Auch Aufseher und Regulierer müssen den fortschreitenden digitalen Wandel begreifen. Sie müssen ihn rechtlich und wirtschaftlich einordnen und schauen, ob und wie sie tätig werden müssen, um die Finanzstabilität zu wahren und Verbraucher zu schützen – sei es auf der Ebene aufsichtlicher Verwaltungspraxis, sei es auf der gesetzgeberischen Ebene.

Umgang mit IT-Risiken

Ob interne IT-Pannen oder Angriffe aus dem Cyberraum, IT-Risiken haben eine enorme Sprengkraft. Um ihre Kompetenz auf diesem Gebiet zu stärken, baut die BaFin eine Einheit auf, die sich branchenübergreifend mit Fragen der IT-Sicherheit beschäftigt. Der Fokus der BaFin lag zunächst auf dem Bankensektor. Gemeinsam mit der Deutschen Bundesbank hat die BaFin bereits bei einer Reihe örtlicher Prüfungen die IT-Sicherheit der Institute unter die Lupe genommen, die unter direkter deutscher Aufsicht stehen. Der Befund: Banken haben erheblichen Nachholbedarf in Sachen IT-Sicherheit.

2017 hat sich die BaFin auch einen Überblick über die Stärken und Schwächen der Versicherer im Umgang mit Cyberrisiken verschafft. Dr. Frank Grund, Exekutivdirektor Versicherungs- und Pensionsfondsaufsicht, sagte, erste Auswertungen zeigten, dass ein erheblicher Teil der Branche zu unsystematisch an dieses Thema herangehe. Anlass genug für die BaFin, ihre Anforderungen an die IT-Sicherheit von Banken und Versicherern zu erläutern und zu konkretisieren.

BAIT – Bankaufsichtliche Anforderungen an die IT

Banken müssen IT-Risiken – wie andere operationelle Risiken auch – als Säule-I-Risiken mit ausreichend Eigenmitteln unterlegen. Darüber hinaus müssen sie diese Risiken managen und auf diese Weise für IT-Sicherheit sorgen.

Was die BaFin auf diesem Gebiet von den Kredit- und Finanzdienstleistungsinstituten in Deutschland erwartet, hat sie in den BAIT, den „Bankaufsichtlichen Anforderungen an die IT“ , präzisiert, die sie Anfang November 2017 veröffentlicht hat. Mit ihren BAIT macht die BaFin IT-Sicherheit zur Chefsache. Die Anforderungen richten sich an die Geschäftsleitungen und sollen den Instituten helfen, auch mit Blick auf die IT eine ordnungsgemäße Geschäftsorganisation sicherzustellen.

Die BAIT sind jedoch in Form von Prinzipien angelegt und kein vollständiger Anforderungskatalog. Es geht der BaFin darum, einen verständlichen und flexiblen Rahmen für das Management der IT-Ressourcen, des Informationsrisikos und der Informationssicherheit zu schaffen. Die BAIT sollen ebenso dazu beitragen, unternehmensweit das Bewusstsein für IT-Risiken zu stärken – auch mit Blick auf Auslagerungsunternehmen. Die BaFin hat in den BAIT zudem transparent gemacht, was sie von den Instituten in puncto Steuerung und Überwachung des IT-Betriebs erwartet.

VAIT für Versicherer

Die BaFin wird im Laufe des Jahres 2018 ihre Anforderungen an die IT von Versicherern in vergleichbarer Weise bündeln und präzisieren – und zwar unter dem Titel „Versicherungsaufsichtliche Anforderungen an die IT“, kurz VAIT. Auch Versicherungsunternehmen müssen ihre IT-Risiken nicht nur mit ausreichend Solvenzkapital abfedern, sondern auch vernünftig managen – das sind sie den Versicherungsnehmern schuldig.

Sicherheit auch bei Fintechs

Was für die etablierten Unternehmen des Finanzmarktes gilt, trifft auch auf Fintechs zu. Egal, wie viel und welche Technik angewendet wird, die BaFin verfährt nach dem Grundsatz „gleiches Geschäft, gleiches Risiko, gleiche Regel“. Bei allen Anbietern des Finanzmarktes muss IT-Sicherheit höchste Priorität haben, denn ihnen vertrauen Menschen ihr Geld und ihre Daten an.

IT-Kompetenz der Geschäftsleitung

Es ist ein zentrales Anliegen der BaFin, dass Banken und Versicherer die Herausforderungen der Digitalisierung souverän bewältigen können. Um den weiteren Ausbau von IT-Wissen in der Geschäftsleitung der Unternehmen zu fördern, hat die Aufsicht Ende 2017 ihre Verwaltungspraxis zur fachlichen Eignung der Geschäftsleiter von Versicherern und Banken unter ihrer unmittelbaren Aufsicht angepasst.

Wenn IT-Spezialisten keine ausreichenden, über einen längeren Zeitraum hinweg erworbenen bank- bzw. versicherungsspezifischen IT-Kenntnisse nachweisen konnten, so war es bislang schwierig für sie, zum Geschäftsleiter bestellt zu werden. Nun können im Einzelfall sechs Monate ausreichen.

Unabhängig davon unterliegen allerdings ausnahmslos alle Geschäftsleiter weiterhin der Gesamtverantwortung und den damit einhergehenden Sorgfaltspflichten und gesetzlichen Haftungsregelungen. „Als Aufsicht schaffen wir im Spannungsfeld zwischen den Anforderungen an die grundlegende fachliche Eignung, die zur Wahrnehmung der Gesamtverantwortung aller Geschäftsleiter notwendig ist, und dem zunehmend erforderlichen Spezialwissen mehr Raum für die Bestellung von IT-Spezialisten auf Geschäftsleiterebene“, kommentierte Dr. Frank Grund, Exekutivdirektor Versicherungs- und Pensionsfondsaufsicht der BaFin.

Ausblick

Die BaFin hat bisher bewiesen und wird dies weiter tun, dass sie mit Wandel und Innovation – siehe Fintechs oder Fit & Proper-Anforderungen an IT-Vorstände – offen und sehr konstruktiv umgeht, dass sie aber ihrer Rolle als Aufseher und Regulierer treu bleibt. Im vielstimmigen Chor politischer Debatten sei es die Pflicht der Finanzregulierer und Aufseher, auf alte und neue Risiken deutlich hinzuweisen, sei es für Endkunden, sei es für die Finanzstabilität, machte BaFin-Präsident Hufeld deutlich. „Wie erfolgreich wir dabei sein werden, uns Gehör zu verschaffen, wird sich weisen, hängt aber auch davon ab, wie gut es uns gelingt, auf neue, teils weitreichende Fragen Antworten zu finden.“

Folgende Fragen stellen sich zum Beispiel aus Sicht der BaFin: Wie lassen sich Geschäftsmodelle beaufsichtigen, die dezentral angelegt sind – Beispiel Blockchain? Wie kann die Aufsicht die Nutzer und Kunden solcher Geschäftsmodelle schützen? Und was geschieht mit den traditionellen Anbietern des Finanzmarktes, wenn Spieler, deren wesentliche Ertragsquellen außerhalb der Finanzindustrie liegen, mit der primären Motivation, Daten zu generieren, Finanzprodukte anbieten, ohne auf die Erträge daraus angewiesen zu sein? Wer wird die Risiken tragen? Werden überhaupt noch die Richtigen beaufsichtigt? Wie sollten Aufsicht und Regulierung mit dem Phänomen Big Data Analytics umgehen? An diesen und vielen weiteren Digitalisierungsthemen arbeitet die BaFin gerade intern – etwa in ihrer Einheit „Finanztechnologische Innovation“ – und in den Regulierungsgremien.