse zeigen, ist Malware heutzutage ein wichtiger Faktor bei Cyberattacken. Malware kann zu schwerwiegenden Störungen, einschliesslich Datenverlust, führen. Dies ist eindeutig eine Hauptsorge der FI (89% der FI betrachten dies als eine zentrale Bedrohung), zusammen mit dem Risiko von Datenlecks (ebenso eine zentrale Bedrohung für 89% der FI).

Es sei darauf hingewiesen, dass sich die FI des Panels – selbst im Zuge von Digital Banking – weniger Sorgen um Bedrohungen machen, die ihre mobile oder Online-Präsenz beeinträchtigen könnten (obwohl dies sicherlich durch die Anzahl an Privatbanken unter den Benchmark-Teilnehmern beeinflusst wird). Im Hinblick darauf, dass FI für ihre Kunden neue digitale Dienste bereitstellen, sollten diese zusätzlichen potenziellen Bedrohungen bei jeder neuen Risikoanalyse gründlich betrachtet und die Risikoprofile und damit verbundenen Kontrollumgebungen entsprechend aktualisiert werden.

 

Handlungs-vorschläge

Basierend auf den Ergebnissen unseres Benchmarks empfehlen wir den FI folgende Massnahmen.

 

1. Ausrichtung Ihrer Cyber-Risikostrategie auf Ihre Cyberrisiken und Ausrichtung Ihres Cyberrisikomanagement-Konzepts auf Ihr gesamtheitliches Risikomanagement-Konzept

Die FINMA hat ihre Anforderungen auf der Grundlage des NIST Framework erarbeitet, das auch vom Bundesamt für wirtschaftliche Landesversorgung (BWL) genutzt wird.

Das NIST Framework basiert auf einem positiven Kreislauf („Circulus virtuosus“). Zur Gewährleistung einer konsistenten Cybersicherheitsstrategie müssen Unternehmen ihre spezifischen Risiken in Abhängigkeit ihrer Umgebung verstehen und evaluieren. Sobald die Cyberrisiken identifiziert und ausgewertet wurden, müssen Unternehmen festlegen, welche Kontrollen (Personen, Prozesse, Technologien) diese Risiken abdecken können. Abschliessend muss die Geschäftsleitung akzeptieren, dass Restrisiken bestehen. Ohne ein angemessenes und wirksames Cyberrisikomanagement besteht für Unternehmen die Gefahr, dass ernsthafte Auswirkungen auf die Widerstandsfähigkeit entstehen können. Zudem besteht das Risiko, dass falsche Investitionen getätigt werden.
 

2. Umverteilung Ihrer Budgets von Schutz zu Erkennung und Reaktion

Heutzutage müssen wir feststellen, dass Cyberattacken Teil der „neuen Normalität“ unserer digital vernetzten Welt geworden sind. Folglich ist es notwendig, dass FI ihre Budgets für Informationssicherheit umverteilen – mehr Investitionen in die zeitnahe Erkennung und Reaktion. Wir empfehlen zudem, dass die FI ihre Cyberresilienz regelmässig überprüfen, indem sie Tests ihres BCM im Hinblick auf eine Cyberattacke durchführen.
 

Wie PwC Ihnen helfen kann

Als multidisziplinäre Praxis sind wir bestens positioniert, um Sie bei der Anpassung auf das sich ändernde regulatorische Umfeld zu unterstützen. Wir haben eine Reihe von eigenentwickelten Tools geschaffen, welche die Bereiche Breach-Erkennung, Intrusion-Analyse, Event-Korrelation und Threat-Intelligenz abdecken. Basierend auf diesen Möglichkeiten und unserer grossen Expertise im Regulierungsbereich haben wir einen speziellen Service entwickelt, der Sie bei der Bewältigung der anstehenden regulatorischen Herausforderungen unterstützt.

Unser Dienstleistungsangebot umfasst eine Gesamtbewertung Ihres Reifegrads bezüglich Cyberattacken sowie gezielte Massnahmen, die darauf ausgerichtet sind, auf jede FINMA-Anforderung im Bereich Cyberrisikomanagement eingehen zu können

 

Contact us

Marco Schurtenberger

Assurance Senior Manager, PwC Switzerland

+41 58 792 2233

E-Mail

Wolfgang Schurr

Partner Cybersecurity and Privacy, Zurich, PwC Switzerland

+41 58 792 29 14

E-Mail