FINMA Regularien Cybersicherheit

Zwischen 632 und 2.490 Meldungen pro Woche sind im Jahr 2024 beim Bundesamt für Cybersicherheit (BACS) eingegangen. Der Grossteil davon waren Betrugsversuche, doch auch Phishing und Spam werden häufig gemeldet. Schon in der ersten Woche des Jahres 2025 sind weitere 695 Meldungen beim BACS eingegangen. (Quelle: NCSC)

Diese Zahlen zeigen, dass Cyberkriminalität real ist und eine ernstzunehmende Bedrohung für Unternehmen darstellt. Um insbesondere regulierte Unternehmen wie Finanzinstitute vor solchen Bedrohungen zu schützen, Daten zu schützen und die Stabilität des Finanzmarkts aufrechtzuerhalten, legt die Eidgenössische Finanzmarktaufsicht (FINMA) Regularien fest, welche Grundsätze für die Gewährleistung von Datenschutz und Cybersicherheit gelten müssen. Für Institute in der Schweiz sind diese FINMA-Regularien von zentraler Bedeutung, da daraus Massnahmen resultieren, die sie ergreifen müssen.

Die FINMA-Regularien als Chance für Unternehmen

Die FINMA-Regularien können zunächst wie eine Belastung erscheinen. Sie eröffnen jedoch auch neue Chancen. So können Unternehmen, die ihre IT-Infrastruktur an die Vorgaben der FINMA anpassen, gleich mehrere Fliegen mit einer Klappe schlagen. Sie können:

• ihre Sicherheitsstandards steigern,
• ihre Compliance sicherstellen
• und dabei gleichzeitig ihre IT-Infrastruktur modernisieren.

Das schmälert nicht nur das Risiko von Cyberangriffen, sondern kann sich auch positiv auf die Produktivität und Agilität des Unternehmens auswirken.

Cybersicherheit ist heutzutage nicht mehr nur eine technische Herausforderung, sondern auch ein entscheidender Faktor für den geschäftlichen Erfolg. Schliesslich sind die Auswirkungen eines erfolgreichen Cyberangriffs immens:

• Datenverlust
• Reputationsschäden
• Hohe finanzielle Kosten

Ziel der FINMA-Regularien ist, solchen Risiken mit entsprechenden Sicherheitsvorgaben entgegenzuwirken und Unternehmen dabei zu unterstützen, ihre Systeme zu schützen.

Die Herausforderung für Unternehmen ist dabei, dass ihre IT-Landschaft gleichzeitig sicher und dennoch skalierbar sein muss. Durch den Einsatz moderner Technologien und professionellen Managed Services wie zum Beispiel einem Managed Digital Workplace bietet sich aber eine Chance, eine leistungsfähige Infrastruktur zu etablieren.

Das sind die Anforderungen der FINMA an das Management der IKT-Risiken

Das neueste FINMA Rundschreiben vom 1. Januar 2024 richtet sich an Banken und Finanzinstitute. Es sieht wesentliche Anpassungen zur Sicherstellung der operationellen Resilienz von Banken sowie dem Management operationeller Cyber- und IKT-Risiken vor.

IKT steht für Informations- und Kommunikationstechnologie und meint alle Technologien, Prozesse und Systeme, die zur Speicherung, Nutzung, Verarbeitung und Übertragung von Informationen genutzt werden. Das bezieht die gesamte IT-Infrastruktur eines Finanzinstituts ein, also Hardware, Software, Netzwerke und Datenmanagement.

Für die betreffenden Institute sind die Rundschreiben bindend und die Vorgaben müssen dann in den betrieblichen Prozessen und IT-Systemen umgesetzt werden. Konkrete Vorgaben, die die FINMA für das Management von Cyber- und IKT-Risiken macht, betreffen diese Bereiche:

IKT-Strategie und Governance

Institute brauchen eine klare IKT-Strategie, die zur allgemeinen Geschäftsstrategie des Instituts passt. Dabei werden technologische Ziele und Prioritäten definiert und sichergestellt, dass die IT-Infrastruktur die geschäftlichen Anforderungen unterstützt. Auch eine Governance-Struktur ist erforderlich. Sie legt Zuständigkeiten, Entscheidungsprozesse und Kontrollmechanismen für die Verwaltung und Steuerung von IKT-Risiken fest. Dadurch können Risiken systematisch identifiziert, bewertet und kontinuierlich überwacht werden.

Änderungsmanagement (Change Management)

Änderungen an IKT-Systemen können zum Risiko werden. Um sicherzustellen, dass alle Änderungen an einer IT-Infrastruktur systematisch überprüft und getestet werden, braucht es einen formalisierten Prozess sowie Kontrollen. Nur so lassen sich potenzielle Risiken durch fehlerhaft implementierte Änderungen minimieren. Auf diese Weise wird gewährleistet, dass die IT-Systeme jederzeit verfügbar sind.

IKT-Betrieb

Die regelmässige Wartung und Überwachung von Systemen ist essenziell, um sicherzustellen, dass alle Komponenten zuverlässig funktionieren. Indem proaktive Überwachungsmechanismen implementiert werden, können Probleme frühzeitig erkannt und behoben werden. Das kann verhindern, dass die Betriebsfähigkeit gefährdet wird. Denn ein sicherer und stabiler IKT-Betrieb ist die Grundlage, die gewünschte Qualität der Dienstleistungen aufrecht zu erhalten und operationelle Risiken zu minimieren.

Vorfallmanagement (Incident Management)

Trotz aller Prävention kann es zu unerwarteten Vorfällen kommen. Um dann schnell reagieren zu können, müssen Unternehmen Prozesse implementieren, mit denen die Erkennung, Analyse und Behebung von IT-Vorfällen möglich ist. Um Störungen zu minimieren und zu gewährleisten, dass die IT-Dienste in kürzester Zeit wiederhergestellt sind, ist ein effektives Vorfallmanagement entscheidend. Dafür brauchen Unternehmen eine gut strukturierte Reaktionsstrategie.

Meldepflicht

Hinsichtlich der Meldung von Cyber-Angriffen gilt, dass sie binnen 24 Stunden nach Entdeckung formlos und innerhalb von 72 Stunden detailliert gemeldet werden müssen. Sind Leistungen an Dienstleister ausgelagert, bleibt die Meldepflicht beim auftraggebenden Institut.

Weitere FINMA-Regularien für die Cybersicherheit von Unternehmen

Mit zunehmender Digitalisierung und Vernetzung steigt das Risiko für Cyberangriffe. Die FINMA gibt vor, dass Institute Massnahmen implementieren, die Cyber-Risiken erkennen, bewerten und bekämpfen. Damit sensible Daten und Systeme geschützt bleiben, braucht es:

• Regelmässige Bedrohungsanalysen, die Schwachstellen aufdecken
• Entwicklung von Abwehrstrategien, mit denen Angriffe früh erkannt und abgewehrt werden können

Ein wichtiger Aspekt des Risikomanagements ist der Schutz von kritischen Daten. Diese müssen zunächst definiert und dann in ihrer Integrität und Verfügbarkeit sowie vor Missbrauch und unbefugtem Zugriff geschützt werden.

Operationelle Resilienz: Warum ist sie so wichtig?

Um sicherzustellen, dass Unternehmen bei Störungen ihren Betrieb fortführen können, braucht es Business Continuity Management. Dafür müssen Pläne entwickelt und implementiert werden, inklusive Notfallplänen, die auf die IT-Infrastruktur sowie eventuelle Cybersecurity-Vorfälle zugeschnitten sind.  

Denn um als Unternehmen langfristig erfolgreich zu sein, müssen auch bei operationellen Störungen wie Cyberangriffen oder Systemausfällen kritische Dienstleistungen erbracht werden können. Das nennt sich operationelle Resilienz. Notwendig ist diese Resilienz, damit das Finanzsystem stabil bleibt. So müssen wesentliche Dienstleistungen für Kunden auch in Krisensituationen erreichbar bleiben. Damit das gegeben ist, stellt die FINMA hohe Anforderungen an Sicherheitsvorkehrungen, Vorfallmanagement und Business Continuity Management.

Kommt es zu einer Auslagerung von Dienstleistungen (Outsourcing), so müssen Institute sicherstellen, dass in ihren Verträgen klare Vorgaben zum Thema Cyber-Sicherheit stehen. Ob diese eingehalten werden, müssen die Dienstleister ausserdem regelmässig kontrollieren. Zudem müssen sie nachweisen, dass sie auf Cyberangriffe mit den nötigen Massnahmen reagieren können.

Die FINMA legt Wert darauf, dass Unternehmen Cyber-Risiken nicht nur als Technologieproblem sehen, sondern als eigenständige Gefahr. Eine entsprechendes Cyber-Risiko-Management ist daher essenziell.

Der Schutz von Daten und Infrastruktur im Fokus

Unternehmen haben die Aufgabe, ihre Mitarbeiter zu schulen, damit diese ein Risikobewusstsein für Cyber-Kriminalität entwickeln. Doch nicht nur die Mitarbeiter müssen zum Schutz von IT-Infrastruktur und Daten beitragen. Auch die Sicherung von Daten und der regelmässige Test von Backups ist relevant, damit Daten nach einem Angriff schnell wiederhergestellt werden können.

Wie genau nach Cyber-Angriffen zu reagieren ist und welche Massnahmen dann erfolgen müssen, gilt es in Reaktionsplänen zu erarbeiten, die vollständig sind und auch getestet werden müssen. Je nach Systemrelevanz müssen Institute theoretische und praktische Übungen durchführen, um für den Ernstfall gerüstet zu sein.

Risikobewertung: Risk Assessment als Grundstein für Ihre IT-Sicherheit

Mit einem Risk Assessment (Risikobewertung/-analyse) legen Sie den Grundstein für mehr IT-Sicherheit. Dieser systematische Prozess identifiziert, bewertet und priorisiert potenzielle Risiken innerhalb einer Organisation. Gerne unterstützen wir Sie dabei, das Risiko in Ihrem Unternehmen zu analysieren:

• Wir analysieren zunächst Ihre Systeme, Prozesse und Daten und bewerten anschliessend potenzielle Bedrohungen.
• Wir identifizieren mögliche Risiken wie Datenverlust, Systemausfälle oder Cyberangriffe und analysieren, welches Risiko ein Angriff für Sie haben könnte – finanziell, rechtlich und in Bezug auf Ihre Reputation.
• Die entstandene Risikomatrix gleichen wir dann mit unseren Managed Services ab, um Ihnen die Lösung zu präsentieren, die am besten zu Ihnen passt.

Mit einem Managed Digital Workplace die FINMA-Regularien einhalten und Cybersicherheit stärken

Die Herausforderung für Unternehmen lautet Cybersicherheit, Datenschutz und regulatorische Compliance gleichzeitig zu gewährleisten. Mit dem richtigen IT-Service ist das möglich, zum Beispiel mit einem Managed Digital Workplace von Dinotronic. Wir sind ein Digital Workplace Anbieter und bereits seit über 30 Jahren am Markt. 

Unser Managed Digital Workplace bietet Ihnen eine sichere und dabei vollständig digitale Arbeitsumgebung, die die moderne Zusammenarbeit fördert. Die Grundlage des Digital Workplace ist Microsoft Office 365, das wir für Sie so anpassen, dass es zu den individuellen Bedürfnissen Ihres Unternehmens passt. Alle Ihre Daten werden dabei auf Servern in der Schweiz gespeichert. Wir sind ISO 27001 zertifiziert, was eine wichtige Basis für Compliance und Vertrauen darstellt. Sie erhalten von uns:

• Ein E-Mail-Postfach mit Signatur für Ihre interne und externe Kommunikation.
• Zugang zu einem Self-Service-Portal, mit dem Sie Mitarbeiter oder Kunden selbst verwalten und Rollen verteilen können. Das verschafft Ihnen den Vorteil, neue User schnell und unabhängig von den Öffnungszeiten aufschalten zu können. Ausserdem können Sie Software-Pakete verwalten, Mailverteilergruppen managen und Berechtigungsstrukturen ändern. 
• 24/7-Support, dank unserer Standorte in zwei Zeitzonen in der Schweiz und in Vietnam. Dadurch können wir Angriffe schnell erkennen und analysieren und einen stabilen Betrieb Ihrer IT sicherstellen. Wir haben einen definierten Prozess, was bei Security Alerts passiert, wodurch wir die Meldepflicht, die die FINMA vorgibt, einhalten können.
• Ein verwaltetes, revisionssicheres Backup, das nicht nur in einer separaten Cloud aufbewahrt, sondern von uns auch regelmässig getestet wird. So sind Sie nach einem Cyberangriff schnell wieder einsatzbereit und Ihre operationelle Resilienz ist den FINMA-Vorgaben entsprechend gewährleistet.

Ausserdem führen wir regelmässige Bedrohungsanalysen durch und verfügen über Abwehrstrategien gegen Cyberangriffe. So betreiben wir zum Beispiel aktives Tenant Management (ein Tenant ist ein isolierter Bereich in einer Cloud-Umgebung), damit erst gar keine Sicherheitslücken oder Compliance-Verstösse entstehen. Dank diesem aktiven Tenant Management ist Ihr Cloud-Tenant immer auf dem neuesten Stand, funktioniert optimal und wird Unternehmensanforderungen gerecht.

Darüber hinaus setzen wir auf Conditional Access Policies (Bedingte Zugriffsrichtlinien), die den Zugriff auf Anwendungen, Systeme oder Daten kontrollieren und speziell für den Umgang mit digitalen Zertifikaten gelten. Sie stellen sicher, dass Kommunikation zwischen Usern und Systemen verschlüsselt passiert und die Identität der Beteiligten überprüft wird. Beim Schutz vor Cyberangriffen wie Phishing oder Man-in-the-Middle-Attacken spielen sie eine wichtige Rolle.

Durch diese und weitere Leistungen halten wir die FINMA-Regularien hinsichtlich des Managements von Cyberrisiken ein.

Zusätzliche Leistungen dank unseres Managed Digital Workplace Giga Pakets für FINMA-regulierte Unternehmen

Mit unserem Managed Digital Workplace Giga Paket, das sich speziell an Unternehmen richtet, die mit sensiblen Daten arbeiten und FINMA-reguliert sind, können Sie die Anforderungen erfüllen.

Zusätzlich zu den bereits aufgeführten Grundlagen, die alle unsere Pakete haben, erhalten Sie im Giga-Paket weitere Leistungen:

• Einen Passwort-Tresor mit Single Sign-On, mit der Sie alle Zugangsdaten verschlüsseln, sicher speichern und zentral verwalten können.
• Revisionssicheres Journaling Ihres E-Mail-Verkehrs.
• Konformes Versiegeln von Dokumenten nach GeBüV (Geschäftsbücherverordnung), mit der elektronische Unterlagen manipulationssicher und nachvollziehbar abgelegt werden können und langfristig gültig bleiben.
• Sensivity Labeling: Damit ist die integrierte Verschlüsselung und der Schutz sensibler Daten gemeint, den wir Ihnen auf Dokumentenebene bieten. Ob Wasserzeichen in Dokumenten, die Vergabe von Berechtigungen oder die Steuerung, was mit Dokumenten geschehen darf – mit diesem Feature unseres Managed Digital Workplace Giga Pakets können Sie ein weiteres Häkchen setzen, wenn es um die Einhaltung der FINMA-Regularien geht. Dank Sensitivity Labeling bleiben Ihre Dokumente selbst bei Angriff oder Datenklau geschützt und können ohne die richtigen Berechtigungen weder geöffnet noch genutzt werden. Dadurch bleiben Ihre Dokumente stets in den richtigen Händen.
• Professionelles Drucker-Queue-Management.
• Eine digitale rechtskonforme Signatur.
• Die Option “Data Boundary CH / EU / UK / US”, die das Beziehen von Services exklusiv im Rahmen von Lieferanten, welche ausschliesslich innerhalb der Ländergrenzen der Schweiz, EU, UK oder USA ansässig sind, erlaubt. Daten werden dann in der Schweiz DSG-konform ver- und bearbeitet.

Darüber hinaus setzen wir auf das Zero Trust Prinzip. Das bedeutet, dass jede Anfrage, die an ein System gesendet wird, kritisch hinterfragt und überprüft wird und keine Anwendung, kein Gerät, kein Nutzer und kein Netzwerkstandard als vertrauenswürdig gilt. Erst wenn die Anfrage als vertrauensvoll gilt, wird der Zugriff gewährt. Dadurch erkennen wir unbefugte Zugriffe schnell und können entsprechend handeln. Ausserdem kümmern wir uns um die korrekten Verträge, wie beispielsweise das Microsoft Customer Agreement. So unterstützen wir Sie dabei, die vertraglichen Vorgaben gegenüber Microsoft zu erfüllen.

Fazit

Ein Managed Digital Workplace von Dinotronic bietet Sicherheit, Effizienz und Compliance. Mit ihm werden Sie den Anforderungen der FINMA gerecht und können gleichzeitig modern arbeiten. Das kann sich auf Ihre Wettbewerbsfähigkeit auswirken und zu mehr Zufriedenheit bei den Mitarbeitern beitragen, während Ihre IT-Sicherheit bei uns in guten Händen ist.

Lassen Sie sich von uns zu unserem FINMA-konformen Managed Digital Workplace beraten und heben Sie Ihre IT-Infrastruktur auf das nächste Level.