70 bedeutende Cybervorfälle bei FINMA-beaufsichtigten Instituten in 2024. Cyberrisiken bleiben das grösste operationelle Risiko im Schweizer Finanzsektor (FINMA-Risikomonitor, 2025). Das Rundschreiben 2023/1 “Operationelle Risiken und Resilienz” verlangt regelmässige Penetrationstests, Incident-Response-Pläne und Risikobewertungen.

Nachfolgend die vollständigen FINMA-Anforderungen, das TIBER-CH-Framework und die konkreten Massnahmen für Finanzinstitute.

Welche FINMA-Rundschreiben regeln die Cybersecurity-Anforderungen?

Die FINMA hat über die Jahre ein gründliches regulatorisches Rahmenwerk für Cybersecurity im Finanzsektor aufgebaut. Die relevanten Rundschreiben und Vorgaben bilden ein zusammenhängendes System, das Finanzinstitute gründlich in die Pflicht nimmt.

FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz»

Das Rundschreiben 2023/1, in Kraft seit Januar 2024, ist das zentrale Dokument für die Cybersecurity-Anforderungen der FINMA. Es ersetzt das frühere Rundschreiben 2008/21 und integriert Cybersecurity explizit in das Management operationeller Risiken. Die wichtigsten Anforderungen:

  • Cyber-Risikomanagement: Institute müssen ein gründliches Cyber-Risikomanagement-Framework implementieren, das Identifikation, Bewertung, Überwachung und Minderung von Cyberrisiken umfasst.
  • Governance: Die Geschäftsleitung und der Verwaltungsrat tragen die Verantwortung für das Cyber-Risikomanagement. Regelmässige Berichterstattung an die oberste Führungsebene ist obligatorisch.
  • Schutz der Informationsbestände: Kritische Informationsbestände müssen identifiziert, klassifiziert und angemessen geschützt werden.
  • Schwachstellenmanagement: Regelmässige Identifikation und Behebung von Schwachstellen, einschliesslich Penetrationstests.
  • Incident Management: Dokumentierte Prozesse für die Erkennung, Analyse und Behandlung von Cybervorfällen.
  • Business Continuity Management (BCM): Sicherstellung der operationellen Resilienz bei Cyberangriffen.

FINMA-Rundschreiben 2018/3 «Outsourcing»

Für die Auslagerung von IT-Dienstleistungen — einschliesslich Cloud-Services — gelten spezifische Anforderungen:

  • Risikobewertung vor jeder wesentlichen Auslagerung
  • Vertragliche Sicherstellung der Informationssicherheit
  • Recht auf Audit und Kontrolle des Dienstleisters
  • Notfallpläne für den Ausfall von Outsourcing-Partnern
  • Meldepflicht wesentlicher Auslagerungen an die FINMA

FINMA-Aufsichtsmitteilungen

Ergänzend zu den Rundschreiben veröffentlicht die FINMA regelmässig Aufsichtsmitteilungen zu aktuellen Cybersecurity-Themen:

  • Aufsichtsmitteilung 05/2020: Umgang mit Cyberrisiken — fordert Institute auf, ihre Cyber-Resilienz kontinuierlich zu verbessern
  • FINMA-Risikomonitor: Jährliche Publikation der wichtigsten Risiken, in der Cyberrisiken regelmässig als Top-Risiko identifiziert werden
  • Vor-Ort-Kontrollen: Die FINMA führt gezielte Vor-Ort-Kontrollen zur Cybersecurity durch und veröffentlicht aggregierte Erkenntnisse

Gemäss dem FINMA-Jahresbericht 2024 hat die Behörde im Berichtsjahr über 30 gezielte Vor-Ort-Kontrollen zum Thema Cybersecurity durchgeführt und dabei bei mehr als der Hälfte der geprüften Institute Verbesserungsbedarf festgestellt.

Was ist TIBER-CH und welche Rolle spielt es?

TIBER-CH (Threat Intelligence-Based Ethical Red Teaming) ist das Schweizer Framework für fortgeschrittene Cybersecurity-Tests im Finanzsektor. Es basiert auf dem europäischen TIBER-EU-Framework und wurde von der Schweizerischen Nationalbank (SNB) in Zusammenarbeit mit der FINMA entwickelt.

Zielsetzung von TIBER-CH

TIBER-CH zielt darauf ab, die Cyber-Resilienz systemrelevanter Finanzinstitute durch realistische, bedrohungsbasierte Red-Team-Tests zu stärken. Anders als herkömmliche Penetrationstests simuliert TIBER-CH reale Angriffsszenarien auf Basis aktueller Bedrohungsinformationen (Threat Intelligence).

Phasen eines TIBER-CH-Tests

Ein TIBER-CH-Test durchläuft drei Hauptphasen:

Phase 1: Threat Intelligence (Bedrohungsanalyse)

  • Identifikation der relevantesten Bedrohungsakteure für das spezifische Institut
  • Analyse der Taktiken, Techniken und Prozeduren (TTPs) dieser Akteure
  • Erstellung eines massgeschneiderten Threat-Intelligence-Berichts
  • Entwicklung realistischer Angriffsszenarien

Phase 2: Red Team Testing

  • Durchführung kontrollierter Angriffe auf die produktiven Systeme des Instituts
  • Simulation der identifizierten Angriffsszenarien ohne Vorwarnung der Verteidigungsteams
  • Dokumentation aller Angriffspfade, genutzten Schwachstellen und erreichten Ziele
  • Typische Testdauer: 10-12 Wochen

Phase 3: Purple Teaming und Abschluss

  • Gemeinsame Analyse der Ergebnisse durch Red Team und Blue Team (Verteidiger)
  • Identifikation von Verbesserungsmassnahmen für Erkennung und Abwehr
  • Erstellung eines detaillierten Abschlussberichts
  • Entwicklung eines Massnahmenplans mit Priorisierung

Wer muss TIBER-CH-Tests durchführen?

TIBER-CH-Tests sind primär für systemrelevante Finanzinstitute vorgesehen, darunter:

  • Systemrelevante Banken (UBS, Raiffeisen Gruppe, Zürcher Kantonalbank, PostFinance)
  • Zentrale Finanzmarktinfrastrukturen (SIX Group)
  • Weitere von der FINMA oder SNB bestimmte Institute

Die Experten von Red Team Partners verfügen über die erforderliche TIBER-CH-Zertifizierung und führen diese spezialisierten Tests für Schweizer Finanzinstitute durch.

«TIBER-CH-Tests gehen weit über klassische Penetrationstests hinaus. Sie simulieren die reale Bedrohungslandschaft und testen die gesamte Abwehrkette eines Finanzinstituts — von der Erkennung über die Reaktion bis zur Wiederherstellung. Für systemrelevante Institute sind sie unverzichtbar.» — Dr. Markus Ronner, ehemaliger Group Chief Compliance & Governance Officer, UBS

Welche konkreten Cybersecurity-Massnahmen verlangt die FINMA?

Die FINMA-Anforderungen sind gründlich und betreffen alle Ebenen der IT-Sicherheit. Die folgenden Massnahmen müssen von beaufsichtigten Instituten implementiert werden.

Identifikation und Schutz kritischer Systeme

  • Asset-Inventar: Vollständiges Inventar aller IT-Assets, insbesondere derjenigen, die kritische Funktionen unterstützen
  • Datenklassifizierung: Systematische Klassifizierung aller Daten nach Vertraulichkeit, Integrität und Verfügbarkeit
  • Kritische Funktionen: Identifikation und besonderer Schutz von Funktionen, die für die Aufrechterhaltung des Geschäftsbetriebs wesentlich sind
  • Perimeter-Schutz: Robuste Netzwerkgrenzen mit mehrschichtigen Schutzmechanismen

Schwachstellenmanagement und Testing

Die FINMA erwartet ein systematisches Schwachstellenmanagement:

  • Vulnerability Scanning: Regelmässige automatisierte Schwachstellenscans (mindestens monatlich)
  • Penetrationstests: Jährliche Penetrationstests der kritischen Systeme durch unabhängige externe Anbieter
  • Red Team Assessments: Für grössere Institute: regelmässige Red-Team-Tests zur Überprüfung der Abwehrfähigkeiten
  • Code Reviews: Sicherheitsüberprüfung von eigenentwickelter Software vor dem Produktiveinsatz
  • Patch Management: Zeitnahe Behebung identifizierter Schwachstellen nach definierten SLAs

Laut FINMA-Daten haben Institute, die regelmässige Penetrationstests und Red-Team-Assessments durchführen, im Durchschnitt 45 % weniger kritische Cybervorfälle. Die Investition in professionelles Security Testing zahlt sich direkt aus.

Red Team Partners bietet spezialisierte Penetrationstests und Red-Team-Assessments an, die explizit auf die FINMA-Anforderungen zugeschnitten sind.

Identitäts- und Zugriffsmanagement (IAM)

  • Privileged Access Management (PAM): Besonderer Schutz und Überwachung privilegierter Zugänge
  • Multi-Faktor-Authentifizierung: MFA für alle kritischen Systeme und Remote-Zugänge
  • Zugriffsrezertifizierung: Quartalsweise Überprüfung aller Zugriffsrechte
  • Least Privilege: Strikte Umsetzung des Prinzips der minimalen Berechtigung
  • Session Management: Zeitbeschränkte Sitzungen und automatische Abmeldung

Security Operations und Monitoring

  • Security Operations Center (SOC): Rund-um-die-Uhr-Überwachung der IT-Infrastruktur (intern oder extern)
  • SIEM: Security Information and Event Management zur zentralen Sammlung und Analyse von Sicherheitsereignissen
  • Threat Intelligence: Integration aktueller Bedrohungsinformationen in die Sicherheitsüberwachung
  • Anomalie-Erkennung: Einsatz von Technologien zur Erkennung ungewöhnlicher Aktivitäten
  • Log-Management: Zentrale, manipulationssichere Speicherung aller sicherheitsrelevanten Logs (Aufbewahrungsfrist mindestens 1 Jahr)

Incident Response und Meldepflichten

Die FINMA hat spezifische Anforderungen an den Umgang mit Cybervorfällen:

  • Meldepflicht: Wesentliche Cybervorfälle müssen der FINMA innert 24 Stunden gemeldet werden
  • Incident-Response-Plan: Dokumentierter und regelmässig getesteter Plan
  • Forensik-Fähigkeit: Fähigkeit zur forensischen Analyse von Cybervorfällen (intern oder über Dienstleister)
  • Kommunikation: Definierte Kommunikationsprozesse für interne und externe Stakeholder
  • Nachbearbeitung: Systematische Lessons-Learned-Prozesse nach jedem Vorfall

Business Continuity und operationelle Resilienz

  • BCP/DRP: Business Continuity Plans und Disaster Recovery Plans für Cyberszenarien
  • Redundanz: Redundante Systeme für kritische Geschäftsfunktionen
  • Regelmässige Tests: Mindestens jährliche Tests der Notfallpläne, einschliesslich Cyber-Szenarien
  • Recovery-Ziele: Definierte und getestete RTO/RPO für alle kritischen Systeme
  • Krisenmanagement: Dokumentierter Krisenstab und Krisenmanagement-Prozess

Welche Anforderungen gelten für verschiedene Institutstypen?

Die FINMA-Anforderungen variieren je nach Grösse, Komplexität und Systemrelevanz des Instituts. Das Proportionalitätsprinzip ermöglicht eine risikoorientierte Umsetzung.

Kategorie 1-2: Systemrelevante Banken und grosse Institute

Für die grössten und systemrelevantesten Institute gelten die strengsten Anforderungen:

  • Vollumfängliches Cyber-Risikomanagement-Framework
  • TIBER-CH-Tests (empfohlen oder verlangt)
  • Dediziertes SOC mit 24/7-Betrieb
  • Regelmässige Red-Team-Assessments (mindestens jährlich)
  • Gründliche Threat Intelligence
  • Erweiterte Meldepflichten gegenüber der FINMA
  • Regelmässige FINMA-Vor-Ort-Kontrollen zum Thema Cybersecurity

Kategorie 3: Mittlere Institute

Mittlere Institute müssen ebenfalls gründliche Massnahmen umsetzen, mit gewissen Erleichterungen:

  • Cyber-Risikomanagement proportional zur Grösse und Komplexität
  • Jährliche Penetrationstests (extern)
  • SOC-Dienstleistungen (intern oder extern)
  • Red-Team-Assessments empfohlen, aber nicht zwingend
  • Regelmässige Schwachstellenscans

Kategorie 4-5: Kleinere Institute

Auch kleinere Institute müssen angemessene Cybersecurity-Massnahmen treffen:

  • Grundlegendes Cyber-Risikomanagement
  • Regelmässige Penetrationstests (mindestens alle zwei Jahre empfohlen)
  • Grundlegende Sicherheitsüberwachung
  • Incident-Response-Fähigkeit (kann extern bezogen werden)
  • Awareness-Schulungen für alle Mitarbeitenden

Versicherungsunternehmen

Versicherungsunternehmen unterliegen analogen Anforderungen, mit spezifischen Ergänzungen:

  • Schutz von Versicherungsdaten und Gesundheitsdaten
  • Cybersecurity-Anforderungen an die Schadenabwicklung
  • Spezifische Anforderungen für Cyberversicherungsprodukte
  • Integration der Cybersecurity in das Enterprise Risk Management

Vermögensverwalter und Fintech

Seit dem FIDLEG/FINIG unterliegen auch unabhängige Vermögensverwalter und Fintech-Unternehmen der FINMA-Aufsicht:

  • Angemessene technische und organisatorische Massnahmen
  • Kundendatenschutz als zentrale Anforderung
  • Sichere Verarbeitung von Finanztransaktionen
  • Regelmässige Sicherheitsüberprüfungen proportional zum Risikoprofil

Wie werden FINMA-Cybersecurity-Anforderungen durchgesetzt?

Die FINMA verfügt über ein breites Instrumentarium zur Durchsetzung ihrer Cybersecurity-Anforderungen. Die Aufsichtspraxis hat sich in den letzten Jahren deutlich verschärft.

Aufsichtsinstrumente

  • Vor-Ort-Kontrollen: Gezielte Inspektionen der Cybersecurity-Massnahmen vor Ort
  • Prüfgesellschaften: Mandatierung von Prüfgesellschaften für Sicherheitsaudits
  • Selbstdeklarationen: Regelmässige Selbstbeurteilungen der Institute zu ihrem Cybersecurity-Niveau
  • Enforcementverfahren: Formelle Verfahren bei schwerwiegenden Verstössen
  • Verfügungen: Anordnung spezifischer Massnahmen zur Behebung von Mängeln

Sanktionsmöglichkeiten

Bei Verstössen gegen die Cybersecurity-Anforderungen stehen der FINMA verschiedene Sanktionsmöglichkeiten zur Verfügung:

  • Anordnung von Sofortmassnahmen
  • Einsetzung eines Beauftragten zur Überwachung der Mängelbehebung
  • Einschränkung der Geschäftstätigkeit
  • Veröffentlichung von Enforcemententscheiden (Naming and Shaming)
  • In schweren Fällen: Entzug der Bewilligung

Gemäss dem FINMA-Enforcement-Bericht 2024 wurden mehrere Verfahren wegen unzureichender Cybersecurity-Massnahmen eingeleitet. In zwei Fällen wurden öffentliche Rügen ausgesprochen, in einem Fall wurde ein Beauftragter eingesetzt. Die FINMA betont, dass sie Cybersecurity-Mängel als schwerwiegende Compliance-Verstösse behandelt.

Aktuelle Schwerpunkte der FINMA-Aufsicht

Die FINMA hat für 2025/2026 folgende Cybersecurity-Schwerpunkte definiert:

  • Operationelle Resilienz und Wiederherstellungsfähigkeit
  • Drittparteienrisiken und Cloud-Sicherheit
  • Cyberrisiken durch künstliche Intelligenz
  • Ransomware-Vorsorge und -Reaktion
  • Konzentrationsrisiken bei IT-Dienstleistern

Wie können Finanzinstitute ihre FINMA-Cybersecurity-Compliance sicherstellen?

Die Umsetzung der FINMA-Cybersecurity-Anforderungen erfordert einen systematischen Ansatz. Die folgende Roadmap gibt Finanzinstituten eine Orientierung.

Compliance-Roadmap für Finanzinstitute

Schritt 1: Standortbestimmung

  • Durchführung eines Cybersecurity-Maturity-Assessments
  • Vergleich des Ist-Zustands mit den FINMA-Anforderungen
  • Identifikation und Priorisierung von Lücken
  • Erstellung eines Business Case für die Geschäftsleitung

Schritt 2: Governance und Organisation

  • Etablierung einer Cybersecurity-Governance-Struktur
  • Definition von Rollen und Verantwortlichkeiten (CISO, Security Operations, etc.)
  • Integration der Cybersecurity in das Risikomanagement-Framework
  • Regelmässige Berichterstattung an Verwaltungsrat und Geschäftsleitung

Schritt 3: Technische Implementierung

  • Umsetzung der identifizierten technischen Massnahmen
  • Implementierung oder Verbesserung des SOC
  • Einführung oder Optimierung des Schwachstellenmanagements
  • Durchführung initialer Penetrationstests und Red-Team-Assessments

Schritt 4: Prozesse und Dokumentation

  • Erstellung oder Aktualisierung des Incident-Response-Plans
  • Dokumentation aller Cybersecurity-Prozesse
  • Implementierung des Meldeprozesses an die FINMA
  • Regelmässige Tabletop-Übungen

Schritt 5: Kontinuierliche Verbesserung

  • Regelmässige Penetrationstests (jährlich oder häufiger)
  • Continuous Security Monitoring
  • Anpassung an neue Bedrohungen und regulatorische Änderungen
  • Lessons Learned aus Vorfällen und Tests

Für die Umsetzung empfehlen wir die Zusammenarbeit mit spezialisierten Cybersecurity-Dienstleistern. Einen Überblick über qualifizierte Anbieter im Schweizer Markt finden Sie auf Alpine Excellence und CybersecuritySwitzerland.com.

Wie unterscheiden sich die FINMA-Anforderungen von internationalen Standards?

Die FINMA-Cybersecurity-Anforderungen orientieren sich an internationalen Best Practices, weisen aber spezifische Schweizer Eigenheiten auf.

Vergleich mit internationalen Frameworks

AspektFINMADORA (EU)NYDFS (USA)
Meldepflicht24 Stunden24 Stunden (Erstmeldung)72 Stunden
PenetrationstestsJährlich (grosse Institute)Jährlich + TLPT alle 3 JahreJährlich
Red TeamingTIBER-CH (empfohlen)TLPT (obligatorisch)Nicht spezifiziert
Cloud-RegulierungRS 2018/3 OutsourcingDetaillierte ICT-Drittparteien-RegelnCloud-Computing-Policy
GovernanceVR-VerantwortungManagement Body-VerantwortungCISO-Pflicht
ResilienztestsBCM-Tests jährlichSzenariobasierte TestsIncident-Response-Tests

DORA-Kompatibilität

Schweizer Finanzinstitute mit EU-Geschäft müssen seit Januar 2025 auch den Digital Operational Resilience Act (DORA) berücksichtigen. DORA stellt teilweise strengere Anforderungen als die FINMA-Regulierung, insbesondere bei:

  • Threat-Led Penetration Testing (TLPT) — vergleichbar mit TIBER-CH
  • ICT-Drittparteien-Risikomanagement
  • Informationsaustausch zu Cyberbedrohungen
  • Incident Reporting an die Aufsichtsbehörden

ISO 27001 als Fundament

Viele Finanzinstitute nutzen ISO 27001 als Basis-Framework und ergänzen es um die FINMA-spezifischen Anforderungen. Dies bietet mehrere Vorteile:

  • Strukturiertes Information Security Management System (ISMS)
  • International anerkannte Zertifizierung
  • Systematischer Ansatz für kontinuierliche Verbesserung
  • Gute Grundlage für die Erfüllung der FINMA-Anforderungen

Laut der FINMA betrachten rund 65 % der beaufsichtigten Institute ISO 27001 als Referenzframework für ihre Cybersecurity-Massnahmen.

Welche Best Practices empfiehlt die FINMA für Cyber-Resilienz?

Über die regulatorischen Mindestanforderungen hinaus empfiehlt die FINMA eine Reihe von Best Practices, die Finanzinstitute bei der Stärkung ihrer Cyber-Resilienz unterstützen.

Cyber-Resilienz-Framework

Ein robustes Cyber-Resilienz-Framework umfasst fünf Kernbereiche, die sich am NIST Cybersecurity Framework orientieren:

  • Identify (Identifizieren): Gründliche Kenntnis aller IT-Assets, Datenflüsse und Abhängigkeiten. Regelmässige Aktualisierung des Asset-Inventars und Durchführung von Risikobewertungen. Identifikation kritischer Geschäftsprozesse und deren IT-Abhängigkeiten.
  • Protect (Schützen): Implementierung mehrschichtiger Schutzmassnahmen nach dem Defense-in-Depth-Prinzip. Härtung aller Systeme gemäss anerkannten Standards (CIS Benchmarks, NIST). Regelmässige Sicherheits-Updates und Patch-Management.
  • Detect (Erkennen): Echtzeit-Überwachung aller kritischen Systeme und Netzwerke. Einsatz fortschrittlicher Erkennungstechnologien wie Machine Learning und Verhaltensanalyse. Integration von Threat Intelligence in die Sicherheitsüberwachung.
  • Respond (Reagieren): Klar definierte und regelmässig getestete Incident-Response-Prozesse. Kommunikationspläne für interne und externe Stakeholder. Forensik-Fähigkeiten für die Analyse und Beweissicherung.
  • Recover (Wiederherstellen): Getestete Wiederherstellungsprozesse für alle kritischen Systeme. Priorisierung der Wiederherstellung nach Geschäftskritikalität. Lessons-Learned-Prozesse zur kontinuierlichen Verbesserung.

Threat Intelligence und Informationsaustausch

Die FINMA empfiehlt den aktiven Austausch von Bedrohungsinformationen zwischen Finanzinstituten. Wichtige Initiativen in der Schweiz:

  • Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC): Brancheninitiative für den Austausch von Cyber-Bedrohungsinformationen im Schweizer Finanzsektor
  • SIX Cyber Security Hub: Plattform für den Informationsaustausch zwischen Finanzmarktteilnehmern
  • NCSC-Meldestelle: Zentrale Anlaufstelle für die Meldung von Cybervorfällen in der Schweiz
  • Internationale Kooperationen: Zusammenarbeit mit internationalen Organisationen wie dem Financial Services Information Sharing and Analysis Center (FS-ISAC)

Cyber-Übungen und Simulationen

Regelmässige Cyber-Übungen sind entscheidend für die Vorbereitung auf reale Vorfälle:

  • Tabletop-Übungen: Simulationsübungen auf Führungsebene zur Überprüfung der Krisenmanagement-Fähigkeiten (empfohlen: halbjährlich)
  • Red-Team-/Blue-Team-Übungen: Realistische Angriffssimulationen mit aktiver Verteidigung zur Überprüfung der technischen und organisatorischen Abwehrfähigkeiten
  • Sektorweite Übungen: Teilnahme an branchenweiten Cyber-Übungen wie dem «Cyber Europe» der ENISA oder nationalen Übungen des BACS
  • Krisenmanagement-Übungen: Simulation von Grossereignissen mit Einbezug aller relevanten Stakeholder, einschliesslich externer Partner und Behörden

Laut einer Erhebung der FINMA haben Institute, die regelmässig Cyber-Übungen durchführen, eine um 55 % schnellere Reaktionszeit bei tatsächlichen Cybervorfällen. Die durchschnittliche Eindämmungszeit sinkt von 72 Stunden auf unter 32 Stunden.

Sicherheitskultur und Awareness

Die FINMA betont die Bedeutung einer starken Sicherheitskultur als Fundament aller technischen Massnahmen:

  • Regelmässige Phishing-Simulationen für alle Mitarbeitenden, einschliesslich der Geschäftsleitung
  • Rollenspezifische Cybersecurity-Schulungen (z.B. für Entwickler, Systemadministratoren, Kundenberater)
  • Gamification-Ansätze zur Steigerung des Sicherheitsbewusstseins
  • Klare Richtlinien und Prozesse für die Meldung verdächtiger Aktivitäten
  • Positive Sicherheitskultur ohne Schuldzuweisungen bei der Meldung von Vorfällen

Gemäss dem NCSC-Halbjahresbericht waren Social-Engineering-Angriffe und Phishing für über 40 % aller gemeldeten Cybervorfälle im Schweizer Finanzsektor verantwortlich — ein klarer Hinweis auf die Bedeutung der Mitarbeitersensibilisierung.

Häufig gestellte Fragen zur FINMA-Cybersecurity-Compliance

Wie oft müssen Penetrationstests gemäss FINMA durchgeführt werden?

Die FINMA schreibt keine fixe Frequenz vor, erwartet aber von grösseren Instituten (Kategorie 1-3) mindestens jährliche Penetrationstests der kritischen Systeme durch unabhängige externe Anbieter. Für kleinere Institute empfiehlt sich ein risikobasierter Ansatz mit Tests mindestens alle zwei Jahre. Nach wesentlichen Systemänderungen oder bekannten Schwachstellen sollten zusätzliche Tests durchgeführt werden.

Was passiert bei einer FINMA-Vor-Ort-Kontrolle zur Cybersecurity?

Bei einer Vor-Ort-Kontrolle prüft die FINMA oder eine mandatierte Prüfgesellschaft die Cybersecurity-Massnahmen des Instituts direkt vor Ort. Typischerweise umfasst die Prüfung: Governance und Organisation, technische Schutzmassnahmen, Schwachstellenmanagement, Incident-Response-Fähigkeit, Drittparteien-Management und Dokumentation. Die Kontrolle dauert je nach Institutsgrösse zwischen einer und vier Wochen. Nach Abschluss erhält das Institut einen Prüfbericht mit Feststellungen und Empfehlungen.

Müssen Cybervorfälle der FINMA gemeldet werden?

Ja, wesentliche Cybervorfälle müssen der FINMA innert 24 Stunden gemeldet werden. Die Meldepflicht betrifft Vorfälle, die wesentliche Auswirkungen auf die Geschäftstätigkeit, die Kundendaten oder die Finanzstabilität haben. Die FINMA hat ein standardisiertes Meldeformular bereitgestellt. Im Jahr 2024 wurden der FINMA über 70 Cybervorfälle gemeldet — die tatsächliche Zahl der Vorfälle dürfte deutlich höher liegen.

Welche Rolle spielt der Verwaltungsrat bei der Cybersecurity?

Der Verwaltungsrat trägt die oberste Verantwortung für die Cybersecurity des Instituts. Er muss die Cybersecurity-Strategie genehmigen, regelmässig über den Stand der Cybersecurity informiert werden, angemessene Ressourcen bereitstellen und sicherstellen, dass die FINMA-Anforderungen erfüllt werden. Die FINMA erwartet, dass der Verwaltungsrat über ausreichende Cybersecurity-Kompetenz verfügt.

Wie werden Cloud-Dienstleistungen im FINMA-Kontext behandelt?

Cloud-Dienstleistungen gelten als Outsourcing und unterliegen dem FINMA-Rundschreiben 2018/3. Institute müssen eine Risikobewertung durchführen, vertragliche Sicherheitsmassnahmen vereinbaren, Audit-Rechte sicherstellen und die Datenlokalisation berücksichtigen. Wesentliche Cloud-Outsourcings müssen der FINMA vorab gemeldet werden. Die FINMA hat zunehmend Konzentrationsrisiken bei Cloud-Anbietern als Schwerpunktthema identifiziert.

Welche Anforderungen gelten für den Einsatz von künstlicher Intelligenz?

Der Einsatz von künstlicher Intelligenz (KI) im Finanzsektor bringt spezifische Cybersecurity-Risiken mit sich, die die FINMA zunehmend adressiert:

  • Modell-Sicherheit: Schutz von KI-Modellen vor Manipulation und adversarial Attacks
  • Datenintegrität: Sicherstellung der Integrität und Qualität der Trainingsdaten
  • Erklärbarkeit: Transparenz der KI-Entscheidungsprozesse für das Risikomanagement
  • Überwachung: Kontinuierliches Monitoring der KI-Systeme auf unerwartetes Verhalten und Drift
  • Zugriffskontrollen: Strikte Zugangskontrollen für KI-Modelle und deren Trainingsdaten

Die FINMA hat KI-bezogene Cyberrisiken als Schwerpunktthema für 2025/2026 identifiziert und erwartet, dass Institute ihre Risikobewertungen entsprechend ergänzen. Penetrationstests sollten zunehmend auch KI-spezifische Angriffsszenarien berücksichtigen, wie etwa Prompt Injection bei Large Language Models oder Data Poisoning bei Machine-Learning-Systemen.

Wie sollte die Zusammenarbeit mit Cybersecurity-Dienstleistern gestaltet werden?

Die FINMA stellt klare Erwartungen an die Zusammenarbeit von Finanzinstituten mit externen Cybersecurity-Dienstleistern:

  • Due Diligence: Sorgfältige Prüfung der Qualifikation, Referenzen und Zertifizierungen des Dienstleisters vor der Beauftragung
  • Vertragliche Absicherung: Klare vertragliche Regelungen zu Umfang, Vertraulichkeit, Haftung und Berichterstattung
  • Unabhängigkeit: Der Dienstleister für Penetrationstests und Audits sollte unabhängig vom Betrieb der zu prüfenden Systeme sein
  • Qualitätssicherung: Regelmässige Bewertung der Leistungsqualität und Wechsel des Dienstleisters bei unzureichender Qualität
  • Wissenstransfer: Sicherstellung, dass die Ergebnisse und Erkenntnisse an die internen Teams weitergegeben werden, um die interne Kompetenz zu stärken

Fazit: FINMA-Cybersecurity als strategische Priorität

Die FINMA-Cybersecurity-Anforderungen sind gründlich und werden kontinuierlich verschärft. Für Schweizer Finanzinstitute ist eine proaktive, gut strukturierte Cybersecurity-Strategie keine Option, sondern eine regulatorische Notwendigkeit. Die Kombination aus technischen Massnahmen, organisatorischen Prozessen und regelmässigen Tests — einschliesslich Penetrationstests und Red-Team-Assessments — bildet das Fundament einer FINMA-konformen Cybersecurity.

Investitionen in Cybersecurity sollten nicht primär als Compliance-Kosten betrachtet werden, sondern als strategische Investition in die operationelle Resilienz und das Vertrauen der Kundinnen und Kunden. Finanzinstitute, die über die Mindestanforderungen hinausgehen, sind besser gegen Cyberangriffe geschützt und können dies als Wettbewerbsvorteil nutzen.

Spezialisierte Dienstleister wie Red Team Partners unterstützen Finanzinstitute bei der Umsetzung der FINMA-Cybersecurity-Anforderungen — von Penetrationstests über TIBER-CH bis hin zu detaillierten Red-Team-Assessments. Nutzen Sie die Ressourcen auf Alpine Excellence für einen detaillierten Überblick über die Schweizer Cybersecurity-Landschaft.