Kosten von Cyber-Risiken

Alle Institutionen des Finanzsektors müssen Cyber-Risiken angehen, wollen sie die ständig wachsenden Möglichkeiten der Fintechs, der Cloud und der wachsenden Zahl von Partnerschaften nutzen. Es stellt sich die Frage, wie die Cyber-Risiken wahrgenommen werden und wie die Institutionen damit umgehen.

Diese Fragen haben wir im Fokusthema, das unsere jährliche Umfrage zu den IT-Kosten im Schweizer Bankensektor ergänzt, integriert und einen Überblick über die Trends, die erwartete Entwicklung, die wichtigsten Prioritäten und die relevanten Aufwände zur Bewältigung von Cyber-Risiken zu erhalten.

Im Schnitt über alle teilnehmenden Institute (Privat- und Retail-Banken, Versicherungen und Finanzdienstleister) liegen die Kosten zur Bewältigung von Cyber-Risiken im Schnitt um die 7-8% des IT-Budgets. Dieser Wert liegt nahe an der angegebenen Maximalgrenze von 10%, die als vertretbar erachtet wird. Bei einigen Instituten ist dieser Wert bereits überschritten.

Die Kostenentwicklung über die letzten fünf Jahre wird sehr unterschiedlich beurteilt: Das Wachstum wird mit einem Zuwachs von zwischen 5% bis 20% p.a. angegeben. Die Kostensteigerung ist in Abhängigkeit des Sourcing-Modells sehr unterschiedlich. Offenbar scheinen die eingekauften Services die Steigerung der Kosten stärker getrieben haben als intern erbrachte Leistungen. Bei der künftigen Entwicklung des Kosten zeigt sich eine sehr homogene Einschätzung der Steigerung, die unabhängig vom Sourcing-Modell von rund 5-10% pro Jahr ausgeht.

Investiert wird durch die Institute vor allem zur Optimierung der Detektionsfähigkeit, sei dies durch Investitionen in die eingekauften Services für Security Operations Centres und Security Incident Response, respektive verbesserte Nutzung der Sammlung und Auswertung von Threat Intelligence. Weiter wird das Thema 3rd Party Risk Management und Cyber Risk Governance als top zwei Investitionsprioritäten angegeben.

Alle Institute scheinen sich der Wichtigkeit der Cyber-Risiken für ihr Geschäft sehr bewusst zu sein und geben einen signifikanten Anteil des IT-Budgets zu deren Bewältigung aus. Der Punkt, an welchem die Kosten über ein adäquates Mass hinaus gehen, ist knapp erreicht oder überschritten. Ausgaben für Sensibilisierung und Übungen werden nicht als wesentlich betrachtet. Die Risikobeurteilung erfolgt bei allen teilnehmenden Instituten traditionell nach Eintrittswahrscheinlichkeit und Schadenmass. Die Risiken in den Lieferketten scheinen erkannt zu sein und adressiert zu werden.

Damit stellen sich folgende Fragen: Werden mit der Optimierung der Detektion die Bedrohungen besser erkannt und/oder die Gesamtkosten sinken? Wird neben der Detektion auch ein höherer Grad an Automatisierung der Intervention erfolgen? Ist die traditionelle Risikobeurteilung in der Lage, mit rasch ändernden Bedrohungen Schritt zu halten und die Prioritäten in den Ausgaben und Investitionen zu steuern?

Inwiefern die adäquate Sensibilisierung und stufengerechte Übung des Notfalls systematisch durchgeführt wird, kann aus den vorliegenden Informationen nicht beurteilt werden. Das Durchführen von Übungen könnte einige der obigen Fragen beantworten und die Prioritäten individuell pro Institut bestätigen.

Am IT-Kostenbenchmark der itopia nahmen 2024 insgesamt 43 Schweizer und Liechtensteiner Banken teil. Der detaillierte Bericht ist hier zu finden: Fokusthema: Cyber-Risiken