Analyse: FINMA RS 23/01 und die Problematik der Cyber-Bedrohungen

"Das FINMA RS 23/01 verwendet verschiedene Begriffe wie 'Bedrohungspotenziale', 'Cyber-Risiken' und 'Cyber-Attacken' ohne klare Abgrenzung und Definition."

1. Begriffliche Inkonsistenzen und Unschärfen

Eine detaillierte Betrachtung des Textes offenbart signifikante Schwächen in der Taxonomie. Besonders auffällig ist:

2. Problematische Standardreferenzen

Das Rundschreiben verweist auf "international anerkannte Standards und Practices" (Rz 48, 55). Diese Verweise sind jedoch aus technischer Sicht problematisch, da die Standards selbst oft:

• Keine einheitliche Bedrohungskategorisierung bieten
• Oft Control-fokussiert sind ohne klaren Threat-Bezug
• Unterschiedliche, teils widersprüchliche Definitionen von Cyber-Begriffen verwenden

3. Control-Vorgaben ohne Threat-Mapping

Das RS macht spezifische Control-Vorgaben (z.B. für Cyber-Übungen, Penetrationstests). Ohne eine solide Basis fehlt jedoch die methodische Herleitung:

• Keine systematische Ableitung dieser Vorgaben aus Bedrohungen
• Kein konsistentes Threat-Control-Mapping etabliert
• Die Auswahl der Controls wird methodisch nicht hinreichend begründet

4. Fehlende Threat Intelligence Integration

Es fehlt ein strukturierter Ansatz im Rundschreiben für essenzielle Sicherheitsoperationen:

• Integration von Threat Intelligence
• Kategorisierung und Priorisierung von Bedrohungen
• Ableitung von Controls aus konkreten Bedrohungen

Schlussfolgerung

Die TLCTC (Top Level Cyber Threat Clusters) bieten hier den einzigen konsistenten Ansatz durch eine klare Taxonomie von Cyber-Bedrohungen. Sie ermöglichen die logische Ableitung aus generischen Verwundbarkeiten, schaffen eine konsistente Basis für Control-Mapping und erlauben die nahtlose Integration von Cyber Risikomanagement und Cyber Threat Intelligence.

Das FINMA RS würde von einer Integration des TLCTC-Frameworks erheblich profitieren, da es: