Zum Inhalt springen

Cyber Risk

12 control objectives for cyber security

A practice-oriented framework of 12 control objectives that supports financial institutions in systematically identifying, protecting, detecting, responding to and recovering from cyber risks. Fully aligned with DORA, ISO/IEC 27001:2022 and MaRisk.

Management-Zusammenfassung

  • 12 control objectives cover the complete cyber security chain — from governance through protection, detection, response to recovery.
  • Each control is linked to DORA articles, ISO/IEC 27001:2022 anchors and MaRisk AT/BT references for integrated compliance.
  • Five maturity levels per control enable precise positioning and targeted further development.
  • Concrete implementation steps and evidence examples facilitate practical implementation and audit preparation.
  • The control objectives are stored as a static data catalog and serve as the basis for institution-specific cyber risk management.

12

Control Objectives

5

Domains

7

At Managed Level

5

Needs Improvement

Identifikation & Schutz (5) Erkennung & Reaktion (3) Wiederherstellung (1) Drittparteien & Lieferkette (1) Governance & Kultur (2)
CYB-001 defined reviewed
Identifikation & Schutz

Identifikation und Bewertung von Cyber-Risiken

Cyber-Risiken werden systematisch identifiziert, bewertet und im institutsweiten Risikomanagement verankert.

Sollzustand
Ein regelmäßiger Risikobewertungsprozess identifiziert Bedrohungen, Verwundbarkeiten und Auswirkungen auf kritische Geschaeftsprozesse.

Umsetzungsschritte

  • Cyber-Risikoinventar mit Bezug zu Geschaeftsprozessen und IKT-Werten erstellen.
  • Bedrohungs- und Verwundbarkeitsanalyse mindestens jährlich durchführen.
  • Risikobewertung nach einem definierten Schema (z.B. Ausmass x Eintrittswahrscheinlichkeit) dokumentieren.

Nachweise

  • Risikoinventar mit aktueller Bewertung
  • Jährlicher Risikobericht an das Leitungsorgan
ISO: A.5.1 A.5.7 A.5.8
DORA: DORA Art. 5–8 (IKT-Risikomanagement) MaRisk: MaRisk AT 7.2, BT 3.1
CYB-002 managed reviewed
Identifikation & Schutz

Schutz kritischer Informationswerte

Vertraulichkeit, Integrität und Verfügbarkeit kritischer Informationen sind durch angemessene Schutzmaßnahmen gewaehrleistet.

Sollzustand
Informationswerte sind klassifiziert, mit Eigentumern versehen und durch risikoadaequate Schutzmaßnahmen gesichert.

Umsetzungsschritte

  • Informationsklassifizierungsrichtlinie nach Vertraulichkeit und Kritikalität einführen.
  • Schutzbedarfsfeststellung für alle kritischen IKT-Anwendungen durchführen.
  • Zugriffsrechte und Verschlüsselung nach Klassifizierungsstufe umsetzen.

Nachweise

  • Klassifizierungsmatrix für Informationswerte
  • Schutzbedarfsfeststellung für IKT-Anwendungen
ISO: A.5.9 A.5.10 A.8.1
DORA: DORA Art. 5–8 (IKT-Risikomanagement) MaRisk: MaRisk AT 7.2, BT 2.1
CYB-003 managed reviewed
Identifikation & Schutz

Netzwerksicherheitsarchitektur

Die Netzwerkinfrastruktur ist gegen unbefugte Zugriffe und laterale Bewegung segmentiert und geschützt.

Sollzustand
Eine mehrschichtige Netzwerksicherheitsarchitektur mit segmentierten Zonen, Firewalls und Intrusion-Detection ist implementiert.

Umsetzungsschritte

  • Netzwerksegmentierung nach Sicherheitszonen (untrusted, DMZ, intern, hochsensibel) umsetzen.
  • Firewall-Regelwerk mit Aenderungsprozess und regelmäßigem Review betreiben.
  • Netzwerkverkehrsanalyse und Anomalieerkennung für kritische Segmente einführen.

Nachweise

  • Netzwerkarchitekturdiagramm mit Sicherheitszonen
  • Firewall-Regelwerksdokumentation und Aenderungsnachweise
ISO: A.8.20 A.8.21 A.8.22
DORA: DORA Art. 5–8 (Schutzmaßnahmen) MaRisk: MaRisk AT 7.2, BT 2.2
CYB-004 defined reviewed
Identifikation & Schutz

Endgeraetesicherheit und Mobile Device Management

Alle Endgeraete sind gegen Schadsoftware, Diebstahl und unbefugte Nutzung geschützt.

Sollzustand
Einheitliche Sicherheitskonfiguration, Verschlussselung und Fernloeschfunktion für alle dienstlichen Endgeraete sind etabliert.

Umsetzungsschritte

  • Mobile-Device-Management-Loesung für zentrale Konfiguration und Überwachung einführen.
  • Festplattenverschlüsselung und Bildschirmsperre für alle Endgeraete vorschreiben.
  • Regelmaessige Inventarisierung und Compliance-Prüfung der Endgeraete durchführen.

Nachweise

  • MDM-Konfigurationsrichtlinie und Durchsetzungsnachweis
  • Inventarliste mit Compliance-Status aller Endgeraete
ISO: A.7.1 A.7.6 A.8.1
DORA: DORA Art. 5–8 (Zugangssicherheit) MaRisk: MaRisk BT 2.2
CYB-005 managed reviewed
Identifikation & Schutz

Zugriffssteuerung und Identity Management

Nur berechtigte Nutzer erhalten Zugriff auf Systeme und Daten, nach dem Prinzip der minimalen Rechtevergabe.

Sollzustand
Ein zentrales Identity- und Access-Management mit rollenbasierten Berechtigungen und regelmäßigen Berechtigungsreviews ist etabliert.

Umsetzungsschritte

  • IAM-System mit Lifecycle-Management für Identitaeten einführen.
  • Rollenbasierte Zugriffssteuerung (RBAC) für alle IKT-Systeme umsetzen.
  • Berechtigungsreviews mindestens vierteljährlich durchführen und dokumentieren.

Nachweise

  • IAM-Richtlinie mit Berechtigungsmatrix
  • Durchgefuehrte Berechtigungsreviews der letzten vier Quartale
ISO: A.5.15 A.5.16 A.5.18
DORA: DORA Art. 5–8 (Zugangskontrolle) MaRisk: MaRisk AT 7.2, BT 2.1
CYB-006 managed reviewed
Erkennung & Reaktion

Schwachstellenmanagement und Patch-Management

Sicherheitslücken in IKT-Systemen werden systematisch erkannt, bewertet und zeitnah geschlossen.

Sollzustand
Ein automatisierter Patch-Prozess mit Risikoklassifizierung und definierten Umsetzungsfristen ist implementiert.

Umsetzungsschritte

  • Schwachstellenscanner für alle relevanten Systeme einschließlich Betriebssysteme und Anwendungen betreiben.
  • Patch-Richtlinie mit kritischen, hohen, mittleren und niedrigen Prioritäten und zugehörigen Fristen definieren.
  • Notfall-Patch-Prozess für kritische Schwachstellen (zero-day) etablieren.

Nachweise

  • Schwachstellen-Scanberichte mit Trendanalyse
  • Patch-Statusbericht mit Einhaltung der Umsetzungsfristen
ISO: A.8.8 A.8.34
DORA: DORA Art. 5–8 (Schwachstellenmanagement) MaRisk: MaRisk BT 2.2
CYB-007 initial reviewed
Erkennung & Reaktion

Erkennung von Cyber-Vorfällen (SIEM/SOC)

Cyber-Vorfälle werden frühzeitig durch zentralisierte Überwachung und Analyse erkannt.

Sollzustand
Ein Security-Information-and-Event-Management (SIEM) mit dediziertem Security-Operations-Center (SOC) ist betriebsbereit.

Umsetzungsschritte

  • SIEM-Plattform mit zentraler Log-Aggregation und Korrelationsregeln einführen.
  • Use-Case-Katalog für Erkennungsregeln definieren und regelmäßig aktualisieren.
  • SOC-Betriebsmodell mit Eskalationsstufen und Reaktionszeiten festlegen.

Nachweise

  • SIEM-Architektur und Regelkatalog
  • SOC-Betriebsdokumentation mit gemeldeten Vorfällen
ISO: A.8.15 A.8.16
DORA: DORA Art. 10–11 (Erkennung) MaRisk: MaRisk AT 7.2, BT 3.2
CYB-008 managed reviewed
Erkennung & Reaktion

Reaktion auf Cyber-Vorfälle (Incident Response)

Cyber-Vorfälle werden nach einem strukturierten Prozess analysiert, eingedaemmt, beseitigt und dokumentiert.

Sollzustand
Ein Incident-Response-Plan mit definierten Rollen, Kommunikationswegen und Wiederherstellungsverfahren ist erprobt.

Umsetzungsschritte

  • Incident-Response-Plan mit Phasen (Vorbereitung, Identifikation, Eindämmung, Beseitigung, Wiederherstellung, Nachbereitung) erstellen.
  • IR-Team mit benannten Rollen und Stellvertretern einsetzen.
  • Regelmaessige Tabletop-Übungen und Simulationen durchführen.

Nachweise

  • Incident-Response-Plan in aktueller Version
  • Durchgefuehrte Übungen mit Erkenntnissen und Verbesserungsmaßnahmen
ISO: A.5.24 A.5.25 A.5.26
DORA: DORA Art. 10–12 (Vorfallmanagement) MaRisk: MaRisk BT 3.2
CYB-009 defined reviewed
Wiederherstellung

Wiederherstellung und Business Continuity

Nach einem Cyber-Vorfall werden kritische Geschaeftsprozesse innerhalb definierter Zeitziele wiederhergestellt.

Sollzustand
Business-Continuity-Management (BCM) und Disaster-Recovery-Planung sind auf Cyber-Risiken ausgelegt und regelmäßig getestet.

Umsetzungsschritte

  • BCM-Richtlinie mit RTO/RPO für kritische Geschaeftsprozesse definieren.
  • Disaster-Recovery-Pläne für IKT-Systeme inklusive Cyber-Szenarien (Ransomware, Datenverlust) erstellen.
  • Wiederherstellungsübungen mindestens jährlich durchführen und Ergebnisse dokumentieren.

Nachweise

  • BCM-Richtlinie mit RTO/RPO-Tabelle
  • DR-Uebungsberichte mit gemessenen Wiederherstellungszeiten
ISO: A.5.29 A.5.30
DORA: DORA Art. 11 (Wiederherstellung) MaRisk: MaRisk AT 7.3, BT 3.3
CYB-010 managed reviewed
Drittparteien & Lieferkette

Lieferketten-Cyber-Sicherheit

Cyber-Risiken durch Drittanbieter und Dienstleister werden identifiziert, bewertet und gesteuert.

Sollzustand
Ein Lieferketten-Risikomanagement bewertet die Cyber-Sicherheit kritischer Lieferanten und Dienstleister vor Vertragsabschluss und fortlaufend.

Umsetzungsschritte

  • Lieferantenklassifizierung nach Kritikalität für Cyber-Sicherheit durchführen.
  • Sicherheitsanforderungen in Verträgen und SLAs verankern (z.B. Meldepflichten, Audits).
  • Regelmaessige Überprüfung der Lieferanten-Sicherheitslage mittels Frageboegen oder Audits.

Nachweise

  • Lieferantenklassifizierungsmatrix mit Cyber-Risikobewertung
  • Vertragsklauseln zu Sicherheitsanforderungen und Audits
ISO: A.5.19 A.5.20 A.5.21
DORA: DORA Art. 25–29 (IKT-Drittparteienrisiko) MaRisk: MaRisk AT 9, BT 4
CYB-011 defined reviewed
Governance & Kultur

Sicherheitsbewusstsein und Schulung

Mitarbeiter sind für Cyber-Risiken sensibilisiert und verhalten sich sicherheitsbewusst.

Sollzustand
Ein rollenbasiertes Schulungsprogramm vermittelt Cyber-Sicherheitskompetenz und wird regelmäßig auf Wirksamkeit geprüft.

Umsetzungsschritte

  • Sicherheitsschulungsprogramm für alle Mitarbeiter mindestens jährlich durchführen.
  • Risikogruppen (Fuehrungskraefte, IT-Administratoren, Entwickler) mit spezifischen Modulen adressieren.
  • Wirksamkeitsmessung mittels Phishing-Simulationen und Wissenschecks etablieren.

Nachweise

  • Schulungsplan und Teilnahmebescheinigungen
  • Phishing-Simulationsergebnisse mit Trendentwicklung
ISO: A.5.6 A.6.3
DORA: DORA Art. 5 (Personal) MaRisk: MaRisk AT 7.2
CYB-012 managed reviewed
Governance & Kultur

Governance und Reporting von Cyber-Risiken

Die Fuehrungsebene steuert Cyber-Risiken strategisch und erhält entscheidungsrelevante Informationen.

Sollzustand
Ein Cyber-Governance-Rahmen mit festgelegten Verantwortlichkeiten, Berichtslinien und Eskalationsprozessen ist implementiert.

Umsetzungsschritte

  • Cyber-Sicherheitsbeirat oder -Lenkungskreis mit Geschaeftsfuehrungsbeteiligung einrichten.
  • Regelmaessiges Cyber-Reporting mit Kennzahlen (Bedrohungslage, Incidents, Maßnahmenstatus) für das Leitungsorgan etablieren.
  • Cyber-Risikobericht mindestens vierteljährlich mit Priorisierung und Handlungsempfehlungen vorlegen.

Nachweise

  • Sitzungsprotokolle des Cyber-Lenkungskreises
  • Cyber-Reporting-Dashboard mit aktuellen Kennzahlen
ISO: A.5.1 A.5.2 A.5.4
DORA: DORA Art. 4 (Governance) MaRisk: MaRisk AT 4.3.1, AT 7.2
ICT Risk Management

Anchoring cyber risks in ICT risk management

The 12 cyber control objectives are used in ICT risk management according to DORA Chapter II as an operational implementation level. Risk identification, protection needs, controls and monitoring form the bridge between cyber risk management and regulatory requirements.

Governance & Strategy

Cyber risk appetite and strategy are part of the ICT risk management framework.

Risk Analysis & Treatment

Cyber risks are recorded, assessed and treated in the ICT risk inventory.

Controls & Monitoring

Cyber controls are part of the ICT control system and are tested for effectiveness.

Reporting & Escalation

Cyber risks are addressed in management reporting and governing body reports.

Third-Party Cyber Risk

Cyber risks from ICT third-party service providers

ICT third-party service providers expand an institution's cyber attack surface. Contractual security requirements, access controls, monitoring and incident communication must also apply to critical service providers.

External Attack Surfaces

Network access, API interfaces and remote access for maintenance purposes expand the attack surface.

Service Provider Access

Access rights for service providers must be granted on a least-privilege basis and regularly reviewed.

Monitoring & Detection

Service provider access must be monitored and checked for anomalies.

Incident Communication

Communication channels for security incidents with service providers must be defined and tested.

NEU

GenAI Risk Analysis

Erweiterung der Cyber Risk Analyse um generative KI-Angriffsvektoren: Deepfakes, Prompt Injection, Model Poisoning, Synthetic Media und mehr — mit MITRE ATLAS Mapping, CVSS-Bewertung und DORA-Artikel-Zuordnung.

Note: These contents are implementation aids and curated guidance. They do not replace legal advice or binding supervisory interpretation.