Herr Benz, mit dem Nationalen Zentrum für Cybersicherheit (NCSC) wurde Mitte 2020 ein zentrales Kompetenzzentrum für Cybersicherheit geschaffen. Mit dem Swiss Financial Sector Cyber Security Centre (FS-CSC) hat nun auch der Schweizer Finanzsektor ein solches Kompetenzzentrum. Hilft gegen die zunehmende und komplexe Gefahr nur ein gemeinsames, branchenübergreifendes Vorgehen?
Ja, dies ist so. Die Zeiten, in denen jede Bank oder Versicherung für sich selbst schaute, sind vorbei. Nur ein gemeinsames Vorgehen der Finanzinstitute und in enger Abstimmung mit den Behörden verspricht Erfolg. Das Stichwort ist hier Public-Private Partnership.
Als Mission nennen Sie die Förderung der Zusammenarbeit zwischen Finanzinstituten und Behörden in strategischen und operativen Fragen. Wie sieht denn diese Zusammenarbeit genau aus?
Es gibt eine Arbeitsteilung: Der Verein vertritt die Finanzinstitute und ihre Verbände, das NCSC den Bund. Für die Stärkung der Cyberresilienz braucht es wie gesagt eine enge Zusammenarbeit beider.
Wie funktioniert die Zusammenarbeit mit dem FS-CSC genau? Welche Aufgaben übernimmt der FS-CSC, welche das NCSC?
Im Steuerungsgremium – dem strategischen, auch für die Krisenorganisation zuständigen Gremium des Vereins – wirken das NCSC, das Staatsekretariat für Internationale Finanzfragen SIF und die Eidgenössische Finanzmarktaufsicht FINMA mit. Dasselbe gilt für die wichtige Expertengruppe, die das Steuerungsgremium berät. Das NCSC hat eine zentrale Rolle beim Informationsaustausch, zumal dort auch staatliche Informationen einfliessen.
Gibt es schon konkrete Massnahmen, die umgesetzt wurden?
Anfang September 2022 hat der global tätige Dienstleister FS-ISAC (Financial Services Information Sharing and Analysis Center) seinen Betrieb als operative Einheit des Vereins im Mandatsverhältnis aufgenommen. Und seit Mitte September 2022 steht auch der Informationsaustausch unter anderem über Bedrohungslagen für die Mitglieder des Vereins zur Verfügung.
Wie stark ist die Bedrohung wirklich? Können Sie etwas zur Herkunft der Angriffe sagen?
Das ist schwierig vorauszusagen – man weiss es erst im Nachhinein besser. Vereinfacht gesagt gibt es zweierlei Bedrohungen: solche krimineller Art, etwa durch das organisierte Verbrechen, und solche politischer Art, beispielsweise bei Cyberattacken als Mittel der militärischen Kriegführung.
Welches sind die grössten Gefahren oder Baustellen in der Cybersecurity in der Schweizer Finanzbranche?
Das ist eine Frage, die wir schon aus Sicherheitsgründen so nicht beantworten würden. Grundsätzlich lässt sich sagen, dass der Schweizer Finanzplatz viel in seine Cyberresilienz investiert. Für den Verein FS-CSC steht aktuell der Aufbau einer gemeinsamen Krisenorganisation für den Finanzplatz Schweiz im Vordergrund.
Decken Sie neben kriminellen Bedrohungen wie Hackerangriffe oder Betrugsversuche auch andere Risiken ab? Denkbar sind ja wirtschaftliche Risiken wie Engpässe in Lieferketten von Hard- und Software, politische Risiken wie neue Datenschutzrichtlinien und IT-Regulierungen oder das Risiko des Fachkräftemangels in der IT.
Zurzeit konzentriert sich der Verein auf den Umgang mit Cyberrisiken, namentlich mit Blick auf systemische Krisen, weil diese in besonderem Ausmass gemeinsames Handeln aller Stakeholder erfordern.
Hat die Resilienz der Nutzerinnen und Nutzer zugenommen? Man hat das Gefühl, dass sich viele Menschen der Gefahr von Phishing-Angriffen bewusst sind und dass es keine gute Idee ist, das eigene Geburtsdatum als Passwort zu verwenden.
Das ist sicher richtig. Und trotzdem ist diese Aufgabe damit nicht beendet. Aufklärungsarbeit bleibt eine beständige Begleiterin von allen, die im Bereich der Cybersicherheit tätig sind.
Swiss FS-CSC
Das Swiss Financial Sector Cyber Security Centre wurde am 5. April 2022 in Zürich gegründet. Zu den 55 Gründungsmitgliedern aus Banken, Versicherungen und Finanzverbänden zählen die Schweizerische Bankiervereinigung (SBVg), SIX, die Schweizerische Nationalbank (SNB), der Schweizerische Versicherungsverband (SVV) und der Verband der Auslandsbanken in der Schweiz (VAS). Als Affilates wirken die Eidgenössische Finanzmarktaufsicht FINMA, das Nationale Zentrum für Cybersicherheit (NCSC) und das Staatssekretariat für internationale Finanzfragen (SIF) unterstützend mit. Inzwischen zählt der Verein um die 125 Mitglieder aus dem Finanzsektor. Mitglieder sind Banken, Versicherungen, Wertpapierhäuser und Finanzmarktinfrastrukturen mit FINMA-Bewilligung sowie deren Verbände. fscsc.ch