Einleitung

Mit dem IT-Sicherheitsgesetz aus dem Jahr 2015 hat der Gesetzgeber die Grundlage dafür geschaffen, Betreiber Kritischer Infrastrukturen in Bezug auf die IT-Sicherheit ihrer Anlagen zu kontrollieren. Zu den Kritischen Infrastrukturen im Sinne des Gesetzes zählen auch Anlagen aus dem Finanz- und Versicherungswesen. Sie unterliegen zum Teil schon der Regulierung durch das Kreditwesengesetz (KWG), das Zahlungsdiensteaufsichtsgesetz (ZAG) oder das Versicherungsaufsichtsgesetz (VAG).

Überblick über die regulierten Aufsichtsobjekte Kritischer Infrastrukturen im Finanzwesen

Mit Inkrafttreten der ersten Verordnung zur Änderung der vom Bundesministerium des Innern erlassenen BSI-Kritisverordnung¹ im Juni 2017 können Kritische Infrastrukturen auch für den Sektor Finanz- und Versicherungswesen bestimmt werden. Es wurden fünf kritische Dienstleistungen sowie Anlagenkategorien, Bemessungskriterien und Schwellenwerte festgelegt, anhand deren Unternehmen oder Institutionen selbst feststellen können, ob sie Betreiber einer Kritischen Infrastruktur sind.

Beispielsweise gibt es für die kritische Dienstleistung des „konventionellen Zahlungsverkehrs“ die Anlagenkategorie eines „Kontoführungssystems“ mit dem Bemessungskriterium „Anzahl dienstleistungsbezogener Transaktionen pro Jahr“ und dem Schwellenwert 100 Millionen. Das heißt, dass alle Kontoführungssysteme, über die mehr als 100 Millionen Transaktionen pro Jahr abgewickelt werden, als Kritische Infrastruktur im Sinne des Gesetzes gelten und entsprechend abgesichert werden müssen.

Nachfolgend wird in diesem Beitrag ausschließlich auf die kritischen Dienstleistungen der Bargeldversorgung, des kartengestützten Zahlungsverkehrs und des konventionellen Zahlungsverkehrs Bezug genommen. Hier ist für den Begriff des „Betreibers“ einer Kritischen Infrastruktur relevant, welches Unternehmen „unter Berücksichtigung der tatsächlichen Umstände bestimmenden Einfluss“ auf die Anlage hat, die zur Erbringung der kritischen Dienstleistung genutzt wird, das heißt, wer die tatsächliche Sachherrschaft ausübt.²

Nachdem sie selbst festgestellt haben, dass sie Betreiber einer Kritischen Infrastruktur sind, und sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert haben, steht nun insgesamt eine Gruppe von circa 90 Unternehmen im Finanzwesen unter Aufsicht des BSI. In dieser Gruppe sind Institute bzw. Zahlungsdienstleister enthalten, die gemäß § 1 Absatz 1 KWG bzw. gemäß § 1 Absatz 1 ZAG der Aufsicht der BaFin unterfallen oder gemäß SSM-Verordnung³ der Aufsicht durch die Europäische Zentralbank (EZB) unterliegen. Des Weiteren gibt es IT-Dienstleister, die Zahlungsverkehrsservices für Institute gemäß § 25b KWG bzw. § 20 Absatz 1 ZAG erbringen und daher der mittelbaren Aufsicht durch die BaFin unterfallen. Schließlich gehören auch Unternehmen zu dieser Gruppe, die Zahlungsverkehrsservices im Rahmen der Zahlungsverkehrs-Wertschöpfungskette erbringen und nicht der mittelbaren Aufsicht der BaFin unterfallen. Diese werden ausschließlich durch das BSI beaufsichtigt.

Begleitung der Betreiber Kritischer Infrastrukturen

Wie begleiten die Aufsichtsbehörden die Betreiber Kritischer Infrastrukturen bei der Vorbereitung auf die gesetzlichen Anforderungen des § 8a des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)? Es soll an dieser Stelle zunächst auf Angebote und Wege eingegangen werden, welche die Betreiber Kritischer Infrastrukturen in der Finanzbranche zur Erfüllung ihrer präventiven Pflichten gemäß § 8a Absatz 1 BSIG gewählt haben.

Gemäß § 8a Absatz 1 BSIG sind Betreiber Kritischer Infrastrukturen verpflichtet, „spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht."

B3S – branchenspezifische Sicherheitsstandards

Wie es allgemein für alle Sektoren und Branchen möglich ist, können Betreiber Kritischer Infrastrukturen sowie ihre Verbände branchenspezifische Sicherheitsstandards (B3S) für die zielgerichtete Formulierung der typischen Anforderungen und Maßnahmen der Prävention nach dem Stand der Technik ausarbeiten und dem BSI einreichen, damit dieses die Eignung der B3S feststellen kann. Dies trägt dem Umstand Rechnung, dass in den KRITIS-Sektoren eine gewisse Heterogenität der Branchen und deren spezifisch eingesetzter Technik bestehen kann. Die Eignung eines eingereichten B3S wird nach erfolgreicher Prüfung im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes, im Finanzsektor meist der BaFin, bzw. für Sozialversicherungsträger mit dem Bundesamt für Soziale Sicherung (BAS) festgestellt.
Typischerweise wird ein B3S in einem Branchenarbeitskreis der Öffentlich-Privaten Partnerschaft des UP KRITIS⁴ vorbereitet. Das BSI hat zur Vorbereitung der Erstellung von B3S eine Orientierungshilfe zu erwünschten Inhalten und Anforderungen an B3S veröffentlicht⁵. Als Anhaltspunkte sowohl für Anforderungen als auch für konkretere Handlungsanweisungen zum Stand der Technik können eine Reihe relevanter Standards herangezogen werden, wie die Standards zur Informationssicherheit der ISO/IEC 27000-Familie, der IT-Grundschutz des BSI, PCI DSS, der BSI-Standard 100-4 und ISO 22301 zum Notfallmanagement – um nur einige zu nennen. Diese haben zum Ziel, dass die Betreiber Aspekte zu Absicherung oder Sicherstellung der Kontinuität des Betriebes beachten.

Für eine Teilmenge der technisch geprägten Anlagen Kritischer Infrastruktur im kartengestützten Zahlungsverkehr – unter anderem bei den Netzbetreibern der Deutschen Kreditwirtschaft (DK) für die in der BSI-Kritisverordnung formulierten Bereiche „Anbindung an Autorisierungssysteme aus Sicht des Terminalbetreibers und beim Einbringen von Transaktionen in den Zahlungsverkehr“ – wurde dieser Weg beschritten. Das BSI hat die Eignung eines B3S festgestellt, der in erheblichem Umfang auf Elemente von PCI DSS⁶ Bezug nimmt, indem er diese als maßgeblich für den Stand der Technik darstellt, und um weitere Anforderungen ergänzt hat. Das bedeutet, dass das große Inventar an Anforderungen aus dem PCI DSS, das ein Betreiber Kritischer Infrastrukturen gegebenenfalls bereits bei einer Zertifizierung nach PCI DSS als erfüllt nachweisen kann, nun auch in der Nachweiserbringung gegenüber dem BSI auf Basis dieses branchenspezifischen Sicherheitsstandards berücksichtigt werden kann. Zudem müssen die Betreiber in ihrem Zulassungsverfahren als Netzbetreiber im electronic cash-System der Deutschen Kreditwirtschaft bereits Sicherheitsanforderungen erfüllen.

Zusätzliche Belastung bestmöglich reduzieren

Als Ausgangslage bei den kritischen Dienstleistungen des Zahlungsverkehrs im Finanzwesen ist festzustellen, dass einige Institute, die nun Betreiber Kritischer Infrastruktur mit den einhergehenden gesetzlichen Anforderungen geworden sind, bereits der institutionalisierten Aufsicht des Bundes über Kreditinstitute durch die BaFin und die Deutsche Bundesbank bzw. einer europäischen Bankenaufsicht im Rahmen des SSM unterliegen. Hier gelten bereits die im BaFin-Rundschreiben 10/2017 formulierten Bankaufsichtlichen Anforderungen an die IT (BAIT), in denen für den Bankensektor die einschlägigen Normen in Bezug auf die Anforderungen an eine ordnungsgemäße IT-Geschäftsorganisation interpretiert werden. Die Präsidenten von BSI und BaFin haben die Branche in einem gemeinsamen Schreiben informiert, dass eine zusätzliche materielle Belastung von Instituten, die nun auch KRITIS-Betreiber sind, im Rahmen des rechtlich Vertretbaren möglichst gering gehalten werden soll. Die BaFin veröffentlichte danach ein in Abstimmung mit dem BSI entwickeltes KRITIS-Modul als Ergänzung der BAIT. Darin werden zusätzliche Anforderungen an Institute, die KRITIS-Betreiber sind, formuliert. Ferner wird in Nr. 61 der BAIT in der Fassung vom 14. September 2018 die Möglichkeit aufgezeigt, im Rahmen der Jahresabschlussprüfung die gegenüber dem BSI erforderlichen Nachweise durch Erweiterung des Prüfungsauftrags vom Prüfer zu erlangen.

Schon weit vor der Ergänzung der BAIT hat das BSI für Betreiber Kritischer Infrastrukturen, die bereits ein bestehendes ISO-27001-Zertifikat vorweisen können, auf seiner Internetseite⁷ formuliert, welche Rahmenbedingungen es für die Verwendung solcher Zertifikate beim Nachweis der Erfüllung der Anforderungen nach § 8a BSIG als notwendig erachtet. Damit hat das BSI eine Grundlage für eine möglichst einfache Umsetzung der Vorgaben der KRITIS-Regulierung geschaffen. Die vom BSI beschriebenen Rahmenbedingungen umfassen auch die Fragen des Geltungsbereichs der Zertifizierungen und die Frage der Berücksichtigung der KRITIS-Schutzziele⁸, die auch in Nr. 57 der BAIT in der Fassung vom 14. September 2018 beschrieben sind. Zentrales Anliegen der KRITIS-Schutzziele ist, dass bei der Informationssicherheitsrisikobehandlung die Versorgungssicherheit der Bevölkerung sichergestellt wird. Zudem wird der geeignete Umgang mit Risiken beschrieben. So sollen die Institute angeben, dass sie Maßnahmen umgesetzt haben. Über eine geplante Umsetzung zu berichten, reicht nicht aus.

Bisherige Erkenntnisse aus den Nachweisen der Betreiber Kritischer Infrastrukturen

Die gemäß § 8a Absatz 3 BSIG im Juni 2019 fälligen und beim BSI eingereichten Nachweise haben im Hinblick auf die im vorigen Abschnitt aufgezeigten alternativen Wege – Nutzung eines branchenspezifischen Sicherheitsstandards (B3S), des BAIT-Kritis-Moduls oder von Zertifikaten in einer Zusatzprüfung – deutlich gemacht, dass die Betreiber erwartungsgemäß bei der Erfüllung der Anforderungen des § 8a Absatz 1 BSIG sehr unterschiedlich vorgegangen sind.

Von kürzeren Zusatzprüfungen unter Einbeziehung existierender Zertifizierungen von Informationssicherheitsmanagementsystemen bis hin zu langen eigenständigen Prüfungen unterschieden sich die dem BSI mitgeteilten Prüfungsaufwände erheblich. Zudem sind einige Betreiber lediglich für eine kleine Zahl an Anlagen Kritischer Infrastruktur verantwortlich, während andere Unternehmen mehr als ein Dutzend Anlagen betreiben. Auch das führt zu unterschiedlichen Prüfungsaufwänden. In den Prüfungen war jeweils die Betrachtung des gesamten Geltungsbereichs der Kritischen Infrastruktur gefordert.

Relativ häufig hatten die Prüfer der KRITIS-Betreiber für die Prüfung selbst eine individuelle Prüfgrundlage entwickelt, die sie typischerweise aus den Themengebieten ableiteten, die in der Orientierungshilfe für die Erstellung eines B3S enthalten sind.

Bei vielen der durch die Deutsche Kreditwirtschaft (DK) zugelassenen Netzbetreiber ist der oben erwähnte B3S als Prüfgrundlage verwendet worden. Hingegen wurde bei Kreditinstituten nur selten eine Nachweisprüfung unter Verwendung des ergänzenden KRITIS-Moduls der BAIT durchgeführt.

Mehrstufiges Verfahren beim BSI

Im BSI durchlaufen die eingereichten Nachweise ein mehrstufiges Prüfverfahren. Zunächst prüft das BSI, ob die Nachweisunterlagen vollständig sind. Anschließend findet mindestens eine Plausibilitätsprüfung statt. Auf beiden Stufen ist in der Regel weitere Kommunikation mit den Betreibern Kritischer Infrastruktur erforderlich, da die Nachweise meist Defizite aufweisen und daher Informationen oder Dokumente nachgefordert werden müssen. So musste das BSI beispielsweise bei mehreren Nachweisprüfungen nachfragen, ob die Aspekte der besonderen Behandlung von Absicherungen Kritischer Infrastruktur in den Prüfungen behandelt worden waren. Anschließend hat das BSI entsprechend aktualisierte Sicherheitsleitlinien von Betreibern angefordert.

Um bei seinen Vollständigkeits- bzw. Plausibilitätsprüfungen nachvollziehen zu können, ob die Geltungsbereiche der Prüfungen bei den Betreibern Kritischer Infrastrukturen mit den registrierten Anlagen übereinstimmen, musste die Behörde ebenfalls mehrfach nachfragen und Betreiber um zusätzliche Unterlagen bitten. Auch fehlten häufig Details zur Prüfplanung und -durchführung.

Die von den Betreibern Kritischer Infrastrukturen beauftragten Prüfenden Stellen sollten den Betreibern jeweils bestätigen, dass diese – wie gefordert – angemessene Maßnahmen nach dem Stand der Technik umgesetzt haben. Dies war in den meisten Fällen nur mit teils erheblichen Einschränkungen möglich. Zur Dokumentation der festgestellten Defizite haben die Betreiber – wie vorgeschrieben – dem BSI Mängellisten mitgeliefert, in denen sie entsprechende Sicherheitsmängel (der Klassifikation „schwerwiegend“ und/oder „gering“) mitteilten. Bei schwerwiegenden Sicherheitsmängeln mussten die Betreiber zusätzlich eine Umsetzungsplanung mit Verantwortlichkeiten, sowie mit Maßnahmen und Zieldaten zur Behebung einreichen.

Bei mehreren Betreibern Kritischer Infrastrukturen im Zahlungsverkehr stellten die Prüfenden Stellen Sicherheitsmängel fest, deren Zahl überwiegend im einstelligen Bereich liegt. Dies gilt gleichermaßen für Banken wie für IT-Dienstleistern im Zahlungsverkehr. Einige der beaufsichtigten Institute müssen jedoch relativ viele solcher Sicherheitsmängel abstellen.

Die große Zahl der festgestellten Mängeln im Finanzwesen war überraschend, da viele Betreiber bereits seit längerem bereichsspezifischen Audits unterliegen und auch ihren Kunden ein funktionierendes Informationssicherheitsmanagementsystem belegen – etwa mit existierenden ISO-27001-Zertifikaten. Nach derzeitiger Sichtung der Mängel handelt es sich jedoch in vielen Fällen um grundlegende Defizite bei der Implementierung des nach § 8a Absatz 1 BSIG konformen Informationssicherheitsmanagements oder bei der Dokumentation, wie sie etwa im Umfeld von Zertifizierungsprüfungen ermittelt werden. Diese Mängel stellen in der Regel keine unmittelbare Gefahr für die Kontinuität des technischen und fachlichen Betriebs der Kritischen Infrastruktur dar.

Nächste Schritte und Fazit

Das BSI wird die von den Betreibern mitgeteilten Maßnahmen, die zur Behebung von Sicherheitsmängeln führen sollen, eng begleiten und auf deren Umsetzung hinwirken.

Im Einzelfall wird das BSI im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes⁹ die Beseitigung von Sicherheitsmängeln gegebenenfalls mit anderer Zeitplanung und weiteren Maßnahmenbündeln verlangen. Schließlich kann das BSI im Rahmen der Nachweisprüfung zu dem Ergebnis kommen, dass eine detaillierte Tiefenprüfung bei einzelnen Betreibern Kritischer Infrastrukturen notwendig ist, und eine solche Prüfung vornehmen.

Den intensiven und konstruktiven Austausch zwischen Betreibern Kritischer Infrastrukturen und deren Verbänden einerseits und den Aufsichtsbehörden BSI und BaFin andererseits begrüßen beide – BSI und BaFin – ausdrücklich. Die vorliegenden Nachweise zur Erfüllung der Vorgaben des § 8a Absatz 1 BSIG belegen, dass die Thematik im Finanzwesen ernst genommen wird und angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen getroffen wurden, die für die Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen maßgeblich sind. Sie zeigen jedoch auch, dass diese Arbeit die Beteiligten auch 2020 weiter beschäftigen muss, um festgestellte Mängel abzustellen, aber auch um die Widerstandsfähigkeit des Finanzwesens etwa bei anstehenden neuen Initiativen der Digitalisierung zu erhöhen.

Fußnoten: