KOMMENTAR - Cyberattacken gegen Banken: Die Finanzmarktaufsicht muss nicht alles wissen
Neue Zürcher Zeitung
23.02.2021
© Bereitgestellt von Neue Zürcher Zeitung
Ist es wirklich sinnvoll, dass die Finanzmarktaufsicht über jeden Cyberangriff informiert ist? Alexander Zemlianichenko Jr. / Bloomberg
Die Schweizer Finanzmarktaufsicht (Finma) ist Kritik gewohnt. Dass ihr die Bankenbranche allzu grossen Regulierungseifer vorwirft, ist schon fast ein Ritual. Ob der Vorwurf berechtigt ist, sei dahingestellt. Klar scheint hingegen, dass die Finma grosse Freiheiten bei ihrer Regulierungstätigkeit geniesst. Die Frage ist somit legitim: Wer kontrolliert eigentlich die Kontrolleure?
Die Antwort lautet: die Eidgenössische Finanzkontrolle (EFK). Sie ist in einer Prüfung der Frage nachgegangen, ob die Aufsicht der Banken im Bereich Cybersicherheit funktioniert. Ihr Fazit: Banken hätten Cybervorfälle nicht bei der Finma gemeldet, obwohl sie dazu verpflichtet gewesen wären. Der Verstoss gegen die Meldepflicht habe keine Konsequenzen gehabt, wird im Prüfbericht bemängelt. Die EFK rügt die Finma also dafür, weggeschaut und nicht durchgegriffen zu haben.
Was sind «wesentliche» Angriffe?
Im Mai, noch während die EFK-Prüfung lief, erinnerte die Finma die Banken an die Pflicht, «wesentliche» Cyberangriffe zu melden. Bei dieser Gelegenheit stellte die Behörde zudem klar, was sie unter dem Gummibegriff «wesentlich» versteht. Denn nur Angriffe, die in diese Kategorie fallen, müssen gemeldet werden – nicht jedes Phishing-Mail.
Laut einem Finma-Sprecher sind seither rund fünfzig Meldungen eingegangen. Ist das Problem also gelöst? Nein, findet die EFK anscheinend. Die Finma habe keinen direkten Zugriff auf die Melde- und Analysestelle Informationssicherheit (Melani) des Bundes, schreibt sie in ihrem Bericht.
Geheimniskrämerei als Anreiz für Meldungen
Dazu muss man wissen: Die Banken gehören zum sogenannten «geschlossenen Kundenkreis» von Melani. In diesem Gefäss tauschen sich die Finanzinstitute zu Cyberangriffen aus. Da die Informationen vertraulich oder gar anonym behandelt werden, ist die Hemmschwelle tief. Betroffene können bedenkenlos auch peinliche Vorfälle melden.
Läse die Finma als Aufsichtsbehörde bei Melani mit, änderte sich dies möglicherweise – auf Kosten der Cybersicherheit in der Finanzbranche. Es gibt somit gute Gründe dafür, dass die Finma nicht alles weiss. Als die Finma-Kritiker nach einer Kontrolle der Kontrolleure riefen, meinten sie kaum die EFK.
Neue Zürcher Zeitung
![image beacon](https://web.vortex.data.msn.com/collect/v1/t.gif?name=%27Ms.Webi.PageView%27&ver=%272.1%27&appId=%27JS%3AMSN%27&ext-app-env=%27prod%27&ext-javascript-libver=%274.0.0-beta-10%27&ext-user-localId=%27t%3A03E5495545B76CF0304046A744E56DFB%27&*baseType=%27Ms.Content.PageView%27&*isJs=False&*title=%27%27&*isLoggedIn=False&*isManual=True&*serverImpressionGuid=%279b706c93-75bc-4725-9aa6-eb264764ccae%27&-ver=%271.0%27&-impressionGuid=%279b706c93-75bc-4725-9aa6-eb264764ccae%27&-pageName=%27article%27&-uri=%27http%253A%252F%252Fwww.msn.com%252Fde-ch%252Fnachrichten%252Fother%252Fkommentar-cyberattacken-gegen-banken-die-finanzmarktaufsicht-muss-nicht-alles-wissen%252Far-BB1dVmpa%253Fli%253DAAcHvig%27&-referrerUri=%27%27&-pageTags=%27{"pg.t"%3A"article"%2C"pg.p"%3A"prime"%2C"pg.c"%3A""%2C"ex"%3A""%2C"rid"%3A"9b706c9375bc47259aa6eb264764ccae"%2C"clid"%3A"03E5495545B76CF0304046A744E56DFB"%2C"clidType"%3A"muid"%2C"di"%3A"1941"%2C"partner"%3A"Neue%2BZ%25c3%25bcrcher%2BZeitung"%2C"publcat"%3A"Neue%2BZ%25c3%25bcrcher%2BZeitung%2BAG"%2C"cvs"%3A"Browser"%2C"subcvs"%3A"news"%2C"entityId"%3A"BB1dVmpa"%2C"entitySrc"%3A"ar"%2C"provid"%3A"AA2hbxs"%2C"dpt"%3A"newsother"%2C"sdpt"%3A""%2C"ar"%3A"0"%2C"dgk"%3A"downlevel.pc"%2C"imd"%3A"0"%2C"parentId"%3A"AAcHvig"%2C"pgIdx"%3A""%2C"pgTot"%3A""%2C"anoncknm"%3A""%2C"afd"%3A""%2C"issso"%3A"0"%2C"aadState"%3A"0"}%27&-behavior=0&-market=%27de-ch%27){kind=small}