Skip to content
Home

3 März 2026 | 4 min

Cyberrisiken im Fokus der FINMA: Was Finanzinstitute jetzt strategisch tun müssen

Cyberrisiken gehören zu den bedeutendsten operationellen Risiken im Finanzsektor. Die FINMA macht deutlich, dass sich die Bedrohungslage nicht nur konstant auf hohem Niveau bewegt, sondern weiter verschärft. Angriffe werden professioneller, komplexer und gezielter. Gleichzeitig steigt durch Digitalisierung, Cloud-Nutzung und Outsourcing die strukturelle Angriffsfläche vieler Institute.

Cyberrisiko ist damit längst kein reines IT-Thema mehr. Es betrifft Governance, Risikomanagement, interne Kontrollsysteme und strategische Entscheidungsprozesse. Die FINMA erwartet von beaufsichtigten Instituten einen integrierten, risikobasierten und steuerbaren Umgang mit Cyberbedrohungen.

Das wichtigste in Kürze

  • Cyberrisiken zählen zu den zentralen operationellen Risiken im Finanzmarkt.
  • Die Angriffsfläche wächst durch Vernetzung, Cloud-Lösungen und Drittanbieter.
  • Cyberrisiken müssen fest in Governance und Risikomanagement integriert sein.
  • Outsourcing und Third-Party-Abhängigkeiten sind wesentliche Risikotreiber.
  • Institute müssen Cybervorfälle zeitnah melden.
  • Szenariobasierte Übungen und Wiederherstellungstests sind essenziell.
  • Cyberresilienz bedeutet Schutz, Erkennung, Reaktion und Wiederherstellung.

Cyberrisiken als strategisches Thema

Die FINMA stellt klar: Cyberrisiken sind nicht isoliert zu betrachten, sondern als integraler Bestandteil des operationellen Risikomanagements. Technische Sicherheitsmassnahmen allein reichen nicht aus. Entscheidend ist eine ganzheitliche Steuerung entlang folgender Dimensionen:

  • Prävention
  • Detektion
  • Reaktion
  • Wiederherstellung

Diese vier Elemente müssen organisatorisch verankert, dokumentiert und regelmässig getestet werden.

Cyberangriffe erfolgen zunehmend gezielt und oft unter Einbezug externer Dienstleister oder Schwachstellen in ausgelagerten Prozessen. Die zunehmende Vernetzung zwischen Finanzinstituten, IT-Dienstleistern und Plattformanbietern verstärkt systemische Risiken.

Governance: Verantwortung auf oberster Ebene

Ein zentrales Anliegen der FINMA ist die klare Verankerung von Cyberrisiken in der Governance-Struktur. Das bedeutet:

  • Verwaltungsrat und Geschäftsleitung tragen die Verantwortung für die strategische Steuerung von Cyberrisiken.
  • Cyberrisiken müssen Bestandteil der Risikostrategie sein.
  • Reporting an die oberste Führungsebene muss strukturiert und risikoorientiert erfolgen.
  • Risikotoleranzen müssen definiert sein.

Cyber darf nicht als technisches Spezialthema delegiert werden. Es ist ein Führungs- und Aufsichtsthema.

Outsourcing und Drittparteien als Risikofaktor

Ein erheblicher Teil gemeldeter Cybervorfälle steht im Zusammenhang mit externen Dienstleistern. Cloud-Anbieter, IT-Provider, Softwaredienstleister oder ausgelagerte Supportfunktionen erweitern die Risikolandschaft erheblich.

Die FINMA erwartet daher:

  • ein vollständiges Inventar aller kritischen Dienstleister
  • eine klare Klassifikation ausgelagerter Funktionen
  • vertraglich geregelte Sicherheitsanforderungen
  • Überwachungsmechanismen und Kontrollrechte
  • Einbindung von Drittparteien in Notfall- und Krisenübungen

Ohne transparente Steuerung von Outsourcing-Risiken entsteht eine strukturelle Schwachstelle.

Detektion und Reaktionsfähigkeit

Viele Institute verfügen über technische Monitoring-Systeme. Die Herausforderung liegt jedoch häufig in der organisatorischen Koordination.

Wichtige Fragen sind:

  • Wer entscheidet im Ernstfall?
  • Wie schnell werden Eskalationen ausgelöst?
  • Welche Kommunikationswege sind definiert?
  • Wie werden regulatorische Meldepflichten erfüllt?

Die FINMA verlangt klar definierte Prozesse zur Identifikation, Analyse und Bewältigung von Cybervorfällen. Dabei geht es nicht nur um IT-Sicherheit, sondern um institutionelle Krisenfähigkeit.

Wiederherstellung und Resilienz

Ein oft unterschätzter Aspekt ist die Wiederherstellungsfähigkeit. Cyberresilienz bedeutet, auch im Schadensfall handlungsfähig zu bleiben.

Dazu gehören:

  • getestete Backup-Strategien
  • realistische Wiederanlaufpläne
  • regelmässige Notfallübungen
  • simulationsbasierte Tests unter praxisnahen Bedingungen

Papierbasierte Notfallpläne genügen nicht. Entscheidend ist die tatsächliche Funktionsfähigkeit im Krisenfall.

Meldepflichten und Transparenz

Cybervorfälle müssen innerhalb definierter Fristen an die Aufsicht gemeldet werden. Diese Meldepflicht dient nicht nur der regulatorischen Transparenz, sondern auch der übergeordneten Stabilität des Finanzsystems.

Institute benötigen daher klare interne Prozesse, um:

  • Vorfälle korrekt zu klassifizieren
  • Meldepflichten rechtzeitig zu erfüllen
  • Informationen konsistent aufzubereiten

Fehlende Klarheit in der internen Struktur kann hier zu erheblichen Verzögerungen führen.

Fazit

Die FINMA macht deutlich: Cyberrisiken sind ein strategisches Kernthema für Finanzinstitute. Sie betreffen nicht nur IT-Abteilungen, sondern Governance, Risikomanagement, interne Kontrollen und Führungsgremien.

Ein wirksames Cyberrisikomanagement zeichnet sich durch folgende Merkmale aus:

  • klare Verantwortlichkeiten
  • integrierte Governance-Strukturen
  • systematische Drittparteisteuerung
  • leistungsfähige Detektions- und Reaktionsmechanismen
  • getestete Wiederherstellungsprozesse

Cyberresilienz ist kein statischer Zustand, sondern ein kontinuierlicher Entwicklungsprozess. Institute, die Cyberrisiken aktiv steuern und in ihre Gesamtstrategie integrieren, stärken nicht nur ihre regulatorische Konformität, sondern auch ihre langfristige Stabilität.

FAQ

Was versteht die FINMA unter Cyberrisiken?
Cyberrisiken sind operationelle Risiken, die sich aus Cyberangriffen, technischen Schwachstellen, Drittanbieter-Abhängigkeiten und organisatorischen Mängeln ergeben.

Warum ist Cyberrisiko ein Governance-Thema?
Weil es strategische Entscheidungen, Risikotoleranzen, Berichterstattung und Verantwortlichkeiten auf oberster Ebene betrifft.

Welche Rolle spielen Drittanbieter?
Externe Dienstleister erweitern die Angriffsfläche erheblich und müssen daher aktiv in Risikoanalysen, Vertragsgestaltung und Notfallplanung eingebunden werden.

Was bedeutet Cyberresilienz konkret?
Die Fähigkeit, Angriffe zu verhindern, frühzeitig zu erkennen, wirksam zu reagieren und den Geschäftsbetrieb schnell wiederherzustellen.

Wie sollten sich Institute vorbereiten?
Durch integrierte Governance-Strukturen, klare Eskalationsprozesse, regelmässige Übungen, getestete Notfallpläne und eine unternehmensweite Risikokultur.

Share

Related posts

Weihnachtsgeschenke für Geschäftspartner in DACH
11 September 2025 | 4 min

Weihnachtsgeschenke für Geschäftspartner in DACH

 In der Weihnachtszeit nutzen viele Unternehmen die Gelegenheit, Geschäftspartnern für die Zusammenarbeit zu danken. Kleine Aufmerksamkeiten stärken Beziehungen, zeigen Wertschätzung und können ein wichtiger Teil der Firmenkultur sein. Gleichzeitig müssen jedoch steuerliche Vorgaben, Compliance-Regeln und unternehmensinterne Richtlinien beachtet werden – und diese unterscheiden sich je nach Land. Der folgende Artikel bietet einen aktuellen, ausgewogenen Überblick<a href="https://zazoon.com/de/weihnachtsgeschenke-fuer-geschaeftspartner-in-dach/">Continue reading <span class="sr-only">"Weihnachtsgeschenke für Geschäftspartner in DACH"</span></a>
Read more
Die Auswirkungen geopolitischer Risiken auf das Schweizer Finanzwesen
26 März 2025 | 5 min

Die Auswirkungen geopolitischer Risiken auf das Schweizer Finanzwesen

 1. Warum geopolitische Risiken für Schweizer Banken so relevant sind Geopolitische Risiken haben sich in den letzten Jahren zu einer entscheidenden Einflussgröße für den Finanzsektor entwickelt. Ob Konflikte wie Russland–Ukraine, Spannungen in Ostasien oder mögliche Veränderungen der US-Geldpolitik – all diese Faktoren bergen für Schweizer Banken weitreichende Folgen. Traditionell sind Schweizer Finanzinstitute als „sicherer Hafen“<a href="https://zazoon.com/de/die-auswirkungen-geopolitischer-risiken-auf-das-schweizer-finanzwesen/">Continue reading <span class="sr-only">"Die Auswirkungen geopolitischer Risiken auf das Schweizer Finanzwesen"</span></a>
Read more
FINMA-Risikomonitor 2025: Welche Risiken die Schweizer Finanzbranche jetzt im Blick haben muss
25 November 2025 | 4 min

FINMA-Risikomonitor 2025: Welche Risiken die Schweizer Finanzbranche jetzt im Blick haben muss

 Die FINMA hat ihren Risikomonitor 2025 veröffentlicht und damit ein klares Bild der Risikolandschaft im Schweizer Finanzsektor gezeichnet. Banken, Versicherer, Vermögensverwalter und andere Finanzinstitute sehen sich im kommenden Drei-Jahres-Horizont mit einer Vielzahl makroökonomischer, technologischer und regulatorischer Risiken konfrontiert. Der Bericht zeigt deutlich, dass klassische Risiken wie Hypotheken und Kreditexpositionen weiterhin relevant sind, während neue Themen<a href="https://zazoon.com/de/finma-risikomonitor-2025-welche-risiken-die-schweizer-finanzbranche-jetzt-im-blick-haben-muss/">Continue reading <span class="sr-only">"FINMA-Risikomonitor 2025: Welche Risiken die Schweizer Finanzbranche jetzt im Blick haben muss"</span></a>
Read more