Das konstatiert die Eidgenössische Finanzkontrolle (EFK) in einem am Montag veröffentlichten Bericht. Die Krisenorganisation bei den Banken und Effektenhändlern ist erst im Aufbau. Und regelmässige sektorübergreifende Übungen gegen Cyberangriffe wurden erst einmal durchgeführt.
Die Kontrolle über die Bewältigung von Cyberrisiken im Finanzsektor führt die Finanzmarktaufsicht (Finma). Die Cyberrisiken sind eines der sechs Hauptrisiken, welche die Finma beobachtet. Die EFK attestiert ihr dabei, sie habe ihre verfügbaren Ressourcen weiter entwickelt.
Alles konnte die Aufsicht nicht umsetzten. Sie erkannte das gemäss EFK und nahm Anfang 2020 organisatorische sowie formelle Anpassungen vor. Die EFK ortet indessen die Gefahr, dass sich die Aufsicht in ihrer Tätigkeit nicht nach den geplanten Tätigkeiten ausrichtet sondern nach den vorhandenen Ressourcen. Bei der Erhebung und Auswertung der Überprüfungen könnte die Finma zudem effizienter werden.
Vernachlässigte Meldepflicht
Die Banken nahmen ihre Meldepflicht bei Cybervorfällen nur ungenügend wahr, bemängelt die Finanzkontrolle weiter. Diese Missachtung blieb für sie ohne Konsequenzen, obwohl es Sanktionsmöglichkeiten gibt. Die Finma verfügt damit nicht über eine wesentliche Quelle für die Cybersicherheit bei den Instituten.
Diese Situation verschärft sich zusätzlich, weil die Banken den direkten Zugriff der Finma auf die Daten der Melde- und Analysestelle Informationssicherung (Melani) ablehnen. Zur Beseitigung dieser Lücken schlägt die EFK intensivere Vor-Ort-Kontrollen vor.
Verweis auf Ressourcen
Die Finma wies darauf hin, dass sie bei ihrer Aufsichtstätigkeit generell einen risikobasierten und proportionalen Ansatz verfolgt. Darum sei der Fokus eher auf grössere Institute und bekannte Schwachpunkte gerichtet. Trotz der grösseren Gefahr für kleinere Institute könne die Finma ihre Ressourcen nur aufgrund dieses Fokus effizient einsetzen.
Bis jetzt führte die Finma ihren Angaben zufolge bis auf die systemweiten Übungen alles termingerecht durch. Seit langem weise sie auf Schwächen in der systemweiten Analyse, Kooperation und Koordination zwischen öffentlichem und privatem Sektor hin.
Unter der Leitung des Delegierten des Bundes für Cybersicherheit verbesserte sich die Lage durch eine Koordinationsstelle und ein Analysezentrum seit Mitte 2019, wie die Finma schreibt. Das sogenannte Financial Services Information Sharing and Analysis Center wird dabei die Koordination zwischen Behörden und Behörden sicherstellen.
Für Verbesserungen bei der Meldepflicht von Cybervorfällen erliess die Finma im Mai 2020 eine Aufsichtsmitteilung, wie sie in ihrer Stellungnahme zum EFK-Bericht sie mitteilt. Seither stieg die Zahl der Meldungen merklich.
(AWP)
