- Die Finma warnt im Risikomonitor 2024 vor steigenden Outsourcing-Risiken in der Finanzbranche, da immer mehr Versicherungen ihre IT-Infrastruktur an Dritte auslagern.
- Besonders bedenklich ist die hohe Konzentration auf wenige Dienstleister, was die Verwundbarkeit des Finanzsektors gegenüber Cyberangriffen und Systemausfällen erhöht.
- Da bereits ein Drittel der gemeldeten Cyberangriffe indirekt über Drittparteien erfolgt, fordert die Finma gezielte Massnahmen zur Risikominderung.
Marc Friedli ist Senior Specialist Überwachung für operationelle, Cyber- und IT-Risiken bei der Eidgenössischen Finanzmarktaufsicht Finma.
Der technologische Fortschritt, das Aufkommen von Cloud-Diensten, die Komplexität sowie der Fachkräftemangel haben in den letzten Jahren zu einer weiteren Zunahme des Outsourcings von IT-Leistungen geführt. Auch Versicherungsunternehmen, die ihre IT bisher selbst betrieben haben, lagern ihre IT-Infrastruktur, und damit die Basis vieler geschäftskritischer Prozesse, zunehmend an Dritte aus. Die Finma sensibilisiert in ihrem Risikomonitor 2024 für Outsourcing-Risiken. Tatsache ist, dass ein Drittel der an die Finma gemeldeten Cyberangriffe auf Finanzinstitute indirekt über Drittparteien erfolgen.
Was, wenn eine schwerwiegende Störung bei einem einzelnen IT-Dienstleister zum Risiko für den gesamten Schweizer Finanzmarkt und die Finanzstabilität werden kann? Die Akteure des Schweizer Finanzplatzes, insbesondere Banken und Versicherungen, sind in ihrer Geschäftstätigkeit zunehmend stark von der Leistungserbringung einzelner Dienstleister abhängig. Banken lagern bereits seit Jahrzehnten gewisse Funktionen, die nicht zum Kerngeschäft gehören und wenig Differenzierung zulassen, teilweise an Dritte aus. Die Finma macht zum Umgang mit Risiken, die aus einer Auslagerung entstehen, Vorgaben und formuliert ihre Aufsichtspraxis in Form eines Rundschreibens («2018/3 Outsourcing»). Das Rundschreiben, das anfänglich nur für Banken galt, umfasst mittlerweile auch die Auslagerungen von Versicherungsunternehmen und weiteren Finanzinstituten. Dieses sorgt dafür, dass trotz teilweise unterschiedlicher gesetzlicher Grundlagen die Aufsicht der Finma über alle Beaufsichtigten möglichst einheitlich erfolgen kann.
Konzentrationsrisiko bei IT-Outsourcing
Gemäss dem Finma-Risikomonitor 2024 bleibt das Cyber- und Outsourcing-Risiko sehr hoch. Dabei fällt auf, dass ein Drittel der Cyberangriffe, die der Finma gemeldet wurden, sich indirekt über betroffene Drittparteien auf die Finanzinstitute auswirken. Aufgrund der Tendenz von Auslagerungen durch Finanzinstitute an wenige Dienstleister verschärft sich diese Bedrohungslage infolge einer solch hohen Konzentration und der zunehmenden Komplexität in der Lieferkette weiter.
Aufgrund der Marktverhältnisse mit grossen, teilweise ausländisch dominierten Dienstleistern, insbesondere im Bereich der Public-Cloud-Services, besteht in der Schweiz eine erhebliche Konzentration der Leistungserbringung für kritische Funktionen der Schweizer Finanzmarktteilnehmer. Dadurch hat im Vergleich zu einem direkten Cyberangriff auf eine Bank oder Versicherung derselbe Angriff auf einen Outsourcing-Dienstleister das Potenzial, gleichzeitig einen erheblichen Teil mehrerer Finanzinstitute in ihrer Geschäftstätigkeit einzuschränken – und damit im Extremfall die Finanzstabilität zu gefährden.
Outsourcing-Risiken zum zweiten Mal in Folge im Risikomonitor 2024
Die Finma hat in ihrem Risikomonitor 2024 neun wesentliche Risiken für den Finanzsektor identifiziert. Daraus leitet sie ihre Aufsichtsschwerpunkte ab. Ein besonderes Augenmerk gilt den Auslagerungsrisiken, die im Risikomonitor 2024 der Finma zum zweiten Mal in Folge unter den nichtfinanziellen Hauptrisiken aufgeführt sind. Durch die Inventarisierung der Auslagerungen von Finanzmarktteilnehmern kann das Risiko einer systemischen Konzentration bei Dienstleistern identifiziert werden. In der Folge sind mögliche Massnahmen zur Risikominderung und zur Verhinderung eines Flächenbrandes zu diskutieren und umzusetzen. Die Finma stellt in den letzten Jahren eine Zunahme solcher nichtfinanzieller Risiken fest.