Vom FINMA-Audit zur Umsetzung: Cyberresilienz ist Führungsaufgabe

von am Kein Kommentar

Vom FINMA-Audit zur Umsetzung: Cyberresilienz ist Führungsaufgabe

Seit dem FINMA-Rundschreiben 2023/1 gelten Prüfberichte und Audit-Feststellungen bei Finanzinstituten als Referenz für wirksame Cyberresilienz. Auf dieser Basis führen Prüfgesellschaften Aufsichtsprüfungen durch. Institute stehen nun vor der Herausforderung, die Findings gezielt umzusetzen. Eine Aufgabe mit klarer Verantwortung auf Führungsebene. Wir ordnen ein und leiten die 5 wichtigsten Anforderungen und Massnahmen sowie Umsetzungspläne für Governance, Technik und Betrieb ab.

Mit der Aufsichtsmitteilung 03/2024 «Erkenntnisse aus der Cyberrisiko-Aufsichtstätigkeit» hat die FINMA ihre Erwartungen an den Umgang mit Cyberrisiken weiter präzisiert. Die Mitteilung stützt sich auf die Resultate durchgeführter Aufsichtsprüfungen, der bereitgestellten Prüfpunkte und konkretisiert, wie Institute Anforderungen aus dem FINMA-Rundschreiben 2023/1 bei Kontrollen, Szenario-basierten Cyber-Übungen sowie bei Detection- und Response-Fähigkeiten wirksam umsetzen sollen.

Ergänzend dazu hat die FINMA mit der Aufsichtsmitteilung 05/2025 das Verständnis von operationeller Resilienz auf breiter Ebene geschärft. Diese adressiert jedoch nicht ausschliesslich Cyber Security, sondern die gesamthafte Widerstandsfähigkeit von Instituten gegenüber operationellen Störungen.

Der vorliegende Beitrag fokussiert deshalb bewusst auf die cybernahen Präzisierungen der Aufsichtsmitteilung 03/2024 und deren Bedeutung für die Umsetzung von Audit-Feststellungen gemäss FINMA-RS 2023/1.

Genau hier setzt InfoGuard an: Unsere Expertinnen und Experten unterstützen Finanzinstitute dabei, Prüfberichte und Audit-Feststellungen strukturiert einzuordnen und die daraus resultierenden Erkenntnisse zielgerichtet in wirksame, nachhaltige Massnahmen entlang Governance, Technik und Betrieb zu überführen.

Die fünf wichtigsten Anforderungen an eine erfolgreiche FINMA-Umsetzung

Die FINMA fordert ein strukturiertes Management der Cyberrisiken – von der strategischen Steuerung durch den Verwaltungsrat bis hin zur operativen Umsetzung.

Audits zeigen, dass viele Finanzinstitute Rahmenwerke und Weisungen besitzen, die formelle Genehmigung und Überwachung der Cyberstrategie jedoch unvollständig ist oder fehlt. Auch die Berichterstattung an die Geschäftsleitung, Definition von Schlüsselrisikoindikatoren (KRIs) oder die klare Abgrenzung von Aufgaben, Kompetenzen und Verantwortlichkeiten (AKV) sind vielfach unzureichend.

Cyberrisiken sind oft nur als Teil des IT-Risikos oder des Operationellen Risikos geführt, ohne spezifische Toleranzwerte oder quantifizierbare Indikatoren. Die Inventarisierung von IKT-Assets ist häufig unvollständig – besonders im Hinblick auf interne und externe Schnittstellen, dezentrale Anwendungen und kritische Datenbestände und Datenflüsse.

Für die Einhaltung der FINMA-Vorgaben stehen folgende fünf Aspekte im Fokus:

Entwicklung und Unterstützung der formellen Verabschiedung der dedizierten Cyberstrategie, unter anderem gemäss FINMA-RS 2023/1.

Aufbau eines Cyber Risk Frameworks mit klar definierten Risikokategorien, Toleranzen und KRIs.

Asset- und Dateninventarisierung inkl. Klassifizierung kritischer Informationen und Datenflüsse.

Integration internationaler Standards insbesondere NIST CSF mit dem Profil des Cyber Risk Institutes CRI in Kontroll- und Reporting-Prozesse.

Unterstützung bei der Definition von AKVs und Governance-Strukturen (inklusive Berichterstattung).

Die fünf zentralen Massnahmen: Verwundbarkeiten systematisch erkennen und beheben

Ein wirksames Schwachstellenmanagement bildet das Fundament einer belastbaren Cyberresilienz.

Audits zeigen hingegen eindeutig, dass viele Institute weder über ein formales Schwachstellenmanagement noch über klar definierte Prozesse und Mehrjahresplanungen für Penetrationstests oder Verwundbarkeitsanalysen verfügen.

In der Praxis beschränken viele Institute Tests auf einzelne Teilbereiche, führen sie unregelmässig durch und lassen die systematische Nachverfolgung und Behebung identifizierter Schwachstellen vermissen.

Ein zentrales Risiko bleibt jedoch oft ungetestet: Szenariobezogene Cyber-Ãœbungen lassen kritische Service-Provider oft aussen vor und orientieren sich zu wenig an der realen Bedrohungslage des Finanzinstituts.

Diese fünf Umsetzungsmassnahmen sollten Sie jetzt angehen:

Aufbau eines risikobasierten Schwachstellen-Management-Prozesses

Planung und Durchführung regelmässiger Penetrationstests (intern, extern, Web, Mobile, Cloud, Red Teaming)

Holen Sie sich Unterstützung bei der Priorisierung und Nachverfolgung von Findings bis zu deren Schliessung.

Integration von Schwachstellen-Reports in SIEM- oder GRC-Systeme

Durchführung von Cyber-Übungen und Tabletop-Tests (TTX), um die Reaktionsfähigkeit zu prüfen

InfoGuard unterstützt Sie bei der Umsetzung dieser Massnahmen mit einer FINMA-Gap-Analyse.

Detection & Response: Sensible Daten in 5 Schritten schützen

Die Fähigkeit, Anomalien frühzeitig zu erkennen und darauf zu reagieren, ist entscheidend für den Schutz kritischer Daten.

Auditberichte zeigen, dass Institute häufig keine vollständige Baseline für ihre IKT-Systeme definiert haben. Auch die Abdeckung der SIEM-Use-Cases ist oft nicht auf die institutsspezifischen Risiken abgestimmt. Playbooks und Reaktionsprozesse werden selten überprüft oder getestet.

Folgende fünf Schritte steigern Ihre Detection & Response-Fähigkeit:

Definition von Baselines für alle kritischen Systeme

Review und Optimierung von SIEM-Use-Cases basierend auf Ihrer individuellen Bedrohungslage

Aufbau oder Erweiterung des Security Operations Centers (SOC) mit 24/7-Überwachung

Use-Case-Engineering zur Entwicklung spezifischer Erkennungsregeln Ihrer Risiken

Etablierung und regelmässige Validierung von Playbooks und Incident-Response-Prozessen

Eine wirksame Detection-&-Response-Strategie verbindet technische Fähigkeiten mit einem klaren Verständnis der regulatorischen Anforderungen und schafft so die Grundlage für eine FINMA-konforme Umsetzung.

FINMA-Findings umsetzen

Wiederherstellung auf dem Prüfstand: 4 belastbare Massnahmen

Viele Institute verlassen sich auf bestehende BCM-Strukturen, ohne diese um cyberspezifische Wiederherstellungspläne zu ergänzen.

Reaktions- und Wiederherstellungsszenarien sind häufig nicht ausreichend getestet und Service Provider werden zu wenig überwacht. Im Ernstfall besteht das Risiko, dass die Wiederaufnahme des Geschäftsbetriebs verzögert oder unkoordiniert verlaufen.

Vier Massnahmen stärken Ihre Cyberresilienz grundsätzlich:

1.    Entwicklung von cyberspezifischen Notfall- und Wiederherstellungsplänen

2.    Durchführung von realistischen Wiederherstellungsübungen (inkl. Simulationen von Ransomware-Szenarien)

3.    Review und Monitoring der Provider-Leistungen (inkl. SOC/ISAE-Reports)

4.    Unterstützung bei der Integration von Cyberresilienz in bestehende BCM-Frameworks

Nur durch getestete Wiederherstellungsprozesse, klar geregelte Verantwortlichkeiten und die Einbindung kritischer Dienstleister bleibt ein Finanzinstitut im Ernstfall handlungsfähig und erfüllt die Erwartungen der FINMA an eine wirksame Cyberresilienz.

5 Schutzmechanismen für kritische Daten: Was die FINMA konkret fordert

Der Schutz kritischer Daten steht im Zentrum der von der FINMA geforderten Sicherheitsstrategie.

Audit-Prüfberichte zeigen jedoch, dass viele Institute nicht auf ein hinreichendes Konzept zur Data-Loss-Prevention (DLP) zugreifen können und unklare Berechtigungsprozesse, fehlende Vorgaben zur Systemhärtung und kein durchgängiges Patch-Management verfügen. Auch bei Netzwerksicherheit sowie bei der Implementierung von EDR/XDR-Lösungen mangelt es häufig an der geforderten Transparenz, Durchgängigkeit und Kontrolle.

Folgende fünf robuste und transparente Schutzmassnahmen sind zentral, um FINMA-Anforderungen nachvollziehbar umzusetzen:

Entwicklung und Einführung eines DLP-Frameworks

Etablierung von Rollen- und Berechtigungskonzepten mit regelmässigen Reviews

Netzwerksicherheits-Assessment, Umsetzung von Segmentierung, Firewalls und NAC

Implementierung von Endpoint Detection & Response (EDR/XDR) und Integration ins SOC

Definition von Härtungs- und Patch-Management-Prozessen inklusive Automatisierung und Reporting

Eine durchgängige Sicherheitsarchitektur – von der Endpoint-Absicherung bis zur Netzwerkkontrolle – schafft Transparenz, reduziert Risiken und unterstützt Institute dabei, FINMA-Anforderungen wirksam zu erfüllen.

Auslagerung der IT-Infrastrukturen FINMA-konform steuern

Lagern Institute wesentliche IT- oder Sicherheitsleistungen an externe Dienstleister aus, bleibt die aufsichtsrechtliche Verantwortung dennoch vollständig bei ihnen. Häufig fehlen in Verträgen entsprechende Klauseln, die Überwachung beschränkt sich auf die Prüfung der von den Dienstleistern zur Verfügung gestellten Berichte (wie z.B. ISAE-3402 oder SOC 2 Reports), und Dienstleister erfüllen die regulatorischen Anforderungen nur teilweise.

Um Auslagerungen FINMA-konform zu steuern, sind folgende vier Massnahmen zentral:

Inventarisierung aller Auslagerungen inklusive Identifikation wesentlicher oder kritischer Dienstleister

Sicherstellen, dass die Dienstleister die regulatorischen Anforderungen erfüllen

Umsetzung einer regelmässigen und effizienten Überwachung der Dienstleister

Anpassen der Verträge mit den Dienstleistern

Nur durch diese strukturierte Steuerung behalten Institute die aufsichtsrechtliche End-to-End-Verantwortung und stellen sicher, dass ausgelagerte Leistungen den Anforderungen der FINMA entsprechen.

FINMA-RS 23/1: Cyberresilienz wirksam umsetzen

Audit-Feststellungen sind kein Rückschritt, sondern ein präziser Spiegel des aktuellen Reifegrads und eine echte Chance. Sie zeigen auf, wo Governance, Technik und Prozesse gezielt geschärft werden müssen, um die Erwartungen der FINMA an eine wirksame Cyberresilienz zu erfüllen. Entscheidend ist dabei nicht die Anzahl der Feststellungen, sondern der strukturierte Umgang damit – von der Einordnung bis zur nachhaltigen Umsetzung im Betrieb.

Finanzinstitute stehen dabei vor wiederkehrenden Fragestellungen, unter anderem in den Bereichen:

Auslagerungsmanagement (FINMA 23/1 Compliance)

Vorbereitung auf FINMA-Audits

Realisierung / Umsetzung von FINMA-Audit-Findings

Business Continuity Planning (BCP) für ausgelagerte Dienstleistungen

Bedrohungsszenarien für ausgelagerte Services bewerten

Incident-Response-Pläne anpassen

Datenflüsse zu Dienstleistern prüfen

Bei vielen Instituten ist die aufsichtsrechtliche Prüfung bereits erfolgt und die Findings sind bekannt. Die Herausforderung liegt nun in der Umsetzung.

InfoGuard unterstützt Sie dabei, Prüfungsfeststellungen in priorisierte, realistisch umsetzbare Massnahmen zu übersetzen und diese operativ zu verankern – von Architektur- und Prozessdesign bis zur Integration in den laufenden SOC-Betrieb.

Cyberresilienz entsteht nicht im Audit, sondern im Alltag.

FINMA-Findings umsetzen

Vom FINMA-Audit zur Umsetzung: Cyberresilienz ist Führungsaufgabe hinzugefügt von am
Alle Beiträge von Redaktion →

verwandte Themen:

Validato stärkt Schweizer Compliance: Re-Screening für DSG und FINMA
Validato bietet Schweizer Unternehmen moderne Screening-Lösungen für DSG und FINMA. Kontinuierliche Überprüfungen sind entscheidend für Sicherheit und Vertrauen....

Cyberresilienz: Eine Schlüsselkomponente für die digitale Sicherheit im 21. Jahrhundert
In der heutigen vernetzten Welt ist die Cyberresilienz zu einer entscheidenden Komponente für die Sicherheit von Organisationen, Unternehmen und Gesellschaften geworden. Angesichts der ständig wachsenden Bedrohungen durch Cyberangriffe ist es unerlässlich, dass Unternehmen eine proaktive Herangehensweise an die digitale Sicherheit entwickeln. Definition von Cyberresilienz Cyberresilienz beschreibt die Fähigkeit eines Unternehmens, trotz Cyberangriffen, technischer Störun...

mQuest Audit wird zu cluetec Audit – neue Marke unterstreicht Spezialisierung auf Audit-Management
Die cluetec GmbH setzt ihre Spezialisierung im Bereich Audit-Management konsequent fort und unterstreicht diesen Fokus mit einer klaren Markenstrategie: Aus mQuest Audit wird cluetec Audit. Die weiteren Erhebungs- und Befragungstools der mQuest-Produktlinie bleiben unter der etablierten Marke mQuest bestehen....

Schweizer Interoute Data Centre erhalten FINMA-Zertifizierung
Die Schweizer Co-Location-Rechenzentren von Interoute, Eigentümer und Betreiber von einem der größten Netzwerke Europas und einer globalen Cloud-Service-Plattform, wurden von der Eidgenössischen Finanzmarktaufsicht FINMA zertifiziert. „Nirgendwo auf der Welt hat das Bankengeheimnis einen so hohen Stellenwert wie in der Schweiz, daher sind auch die Anforderungen an die Dienstleister der Finanzinstitute extrem hoch“, sagt Santiago Caneiro, […]...

Sicherheitsmanagement zur Umsetzung von Compliance-, Policy- und Audit-Richtlinien
PatchLink Security Configuration Management ist die branchenweit erste Unternehmenslösung, die Organisationen eine standardisierte Endegerätekonfiguration nach Sicherheitskriterien ermöglicht....