Gemeinsam die Cyberresilienz im Finanzsektor stärken
Die Cyberrisiken für den Finanzsektor haben zugenommen. Cybervorfälle und -angriffe, die der Reputation des Schweizer Finanzsektors schaden oder zu einer schweren Finanzkrise führen können, stellen eine zunehmende Bedrohung dar. Damit Finanzinstitute Cyberrisiken erkennen und bekämpfen können, müssen sie eng mit Behörden kooperieren. Der Verein Swiss FS-CSC möchte diese Zusammenarbeit fördern und damit die Cyberresilienz des Finanzsektors erhöhen.
Frau Arni, Sie sind Geschäftsführerin des Vereins «Swiss Financial Sector Cyber Security Centre» (Swiss FS-CSC), der vor knapp zwei Jahren gegründet wurde. Weshalb braucht es ein Cyber Security Centre für den Schweizer Finanzmarkt?
Alexandra Arni: Die Cyberrisiken haben zugenommen und sind zu einer allgegenwärtigen Gefahr für den Finanzsektor geworden. Cybervorfälle und -angriffe, die der Reputation des Schweizer Finanzsektors schaden oder zu einer schweren Finanzkrise führen können, stellen eine zunehmende Bedrohung dar. Resilienz zu gewährleisten, ist nur durch gemeinsame Anstrengungen und in Zusammenarbeit mit den Behörden möglich: Es braucht eine Public-Private Partnership. Deshalb gründeten die Finanzinstitute und ihre Verbände nach intensiven Aufbauarbeiten im Frühjahr 2022 zusammen mit dem Bund – insbesondere dem Nationalen Zentrum für Cybersicherheit NCSC, heute Bundesamt für Cybersicherheit BACS – den Verein Swiss FS-CSC.
Alexandra Arni: Geschäftsführerin Swiss FS-CSC und Leiterin ICT Schweizerische Bankiervereinigung SBVg
Welche Akteure sind bei Swiss FS-CSC vertreten und wie sieht die Zusammenarbeit aus?
Alexandra Arni: Die Mitglieder sind Banken, Versicherungen sowie deren Verbände, SIX und die Schweizerische Nationalbank. Seitens des Bundes arbeiten das BACS, die FINMA und das Staatssekretariat für Internationale Finanzfragen (SIF) als Affiliates mit.
Die Vereinsarbeit ist auf mehrere Gremien verteilt. Das Steuerungsgremium trifft die strategischen Entscheide und beaufsichtigt die vom Verein beauftragte Operative Cybersicherheitszelle (Operational Cyber Security Cell, OCS). Einsitz im Steuerungsgremium haben alle wichtigen Stakeholder (v. a. die systemrelevanten Institute, wichtigen Verbände und Vertreter der erwähnten Behörden).
Anfang dieses Jahres hat ein weiteres Gremium seine Arbeit aufgenommen: die Krisenkoordinationszelle (Crisis Coordination Cell, CCC). Es agiert bei einer systemischen Cyberkrise koordinativ und kommunikativ. Dazu zählen unter anderem die Unterstützung bei Entscheidungen im Krisenfall, die Ausarbeitung von strategischen Lösungen zur Abschwächung von Cyberangriffen und das Empfehlen von Massnahmen zur Unterstützung des Wiederaufbaus der gemeinsamen Infrastruktur.
Ein wichtiges Organ ist die Expertengruppe. Sie setzt sich aus Expertinnen und Experten der Mitglieder zusammen, besteht zurzeit aus sieben Chapters und berät das Steuerungsgremium (siehe Grafik).
Grafik: Swiss FS-CSC: Chapter der Expertengruppe
Der Vereinsvorstand mit zurzeit vier Mitgliedern (je zwei aus dem Banken- und dem Versicherungsbereich) und eine Geschäftsstelle vervollständigen die Organisation.
Wie schätzen Sie das Cyberrisiko in der Schweiz für Finanzunternehmen aktuell ein? Hat es sich in den letzten ein bis zwei Jahren verschärft?
Alexandra Arni: Die Anzahl der beim BACS gemeldeten Cybervorfälle in der Schweiz hat im letzten Jahr stark zugenommen. Der Finanzsektor, insbesondere dessen Kunden, stehen besonders im Fokus der Angreifer – dies zeigen die vielen Phishing-Kampagnen, bei welchen versucht wird, die Kreditkarten-Daten abzugreifen. Cyberbedrohungen zählen zu den gefährlichsten Risiken für Banken und Versicherungen. Individuelle Lösungen genügen längst nicht mehr, weil die Bedrohungen zu komplex sind und zu vernetzt stattfinden.
Wie kann Swiss FS-CSC einen Mehrwert für die Finanzbranche generieren? Was ist Ihr persönliches Zwischenfazit nach den letzten zwei Jahren?
Alexandra Arni: Für die Cybersicherheit braucht es eine gemeinsame Organisation des Finanzsektors, in der auch die Behörden mitwirken. Ein Finanzinstitut allein kann die Sicherheit nicht mehr gewährleisten.
Die Mitglieder des Swiss FS-CSC erhöhen die Cyberresilienz ihres eigenen Unternehmens, tragen zur Reputation und Stabilität des Schweizer Finanzsektors bei und gestalten an vorderster Front die Zukunft der Cybersicherheit in der Schweiz mit.
Rückblickend freue ich mich sehr über das grosse Engagement der Mitglieder, die gute Kooperation mit dem Bund und darüber, was wir bisher bei Swiss FS-CSC gemeinsam erreicht haben. Der Verein ist gewachsen, hat viele neue Mitglieder gewonnen; und seit dem letzten Herbst ist die Einrichtung der Krisenkoordinationszelle erfolgreich abgeschlossen. Public-Private Partnership heisst vor allem Zusammenarbeit.
«Cybervorfälle und -angriffe, die der Reputation des Schweizer Finanzsektors schaden oder zu einer schweren Finanzkrise führen können, stellen eine zunehmende Bedrohung dar.»
In welchem Cyberfall würde der Verein eine Führungsrolle übernehmen?
Alexandra Arni: Kommt es zu einem systemischen Cybervorfall, übernimmt der Verein zusammen mit der Krisenkoordinationszelle (CCC) die Führung in der Koordination und Kommunikation. Ein systemischer Cybervorfall liegt vor, wenn zum Beispiel ein systemrelevantes Institut von einer Cyberattacke betroffen ist und sich dies auf das Finanzsystem oder die Finanzstabilität auswirkt – zum Beispiel indem eine wichtige Infrastruktur wie der Zahlungsverkehr gestört wird. In einem solchen Fall kann die Volkswirtschaft des Landes über den Finanzsektor hinaus zu Schaden kommen. Das Krisenmanagement erfordert deshalb vereinte Anstrengungen aller wichtigen Player. Und genau dafür haben wir die Krisenkoordinationszelle geschaffen.
Der Verein organisiert für seine Mitglieder jährlich stattfindende Cyberübungen auf strategischer und operativer Ebene. In diesen Übungen werden realistische Szenarien beim Eintritt solcher Fälle durchgespielt. Zudem bieten wir den Mitgliedern an diesen Anlässen die Möglichkeit, sich untereinander auszutauschen.
Welchen Stellenwert hat die Prävention? Was können Finanzinstitute konkret tun, um sich vor Cyberattacken zu schützen?
Alexandra Arni: Die Prävention ist ein wichtiges Werkzeug in Bezug auf die Cybersicherheit. Die Mitglieder sollen für die Gefahren sensibilisiert und für den Ernstfall geschult werden. Wir stellen unseren Mitgliedern über den Cyber Security Hub (CSH) – ein Informationssystem des BACS - Informationen zur aktuellen Bedrohungslage zur Verfügung. Zudem findet via CSH ein regelmässiger Informationsaustausch unter den Mitgliedern, mit weiteren kritischen Infrastrukturen und den Behörden statt. Auch finden monatliche Calls mit den Mitgliedern statt, um die Cyberlage auf nationaler und internationaler Ebene zu beobachten. Weiter erhalten die Mitglieder in der Vortragsreihe «Lecture Series Swiss FS-CSC» von ausgewiesenen Expertinnen und Experten Informationen zu Themen aus der Cyberwelt.
Herr Jaimes, Sie sind seit Mitte letzten Jahres als Vertreter des Schweizerischen Versicherungsverbandes SVV im Vorstand des Swiss FS-CSC. Wie beurteilen Sie die Cyberresilienz der Schweizer Versicherungswirtschaft?
Gabor Jaimes: Man wird dies wohl erst bei einem grösseren Cybervorfall beurteilen können. Zum Glück blieb ein solcher bislang aus. Die meisten Versicherer sowie Rückversicherer investieren viel in ihre eigene Cybersicherheit. Grössere Vorfälle wie zum Beispiel beim australischen Krankenversicherer Medibank hat es in der Schweiz bis dato nicht gegeben. Das ist schon mal erfreulich. Die Unternehmen müssen jedoch am Ball bleiben, denn die Cyber-Risikolandschaft verändert sich dynamisch. Zudem verkaufen viele Schadenversicherer auch Cyber-Versicherungsdeckungen an ihre Kunden, denn Cyberrisiken sind grundsätzlich versicherbar. Somit sind Versicherer doppelt exponiert und wahrscheinlich auch deshalb besonders sensibilisiert.
«Banken und Versicherungen sind heute gut aufgestellt. Es gilt nun, das geschaffene Instrumentarium auszubauen und regelmässig damit zu üben.»
Gabor Jaimes: Fachverantwortlicher Cyberversicherung Schweizerischer Versicherungsverband SVV und Vorstandsmitglied des Swiss FS-CSC
Was sind die Vorteile für Mitglieder des Swiss FS-CSC und wie können sie sich einbringen? Reicht es nicht aus, wenn zum Beispiel ein Mitglied beim SVV oder bei der Schweizerischen Bankiervereinigung ist und somit alle Interessen im Swiss FS-CSC vertreten sind?
Gabor Jaimes: Der SVV fokussiert sich auf das Cyber-Versicherungsprodukt, das Swiss FS-CSC auf das operationelle Cyberrisiko der Finanzdienstleister. Das sind aber zwei verschiedene Dinge. Deshalb empfehlen wir eine zusätzliche Mitgliedschaft beim Swiss FS-CSC. Das Swiss FS-CSC bietet seinen Mitgliedern neben einigen essenziellen Dienstleistungen auch eine Plattform, wo sie sich austauschen können – auch mit Cyber/IT-Verantwortlichen aus der Bankenwelt.
In meiner Vorstandsrolle vertrete ich die Interessen der Versicherer und der Rückversicherer, die Mitglied des Swiss FS-CSC sind, und ermuntere Nichtmitglieder, eine Mitgliedschaft zu prüfen. Denn sollte eine Cyberkrise tatsächlich eintreten, wird dazu keine Zeit mehr sein.
Alexandra Arni: Es geht um die Cyberresilienz des Finanzsektors insgesamt, also um die der Banken und Versicherungen, nicht nur um die ihrer Verbände. In erster Linie betreffen Cyberrisiken die einzelnen Finanzinstitute. Sie müssen dagegen Vorkehrungen treffen. Der Verein Swiss FS-CSC ergänzt dieses Engagement um die notwendige Dimension der Zusammenarbeit, er kann aber die Anstrengungen der einzelnen Institute nicht ersetzen. Deshalb müssen auch sie dabei sein.
Formieren sich auch andere systemrelevante Branchen analog zum Swiss FS-CSC, zum Beispiel der Stromsektor oder die Spitäler? Nimmt die Finanzbranche eine Vorreiterrolle ein?
Gabor Jaimes: Swiss FS-CSC ist bezüglich der Zusammenarbeit mit dem Bund tatsächlich ein erster Pilot. Das Modell ist aber auch für andere Branchen gedacht. Wie ich vom Bundesamt für Cybersicherheit vernommen habe, gibt es bereits Bestrebungen, das Modell auch auf andere systemrelevante Branchen auszuweiten. Swiss FS-CSC bietet gerne Unterstützung an und bringt damit seine wertvollen Erfahrungen ein.
«Die Dynamik von Cyberrisiken wird die Finanzbranche immer wieder fordern und nach Anpassungen beim Resilienzdispositiv verlangen.»
Was sind die zukünftigen Herausforderungen für die Finanzbranche in Sachen Cyberrisiken? Wie kann Swiss FS-CSC die Cyberresilienz der Finanzbranche in Zukunft stärken?
Gabor Jaimes: Die Dynamik von Cyberrisiken wird die Finanzbranche immer wieder fordern und nach Anpassungen beim Resilienzdispositiv verlangen. Die Branche verwaltet globale Geldströme, und das macht sie für Cyberkriminelle interessant. Dies wird sich in der nahen Zukunft kaum ändern Mitte Mai 2024 findet eine strategische Cyberkrisenübung für alle Mitglieder statt. Dann werden auf Basis des erstellten «Crisis Response Plans» mögliche Szenarien durchgespielt. Swiss FS-CSC wird sich in Zukunft auch international vernetzen, da Cyberrisiken vor geografischen Grenzen keinen Halt machen. Zunächst liegt der Fokus aber auf der Schweiz und Liechtenstein. Übrigens können neu auch Finanzdienstleister aus Liechtenstein Mitglied des Swiss FS-CSC werden.
Alexandra Arni: Wir sind auf dem richtigen Weg - Banken und Versicherungen sind heute gut aufgestellt. Es gilt nun, das geschaffene Instrumentarium auszubauen und regelmässig damit zu üben. So bleiben die Cyberübungen auf strategischer und operationeller Ebene auch in Zukunft ein wichtiges Element unserer Tätigkeit. Zudem streben wir die Gewinnung weiterer Mitglieder an, denn je grösser die Abdeckung des Finanzsektors ist, desto stärker ist die Cyberresilienz.
Mehr zu FS-CSC
Die Cyberrisiken für den Finanzsektor sind gestiegen. Cybervorfälle und -angriffe, die der Reputation des Schweizer Finanzsektors schaden oder zu einer schweren Finanzkrise führen können, stellen eine zunehmende Bedrohung dar. Damit Finanzinstitute Cyberrisiken erkennen und bekämpfen können, müssen sie eng mit Behörden kooperieren.
Deshalb will der Verein Swiss FS-CSC die Widerstandsfähigkeit des Finanzsektors gegen Cyberrisiken – die sogenannte Cyberresilienz – stärken und die institutionelle Zusammenarbeit zwischen Finanzinstituten und Behörden zu strategischen und operativen Fragen fördern.
Die Mitglieder des Swiss FS-CSC prägen die Zukunft der Cybersicherheit in der Schweiz aktiv. Dabei profitieren sie von Krisenunterstützung, Informationsaustausch, Mitgestaltungsmöglichkeiten sowie der Vernetzung mit Expertinnen und Experten. Die Mitgliedschaft ist offen für Finma-regulierte Banken, Versicherungen, Rückversicherungen, Finanzmarktinfrastrukturen, Wertpapierhäuser und Finanzverbände.