Mit wachsenden Outsourcing-Modellen und hochentwickelten Cyberangriffen wird der Schutz sensibler Daten zur Überlebensfrage für Finanzinstitute. Verständlicherweise steigen die regulatorischen Anforderungen: Mit dem FINMA-Rundschreiben 2023/01 und der aktuellen Aufsichtsmitteilung 03/2024 konkretisiert die Eidgenössische Finanzmarktaufsicht (FINMA), wie Banken den Schutz kritischer Daten umsetzen müssen. Dabei macht die jüngste FINMA-Aufsichtsmitteilung vor allem auch deutlich: In Sachen Data Loss Prevention (DLP) besteht bei vielen Finanzinstituten noch akuter Handlungsbedarf.
DLP umfasst technische und organisatorische Massnahmen zur Erkennung, Kontrolle und Verhinderung von Datenabflüssen – sei es durch Fehlverhalten, Fahrlässigkeit oder gezielte Angriffe. DLP-Lösungen identifizieren kritische Daten, kontrollieren Datenbewegungen auf Netzwerk-, Endpoint- und Cloud-Ebene und integrieren sich in bestehende Sicherheits- und Audit-Systeme.
Regulatorische Anforderungen er FINMA – und wo es in der Praxis hapert
Die FINMA hat ihre Erwartungen an den Schutz sensibler Daten in den letzten Jahren deutlich konkretisiert. Die Vorgaben sind verbindlich, betreffen alle beaufsichtigten Institute und zeigen in der Praxis immer wieder erhebliche Umsetzungslücken:
- FINMA-RS 05/2020 und 2023/01: Schutz kritischer Daten ist Pflicht
Mit dem Rundschreiben 05/2020 wurde erstmals verbindlich geregelt, dass erfolgreiche oder teilweise erfolgreiche Cyber-Angriffe mit wesentlicher Relevanz innert 24 Stunden gemeldet werden müssen. Ergänzt wird diese Vorgabe durch das Rundschreiben 2023/01, welches Finanzinstitute verpflichtet, kritische Daten zu identifizieren, Risikotoleranzen zu definieren und Schutzmassnahmen inklusive Zugriffskontrollen, Schulungen und Outsourcing-Standards umzusetzen.
- FINMA-Aufsichtsmitteilung 02/2024: DLP-Massnahmen greifen zu kurz
Die aktuellen Erkenntnisse der FINMA zeichnen ein klares Bild:
- Zu enger DLP-Fokus: Die FINMA stellte fest, dass DLP-Massnahmen in vielen Instituten nach wie vor stark eingeschränkt sind – oft werden nur Kundenidentifikationsdaten und Zahlungsdaten (wie Kreditkartennummern) aktiv überwacht und geschützt. Andere kritische Datenkategorien (Geschäftsgeheimnisse, Personendaten, geistiges Eigentum, usw.), die für das Institut ebenso sicherheitsrelevant sind, werden häufig von DLP-Schutzmassnahmen nicht erfasst.
- Fehlende Transparenz bei Dienstleistern: Bei ausgelagerten Funktionen fehlt häufig die Übersicht, ob Dienstleister kritische Daten verarbeiten. Darauf aufbauende funktionierende Kontrollmassnahmen sind in den meisten Fällen ebenso nicht vorhanden.
- Unzureichendes Rechte- und Log-Management: In vielen Fällen ist unklar, wer überhaupt Zugriff auf sensible Daten hat. Kritische Log-Daten werden nicht lückenlos analysiert oder nur während der Bürozeiten.
- Mangelnde Wirksamkeitsprüfung: DLP-Massnahmen werden kaum evaluiert. Zentrale Cyber-Kontrollen sind oft nicht im IKS verankert oder werden nur formal „abgehakt“.
DLP-Versagen in der Praxis: Was passiert, wenn Schutzmassnahmen fehlen?
Worin die beobachteten Versäumnisse münden können, zeigen mehrere reale Fälle von Datendiebstahl bei Finanzinstituten und kritischen Dienstleistern:
- FEB 2023: Ein Whistleblower übergab Informationen zu über 30’000 Konten an ein internationales Journalistennetzwerk. Die gestohlenen Daten enthielten Informationen über Vermögenswerte von umstrittenen Kunden weltweit. Obwohl kein externer Cyberangriff vorlag, wurde deutlich, wie ungenügend die Kontrolle interner Datenbewegungen war.
- AUG 2023: Im Zuge eines Cyberangriffs wurde bei der London Capital Group, einer Tochtergesellschaft der bankrotten Genfer Flowbank, eine Office-Datei mit persönlichen Kundendaten entwendet. Obwohl bislang kein Missbrauch der Daten bekannt wurde, warnte das Unternehmen vor möglichen Phishing-Versuchen.
- SEP 2024: Die Zürcher Vermögensverwaltung Boreal Capital Management wurde Opfer eines Ransomware-Angriffs durch die Hackergruppe „Play“. Dabei wurden 46 Gigabyte an Daten, darunter persönliche und private Informationen von rund 700 aktuellen und ehemaligen Kunden, im Darknet veröffentlicht. Etwa ein Viertel der betroffenen Kunden galten als „Hochrisiko-“ oder „politisch exponierte“ Personen. Der Angriff hatte seinen Ursprung in der Datenbank eines ehemaligen Dienstleisters.
- FEB 2025: Die Ransomware-Gruppe „Everest“ behauptet, 173 Gigabyte an Daten des Genfer Bankensoftwaredienstleisters ITSS Global gestohlen zu haben, darunter vertrauliche Bankinformationen und Verträge. ITSS Global betreut weltweit über 300 Banken und Finanzinstitute, darunter mehr als 20 in der Schweiz. Das Unternehmen bestätigte einen unberechtigten Zugriff auf ein nicht privilegiertes Microsoft-365-Benutzerkonto, durch den bestimmte Daten heruntergeladen wurden.
Best Practices – was Finanzinstitute jetzt tun müssen
- Dateninventur und Klassifikation: Ein wirksames DLP-Programm setzt voraus, dass ein Unternehmen genau weiss, welche Daten als kritisch einzustufen sind. Die Grundlage dafür bildet eine strukturierte Datenklassifikation – idealerweise durch feste Kriterien wie Dateityp, Inhalt oder Geschäftsbereich, unterstützt durch klare Richtlinien und gegebenenfalls automatisierte Klassifizierungsfunktionen innerhalb der eingesetzten Sicherheitslösungen.
- Ganzheitlicher Schutzansatz: Ein effektiver Schutz sensibler Daten erfordert eine Kombination aus verschiedenen DLP-Komponenten. Nur durch die abgestimmte Integration von Netzwerk-, Endpoint- und Cloud-DLP lassen sich Datenbewegungen über alle Kanäle hinweg zuverlässig überwachen und kontrollieren – insbesondere in hybriden IT-Umgebungen, wie sie heute in vielen Finanzinstituten üblich sind.
- Rechte- und Zugriffsmanagement: Ein zentrales und konsistent gepflegtes Berechtigungskonzept bildet die Grundlage für den Schutz kritischer Daten. Rollenbasierte Zugriffskontrollen („Role-Based Access Control“, RBAC) und das Prinzip „Need to know“ sollten verbindlich umgesetzt und regelmässig überprüft werden – idealerweise mit Unterstützung durch ein zentrales Identity- und Access-Management-System.
- Awareness & Schulung: Der Mensch bleibt eine der grössten Schwachstellen im Sicherheitsgefüge. Mitarbeitende müssen regelmässig geschult werden – nicht nur technisch, sondern auch im Hinblick auf typische Risiken wie Social Engineering, Phishing oder das unbeabsichtigte Weiterleiten sensibler Informationen. Ziel ist ein durchgängig hohes Sicherheitsbewusstsein in allen Bereichen.
- Kontinuierliche Kontrolle & Incident Response: DLP-Massnahmen entfalten ihre volle Wirkung nur, wenn sie dauerhaft überwacht und regelmässig auf ihre Wirksamkeit hin überprüft werden. Die Anbindung an ein zentrales SIEM-System ermöglicht die Auswertung sicherheitsrelevanter Ereignisse in Echtzeit und stellt sicher, dass bei Verdachtsmomenten schnell und nachvollziehbar reagiert werden kann – inklusive Eskalation und Dokumentation im Rahmen eines etablierten Incident-Management-Prozesses.
Was bedeutet dies in der Praxis?
Für Finanzinstitute, Zahlungsdienstleister und alle Unternehmen, die SWIFT direkt oder indirekt nutzen, ist es alljährlich wieder an der Zeit, die eigene Compliance-Situation zu überprüfen. Besonders die neuen Themen „Datenflusssicherheit im Back-Office“ und „Kunden-Client-Connectoren“ sollten frühzeitig adressiert werden. Damit verschaffen Sie sich nicht nur Sicherheit für die nächste Attestierung, sondern stärken auch die eigene Cyber-Resilienz nachhaltig. Spätestens Ende 2025 muss die Attestierung abgeschlossen sein. Bis dahin müssen alle Teilnehmer sowohl für SWIFT als auch für SIC nachweisen, dass sie die Anforderungen erfüllen. Die Erfahrung zeigt: Je besser die Vorarbeit und je früher Sie damit beginnen, desto reibungsloser verläuft dieser Prozess.
Wie wir Sie unterstützen können
Als zertifizierter (PCI DSS 4.01, ISO27001:2022) und spezialisierter Anbieter für Informationssicherheit, Managed Security Services und GRC-Beratung unterstützten wir Schweizer Banken und andere FINMA-regulierte Institute bei der Umsetzung wirksamer und regulatorisch konformer DLP-Strategien. Unser Fokus liegt auf praxisnahen, integrierten Lösungen entlang der gesamten Sicherheitsarchitektur – vom Endpoint bis zur Cloud, vom Konzept bis zum Betrieb.
Robustes DLP ist längst kein „Nice-to-have“ mehr – insbesondere für Banken, die unter dem wachsamen Auge der FINMA stehen. Wer heute nicht proaktiv handelt, riskiert nicht nur Sanktionen, sondern das Vertrauen seiner Kundschaft. Wir helfen Ihnen gerne, Ihre Daten wirkungsvoll zu schützen – und damit Ihre digitale Zukunft abzusichern.
Nehmen Sie mit uns Kontakt auf.
Managed SASE
Managed Infrastructure
Analytics as a Service
Information Security as Service
Security Strategie
Security Architektur
Technologieberatung
GRC
Security Awareness
Network Security
Content Security
Application Security
Cloud Security
Infrastructure Security
OT Security
Endpoint Security
Security Analytics
Team
Arbeiten bei ensec
Facts und Figures
