Kritik an der Finma

Schweizer Banken verheimlichen Cybervorfälle – und kommen damit durch

Uhr
von Yannick Chavanne und Übersetzung: René Jaun

Schweizer Banken kommen ihrer Meldepflicht für Cybervorfälle nur ungenügend nach. Die eidgenössische Finanzkontrolle kritisiert in einem Bericht die Finma, die die Finanzinstitute für dieses Unterlassen oft nicht sanktioniert.

(Source: Roman Levin / Fotolia.com)
(Source: Roman Levin / Fotolia.com)

Die Finanzmarktaufsicht (Finma) erfüllt ihre Aufsichtspflicht nur mangelhaft: Sie kontrolliert die Schweizer Banken im Bereich der Cybersecurity zu wenig. Zu diesem Schluss kommt die eidgenössische Finanzkontrolle (EFK) in einer unlängst durchgeführten Untersuchung.

Zwar halte man die von der Finma erlassenen verpflichtenden Vorgaben für Banken für angemessen, heisst es im Abschlussbericht. "Konkrete Massnahmen kommen aufgrund unklarer Verantwortungen und Kompetenzen allerdings nur zögerlich voran." Regelmässige sektorübergreifende Übungen zu Cyberangriffen seien bisher nur einmal durchgeführt worden, und eine operative Krisenorganisation befinde sich noch im Aufbau.

Keine Konsequenzen für fehlbare Banken

Weiter kritisiert die EFK unzureichende Transparenz seitens der Banken. Laut dem Bericht befolgen diese ihre Meldepflicht in Bezug auf Cybervorfälle nur ungenügend. "Eine Nicht-Meldung hatte keine Konsequenzen für die Beaufsichtigten, obwohl entsprechende Instrumente dafür bestünden. Der Finma fehlt somit eine wesentliche Quelle zu Cyberrisiken auf Institutsebene", erklärt das Gremium.

Verschärft werde die Situation dadurch, dass die Banken einen direkten Zugriff der Finma auf die Melde- und Analysestelle des Bundes zur Informationssicherheit (Melani, neu Teil des Nationalen Zentrum für Cybersicherheit) ablehnen.

Finma: "wertvolle Impulse"

Schliesslich erwähnt der EFK-Bericht zwar, dass die Finma schon Anfang 2020 organisatorische sowie formelle Anpassungen vorgenommen habe. Es bestehe aber weiterhin das Risiko, dass die Aufsicht nicht den geplanten Aktivitäten folge, sondern sich an den vorhandenen Ressourcen ausrichte.

In einer ebenfalls im Bericht abgedruckten Stellungnahme bedankt sich die Finma "für die durchgeführte Prüfung und die konstruktive Zusammenarbeit. Die Empfehlungen geben wertvolle Impulse, die Aufsicht in diesem Bereich weiter zu entwickeln". Sie überwache Cyberrisiken und Cybersicherheit schon seit ihrer Gründung, und seit mehreren Jahren auch als Top-Risiko.

Bezüglich der mangelnden Meldepflicht von Cybervorfällen weist die Finma darauf hin, dass sie im Mai 2020 eine Aufsichtsmitteilung erlassen habe. Seither sei die Zahl der Meldungen von Schweizer Finanzinstituten deutlich gestiegen.

In seinem Cyber Security Report untersucht Börsenbetreiber Six die gemeldeten Cyberangriffe auf Schweizer Banken. Den letzten Bericht veröffentlichte Six im Mai letzten Jahres, also vor der erwähnten Aufsichtsmitteilung durch die Finma. Es habe wenig gemeldete Cybervorfälle gegeben, heisst es im Report von Six. Corona habe die Lage jedoch verschärft.

Webcode
DPF8_207976