Je wichtiger Informationstechnologie (IT) im Finanzsektor wird, desto verwundbarer werden die Unternehmen. Da die Branche sehr eng vernetzt ist, können Ausfälle in der IT-Infrastruktur eines Unternehmens auf andere Marktteilnehmer übergreifen und im Extremfall die Finanzstabilität gefährden. Um gemeinsam mit den Unternehmen des Finanzsektors effektiv Prävention betreiben zu können, hat die BaFin 2018 wichtige Kompetenzen gebündelt und die Gruppe IT-Aufsicht, Zahlungsverkehr und Cybersicherheit (GIT) ins Leben gerufen. Im Fokus der aus vier Referaten bestehenden Gruppe, die geschäftsbereichsübergreifend agiert, stehen unter anderem Grundsatzfragen der Cybersicherheit in der Digitalisierung, die operative Aufsicht über Zahlungsinstitute und E-Geld-Institute, Grundsatzfragen der IT-Aufsicht und des Prüfungswesens sowie konkrete IT-Prüfungen bei Versicherungsunternehmen.

Dreistufenplan für die IT-Aufsicht

Für ihre IT-Aufsichtspraxis hat die BaFin ein Dreistufenprogramm entwickelt. Stufe eins bildet ein Set von Rahmenwerken, in denen für die Unternehmen der verschiedenen Aufsichtsbereiche vergleichbare Anforderungen an deren IT formuliert werden. Neben den bereits im November 2017 veröffentlichten Bankaufsichtlichen Anforderungen an die IT (BAIT) gehören dazu auch die im Juli 2018 publizierten Versicherungsaufsichtlichen Anforderungen an die IT (VAIT). Darin konkretisiert die BaFin, was sie von den Versicherern hinsichtlich ihrer IT-Sicherheit erwartet. Die Anforderungen der VAIT sind mit denen der BAIT vergleichbar. Sowohl in den VAIT als auch in den BAIT hat die BaFin klargestellt, dass IT-Sicherheit Chefsache ist. Ziel dieser Rundschreiben ist deshalb auch, in den Vorstandsetagen das Bewusstsein für IT-Risiken zu schärfen, auch mit Blick auf Risiken, die bei der Ausgliederung oder dem Erwerb von IT-Dienstleistungen entstehen können. Um Unsicherheiten bei Auslagerungen und Ausgliederungen an Cloud-Anbieter zu minimieren, hat die BaFin außerdem im November 2018 zusätzlich zu den BAIT und VAIT eine Orientierungshilfe¹ zu Auslagerungen an Cloud-Anbieter veröffentlicht.

Im Laufe des Jahres 2019 sollen die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) zur Konsultation gestellt werden.

Stufe zwei hat zum Ziel, die Widerstandsfähigkeit (Resilience) der Banken gegen Cyberangriffe und ihre Fähigkeit, den Geschäftsbetrieb aufrechtzuerhalten (Continuity), weiter zu stärken. Dazu wird die BaFin die Effektivität der bestehenden Sicherheitsvorkehrungen verstärkt in den Fokus nehmen. Die BaFin und die Deutsche Bundesbank arbeiten daher auf dem Gebiet der Bankenaufsicht seit Ende 2018 an der möglichen Implementierung von Red-Teaming-Tests, also Cyber-Stresstests für den deutschen Finanzsektor.

Stufe drei bildet die Verbesserung des Krisenmanagements: Sowohl die Institute als auch die BaFin müssen jederzeit auf einen Cyberangriff oder einen IT-Sicherheitsvorfall vorbereitet sein. Die BaFin plant deshalb, die BAIT um ein Modul zum Notfallmanagement inklusive Notfalltests zu erweitern. Hinzu kommen Cyberübungen, bei denen alle relevanten Akteure das Zusammenspiel im Krisenfall proben – und das national wie international.

Fußnote: