Kriminalität
Schlendrian bei Banken: Aufseher kritisieren laxen Umgang mit Cyberrisiken

Die Finanzkontrolle schlägt Alarm: Sie hat bedenkliche Lücken in der Cybersicherheit identifiziert. So halten sich Banken etwa nicht an die Pflicht, Vorfälle zu melden. Diese Nachlässigkeit hat für sie nur selten Konsequenzen.

Reto Wattenhofer
Drucken
Teilen
Cybersicherheit auf dem Finanzmarkt: Die Finanzkontrolle sieht nur langsame Fortschritte. (Symbolbild)

Cybersicherheit auf dem Finanzmarkt: Die Finanzkontrolle sieht nur langsame Fortschritte. (Symbolbild)

Keystone

2017 hatte der Bundesrat seine nationale Strategie zum Schutz kritischer Infrastrukturen für die Jahre 2018 bis 2022 verabschiedet. Eine Zwischenbilanz durch die Eidgenössische Finanzkontrolle (EFK) fällt wenig schmeichelhaft aus: Die Prüfer haben «mehrere bedenkliche Cyberrisiken in kritischen Infrastrukturen» identifiziert. Zu diesem Schluss kommt die EFK in ihrem am Donnerstag veröffentlichten Jahresbericht.

Für die Aufsicht über Banken und die Finanzmärkte ist die Finanzmarkaufsicht (Finma) zuständig. Diese ist laut EFK aber ungenügend. Unter die Lupe genommen haben die Prüfer die Effizienz und Wirksamkeit der Aufsicht der Finma. Ihr Fazit: Die Prävention von Cyberrisiken weise seit mehreren Jahren Lücken auf. Auch gebe es nur langsame Fortschritte.

Mehr Inspektionen vor Ort

Das führt die Finanzkontrolle auf die fehlende Klarheit bei den Verantwortlichkeiten und Kompetenzen zurück. So befinde sich eine einsatzfähige Krisenorganisation immer noch im Aufbau und seit 2018 sei eine einzige sektorenübergreifende Übung durchgeführt worden, um Cyberangriffe zu simulieren.

Probleme gibt es auch in der Praxis. So halten sich die Banken nicht immer an die Pflicht, Cybervorfälle an die Finma zu melden. Etwas erstaunt schreibt die Finanzkontrolle: «Diese Nachlässigkeit hat für die von der Finma überwachten Institute nur selten Konsequenzen.» Dies führt dazu, dass die Aufsichtsbehörden eine lückenhafte Informationsquelle besitzt. Die Finanzaufseher empfehlen deshalb, die Inspektionen vor Ort zu intensivieren.

Cyberrisiken gibt es im Interbank-Zahlungssystem. Experten würden dieses als eines der «potenziellen Hauptziele des Finanzsystems für einen Cyberangriff» sehen. Dieses System untersteht jedoch nicht der Aufsicht der Finma, sondern der Schweizerischen Nationalbank (SNB). Die Finanzkontrolle hätte diesen Bereich gerne in ihre Prüfung einbezogen. Dies habe die SNB aber aus rechtlichen Gründen abgelehnt. Für die Prüfer bleiben die Risiken des Interbank-Zahlungssystems deshalb eine «Blackbox».

Hohes Missbrauchsrisiko bei Kurzarbeitsentschädigung

Unter die Lupe genommen hat die Finanzkontrolle auch die Coronahilfen für die Wirtschaft und Gesellschaft. Bei den Überbrückungskrediten macht sie eine steigende Zahl der Verdachtsfälle aus. So leitete das Staatssekretariat für Wirtschaft (Seco) 4646 Fälle zur Bearbeitung weiter. Deren finanzielles Volumen belief sich gemäss EFK auf 1,2 Milliarden Franken. Das entspricht rund 7,3 Prozent der analysierten Kredite. Am häufigsten komme es vor, dass Unternehmen trotz Bürgschaften eine Dividende ausgeschüttet haben oder es bei der Deklaration des Umsatzes Abweichungen von mehr als 25 Prozent gibt.

Als hoch stuft die Finanzkontrolle das Missbrauchsrisiko bei den Kurzarbeitsentschädigungen ein. Die Arbeitslosenkassen und sie selbst hätten mehrere hundert Meldungen über mögliche Missbräuche erhalten. Aus Sicht der Prüfer liegt der Grund in dem summarischen Bewilligungsverfahren für die Kurzarbeit. Unternehmen waren von der Pflicht befreit, detaillierte Angaben pro Mitarbeiter zu übermitteln. Dadurch besteht gemäss EFK keine Möglichkeit vorgängiger Kontrollen.

Aktuelle Nachrichten