Analyse: FINMA RS 23/01 und die Problematik der Cyber-Bedrohungen
1. Begriffliche Inkonsistenzen und Unschärfen
Das FINMA RS 23/01 verwendet verschiedene Begriffe wie "Bedrohungspotenziale", "Cyber-Risiken" und "Cyber-Attacken" ohne klare Abgrenzung und Definition. Besonders auffällig:
- Die Vermischung von Bedrohungen und Risiken (Rz 61-70)
- Unklare Abgrenzung zwischen IKT-Risiken und Cyber-Risiken
- Berichterstattungsanforderungen zu "Entwicklungen des Threat- und Risikoprofils" ohne klare Definition was ein "Threat" ist
2. Problematische Standardreferenzen
Das Rundschreiben verweist auf "international anerkannte Standards und Practices" (Rz 48, 55), die selbst:
- Keine einheitliche Bedrohungskategorisierung bieten
- Oft Control-fokussiert sind ohne klaren Threat-Bezug
- Unterschiedliche, teils widersprüchliche Definitionen von Cyber-Begriffen verwenden
3. Control-Vorgaben ohne Threat-Mapping
Das RS macht spezifische Control-Vorgaben (z.B. für Cyber-Übungen, Penetrationstests) ohne:
- Diese systematisch aus Bedrohungen abzuleiten
- Ein konsistentes Threat-Control-Mapping zu etablieren
- Die Auswahl der Controls methodisch zu begründen
4. Fehlende Threat Intelligence Integration
Es fehlt ein strukturierter Ansatz zur:
- Integration von Threat Intelligence
- Kategorisierung und Priorisierung von Bedrohungen
- Ableitung von Controls aus konkreten Bedrohungen
Schlussfolgerung
Die TLCTC (Top Level Cyber Threat Clusters) bietet hier den einzigen konsistenten Ansatz durch:
- Klare Taxonomie von Cyber-Bedrohungen
- Logische Ableitung aus generischen Verwundbarkeiten
- Konsistente Basis für Control-Mapping
- Integration von Threat Intelligence
Das FINMA RS würde von einer Integration des TLCTC-Frameworks erheblich profitieren, da es:
- Begriffliche Klarheit schaffen würde
- Eine methodisch saubere Basis für Control-Vorgaben bieten würde
- Threat Intelligence strukturiert integrieren könnte
- Den Instituten eine klare Orientierung für ihr Cyber-Risikomanagement geben würde
No additional updates are scheduled at this time.