Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Gesamtzahl der Tests:
485,773,462
737,046
130,956

FINMA-Konformität

FINMA Circular 2023/1 requires Swiss banks to manage operational and cyber risk and test their resilience. Learn how ImmuniWeb supports its vulnerability analyses and penetration testing.

Lesezeit:8 Min. Aktualisiert:8. Juli 2025
Einhaltung des FINMA-Rundschreibens 2023/1
Bitte füllen Sie die unten rot markierten Felder aus.

Sprechen Sie mit einem Spezialisten über
FINMA-Konformität in der Schweiz

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

FINMA-Konformität

What Is FINMA's operational-risk circular?

Das Rundschreiben 2023/1 präzisiert die Aufsichtspraxis der FINMA in Bezug auf operationelles Risiko, IKT-Governance, Cyber-Risiko, den Umgang mit kritischen Daten, grenzüberschreitende Dienstleistungen und operative Resilienz. Operative Resilienz ist die Fähigkeit, kritische Funktionen nach einer Störung innerhalb einer definierten Toleranz wiederherzustellen.

Im Hinblick auf Cyberrisiken wird von den Instituten erwartet, dass sie Cyberbedrohungen identifizieren, sich davor schützen, diese erkennen, darauf reagieren und sich davon erholen – einschließlich der Durchführung regelmäßiger Schwachstellenanalysen, Penetrationstests und Cyberübungen – und Cyberangriffe gemäß der Wegleitung 05/2020 an die FINMA melden.

See how ImmuniWeb supports FINMA's vulnerability analyses and penetration testing - for the banking applications that matter. Request a demo· or run a free Community Edition test.

Wer muss die FINMA-Vorgaben einhalten?

Das Rundschreiben 2023/1 gilt für:

  • Swiss banks and securities firms supervised by FINMA.
  • Finanzgruppen und Konglomerate die der Aufsicht der FINMA unterliegen.
  • Andere Institute in angemessenem Umfang, je nach Größe, Komplexität und Risikoprofil.

The web, mobile and API applications these institutions run fall within the circular's cyber expectations.

Wichtige FINMA-Anforderungen an die Anwendungssicherheit

Im Rahmen des Cyberrisikomanagements treiben mehrere Erwartungen die Arbeit im Bereich der Anwendungssicherheit voran:

  • • Schwachstellenanalysen: Führen Sie regelmäßige Analysen durch, um Schwachstellen in IKT-Systemen und -Anwendungen zu identifizieren.
  • • Penetration testing: Regelmäßige Penetration tests durchführen; von größeren Institutionen wird erwartet, dass sie threat-led testing (vergleichbar mit TIBER/TLPT) einsetzen.
  • • Schutz & Reaktion: schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit kritischer Daten und IKT und reagieren Sie auf identifizierte Schwachstellen.

FINMA Cyber-Anforderungen im Detail

Vulnerability Analyses and Penetration Testing

FINMA expects institutions to carry out regular vulnerability analyses and penetration tests of their ICT systems and applications, and to remediate the issues found. Supervisory reviews have flagged testing that is too narrow - so coverage of the relevant web, mobile and API applications matters, with threat-led testing for larger institutions.

Cyberrisikoschutz und Vorfallsmeldung

Institutions must protect critical data and ICT and respond to vulnerabilities, and must report cyberattacks to FINMA - a 24-hour early warning and a 72-hour detailed report under Guidance 05/2020. Reducing incident likelihood through regular testing supports both.

Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind

Die Anwendungsschwachstellen, deren Identifizierung die FINMA erwartet, entsprechen weitgehend den OWASP Top 10:

  • Zugriffsfehlsteuerung — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
  • Kryptografische Ausfälle – schwache oder fehlende Verschlüsselung, die sensible Daten exponiert.
  • Injection — SQL, command or other injection via unvalidated input.
  • Unsicheres Design – fehlende Sicherheitskontrollen im Design, nicht nur durch Bugs.
  • Security Misconfiguration — Standard-, unvollständige oder unsichere Konfiguration.
  • Vulnerable & Outdated Components — unpatched libraries and frameworks.
  • Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
  • Software- und Datenintegritätsfehler —unvertrauenswürdige Updates, unsichere CI/CD-Pipelines.
  • Sicherheitsprotokollierungs- und -überwachungsmängel — Angriffe bleiben unentdeckt.
  • Server-Side Request Forgery (SSRF) – Der Server wird dazu verleitet, bösartige Anfragen zu stellen.

Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.

How to Support FINMA Circular 2023/1 with ImmuniWeb

  1. Kartieren Sie IKT-Assets. Inventarisieren Sie internetseitige Banking-Apps und APIs mit ImmuniWeb Discovery.
  2. Führen Sie Schwachstellenanalysen mit Neuron-Scanning.
  3. Penetration test web and mobile applications with On-Demand and MobileSuite.
  4. Support threat-led testing with expert-led manual engagements for larger institutions.
  5. Beseitigen und neu testen mit umsetzbaren Berichten ohne False Positives.
  6. Testen Sie kontinuierlich mit Continuous in CI/CD.

How ImmuniWeb Helps You Achieve FINMA Compliance

ImmuniWeb unterstützt die FINMA-Vorgaben für Schwachstellenanalysen und Penetrationstests mit Nachweisen, die für die Aufsichtsprüfung bereitliegen.

Anforderung Was erforderlich ist ImmuniWeb-Produkte
Penetration testing Regelmäßige und bedrohungsorientierte Penetrationstests. On-Demand, MobileSuite
Schwachstellenanalysen Regular vulnerability analyses and remediation. Neuron, Discovery
Sichere Entwicklung Embed testing across the life cycle. Continuous

ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing (including support for threat-led engagements); Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the attack surface - producing evidence for FINMA supervision.

FINMA vs. internationale Rahmenwerke

Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:

Framework Aspekt der Anwendungssicherheit Wie ImmuniWeb abbildet
FINMA Circular 2023/1 Schwachstellenanalysen + Penetrationstests Web-/Mobile-Penetrationstests, Scanning, ASM, bedrohungsgetriebener Support
EU-DORA Resilience testing (financial sector) Dieselben Tests decken beide ab
Swiss FADP Data security (Article 8) Dieselben Tests decken beide ab
ISO/IEC 27001 Anhang A technische Kontrollen Tests als Kontrollnachweis

Penetrationstests vs. Security Scanning

Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.

Compliance-Checkliste (Anwendungssicherheit)

  • Inventory of internet-facing banking apps and APIs
  • Regelmäßig durchgeführte Schwachstellenanalysen
  • Penetration testing performed (threat-led for larger institutions)
  • Critical data and ICT protected; vulnerabilities remediated
  • Findings remediated and re-tested; evidence retained
  • Bereiter Meldeweg für Cyberangriffe (24 h / 72 h)
  • Betriebliche Resilienztests für kritische Funktionen

Why FINMA Compliance Matters

Die FINMA beaufsichtigt Schweizer Finanzinstitute und erwartet ein nachweisbares Cyber-Risikomanagement, einschließlich regelmäßiger Schwachstellenanalysen und Penetrationstests kritischer Systeme, sowie ein strenges Melderegime für Cyberangriffe innerhalb von 24 bzw. 72 Stunden. Bei aufsichtsrechtlichen Prüfungen wurden insbesondere zu eng gefasste Tests beanstandet.

Da Web-, Mobile- und API-Anwendungen die primäre Angriffsfläche für Banken darstellen, sind nachweisbare Tests einer der direktesten Wege, den Cyber-Erwartungen der FINMA zu entsprechen und die operative Resilienz zu unterstützen.

Häufig gestellte Fragen

  • Q
    What is FINMA Circular 2023/1?
    A
    Das FINMA-Rundschreiben „Operationelle Risiken und Resilienz – Banken“, das seit dem 1. Januar 2024 in Kraft ist, definiert die Anforderungen an Schweizer Finanzinstitute in Bezug auf operationelle Risiken, Cybersicherheit und Resilienz.
  • Q
    Who must comply with FINMA Circular 2023/1?
    A
    Swiss banks and securities firms, with proportionate expectations extending to other institutions based on size, complexity and risk.
  • Q
    What does FINMA expect for cyber testing?
    A
    Regelmäßige Schwachstellenanalysen und Penetrationstests sowie für größere Institute bedrohungsorientierte Tests (vergleichbar mit TIBER/TLPT).
  • Q
    What are FINMA's cyberattack reporting deadlines?
    A
    An early warning within 24 hours and a detailed report within 72 hours, under FINMA Guidance 05/2020.
  • Q
    How does ImmuniWeb help with FINMA compliance?
    A
    Durch die Bereitstellung von Vulnerability Assessments sowie Web- und Mobile Penetration Tests (einschließlich Unterstützung für Threat-led Engagements) mit Evidenz für die aufsichtliche Überprüfung.
  • Q
    Does FINMA apply to non-banks?
    A
    The circular targets banks and securities firms, but many expectations apply proportionately to other supervised institutions.
Bitte füllen Sie die unten rot markierten Felder aus.

Sprechen Sie mit einem Spezialisten über
FINMA-Konformität in der Schweiz

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.
Sprechen Sie mit einem Experten