Die Informationstechnik hat für die von der BaFin beaufsichtigten Institute und Versicherungsunternehmen eine zentrale Bedeutung. Sie ist Basis der dort eingesetzten Fachverfahren und -prozesse. Die voranschreitende Digitalisierung im Finanz- und Versicherungssektor wird die technologische Durchdringung der Branchen weiter beschleunigen und die Vernetzung von Informationstechnologie und Geschäftsprozessen vorantreiben. Den Finanzmarktteilnehmern eröffnen sich dadurch neue Möglichkeiten. Ein Katalysator dieser Entwicklung sind, wie oben beschrieben, innovative Tech-Unternehmen, die in den Wettbewerb mit den etablierten Unternehmen des Finanz- und Versicherungssektors treten. Bestehende Geschäftsmodelle werden dabei in Frage gestellt, denn die neuen Wettbewerber nutzen modernste und flexible IT-Technologien. Sie können daher mit einer sehr wettbewerbsfähigen IT-Kostenstruktur agieren und setzen etablierte Anbieter mit ihren Angeboten und Preisen unter Druck.

Risiken im Fokus der Aufsicht

Die Aufsicht muss sich zudem intensiv mit den Risiken befassen, die mit der fortschreitenden Digitalisierung einhergehen. Insbesondere die Gefahr von Cyber-Angriffen hat sich im Jahr 2016 weiter zugespitzt. Man denke nur an die zunehmende Bedrohung durch Ransomware, bei der die Opfer zumeist zur Zahlung von Geld erpresst werden, an die Zunahme von Denial-of-Serivce-Angriffen, bei der unter anderem die Verfügbarkeit insbesondere von Bankdienstleistungen über das Internet beeinträchtigt wird, und an andere gezielte Angriffs-Kampagnen auf einzelne Unternehmen.

In der Aufsichtspraxis zeigt sich, dass das Thema Informationssicherheit auch bei den Instituten und Versicherern selbst sowie bei den IT-Dienstleistungsunternehmen weiterhin hoch oben auf der Prioritätenliste stehen muss, denn es gibt einen signifikanten Anteil historisch gewachsener IT-Altsysteme (Legacy-Systeme), die mit Blick auf mögliche Systemausfälle teilweise als anfällig gelten. Hinzukommt, dass Informationssicherheit in den Unternehmen des Finanz- und Versicherungssektors nach wie vor oft vor allem unter dem Kostenaspekt betrachtet wird, womit man dem Thema aus aufsichtlicher Sicht nicht gerecht wird.

Intensive Auseinandersetzung mit Informationssicherheit

Die BaFin hat sich auch im Jahr 2016 intensiv mit Fragen der Informationssicherheit im Finanz- und Versicherungssektor auseinandergesetzt. Dazu gehörte selbstverständlich auch der umfangreiche Austausch mit anderen Behörden, etwa dem Bundesamt für Sicherheit in der Informationstechnik (BSI), aber auch mit Branchenverbänden und IT-Dienstleistern aus dem Finanz- und Versicherungssektor und darüber hinaus. Regelmäßig analysierte und analysiert die Aufsicht alle ihr zur Verfügung gestellten Informationen und Warnmeldungen, um die allgemeine Bedrohungslage aufsichtlich einschätzen zu können.

Keine gravierenden IT-Ausfälle

Eine Auswertung der seit Ende 2015 bei der BaFin eigehenden Meldungen zu schwerwiegenden Sicherheitsvorfällen im Zahlungsverkehr ergab, dass es seit Bestehen der Meldepflicht nicht zu gravierenden IT-Ausfällen im deutschen Zahlungsverkehr gekommen ist. Allerdings wurden durchaus Störungen in den IT-Prozessen einzelner Institute bzw. IT-Dienstleiter gemeldet, die signifikante Auswirkungen auf die Verfügbarkeit von Daten und deren Integrität hatten.

Die BaFin ist aktuell in einer Vielzahl nationaler und internationaler Arbeitsgruppen vertreten, die sich mit der Digitalisierung und der Cyber-Bedrohungslage befassen. Hervorzuheben sind die Ergebnisse einer Arbeitsgruppe der G7-Mitgliedstaaten zur Cybersicherheit. Ende 2016 veröffentlichte die Arbeitsgruppe einen Ergebnisbericht, der acht „Fundamental Elements“ zur Erhöhung der Cybersicherheit im Finanzsektor enthält. Auf deren Grundlage können Institute beispielsweise eine Cyber-Sicherheitsstrategie entwickeln und umsetzen. In Deutschland wurden die Fundamental Elements u.a. auf der Webseite vom Bundesfinanzministerium (BMF) veröffentlicht. Die Umsetzung der acht „Fundamental Elements“ wird Unternehmen und Instituten empfohlen.

BAIT

Auf nationaler Ebene hat die BaFin 2016 gemeinsam mit der Bundesbank die Mindestanforderungen an das Risikomanagement der Banken (MaRisk) entsprechend weiterentwickelt und – unterstützt durch das Fachgremium IT – konkretisierende „Bankaufsichtliche Anforderungen an die IT“ (BAIT) formuliert, die in einem eigenen Rundschreiben veröffentlicht werden sollen.¹ Die BAIT sollen dazu beitragen, insbesondere das Informationsrisikobewusstsein sowohl in den Instituten selbst als auch gegenüber deren IT-Auslagerungsunternehmen zu erhöhen und die Erwartungen der Aufsicht an die Institute möglichst transparent darzustellen. Eine öffentliche Konsultation der BAIT ist für das erste Quartal 2017 vorgesehen. Die MaRisk-Novelle war bis zum Redaktionsschluss noch nicht veröffentlicht.

Fußnoten: