Cybersecurity Mastercard-Studie Schweiz: Nicht alle Finanzunternehmen schützen sich ausreichend

Cybersecurity Mastercard-Studie Schweiz: Nicht alle Finanzunternehmen schützen sich ausreichend

by August 4, 2023

Im Schweizer Finanzsektor variiert der Grad der Cybersicherheit zwischen Unternehmen erheblich. Das ergab die heute veröffentlichte Analyse von Mastercard, die von einer Outside-in Perspektive automatisiert den Sicherheitsgrad von Domains von Schweizer Finanzdienstleistern mithilfe der Mastercard-Lösung RiskRecon analysierte.

Nie war Cybersicherheit wichtiger und wurde breiter diskutiert als heute. Die Digitalisierung aller Branchen – Privatwirtschaft wie staatliche Verwaltungen – schreitet immer schneller voran und macht sie in diesem Bereich angreifbarer und schutzbedürftiger. Die Finanzbranche ist dabei ein besonders attraktives Ziel. So liegt es in ihrem Interesse, auf bestehende und kommende Cyberbedrohungen vorbereitet zu sein. Gleiches gilt für die Schweiz insgesamt als einen der weltweit wichtigsten Finanzplätze.

Ausprägung von Sicherheitsmerkmalen nach Bereich und Finanzsektor

Ausprägung von Sicherheitsmerkmalen nach Bereich und Finanzsektor

Innerhalb des heute veröffentlichten Whitepapers zur Cybersicherheitslage in der Schweiz zeigt sich jedoch, dass 54 Prozent der untersuchten Unternehmen die höchste Sicherheitsbewertung A (8,5 bis maximal mögliche 10 Punkte) erhielten, 7 Prozent dagegen nur die Bewertung C (5,5 bis 6,9 Punkte) wegen wesentlicher Sicherheitsprobleme. Die Haupterkenntnisse:

10 Fintech Finalists for <<venture>>’s 2024 Startup Competition
  • 20 Prozent der analysierten Unternehmen führten auf mindestens einem System ungepatchte Versionen von Anwendungsservern aus, die als grosse oder sogar kritische Schwachstellen eingestuft wurden. Damit bieten sie Bedrohungsakteur:innen einen leicht zugänglichen Einstiegspunkt.
  • 30 Prozent zeigten grosse oder kritische Probleme, die sich auf Schnittstellen des Content-Management-Systems (CMS) zurückführen liessen. Meist waren sie von jedem Gerät aus zugänglich und erforderten nur einen Benutzernamen und ein Passwort zur Authentifizierung ohne weitere Schutzmassnahmen.
  • 46 Prozent der analysierten Finanzdienstleister wiesen zumindest punktuell grosse oder kritische Schwachstellen im Netzwerkfilterbereich auf. Cyberkriminelle können hier durch Methoden wie das Erraten von Anmeldeinformationen, das Abfangen von Kommunikation und das Ausnutzen von Schwachstellen kompromittieren.

Hauptakteure bei Cyberattaken: Finanzhacker:innen, politisch motivierte Cyberkriminelle und Aktivist:innen

Arten von Bedrohungsakteur-innen

Arten von Bedrohungsakteur-innen

Mastercard wertete zusätzlich mit ihrer Cyberquant-Platform 5935 Meldungen zu Cybervorfällen zwischen dem ersten Quartal 2021 und dem zweiten Quartal 2022 aus. Sie zeigten, dass die Cyberangriffe in der Schweiz vor allem auf drei Gruppen zurückgeführt werden können: Finanzhacker:innen (49 Prozent), politisch (staatlich) motivierte Cyberkriminelle (32 Prozent) und Aktivist:innen (12 Prozent). Sie setzen dabei, entsprechend ihrer Motive und Ziele, unterschiedlichste Methoden ein, die in der Studie ausgeführt werden. Am häufigsten waren Ransom- und Malware-Angriffe.

Daniela Massaro mastercard

Daniela Massaro

«Die Entwicklung noch stärker hin zum Digitalen hat enorme Vorteile, schafft aber auch eine noch attraktivere Umgebung für Cyberkriminelle»,

sagt Dr. Daniela Massaro, Country Manager Switzerland bei Mastercard.

«Wir bei Mastercard stellen unser Netzwerk entsprechend zukunftssicher auf. Dazu gehört, Cybersicherheit ganzheitlich anzugehen, KI und all unsere Erfahrung dafür zu nutzen. Damit gewährleisten wir den Schutz unserer Kund:innen und das Vertrauen aller Beteiligten im Geschäfts- und Zahlungsprozess.»

Cybersicherheit organisatorisch auf höchster Ebene ansiedeln

Aus der Studie leitet Mastercard mehrere Empfehlungen ab: Unternehmen und Behörden sollten den Bereich Cybersicherheit wegen seiner besonderen Bedeutung organisatorisch auf höchster Ebene ansiedeln und separat budgetieren (bisher durchschnittlich weniger als zehn Prozent des IT-Budgets). Die häufigsten Risiken und Angriffsmethoden sollten gezielt und aktuell in internen Trainings vermittelt und damit verbundene Geschäftsrisiken und Erfolgschancen durchgehend berücksichtigt werden.