IT-Outsourcing erhöht Cyberbedrohung der Finanzinstitute
Outsourcing ist im Finanzsektor etabliert, birgt jedoch Risiken: Laut Finma erfolgt ein Drittel der Cyberangriffe auf Banken und Versicherer über Drittanbieter. Der Risikomonitor 2024 mahnt zu erhöhter Wachsamkeit bei ausgelagerten IT- und Geschäftsprozessen.
Was, wenn eine schwerwiegende Störung bei einem einzelnen IT-Dienstleister zum Risiko für den gesamten Schweizer Finanzmarkt und die Finanzstabilität werden kann? Die Akteure des Schweizer Finanzplatzes, insbesondere Banken und Versicherungen, sind in ihrer Geschäftstätigkeit immer stärker von der Leistungserbringung einzelner Dienstleister abhängig. Banken lagern bereits seit Jahrzehnten gewisse Funktionen, die nicht zum Kerngeschäft gehören und wenig Differenzierung zulassen, teilweise an Dritte aus. Die Finma macht zum Umgang mit Risiken, die aus einer Auslagerung entstehen, Vorgaben und formuliert ihre Aufsichtspraxis in Form eines Rundschreibens ("2018/3 Outsourcing"). Das Rundschreiben, das anfänglich nur für Banken galt, umfasst mittlerweile auch die Auslagerungen von Versicherungsunternehmen und weiteren Finanzinstituten. Dieses sorgt dafür, dass trotz teilweise unterschiedlicher gesetzlicher Grundlagen die Aufsicht der Finma über alle Beaufsichtigten möglichst einheitlich erfolgen kann.
Konzentrationsrisiko bei IT-Outsourcing
Gemäss dem Finma-Risikomonitor 2024 bleibt das Cyber- und Outsourcing-Risiko sehr hoch. Dabei fällt auf, dass sich ein Drittel der Cyberangriffe, die der Finma gemeldet wurden, indirekt über betroffene Drittparteien auf die Finanzinstitute auswirkte. Aufgrund der Tendenz von Auslagerungen durch Finanzinstitute an wenige Dienstleister verschärft sich diese Bedrohungslage infolge einer solch hohen Konzentration und der zunehmenden Komplexität in der Lieferkette weiter.
Aufgrund der Marktverhältnisse mit grossen, teilweise ausländisch dominierten Dienstleistern, insbesondere im Bereich der Public-Cloud-Services, besteht in der Schweiz eine erhebliche Konzentration der Leistungserbringung für kritische Funktionen der Schweizer Finanzmarktteilnehmer. Wie die von der Finma in ihrem Risikomonitor 2024 publizierten Zahlen zeigen, hat sich die Anzahl der Banken und Versicherungen, die eine wesentliche Funktion im Sinne des Finma-Rundschreibens "2018/3 Outsourcing" in eine Public Cloud ausgelagert haben, innert zwölf Monaten verdoppelt. Dadurch hat im Vergleich zu einem direkten Cyberangriff auf eine Bank oder Versicherung derselbe Angriff auf einen Outsourcing-Dienstleister das Potenzial, gleichzeitig einen erheblichen Teil mehrerer Finanzinstitute in ihrer Geschäftstätigkeit einzuschränken und damit im Extremfall die Finanzstabilität zu gefährden.
Outsourcing-Risiken zum zweiten Mal in Folge im Finma-Risikomonitor
Die Finma hat in ihrem Risikomonitor 2024 neun wesentliche Risiken für den Finanzsektor identifiziert. Daraus leitet sie ihre Aufsichtsschwerpunkte ab. Ein besonderes Augenmerk gilt den Auslagerungsrisiken, die im Risikomonitor 2024 der Finma zum zweiten Mal in Folge unter den nicht-finanziellen Hauptrisiken aufgeführt sind. Durch die Inventarisierung der Auslagerungen von Finanzmarktteilnehmern kann das Risiko einer systemischen Konzentration bei Dienstleistern identifiziert werden. In der Folge sind mögliche Massnahmen zur Risikominderung und zur Verhinderung eines Flächenbrands zu diskutieren und umzusetzen. Die Finma stellt in den letzten Jahren eine Zunahme solcher nicht-finanzieller Risiken fest.
Update: Googles KI-Videotool Veo 3 kommt in die Schweiz
Digitale Souveränität sichern – Strategien für die Cloud
Mobile Banking: Hätten Sie’s gerne einfach oder lieber kompliziert?
"Entscheider müssen sich überlegen, welches Cloud-Set-up sinnvoll ist"
Wie sich der CFO vom Zahlenhüter zum Zukunftsgestalter mausert
ETH-Spin-off Tinamu ernennt neuen CTO
Institutionelle Investoren und Krypto – wo stehen wir wirklich?
Wie die Schweiz ihre digitalen Daten besser schützen kann
OpenAI sichert sich massive Cloud-Kapazitäten von Oracle
