Vom FINMA-Audit zur Umsetzung: Cyberresilienz ist Führungsaufgabe

Mit der Aufsichtsmitteilung 03/2024 «Erkenntnisse aus der Cyberrisiko-Aufsichtstätigkeit» hat die FINMA ihre Erwartungen an den Umgang mit Cyberrisiken weiter präzisiert. Die Mitteilung stützt sich auf die Resultate durchgeführter Aufsichtsprüfungen, der bereitgestellten Prüfpunkte und konkretisiert, wie Institute Anforderungen aus dem FINMA-Rundschreiben 2023/1 bei Kontrollen, Szenario-basierten Cyber-Übungen sowie bei Detection- und Response-Fähigkeiten wirksam umsetzen sollen.

Ergänzend dazu hat die FINMA mit der Aufsichtsmitteilung 05/2025 das Verständnis von operationeller Resilienz auf breiter Ebene geschärft. Diese adressiert jedoch nicht ausschliesslich Cyber Security, sondern die gesamthafte Widerstandsfähigkeit von Instituten gegenüber operationellen Störungen.

Der vorliegende Beitrag fokussiert deshalb bewusst auf die cybernahen Präzisierungen der Aufsichtsmitteilung 03/2024 und deren Bedeutung für die Umsetzung von Audit-Feststellungen gemäss FINMA-RS 2023/1.

Genau hier setzt InfoGuard an: Unsere Expertinnen und Experten unterstützen Finanzinstitute dabei, Prüfberichte und Audit-Feststellungen strukturiert einzuordnen und die daraus resultierenden Erkenntnisse zielgerichtet in wirksame, nachhaltige Massnahmen entlang Governance, Technik und Betrieb zu überführen.

Die fünf wichtigsten Anforderungen an eine erfolgreiche FINMA-Umsetzung

Die FINMA fordert ein strukturiertes Management der Cyberrisiken – von der strategischen Steuerung durch den Verwaltungsrat bis hin zur operativen Umsetzung.

Audits zeigen, dass viele Finanzinstitute Rahmenwerke und Weisungen besitzen, die formelle Genehmigung und Überwachung der Cyberstrategie jedoch unvollständig ist oder fehlt. Auch die Berichterstattung an die Geschäftsleitung, Definition von Schlüsselrisikoindikatoren (KRIs) oder die klare Abgrenzung von Aufgaben, Kompetenzen und Verantwortlichkeiten (AKV) sind vielfach unzureichend.

Cyberrisiken sind oft nur als Teil des IT-Risikos oder des Operationellen Risikos geführt, ohne spezifische Toleranzwerte oder quantifizierbare Indikatoren. Die Inventarisierung von IKT-Assets ist häufig unvollständig – besonders im Hinblick auf interne und externe Schnittstellen, dezentrale Anwendungen und kritische Datenbestände und Datenflüsse.

Für die Einhaltung der FINMA-Vorgaben stehen folgende fünf Aspekte im Fokus:

1. Entwicklung und Unterstützung der formellen Verabschiedung der dedizierten Cyberstrategie, unter anderem gemäss FINMA-RS 2023/1.
2. Aufbau eines Cyber Risk Frameworks mit klar definierten Risikokategorien, Toleranzen und KRIs.
3. Asset- und Dateninventarisierung inkl. Klassifizierung kritischer Informationen und Datenflüsse.
4. Integration internationaler Standards insbesondere NIST CSF mit dem Profil des Cyber Risk Institutes CRI in Kontroll- und Reporting-Prozesse.
5. Unterstützung bei der Definition von AKVs und Governance-Strukturen (inklusive Berichterstattung).

Die fünf zentralen Massnahmen: Verwundbarkeiten systematisch erkennen und beheben

Ein wirksames Schwachstellenmanagement bildet das Fundament einer belastbaren Cyberresilienz.

Audits zeigen hingegen eindeutig, dass viele Institute weder über ein formales Schwachstellenmanagement noch über klar definierte Prozesse und Mehrjahresplanungen für Penetrationstests oder Verwundbarkeitsanalysen verfügen.

In der Praxis beschränken viele Institute Tests auf einzelne Teilbereiche, führen sie unregelmässig durch und lassen die systematische Nachverfolgung und Behebung identifizierter Schwachstellen vermissen.

Ein zentrales Risiko bleibt jedoch oft ungetestet: Szenariobezogene Cyber-Übungen lassen kritische Service-Provider oft aussen vor und orientieren sich zu wenig an der realen Bedrohungslage des Finanzinstituts.

Diese fünf Umsetzungsmassnahmen sollten Sie jetzt angehen:

1. Aufbau eines risikobasierten Schwachstellen-Management-Prozesses
2. Planung und Durchführung regelmässiger Penetrationstests (intern, extern, Web, Mobile, Cloud, Red Teaming)
3. Holen Sie sich Unterstützung bei der Priorisierung und Nachverfolgung von Findings bis zu deren Schliessung.
4. Integration von Schwachstellen-Reports in SIEM- oder GRC-Systeme
5. Durchführung von Cyber-Übungen und Tabletop-Tests (TTX), um die Reaktionsfähigkeit zu prüfen

InfoGuard unterstützt Sie bei der Umsetzung dieser Massnahmen mit einer FINMA-Gap-Analyse.

Detection & Response: Sensible Daten in 5 Schritten schützen

Die Fähigkeit, Anomalien frühzeitig zu erkennen und darauf zu reagieren, ist entscheidend für den Schutz kritischer Daten.

Auditberichte zeigen, dass Institute häufig keine vollständige Baseline für ihre IKT-Systeme definiert haben. Auch die Abdeckung der SIEM-Use-Cases ist oft nicht auf die institutsspezifischen Risiken abgestimmt. Playbooks und Reaktionsprozesse werden selten überprüft oder getestet.

Folgende fünf Schritte steigern Ihre Detection & Response-Fähigkeit:

1. Definition von Baselines für alle kritischen Systeme
2. Review und Optimierung von SIEM-Use-Cases basierend auf Ihrer individuellen Bedrohungslage
3. Aufbau oder Erweiterung des Security Operations Centers (SOC) mit 24/7-Überwachung
4. Use-Case-Engineering zur Entwicklung spezifischer Erkennungsregeln Ihrer Risiken
5. Etablierung und regelmässige Validierung von Playbooks und Incident-Response-Prozessen

Eine wirksame Detection-&-Response-Strategie verbindet technische Fähigkeiten mit einem klaren Verständnis der regulatorischen Anforderungen und schafft so die Grundlage für eine FINMA-konforme Umsetzung.

Wiederherstellung auf dem Prüfstand: 4 belastbare Massnahmen

Viele Institute verlassen sich auf bestehende BCM-Strukturen, ohne diese um cyberspezifische Wiederherstellungspläne zu ergänzen.

Reaktions- und Wiederherstellungsszenarien sind häufig nicht ausreichend getestet und Service Provider werden zu wenig überwacht. Im Ernstfall besteht das Risiko, dass die Wiederaufnahme des Geschäftsbetriebs verzögert oder unkoordiniert verlaufen.

Vier Massnahmen stärken Ihre Cyberresilienz grundsätzlich:

1.    Entwicklung von cyberspezifischen Notfall- und Wiederherstellungsplänen

2.    Durchführung von realistischen Wiederherstellungsübungen (inkl. Simulationen von Ransomware-Szenarien)

3.    Review und Monitoring der Provider-Leistungen (inkl. SOC/ISAE-Reports)

4.    Unterstützung bei der Integration von Cyberresilienz in bestehende BCM-Frameworks

Nur durch getestete Wiederherstellungsprozesse, klar geregelte Verantwortlichkeiten und die Einbindung kritischer Dienstleister bleibt ein Finanzinstitut im Ernstfall handlungsfähig und erfüllt die Erwartungen der FINMA an eine wirksame Cyberresilienz.

5 Schutzmechanismen für kritische Daten: Was die FINMA konkret fordert

Der Schutz kritischer Daten steht im Zentrum der von der FINMA geforderten Sicherheitsstrategie.

Audit-Prüfberichte zeigen jedoch, dass viele Institute nicht auf ein hinreichendes Konzept zur Data-Loss-Prevention (DLP) zugreifen können und unklare Berechtigungsprozesse, fehlende Vorgaben zur Systemhärtung und kein durchgängiges Patch-Management verfügen. Auch bei Netzwerksicherheit sowie bei der Implementierung von EDR/XDR-Lösungen mangelt es häufig an der geforderten Transparenz, Durchgängigkeit und Kontrolle.

Folgende fünf robuste und transparente Schutzmassnahmen sind zentral, um FINMA-Anforderungen nachvollziehbar umzusetzen:

1. Entwicklung und Einführung eines DLP-Frameworks
2. Etablierung von Rollen- und Berechtigungskonzepten mit regelmässigen Reviews
3. Netzwerksicherheits-Assessment, Umsetzung von Segmentierung, Firewalls und NAC
4. Implementierung von Endpoint Detection & Response (EDR/XDR) und Integration ins SOC
5. Definition von Härtungs- und Patch-Management-Prozessen inklusive Automatisierung und Reporting

Eine durchgängige Sicherheitsarchitektur – von der Endpoint-Absicherung bis zur Netzwerkkontrolle – schafft Transparenz, reduziert Risiken und unterstützt Institute dabei, FINMA-Anforderungen wirksam zu erfüllen.

Auslagerung der IT-Infrastrukturen FINMA-konform steuern

Lagern Institute wesentliche IT- oder Sicherheitsleistungen an externe Dienstleister aus, bleibt die aufsichtsrechtliche Verantwortung dennoch vollständig bei ihnen. Häufig fehlen in Verträgen entsprechende Klauseln, die Überwachung beschränkt sich auf die Prüfung der von den Dienstleistern zur Verfügung gestellten Berichte (wie z.B. ISAE-3402 oder SOC 2 Reports), und Dienstleister erfüllen die regulatorischen Anforderungen nur teilweise.

Um Auslagerungen FINMA-konform zu steuern, sind folgende vier Massnahmen zentral:

1. Inventarisierung aller Auslagerungen inklusive Identifikation wesentlicher oder kritischer Dienstleister
2. Sicherstellen, dass die Dienstleister die regulatorischen Anforderungen erfüllen
3. Umsetzung einer regelmässigen und effizienten Überwachung der Dienstleister
4. Anpassen der Verträge mit den Dienstleistern

Nur durch diese strukturierte Steuerung behalten Institute die aufsichtsrechtliche End-to-End-Verantwortung und stellen sicher, dass ausgelagerte Leistungen den Anforderungen der FINMA entsprechen.

FINMA-RS 23/1: Cyberresilienz wirksam umsetzen

Audit-Feststellungen sind kein Rückschritt, sondern ein präziser Spiegel des aktuellen Reifegrads und eine echte Chance. Sie zeigen auf, wo Governance, Technik und Prozesse gezielt geschärft werden müssen, um die Erwartungen der FINMA an eine wirksame Cyberresilienz zu erfüllen. Entscheidend ist dabei nicht die Anzahl der Feststellungen, sondern der strukturierte Umgang damit – von der Einordnung bis zur nachhaltigen Umsetzung im Betrieb.

Abbildung 1: «Audit-to-Action», die 6 Pfeiler einer robusten Cyberresilienz.

Finanzinstitute stehen dabei vor wiederkehrenden Fragestellungen, unter anderem in den Bereichen:

1. Auslagerungsmanagement (FINMA 23/1 Compliance)
2. Vorbereitung auf FINMA-Audits
3. Realisierung / Umsetzung von FINMA-Audit-Findings
4. Business Continuity Planning (BCP) für ausgelagerte Dienstleistungen
5. Bedrohungsszenarien für ausgelagerte Services bewerten
6. Incident-Response-Pläne anpassen
7. Datenflüsse zu Dienstleistern prüfen

Bei vielen Instituten ist die aufsichtsrechtliche Prüfung bereits erfolgt und die Findings sind bekannt. Die Herausforderung liegt nun in der Umsetzung.

InfoGuard unterstützt Sie dabei, Prüfungsfeststellungen in priorisierte, realistisch umsetzbare Massnahmen zu übersetzen und diese operativ zu verankern – von Architektur- und Prozessdesign bis zur Integration in den laufenden SOC-Betrieb.

Cyberresilienz entsteht nicht im Audit, sondern im Alltag.

Unsere Cyber-Security-Spezialist*innen teilen persönlich exklusive Beiträge mit wertvollen Insights aus der Praxis. Sie möchten keinen unserer Blogbeiträge verpassen? Dann abonnieren Sie ganz einfach unsere Blog-Updates! Wir freuen uns auf Sie.

Bildlegende: mit KI generiertes Bild