FINMA-Konformität
FINMA Circular 2023/1 requires Swiss banks to manage operational and cyber risk and test their resilience. Learn how ImmuniWeb supports its vulnerability analyses and penetration testing.
FINMA-Konformität
What Is FINMA's operational-risk circular?
Das Rundschreiben 2023/1 präzisiert die Aufsichtspraxis der FINMA in Bezug auf operationelles Risiko, IKT-Governance, Cyber-Risiko, den Umgang mit kritischen Daten, grenzüberschreitende Dienstleistungen und operative Resilienz. Operative Resilienz ist die Fähigkeit, kritische Funktionen nach einer Störung innerhalb einer definierten Toleranz wiederherzustellen.
Im Hinblick auf Cyberrisiken wird von den Instituten erwartet, dass sie Cyberbedrohungen identifizieren, sich davor schützen, diese erkennen, darauf reagieren und sich davon erholen – einschließlich der Durchführung regelmäßiger Schwachstellenanalysen, Penetrationstests und Cyberübungen – und Cyberangriffe gemäß der Wegleitung 05/2020 an die FINMA melden.
See how ImmuniWeb supports FINMA's vulnerability analyses and penetration testing - for the banking applications that matter. Request a demo· or run a free Community Edition test.
Wer muss die FINMA-Vorgaben einhalten?
Das Rundschreiben 2023/1 gilt für:
- Swiss banks and securities firms supervised by FINMA.
- Finanzgruppen und Konglomerate die der Aufsicht der FINMA unterliegen.
- Andere Institute in angemessenem Umfang, je nach Größe, Komplexität und Risikoprofil.
The web, mobile and API applications these institutions run fall within the circular's cyber expectations.
Wichtige FINMA-Anforderungen an die Anwendungssicherheit
Im Rahmen des Cyberrisikomanagements treiben mehrere Erwartungen die Arbeit im Bereich der Anwendungssicherheit voran:
- • Schwachstellenanalysen: Führen Sie regelmäßige Analysen durch, um Schwachstellen in IKT-Systemen und -Anwendungen zu identifizieren.
- • Penetration testing: Regelmäßige Penetration tests durchführen; von größeren Institutionen wird erwartet, dass sie threat-led testing (vergleichbar mit TIBER/TLPT) einsetzen.
- • Schutz & Reaktion: schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit kritischer Daten und IKT und reagieren Sie auf identifizierte Schwachstellen.
FINMA Cyber-Anforderungen im Detail
Vulnerability Analyses and Penetration Testing
FINMA expects institutions to carry out regular vulnerability analyses and penetration tests of their ICT systems and applications, and to remediate the issues found. Supervisory reviews have flagged testing that is too narrow - so coverage of the relevant web, mobile and API applications matters, with threat-led testing for larger institutions.
Cyberrisikoschutz und Vorfallsmeldung
Institutions must protect critical data and ICT and respond to vulnerabilities, and must report cyberattacks to FINMA - a 24-hour early warning and a 72-hour detailed report under Guidance 05/2020. Reducing incident likelihood through regular testing supports both.
Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind
Die Anwendungsschwachstellen, deren Identifizierung die FINMA erwartet, entsprechen weitgehend den OWASP Top 10:
- Zugriffsfehlsteuerung — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
- Kryptografische Ausfälle – schwache oder fehlende Verschlüsselung, die sensible Daten exponiert.
- Injection — SQL, command or other injection via unvalidated input.
- Unsicheres Design – fehlende Sicherheitskontrollen im Design, nicht nur durch Bugs.
- Security Misconfiguration — Standard-, unvollständige oder unsichere Konfiguration.
- Vulnerable & Outdated Components — unpatched libraries and frameworks.
- Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
- Software- und Datenintegritätsfehler —unvertrauenswürdige Updates, unsichere CI/CD-Pipelines.
- Sicherheitsprotokollierungs- und -überwachungsmängel — Angriffe bleiben unentdeckt.
- Server-Side Request Forgery (SSRF) – Der Server wird dazu verleitet, bösartige Anfragen zu stellen.
Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.
How to Support FINMA Circular 2023/1 with ImmuniWeb
- Kartieren Sie IKT-Assets. Inventarisieren Sie internetseitige Banking-Apps und APIs mit ImmuniWeb Discovery.
- Führen Sie Schwachstellenanalysen mit Neuron-Scanning.
- Penetration test web and mobile applications with On-Demand and MobileSuite.
- Support threat-led testing with expert-led manual engagements for larger institutions.
- Beseitigen und neu testen mit umsetzbaren Berichten ohne False Positives.
- Testen Sie kontinuierlich mit Continuous in CI/CD.
How ImmuniWeb Helps You Achieve FINMA Compliance
ImmuniWeb unterstützt die FINMA-Vorgaben für Schwachstellenanalysen und Penetrationstests mit Nachweisen, die für die Aufsichtsprüfung bereitliegen.
| Anforderung | Was erforderlich ist | ImmuniWeb-Produkte |
|---|---|---|
| Penetration testing | Regelmäßige und bedrohungsorientierte Penetrationstests. | On-Demand, MobileSuite |
| Schwachstellenanalysen | Regular vulnerability analyses and remediation. | Neuron, Discovery |
| Sichere Entwicklung | Embed testing across the life cycle. | Continuous |
ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing (including support for threat-led engagements); Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the attack surface - producing evidence for FINMA supervision.
FINMA vs. internationale Rahmenwerke
Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:
| Framework | Aspekt der Anwendungssicherheit | Wie ImmuniWeb abbildet |
|---|---|---|
| FINMA Circular 2023/1 | Schwachstellenanalysen + Penetrationstests | Web-/Mobile-Penetrationstests, Scanning, ASM, bedrohungsgetriebener Support |
| EU-DORA | Resilience testing (financial sector) | Dieselben Tests decken beide ab |
| Swiss FADP | Data security (Article 8) | Dieselben Tests decken beide ab |
| ISO/IEC 27001 | Anhang A technische Kontrollen | Tests als Kontrollnachweis |
Penetrationstests vs. Security Scanning
Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.
Compliance-Checkliste (Anwendungssicherheit)
- Inventory of internet-facing banking apps and APIs
- Regelmäßig durchgeführte Schwachstellenanalysen
- Penetration testing performed (threat-led for larger institutions)
- Critical data and ICT protected; vulnerabilities remediated
- Findings remediated and re-tested; evidence retained
- Bereiter Meldeweg für Cyberangriffe (24 h / 72 h)
- Betriebliche Resilienztests für kritische Funktionen
Why FINMA Compliance Matters
Die FINMA beaufsichtigt Schweizer Finanzinstitute und erwartet ein nachweisbares Cyber-Risikomanagement, einschließlich regelmäßiger Schwachstellenanalysen und Penetrationstests kritischer Systeme, sowie ein strenges Melderegime für Cyberangriffe innerhalb von 24 bzw. 72 Stunden. Bei aufsichtsrechtlichen Prüfungen wurden insbesondere zu eng gefasste Tests beanstandet.
Da Web-, Mobile- und API-Anwendungen die primäre Angriffsfläche für Banken darstellen, sind nachweisbare Tests einer der direktesten Wege, den Cyber-Erwartungen der FINMA zu entsprechen und die operative Resilienz zu unterstützen.