IT-Aufsicht bei Banken und Versicherern
Beitrag aus dem Jahresbericht 2018 der BaFin
Die fortschreitende Digitalisierung macht die Unternehmen des Finanzsektors verwundbar. Da die Branche sehr eng vernetzt ist, können Ausfälle in der IT-Infrastruktur eines Unternehmens auf andere Marktteilnehmer übergreifen und im Extremfall sogar die Finanzstabilität gefährden. Um gemeinsam mit den Unternehmen des Finanzsektors effektiv Prävention betreiben zu können, hat die BaFin 2018 hausweit Kompetenzen gebündelt und die Gruppe IT-Aufsicht, Zahlungsverkehr und Cybersicherheit (GIT) ins Leben gerufen. Im Fokus dieser geschäftsbereichsübergreifend aktiven Gruppe stehen unter anderem Grundsatzfragen der Cybersicherheit in der Digitalisierung, die operative Aufsicht über Zahlungsinstitute und E-Geld-Institute, Grundsatzfragen der IT-Aufsicht und des Prüfungswesens sowie IT-Prüfungen bei Banken, Versicherungsunternehmen und Kapitalverwaltungsgesellschaften.
Dreistufenplan für IT-Aufsicht
Für ihre IT-Aufsichtspraxis hat die BaFin ein Dreistufenprogramm entwickelt. Stufe eins bildet ein Set von Rahmenwerken, in denen für die Unternehmen der verschiedenen Aufsichtsbereiche vergleichbare Anforderungen an deren IT formuliert werden. Neben den bereits im November 2017 veröffentlichten Bankaufsichtlichen Anforderungen an die IT (BAIT) gehören dazu auch die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) (siehe Infokasten).
In den BAIT und den VAIT konkretisiert die BaFin, was sie von den Banken bzw. Versicherern auf ausgewählten Gebieten der IT-Sicherheit erwartet. Die Anforderungen der VAIT sind mit denen der BAIT vergleichbar. In beiden hat die BaFin klargestellt, dass IT-Strategie und IT-Governance Chefsache sind. Ziel der Rundschreiben ist daher auch, in den Vorstandsetagen das Bewusstsein für IT-Risiken zu schärfen, auch mit Blick auf Risiken, die bei der Ausgliederung oder dem Bezug von IT-Dienstleistungen entstehen können.
Auf einen Blick:VAIT – Versicherungsaufsichtliche Anforderungen an die IT
Im Juli 2018 veröffentlichte die BaFin auf www.bafin.de ihre VAIT. Sie enthalten Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG), soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. Mit den VAIT will die BaFin der Geschäftsleitung der Unternehmen einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der IT vorgeben, vor allem für das Management der IT-Ressourcen und für das IT-Risikomanagement. Das Rundschreiben findet Anwendung auf alle Versicherungsunternehmen und Pensionsfonds, die der Aufsicht der BaFin unterliegen. Es gilt nicht für Versicherungszweckgesellschaften im Sinne des § 168 VAG sowie die Sicherungsfonds im Sinne des § 223 VAG.
Um Unsicherheiten bei Auslagerungen und Ausgliederungen an Cloud-Anbieter zu minimieren, hat die BaFin außerdem im November 2018 flankierend zu den BAIT und VAIT eine Orientierungshilfe zu Auslagerungen an Cloud-Anbieter veröffentlicht (siehe Infokasten). Geplant ist, im Laufe des Jahres 2019 auch für Kapitalverwaltungsgesellschaften konkretisierte Anforderungen zur Konsultation zu stellen, die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT).
Auf einen Blick:Orientierungshilfe zu Auslagerungen an Cloud-Anbieter
Im November 2018 gab die BaFin auf ihrer Homepage die Orientierungshilfe zu Auslagerungen an Cloud-Anbieter heraus. In dem Merkblatt erläutern die BaFin und die Deutsche Bundesbank ihre derzeitige aufsichtliche Praxis in solchen Auslagerungsfällen. Die Aufsicht macht außerdem transparent, wie sie verschiedene Formulierungen in Vertragsklauseln einschätzt. Darüber hinaus will die Aufsicht bei den beaufsichtigten Unternehmen ein Bewusstsein für Probleme schaffen, die bei der Nutzung von Cloud-Diensten und den damit verbundenen aufsichtsrechtlichen Anforderungen auftreten können.
Im Cloud-Merkblatt werden keine neuen Vorgaben formuliert; die bestehenden Anforderungen an Auslagerungen bleiben daher unberührt. Es gilt zum Beispiel auch bei Auslagerungen an Cloud-Anbieter der Grundsatz, dass die Verantwortung der Geschäftsleitung bei einer Auslagerung von Daten nicht an den Cloud-Dienstleister übertragen werden darf. Die Orientierungshilfe richtet sich an Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen, Pensionsfonds, Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften, Zahlungsinstitute und E-Geld-Institute.
Stufe zwei hat zum Ziel, die Banken im Kampf gegen Cyberangriffe widerstandsfähiger zu machen und ihre Fähigkeit zu untermauern, den Geschäftsbetrieb aufrechtzuerhalten. Auf dieser Stufe rückt die Effektivität der bestehenden Sicherheitsvorkehrungen in den Fokus. BaFin und Deutsche Bundesbank arbeiten seit Ende 2018 an der möglichen Implementierung von Cyber-Stresstests (Red-Teaming-Tests).
Auf Stufe drei geht es darum, das Krisenmanagement der Banken zu verbessern: Nicht nur die Institute, sondern auch die BaFin müssen jederzeit auf einen Cyberangriff oder einen IT-Sicherheitsvorfall vorbereitet sein. Die BaFin plant deshalb, die BAIT um ein Modul zum Notfallmanagement inklusive Notfalltests zu erweitern. Hinzu kommen Cyberübungen, bei denen alle relevanten Akteure das Zusammenspiel im Krisenfall proben – und das national wie international.
BaFin-Präsident Felix Hufeld äußerte sich in einer Rede im November 2018 kritisch zu den Banken: „Viele Institute in Deutschland, aber auch in anderen europäischen Ländern haben noch immer Probleme mit der Cyberhygiene. IT-Systeme sind veraltet, dritte Dienstleister werden nicht immer ausreichend überwacht, Prozesse und Technologien oft nicht ausreichend getestet.“ Hinzu komme, dass nicht alle Banken genügend Geld in die Hand nähmen, um Cyberangriffe feststellen und Bedrohungen erkennen zu können, bevor es zu spät sei. Außerdem lasse auch das Management von Cyberrisiken in vielen Fällen zu wünschen übrig. Was ebenfalls ins Auge falle: Wenn sich Banken mit IT-Risiken beschäftigten, richte sich ihr Fokus in erster Linie auf die Technik und nicht auf den Menschen.
