© In-future/iStockphoto.com / BaFin
Erscheinung:25.05.2020 BaFinPerspektiven 1 | 2020
„Die Bedrohung ist da. Und sie wächst.“
Angriffe von außen, Pannen im Innern – wenn Unternehmen der Finanzindustrie Opfer von Cybervorfällen werden, ist gutes Krisenmanagement gefragt. Dabei spielt auch die Aufsicht eine Rolle.
Interview mit Raimund Röseler, Exekutivdirektor Bankenaufsicht, Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
Viele Daten, viel Geld – beides macht den Finanzsektor für Cyberkriminelle zu einer beliebten Zielscheibe. Die Corona-Pandemie könnte das Problem nach Ansicht von Raimund Röseler sogar noch verschärfen. Der Exekutivdirektor Bankenaufsicht weiß aber auch: Die meisten IT-Schäden werden nach wie vor versehentlich angerichtet – und zwar bei den IT-Dienstleistern, aber auch intern durch schadhafte Hardware oder die eigenen Angestellten. Die sind in der Corona-Krise sogar besonders anfällig für Fehler, denn Arbeitsbedingungen und Prozessabläufe sind anders als sonst.
Röseler erläutert im Interview mit den BaFinPerspektiven, worauf es ankommt, wenn Banken und andere Zahlungsdienstleister Opfer von Cyberangriffen oder internen IT-Pannen werden, und an welchen Stellen die Regulierung noch nachgebessert werden sollte.
Herr Röseler, wie erfährt die BaFin überhaupt von Cyberangriffen oder IT-Pannen?
Zahlungsdienstleister wie etwa Banken müssen uns seit 2018 schwerwiegende Cybervorfälle melden – genauer gesagt: schwerwiegende Betriebs- oder Sicherheitsvorfälle (siehe Infokasten). Das sind Attacken von außen oder Sabotageakte von Beschäftigten, aber auch interne Pannen, bei denen kein Vorsatz im Spiel ist.
Auf einen Blick:Cybervorfall
Ein Cybervorfall ist ein böswillig oder versehentlich herbei geführter Vorfall, der
- die Cybersicherheit eines Informationssystems oder die Sicherheit der verarbeiteten Informationen gefährdet oder
- Sicherheitsrichtlinien, Sicherheitsprozesse oder Nutzungsbedingungen verletzt.1
Ein böswillig herbeigeführter Cybervorfall kann ein externer Angriff sein, aber auch Sabotage innerhalb des Unternehmens. Davon zu unterscheiden sind interne Pannen, also Störungen, die Beschäftigte versehentlich herbeiführen. Auch solche internen Pannen werden unter dem Begriff „Cybervorfall“ subsummiert.
Im Zahlungsdiensteaufsichtsgesetz (ZAG) ist nicht von Cybervorfällen die Rede, sondern von schwerwiegenden Betriebs- oder Sicherheitsvorfällen. Gemeint ist im Grunde das Gleiche, der Begriff „Cybervorfall“ bezieht sich aber nicht nur auf Zahlungsdienstleister, sondern auf den gesamten Finanzsektor.
Meldepflicht
Das ZAG verlangt in § 54 Satz 1:
„Ein Zahlungsdienstleister hat die Bundesanstalt unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall zu unterrichten. Die Bundesanstalt unterrichtet die Europäische Bankenaufsichtsbehörde und die Europäische Zentralbank unverzüglich nach Eingang einer Meldung über die maßgeblichen Einzelheiten des Vorfalls. Sie hat die Relevanz des Vorfalls für andere in ihrer sachlichen Zuständigkeit betroffene inländische Behörden unverzüglich zu prüfen und diese entsprechend zu unterrichten.“
Eine Meldepflicht gibt es auch für Betreiber kritischer Infrastrukturen des gesamten Finanzsektors. Adressat ist da allerdings das Bundesamt für Sicherheit in der Informationstechnik (BSI).2 Das BSI reicht uns aber die Meldungen weiter, wenn Unternehmen betroffen sind, die wir beaufsichtigen. Wir sind also auch im Bilde.
Was aber fehlt, sind die Versicherer und der Wertpapiermarkt.
So ist es. Wir haben in der Versicherungs- und der Wertpapieraufsicht keine flächendeckenden Meldepflichten. Da sind also noch weiße Flecken auf der Informationslandkarte.3 Es gibt aber zum Glück erste Ansätze, sie zu beseitigen und die Meldepflichten zu harmonisieren. Bei der Gelegenheit will man eventuell auch bestehende Pflichten vereinfachen. Die EU-Kommission hat im Dezember 2019 eine erste Konsultation in Form eines Fragebogens4 dazu durchgeführt.
Lassen Sie uns einen Blick auf die Banken und anderen Zahlungsdienstleister werfen. Die müssen schwerwiegende Vorfälle ja seit 2018 melden. Können Sie Zahlen nennen – auch was die Schäden angeht?
Ja und nein. 680 schwerwiegende Fälle sind uns bislang gemeldet worden.5 Der Schaden lässt sich nur schwer ermitteln. Da wären zum Beispiel der finanzielle Schaden des Instituts, sein Reputationsschaden, der Schaden des Kunden und – last but not least – der potentielle Schaden für die Finanzstabilität. Da gibt es keinen Automatismus, nach dem Motto ‚der Vorfall ist schwer, also ist der Schaden sehr groß‘. Hier spielen andere Kriterien eine Rolle: die Größe des Instituts zum Beispiel, aber auch, wie lange ein Vorfall dauert oder wie relevant die betroffenen Systeme und Dienstleistungen sind.
Waren die schwerwiegenden Vorfälle Angriffe von außen?
Nur ein kleiner Teil davon. 14 der 680 gemeldeten Vorfälle, um genau zu sein. Die allermeisten Fälle hatten interne Ursachen: menschliches Versagen zum Beispiel, Fehler in den Prozessen oder den IT-Systemen.
Werden seit Ausbruch der Corona-Pandemie mehr schwerwiegende Vorfälle gemeldet?
Bei den schwerwiegenden Fällen, die uns gemeldet werden, sehen wir im Moment noch keinen signifikanten Anstieg. Es kann aber gut sein, dass wir den irgendwann sehen werden. Sehr viele Menschen arbeiten von zu Hause aus, Arbeitsabläufe werden zunehmend digitalisiert, die IT-Infrastrukturen sind stark ausgelastet. Außerdem beflügelt die Corona-Krise offenbar flächendeckend, auch im Finanzsektor, die Cyberaktivität. Im April wurde zum Beispiel ein IT-Dienstleister in den USA Opfer eines erpresserischen Cyberangriffs, bei dem Daten verschlüsselt wurden. Davon waren zahlreiche US-amerikanische Banken betroffen.
Und wenn es zu einem Cyberangriff direkt auf einen Zahlungsdienstleister gekommen ist: Konnten die Unternehmen bisher damit umgehen?
Ja, die deutschen Finanzdienstleister, die Opfer von Cyberangriffen geworden sind, haben sich gut geschlagen. Was natürlich eine gute Nachricht ist. Was uns allerdings wichtig ist: Die Institute müssen ihre Krisenkommunikation immer wieder auf den Prüfstand stellen. Vor allem in den sozialen Medien verbreiten sich nämlich Nachrichten über Cybervorfälle wie ein Lauffeuer. Das sind dann oft mehr oder weniger haltlose Gerüchte. Die können dem betroffenen Institut sehr schaden.
Ansonsten haben die Zahlungsdienstleister im Krisenmanagement keinerlei Schwächen?
Soweit würde ich nicht gehen, aber in der Tat liegen die Schwächen der Institute eher in anderen Bereichen. Bei unserer IT- Prüfungskampagne 2019 vor Ort bei den kleineren und mittleren Banken6 haben wir die größten Defizite im Informationsrisiko- und im Berechtigungsmanagement festgestellt. Auch im Informationssicherheits- und Auslagerungsmanagement gab es signifikante Defizite.
Zurück zum Krisenmanagement: Hat die BaFin dazu beigetragen, dass es bei den Unternehmen relativ gut funktioniert?
Ja, das sehe ich so. Wir verlangen von den Banken zum Beispiel, dass sie Notfallpläne für den Ernstfall parat haben. Die müssen sie immer wieder testen. Ein gutes Krisenmanagement ist das A und O. Noch hat es wenig Cyberangriffe gegeben, und die Banken haben sie gut überstanden. Aber die Bedrohung ist da. Und sie wächst. In unseren BAIT, den Bankaufsichtlichen Anforderungen an die IT, buchstabieren wir aus, wie ein Krisenmanagement beschaffen sein muss, um zu funktionieren. Vergleichbar hohe Anforderungen stellen wir auch in unseren VAIT und KAIT (siehe Infokasten).
Auf einen Blick:In drei Stufen zu mehr IT-Sicherheit
Für ihre IT-Aufsichtspraxis hat die BaFin ein Dreistufenprogramm entwickelt.
Stufe eins bildet ein Set von drei Rundschreiben, in denen für die Unternehmen der verschiedenen Aufsichtsbereiche vergleichbare Anforderungen an deren IT formuliert werden: die Bankaufsichtlichen Anforderungen an die IT (BAIT), die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) und die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT).
In BAIT, VAIT und KAIT buchstabiert die BaFin aus, was sie von den Unternehmen in puncto IT-Governance und Informationssicherheit verlangt. Die BAIT konkretisieren § 25a Kreditwesengesetz, die VAIT § 23 Versicherungsaufsichtsgesetz und die KAIT § 28 Kapitalanlagegesetzbuch. In allen drei Rundschreiben hat die BaFin klargestellt, dass IT-Sicherheit Chefsache ist. Ziel dieser Rundschreiben ist deshalb auch, in den Vorstandsetagen das Bewusstsein für IT-Risiken zu schärfen, auch mit Blick auf Risiken, die bei der Ausgliederung oder dem Erwerb von IT-Dienstleistungen entstehen können.
Um Unsicherheiten bei Auslagerungen und Ausgliederungen an Cloud-Anbieter zu minimieren, hat die BaFin zusätzlich eine Orientierungshilfe zu Auslagerungen an Cloud-Anbieter veröffentlicht.
Stufe zwei hat zum Ziel, die Einhaltung dieser Rundschreiben vor Ort zu prüfen. Zugleich zielt Stufe zwei darauf, die Widerstandsfähigkeit (Resilience) der Banken gegen Cyberangriffe und ihre Fähigkeit, den Geschäftsbetrieb aufrechtzuerhalten (Continuity), weiter zu stärken. Dazu nimmt die BaFin die Effektivität der bestehenden Sicherheitsvorkehrungen verstärkt in den Fokus. Zu Stufe zwei gehören auch Red-Teaming-Tests7, eine Art von Cyber-Stresstests für den deutschen Finanzsektor.
Auf Stufe drei geht es um die Verbesserung des Krisenmanagements: Sowohl die Institute als auch die BaFin müssen jederzeit auf einen Cyberangriff oder einen IT-Betriebsvorfall vorbereitet sein. Die BaFin hat deshalb, die BAIT um ein Modul zum Notfallmanagement inklusive Notfalltests erweitert. Zusätzlich finden Cyberübungen statt, bei denen alle relevanten Akteure das Zusammenspiel im Krisenfall proben – und das national wie international. Der geplante „Krisenplan Cyber“ ist ebenfalls auf Stufe drei angesiedelt (siehe Infokasten).
Was kann die BaFin tun, wenn es zum Beispiel bei einer Bank zu einem Cybervorfall kommt?
Wir können auf mehreren Wegen aktiv werden. Wir sorgen zum Beispiel dafür, dass uns das Unternehmen umfassend und fortlaufend über den Stand der Dinge informiert. Wir können Pressemitteilungen veröffentlichen, um für einen sachlichen Umgang mit dem Vorfall zu sorgen – auch in den sozialen Medien. Und wir unterstützen den Austausch von Betroffenen untereinander, um so die Behebung eines Vorfalls zu beschleunigen.
Was auch sehr wichtig ist: Wir schließen uns eng mit den anderen beteiligten Institutionen zusammen – mit dem BSI zum Beispiel, der Europäischen Zentralbank, der Deutschen Bundesbank und dem Bundesfinanzministerium. Denn es geht auch darum, Schäden für die Finanzstabilität zu verhindern. Bei schwerwiegenden Vorfällen informieren wir auch das Nationale Cyber-Abwehrzentrum. Wir können auch die Strafverfolgungsbehörden mit ins Boot holen. Oder unsere Kollegen in den G-7-Staaten – das machen wir allerdings nur, sollte ein Cybervorfall internationale Dimensionen entwickeln. Dieses Netzwerk aus verschiedenen Institutionen ist für uns sehr wichtig.
Hilft die BaFin den Unternehmen beim Zusammenkehren der Scherben?
Nein, wir sind nicht die technischen Ausputzer. Das ist nicht unsere Aufgabe, und dazu fehlt uns auch die Expertise. Das machen die Unternehmen selbst oder Anbieter, die sich auf sowas spezialisiert haben. Davon abgesehen hat jeder Finanzdienstleister seine technischen Eigenheiten. Die wissen dann meist selbst am besten, wie sie das Problem angehen müssen.
Unser Part ist ein anderer: Wir wollen dazu beitragen, die Auswirkungen eines Cybervorfalls abzumildern. Unter anderem mit den Mitteln, die ich gerade angesprochen habe. Die Betroffenen vernetzen, den Markt mit sachlichen Informationen versorgen und so weiter.
Gerade war von einem IT-Dienstleister in den USA die Rede. Kann die BaFin aktiv werden, wenn das Problem nicht bei einer Bank oder einem Versicherer liegt, sondern bei deren IT-Dienstleister?
Da sprechen Sie ein wichtiges Thema an. Auch an der Stelle haben wir noch keine Einheitlichkeit. In der Versicherungsaufsicht haben wir direkte Befugnisse gegenüber Drittdienstleistern. In der Bankenaufsicht prüfen wir zwar auch Drittdienstleister, sind aber nicht ganz so gut aufgestellt. Wir überlegen derzeit, ob und wie man die Rahmenbedingungen in Deutschland ändern und vereinheitlichen sollte. Generell müssen wir uns fragen, wie wir angemessen mit der Relevanz beziehungsweise Systemrelevanz von großen IT-Drittdienstleistern umgehen, auf die viele Banken und Versicherer auslagern. Diese Frage sollten wir uns aber idealerweise nicht nur in Deutschland stellen, sondern auch in Brüssel.
Nehmen wir an, dass mehrere Banken betroffen sind – oder sogar Banken und Versicherer oder andere Finanzdienstleister. Wäre die BaFin gerüstet?
Das ist bislang nicht vorgekommen, wäre aber wohl ein Beispiel für eine Cyberkrise und damit ein Fall für unseren „Krisenplan Cyber“. Den wollen wir hausweit etablieren und sind gerade in der Feinabstimmung.
In einer Cyberkrise (siehe Infokasten) kämpfen wir auch gegen die Zeit. Wir müssen innerhalb kurzer Zeit reagieren und die richtigen Entscheidungen treffen können. Da müssen wir aus dem Stand mit allen Beteiligten kommunizieren und uns untereinander abstimmen können. Blitzschnell und reibungslos. Sowas kann man nicht dem Zufall überlassen, da muss jede Bewegung sitzen. Aus dem Grund haben wir den „Krisenplan Cyber“ entwickelt. Ich denke, damit sind wir gut gerüstet. Wie gesagt, wir hatten noch keine Cyberkrise und mussten den Krisenplan auch noch nicht aus der Schublade ziehen. Aber wir haben ihn mehrmals mit Erfolg durchgespielt – auch unter kritischen externen Blicken.
Definition:Was ist eine Cyberkrise?
Der „Krisenplan Cyber“ definiert eine Cyberkrise als einen Cybervorfall (siehe Infokasten), der Funktionen eines oder mehrerer beaufsichtigter Unternehmen beeinträchtigt,
- deren fehlende Ausübung die Realwirtschaft oder das Finanzsystem gefährden oder
- deren plötzlicher Ausfall wahrscheinlich wesentliche Auswirkungen auf Dritte hat oder zur Ansteckung führt oder das allgemeine Vertrauen der Marktteilnehmenden untergraben könnte.
Drehen wir das Rad noch etwas weiter: Wie reagiert die BaFin, wenn aus einer Cyberkrise eine, sagen wir, klassische Krise wird? Eine Liquiditätskrise zum Beispiel.
Das wäre nicht auszuschließen, und wir bilden solche Entwicklungen in unserem Krisenplan Cyber auch ab. Für die so genannten klassischen Krisen haben wir in der BaFin ohnehin schon Krisenpläne. Seit langem. Mit denen verknüpfen wir unseren Cyber-Krisenplan. Unser Ziel ist, dass wir auch bei solchen Entwicklungen sofort entscheidungs- und handlungsfähig sind. Es muss klar sein, wer wen worüber informiert, wer welche Entscheidungen trifft und so weiter. Auch da sind wir gut aufgestellt. Aber am liebsten wäre mir, wenn es soweit gar nicht käme.
Man kann es gar nicht oft genug sagen: Wir brauchen ein gut funktionierendes Krisenmanagement – bei den Unternehmen und bei uns. Aber wir brauchen auch eine gute Abwehr. An beides – Krisenmanagement und Abwehr – stellen wir in unseren Rundschreiben BAIT, VAIT und KAIT daher auch hohe Anforderungen (siehe Infokasten).
Von der Cyberkrise über die klassische Krise zur Systemkrise: Der Europäische Ausschuss für Systemrisiken hat im Februar 2020 Cyberrisiken als mögliches Risiko für das gesamte Finanzsystem eingestuft.8 Der Ausschuss für Finanzstabilität hat schon 2019 Cyberrisiken als systemische Risiken für Deutschland identifiziert. Wie könnte ein systemischer Vorfall aussehen?
Von einem systemischen Vorfall würde ich reden, wenn kritische Dienstleistungen des Finanzsektors wegen einer IT-Störung nicht mehr zur Verfügung stehen. Der Grund könnte eine Cyberattacke sein, aber auch eine interne Panne. Stellen Sie sich folgendes vor: Die Karten eines großen Instituts funktionieren nicht mehr, weil irgendwas versehentlich falsch konfiguriert worden ist. Die Kunden dieses Instituts wären von jetzt auf gleich nicht mehr zahlungsfähig. Da kommt Freude auf, wenn Sie gerade vollgetankt haben oder mit einem Rieseneinkauf an der Supermarktkasse stehen. Oder wenn Sie als Dienstleister dringend eine Warenlieferung brauchen.
Wenn so etwas passiert, ist für die Finanzstabilität entscheidend, wie lange die Störung anhält. Dauert der Vorfall lange oder befinden wir uns ohnehin schon in einer Krise – man denke nur an die Corona-Pandemie – dann können die Auswirkungen für die Kunden gravierend sein. Da müssten wir dann zur Not einschreiten.
Was die Sache noch verschlimmern könnte: Die Kunden anderer Banken könnten nervös werden und Geld abziehen, weil sie Angst haben, später keines mehr abheben zu können. Dann ließe der gefürchtete Bank-run nicht mehr lange auf sich warten. Und dann könnten auch Institute in Liquiditätsengpässe geraten, die eigentlich nichts mit dem IT-Vorfall zu tun hatten.
Gab es solche systemischen Vorfälle schon?
Wir hatten schon Vorfälle, bei denen kritische Funktionen einer großen Bank oder einem ganzen Verbund an Banken lahmgelegt waren. Sie waren aber zeitlich sehr eng begrenzt und den Betroffenen ist es gelungen, rechtzeitig gegenzusteuern und die Auswirkungen früh genug einzudämmen. Außerdem haben die Informationskanäle, die ich gerade beschrieben habe, sehr gut funktioniert.
Herr Röseler, wir danken Ihnen für das Interview!
Das Interview führte Ursula Mayer-Wanders, Gruppe Kommunikation. Mitgewirkt haben Theresa Nabel und Dr. Sebastian Silberg, beide Gruppe IT-Aufsicht.
Fußnoten:
- 1 Vgl. Financial Stability Board (FSB), Cyber lexicon, Seite 9, abgerufen am 21.4.2020.
- 2 Vgl. "Aufsicht über Kritische Infrastrukturen im Finanzwesen – ein Überblick über den Status quo".
- 3 Vgl. "Sicher“ im Namen".
- 4 Europäische Kommission, Digital Operational Resilience Framework for financial services: Making the EU financial sector more secure, abgerufen am 7. Mai 2020.
- 5 Stand 20. April 2020.
- 6 So genannte weniger bedeutende Institute (Less Significant Institutions – LSIs).
- 7 Vgl. auch "Cyber-Resilienz mittels TIBER-DE – Ein zukünftiges Rahmenwerk für ethische Hackerangriffe auf Finanzunternehmen in Deutschland".
- 8 Pressemeldung des ESRB, ESRB publishes report on systemic cyberattacks, abgerufen am 30.4.2020.
