Barnes Projects Logo

Barnes Projects

Analyse: FINMA RS 23/01 und die Problematik der Cyber-Bedrohungen

1. Begriffliche Inkonsistenzen und Unschärfen

Das FINMA RS 23/01 verwendet verschiedene Begriffe wie "Bedrohungspotenziale", "Cyber-Risiken" und "Cyber-Attacken" ohne klare Abgrenzung und Definition. Besonders auffällig:

2. Problematische Standardreferenzen

Das Rundschreiben verweist auf "international anerkannte Standards und Practices" (Rz 48, 55), die selbst:

3. Control-Vorgaben ohne Threat-Mapping

Das RS macht spezifische Control-Vorgaben (z.B. für Cyber-Übungen, Penetrationstests) ohne:

4. Fehlende Threat Intelligence Integration

Es fehlt ein strukturierter Ansatz zur:

Schlussfolgerung

Die TLCTC (Top Level Cyber Threat Clusters) bietet hier den einzigen konsistenten Ansatz durch:

  1. Klare Taxonomie von Cyber-Bedrohungen
  2. Logische Ableitung aus generischen Verwundbarkeiten
  3. Konsistente Basis für Control-Mapping
  4. Integration von Threat Intelligence

Das FINMA RS würde von einer Integration des TLCTC-Frameworks erheblich profitieren, da es:

PROJECT REFERENCE: Cyber Threat Clusters

EXTERNAL REFERENCE:2023/01 FINMA Rundschreiben - Operationelle Risiken und Resilienz - Banken

No additional updates are scheduled at this time.