Cyber Risk

12 Kontrollziele für die Cyber-Sicherheit

Ein praxisorientierter Rahmen aus 12 Kontrollzielen, der Finanzinstitute dabei unterstützt, Cyber-Risiken systematisch zu identifizieren, zu schützen, zu erkennen, darauf zu reagieren und sich davon zu erholen. Vollständig auf DORA, ISO/IEC 27001:2022 und MaRisk abgestimmt.

Management-Zusammenfassung

12 Kontrollziele decken die vollständige Cyber-Sicherheitskette ab — von Governance über Schutz, Erkennung, Reaktion bis zur Wiederherstellung.
Jeder Control ist mit DORA-Artikeln, ISO/IEC 27001:2022-Ankern und MaRisk-AT/BT-Referenzen verknüpft für integrierte Compliance.
Fünf Reifegrad-Stufen je Control ermöglichen eine präzise Standortbestimmung und zielgerichtete Weiterentwicklung.
Konkrete Umsetzungsschritte und Nachweisbeispiele erleichtern die praktische Implementierung und Prüfungsvorbereitung.
Die Kontrollziele sind als statischer Datenkatalog hinterlegt und dienen als Grundlage für das institutsspezifische Cyber-Risikomanagement.

Kontrollziele

Handlungsfelder

Auf definiertem Niveau

Ausbaubedarf

Identifikation & Schutz (5) Erkennung & Reaktion (3) Wiederherstellung (1) Drittparteien & Lieferkette (1) Governance & Kultur (2)

CYB-001 defined reviewed

Identifikation & Schutz

Identifikation und Bewertung von Cyber-Risiken

Cyber-Risiken werden systematisch identifiziert, bewertet und im institutsweiten Risikomanagement verankert.

Sollzustand: Ein regelmaessiger Risikobewertungsprozess identifiziert Bedrohungen, Verwundbarkeiten und Auswirkungen auf kritische Geschaeftsprozesse.

Umsetzungsschritte

Cyber-Risikoinventar mit Bezug zu Geschaeftsprozessen und IKT-Werten erstellen.
Bedrohungs- und Verwundbarkeitsanalyse mindestens jaehrlich durchfuehren.
Risikobewertung nach einem definierten Schema (z.B. Ausmass x Eintrittswahrscheinlichkeit) dokumentieren.

Nachweise

Risikoinventar mit aktueller Bewertung
Jaehrlicher Risikobericht an das Leitungsorgan

ISO: A.5.1 A.5.7 A.5.8

DORA: DORA Art. 5–8 (IKT-Risikomanagement) MaRisk: MaRisk AT 7.2, BT 3.1

CYB-002 managed reviewed

Identifikation & Schutz

Schutz kritischer Informationswerte

Vertraulichkeit, Integritaet und Verfuegbarkeit kritischer Informationen sind durch angemessene Schutzmassnahmen gewaehrleistet.

Sollzustand: Informationswerte sind klassifiziert, mit Eigentumern versehen und durch risikoadaequate Schutzmassnahmen gesichert.

Umsetzungsschritte

Informationsklassifizierungsrichtlinie nach Vertraulichkeit und Kritikalitaet einfuehren.
Schutzbedarfsfeststellung fuer alle kritischen IKT-Anwendungen durchfuehren.
Zugriffsrechte und Verschluesselung nach Klassifizierungsstufe umsetzen.

Nachweise

Klassifizierungsmatrix fuer Informationswerte
Schutzbedarfsfeststellung fuer IKT-Anwendungen

ISO: A.5.9 A.5.10 A.8.1

DORA: DORA Art. 5–8 (IKT-Risikomanagement) MaRisk: MaRisk AT 7.2, BT 2.1

CYB-003 managed reviewed

Identifikation & Schutz

Netzwerksicherheitsarchitektur

Die Netzwerkinfrastruktur ist gegen unbefugte Zugriffe und laterale Bewegung segmentiert und geschuetzt.

Sollzustand: Eine mehrschichtige Netzwerksicherheitsarchitektur mit segmentierten Zonen, Firewalls und Intrusion-Detection ist implementiert.

Umsetzungsschritte

Netzwerksegmentierung nach Sicherheitszonen (untrusted, DMZ, intern, hochsensibel) umsetzen.
Firewall-Regelwerk mit Aenderungsprozess und regelmaessigem Review betreiben.
Netzwerkverkehrsanalyse und Anomalieerkennung fuer kritische Segmente einfuehren.

Nachweise

Netzwerkarchitekturdiagramm mit Sicherheitszonen
Firewall-Regelwerksdokumentation und Aenderungsnachweise

ISO: A.8.20 A.8.21 A.8.22

DORA: DORA Art. 5–8 (Schutzmassnahmen) MaRisk: MaRisk AT 7.2, BT 2.2

CYB-004 defined reviewed

Identifikation & Schutz

Endgeraetesicherheit und Mobile Device Management

Alle Endgeraete sind gegen Schadsoftware, Diebstahl und unbefugte Nutzung geschuetzt.

Sollzustand: Einheitliche Sicherheitskonfiguration, Verschlussselung und Fernloeschfunktion fuer alle dienstlichen Endgeraete sind etabliert.

Umsetzungsschritte

Mobile-Device-Management-Loesung fuer zentrale Konfiguration und Ueberwachung einfuehren.
Festplattenverschluesselung und Bildschirmsperre fuer alle Endgeraete vorschreiben.
Regelmaessige Inventarisierung und Compliance-Pruefung der Endgeraete durchfuehren.

Nachweise

MDM-Konfigurationsrichtlinie und Durchsetzungsnachweis
Inventarliste mit Compliance-Status aller Endgeraete

ISO: A.7.1 A.7.6 A.8.1

DORA: DORA Art. 5–8 (Zugangssicherheit) MaRisk: MaRisk BT 2.2

CYB-005 managed reviewed

Identifikation & Schutz

Zugriffssteuerung und Identity Management

Nur berechtigte Nutzer erhalten Zugriff auf Systeme und Daten, nach dem Prinzip der minimalen Rechtevergabe.

Sollzustand: Ein zentrales Identity- und Access-Management mit rollenbasierten Berechtigungen und regelmaessigen Berechtigungsreviews ist etabliert.

Umsetzungsschritte

IAM-System mit Lifecycle-Management fuer Identitaeten einfuehren.
Rollenbasierte Zugriffssteuerung (RBAC) fuer alle IKT-Systeme umsetzen.
Berechtigungsreviews mindestens vierteljaehrlich durchfuehren und dokumentieren.

Nachweise

IAM-Richtlinie mit Berechtigungsmatrix
Durchgefuehrte Berechtigungsreviews der letzten vier Quartale

ISO: A.5.15 A.5.16 A.5.18

DORA: DORA Art. 5–8 (Zugangskontrolle) MaRisk: MaRisk AT 7.2, BT 2.1

CYB-006 managed reviewed

Erkennung & Reaktion

Schwachstellenmanagement und Patch-Management

Sicherheitsluecken in IKT-Systemen werden systematisch erkannt, bewertet und zeitnah geschlossen.

Sollzustand: Ein automatisierter Patch-Prozess mit Risikoklassifizierung und definierten Umsetzungsfristen ist implementiert.

Umsetzungsschritte

Schwachstellenscanner fuer alle relevanten Systeme einschliesslich Betriebssysteme und Anwendungen betreiben.
Patch-Richtlinie mit kritischen, hohen, mittleren und niedrigen Prioritaeten und zugehoerigen Fristen definieren.
Notfall-Patch-Prozess fuer kritische Schwachstellen (zero-day) etablieren.

Nachweise

Schwachstellen-Scanberichte mit Trendanalyse
Patch-Statusbericht mit Einhaltung der Umsetzungsfristen

ISO: A.8.8 A.8.34

DORA: DORA Art. 5–8 (Schwachstellenmanagement) MaRisk: MaRisk BT 2.2

CYB-007 initial reviewed

Erkennung & Reaktion

Erkennung von Cyber-Vorfällen (SIEM/SOC)

Cyber-Vorfaelle werden fruehzeitig durch zentralisierte Ueberwachung und Analyse erkannt.

Sollzustand: Ein Security-Information-and-Event-Management (SIEM) mit dediziertem Security-Operations-Center (SOC) ist betriebsbereit.

Umsetzungsschritte

SIEM-Plattform mit zentraler Log-Aggregation und Korrelationsregeln einfuehren.
Use-Case-Katalog fuer Erkennungsregeln definieren und regelmaessig aktualisieren.
SOC-Betriebsmodell mit Eskalationsstufen und Reaktionszeiten festlegen.

Nachweise

SIEM-Architektur und Regelkatalog
SOC-Betriebsdokumentation mit gemeldeten Vorfällen

ISO: A.8.15 A.8.16

DORA: DORA Art. 10–11 (Erkennung) MaRisk: MaRisk AT 7.2, BT 3.2

CYB-008 managed reviewed

Erkennung & Reaktion

Reaktion auf Cyber-Vorfälle (Incident Response)

Cyber-Vorfaelle werden nach einem strukturierten Prozess analysiert, eingedaemmt, beseitigt und dokumentiert.

Sollzustand: Ein Incident-Response-Plan mit definierten Rollen, Kommunikationswegen und Wiederherstellungsverfahren ist erprobt.

Umsetzungsschritte

Incident-Response-Plan mit Phasen (Vorbereitung, Identifikation, Eindämmung, Beseitigung, Wiederherstellung, Nachbereitung) erstellen.
IR-Team mit benannten Rollen und Stellvertretern einsetzen.
Regelmaessige Tabletop-Uebungen und Simulationen durchfuehren.

Nachweise

Incident-Response-Plan in aktueller Version
Durchgefuehrte Uebungen mit Erkenntnissen und Verbesserungsmassnahmen

ISO: A.5.24 A.5.25 A.5.26

DORA: DORA Art. 10–12 (Vorfallmanagement) MaRisk: MaRisk BT 3.2

CYB-009 defined reviewed

Wiederherstellung

Wiederherstellung und Business Continuity

Nach einem Cyber-Vorfall werden kritische Geschaeftsprozesse innerhalb definierter Zeitziele wiederhergestellt.

Sollzustand: Business-Continuity-Management (BCM) und Disaster-Recovery-Planung sind auf Cyber-Risiken ausgelegt und regelmaessig getestet.

Umsetzungsschritte

BCM-Richtlinie mit RTO/RPO fuer kritische Geschaeftsprozesse definieren.
Disaster-Recovery-Pläne fuer IKT-Systeme inklusive Cyber-Szenarien (Ransomware, Datenverlust) erstellen.
Wiederherstellungsuebungen mindestens jaehrlich durchfuehren und Ergebnisse dokumentieren.

Nachweise

BCM-Richtlinie mit RTO/RPO-Tabelle
DR-Uebungsberichte mit gemessenen Wiederherstellungszeiten

ISO: A.5.29 A.5.30

DORA: DORA Art. 11 (Wiederherstellung) MaRisk: MaRisk AT 7.3, BT 3.3

CYB-010 managed reviewed

Drittparteien & Lieferkette

Lieferketten-Cyber-Sicherheit

Cyber-Risiken durch Drittanbieter und Dienstleister werden identifiziert, bewertet und gesteuert.

Sollzustand: Ein Lieferketten-Risikomanagement bewertet die Cyber-Sicherheit kritischer Lieferanten und Dienstleister vor Vertragsabschluss und fortlaufend.

Umsetzungsschritte

Lieferantenklassifizierung nach Kritikalitaet fuer Cyber-Sicherheit durchfuehren.
Sicherheitsanforderungen in Vertraegen und SLAs verankern (z.B. Meldepflichten, Audits).
Regelmaessige Ueberpruefung der Lieferanten-Sicherheitslage mittels Frageboegen oder Audits.

Nachweise

Lieferantenklassifizierungsmatrix mit Cyber-Risikobewertung
Vertragsklauseln zu Sicherheitsanforderungen und Audits

ISO: A.5.19 A.5.20 A.5.21

DORA: DORA Art. 25–29 (IKT-Drittparteienrisiko) MaRisk: MaRisk AT 9, BT 4

CYB-011 defined reviewed

Governance & Kultur

Sicherheitsbewusstsein und Schulung

Mitarbeiter sind fuer Cyber-Risiken sensibilisiert und verhalten sich sicherheitsbewusst.

Sollzustand: Ein rollenbasiertes Schulungsprogramm vermittelt Cyber-Sicherheitskompetenz und wird regelmaessig auf Wirksamkeit geprueft.

Umsetzungsschritte

Sicherheitsschulungsprogramm fuer alle Mitarbeiter mindestens jaehrlich durchfuehren.
Risikogruppen (Fuehrungskraefte, IT-Administratoren, Entwickler) mit spezifischen Modulen adressieren.
Wirksamkeitsmessung mittels Phishing-Simulationen und Wissenschecks etablieren.

Nachweise

Schulungsplan und Teilnahmebescheinigungen
Phishing-Simulationsergebnisse mit Trendentwicklung

ISO: A.5.6 A.6.3

DORA: DORA Art. 5 (Personal) MaRisk: MaRisk AT 7.2

CYB-012 managed reviewed

Governance & Kultur

Governance und Reporting von Cyber-Risiken

Die Fuehrungsebene steuert Cyber-Risiken strategisch und erhaelt entscheidungsrelevante Informationen.

Sollzustand: Ein Cyber-Governance-Rahmen mit festgelegten Verantwortlichkeiten, Berichtslinien und Eskalationsprozessen ist implementiert.

Umsetzungsschritte

Cyber-Sicherheitsbeirat oder -Lenkungskreis mit Geschaeftsfuehrungsbeteiligung einrichten.
Regelmaessiges Cyber-Reporting mit Kennzahlen (Bedrohungslage, Incidents, Massnahmenstatus) fuer das Leitungsorgan etablieren.
Cyber-Risikobericht mindestens vierteljaehrlich mit Priorisierung und Handlungsempfehlungen vorlegen.

Nachweise

Sitzungsprotokolle des Cyber-Lenkungskreises
Cyber-Reporting-Dashboard mit aktuellen Kennzahlen

ISO: A.5.1 A.5.2 A.5.4

DORA: DORA Art. 4 (Governance) MaRisk: MaRisk AT 4.3.1, AT 7.2

IKT-Risikomanagement

Cyber-Risiken im IKT-Risikomanagement verankern

Die 12 Cyber-Kontrollziele werden im IKT-Risikomanagement nach DORA Kapitel II als operative Umsetzungsebene genutzt. Risikoidentifikation, Schutzbedarf, Kontrollen und Monitoring bilden die Brücke zwischen Cyber-Risikosteuerung und regulatorischen Anforderungen.

Governance & Strategie

Cyber-Risikoappetit und -strategie sind Bestandteil des IKT-Risikomanagement-Rahmenwerks.

Risikoanalyse & Behandlung

Cyber-Risiken werden im IKT-Risikoinventar erfasst, bewertet und behandelt.

Kontrollen & Monitoring

Cyber-Kontrollen sind Teil des IKT-Kontrollsystems und werden auf Wirksamkeit geprüft.

Reporting & Eskalation

Cyber-Risiken werden im Management-Reporting und Leitungsorganbericht adressiert.

DORA IKT-Risikomanagement Kapitel → Übersicht IKT-Risikomanagement →

Third-Party Cyber Risk

Cyber-Risiken durch IKT-Drittdienstleister

IKT-Drittdienstleister erweitern die Cyber-Angriffsfläche eines Instituts. Vertragliche Sicherheitsanforderungen, Zugriffskontrollen, Monitoring und Incident-Kommunikation müssen auch für kritische Dienstleister gelten.

Externe Angriffsflächen

Netzwerkzugriffe, API-Schnittstellen und Remote-Zugänge für Wartungszwecke erweitern die Angriffsfläche.

Dienstleisterzugänge

Zugriffsrechte für Dienstleister müssen nach dem Least-Privilege-Prinzip vergeben und regelmässig reviewed werden.

Monitoring & Detection

Dienstleisterzugriffe müssen überwacht und auf Anomalien geprüft werden.

Incident-Kommunikation

Kommunikationswege für Sicherheitsvorfälle mit Dienstleistern müssen definiert und getestet sein.

IKT-Drittparteienrisiko Kapitel → Vertragsanforderungen →

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-15

DORA – Verordnung ueber digitale operationale Resilienz Stand: 2022-12-14
ISO/IEC 27001:2022 – Informationssicherheit, Cybersicherheit und Datenschutz Stand: 2022-10-25
BaFin – MaRisk: Mindestanforderungen an das Risikomanagement Stand: 2023-09-01
BSI – IT-Grundschutz: Cyber-Sicherheitsempfehlungen Stand: 2024-01-01

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.

Hinweis: Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.