Cyber-Risiken

Die Brisanz des Themas machte BaFin-Präsident Felix Hufeld bei seiner Begrüßung deutlich: „Cyberangriffe sind nicht nur Stoff für Science-Fiction-Filme. Sie sind sehr ernst zu nehmender Alltag.“ Die Informationstechnik sei heute in der Finanzwelt nicht mehr nur Nebenbedingung, um Erträge zu generieren, sondern Basisinfrastruktur für sämtliche Prozesse. Das mache sie aber auch angreifbar. „Im Kino machen die Bad Guys den Guten oft schwer zu schaffen. Sie haben die besseren Waffen, die schnelleren Autos und scheinen auch mit ihren IT-Möglichkeiten meist einen Schritt voraus zu sein.“ Im wirklichen Leben dürften weder die Aufsicht noch die Kreditinstitute zulassen, dass die dunkle Seite der Digitalisierung diesen Vorsprung gewinne und ausnutze, mahnte Hufeld. Dass es für die Veranstaltung mehr als 1.000 Anmeldungen gab, bestätige aber das Problembewusstsein der IT-Sicherheitsexperten und Bankenvertreter.

Dass diesem nun weitere Schritte folgen müssen, verdeutlichte Raimund Röseler, Exekutivdirektor der Bankenaufsicht. Es bereite ihm Sorge, dass IT-Prüfungen bei den Instituten regelmäßig mit schlechten Ergebnissen endeten. „In Schulnoten ausgedrückt kommt kaum eine Bank besser weg als mit einer Vier.“ Auf einer Matrix stünden daher die IT-Risiken rechts oben. Bedeutet: Hohe Wahrscheinlichkeit, hohe Auswirkungen. „Während meiner ersten Berufsjahre in der Bankenbranche hieß es noch: ‚Banking is People‘. Heute heißt es: ‚Banking is Technology‘. Und zwar einschließlich aller damit verbundenen Verwundbarkeitsrisiken“, so Röseler. Der Dialog zwischen allen Beteiligten, auch in Form solcher Veranstaltungen, sei daher von immenser Bedeutung.

Bankaufsichtliche Anforderungen

Bei den Vorträgen von Vertretern der BaFin und der Deutschen Bundesbank stießen vor allem die geplanten Bankaufsichtlichen Anforderungen an die IT (BAIT) auf Interesse, die die BaFin derzeit konsultiert. Das Rundschreiben wird die IT-relevanten Passagen der Mindestanforderungen an das Risikomanagement (MaRisk) konkretisieren und somit transparent machen, was BaFin und Bundesbank in Bezug auf die IT-Sicherheit von den Instituten erwarten.

„Wir schaffen damit einen flexiblen und praxisnahen Rahmen für das Management der IT-Ressourcen und das IT-Risikomanagement“, erklärten Renate Essler, BaFin, und Dr. Michael Paust von der Bundesbank. Sie erörterten Grundprinzipien und Aufbau der BAIT. Diese umfassend acht Themen: IT-Strategie, IT-Governance, Informationsrisiko-, Informationssicherheits- und Benutzerberechtigungsmanagement, IT-Projekte und Anwendungsentwicklung, IT-Betrieb einschließlich Datensicherung sowie Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen.

Geplant sei, das Rundschreiben Mitte des Jahres zu veröffentlichen. „Die BAIT werden dazu beitragen, das Bewusstsein für das IT-Risiko und die IT-Sicherheit in den Banken unternehmensweit zu erhöhen“, sagte Exekutivdirektor Röseler. Er wies darauf hin, dass die Geschäftsleiter für die Umsetzung und Einhaltung der BAIT verantwortlich sind.

Sicherheit im Zahlungsverkehr

Auf der Tagesordnung stand auch die Zweite Zahlungsdiensterichtlinie (siehe BaFinJournal März 2016), zu der die BaFin-Experten Dr. Felix Reinshagen und Tobias Schmidt referierten. Sie wiesen darauf hin, dass die verschiedenen Ziele der Richtlinie durchaus in einem Spannungsverhältnis stünden: die Förderung von Wettbewerb und Innovationen im Zahlungsverkehr bei gleichzeitiger Stärkung der Sicherheit und des Verbraucherschutzes. „Das ist eine Herausforderung.“

Die Europäische Bankenaufsichtsbehörde EBA habe dazu jüngst den Entwurf eines Technischen Regulierungsstandards zur starken Kundenauthentifizierung und sicheren Kommunikation veröffentlicht (siehe BaFinJournal März 2017), der diese Anforderungen in einen gerechten Ausgleich bringen soll. Die Referenten erläuterten unter anderem, in welchen Fällen die starke Kundenauthentifizierung erforderlich ist und welche Ausnahmen der EBA-Entwurf vorsieht. Man müsse aber noch abwarten, ob die Europäische Kommission Änderungen an dem Regulierungsstandard vornehmen werde.

Kritische Infrastrukturen

Dr. Jens Gampe und Dr. Sebastian Silberg (beide BaFin) stellten wichtige Aspekte der neuen BSI-Kritisverordnung vor, der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik). Insbesondere die darin ausgewiesenen Anlagekategorien und Schwellenwerte bilden den Maßstab dafür, welche Unternehmen des Finanzsektors in Zukunft den Betreiberpflichten nach dem BSI-Gesetz unterworfen sein werden. Für den Bankenbereich kommt es beispielsweise darauf an, wie viele Millionen Transaktionen im Zahlungsverkehr jährlich über eine „Anlage“ im Sinne der Verordnung abgewickelt werden.

Sie gingen zudem auf „UP KRITIS“ ein, eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen. Ziel sei es, die Versorgung der Bevölkerung sicherzustellen. Zu den kritischen Sektoren zählt auch der Finanz- und Versicherungssektor.

IT-Aufsichts- und Prüfungspraxis der Bundesbank

Die Teilnehmer gewannen darüber hinaus einen Einblick in die IT-Aufsichts- und Prüfungspraxis der Bundesbank. Jörg Bretz von der Bundesbank-Hauptverwaltung in Hessen stellte Themenschwerpunkte und häufige Feststellungen bei IT-Prüfungen vor und nahm die Themen Cybersicherheit und Cloud-Computing unter die Lupe. Besondere Herausforderungen für die Institute seien die Steuerung der Risiken aus den immer komplexer werdenden Wertschöpfungs- und Lieferketten und die Erfüllung der Anforderungen an die Transparenz der internen Prozesse und Kontrollverfahren von Cloud-Dienstleistern.

Bretz ging zudem auf die Herausforderungen im internationalen Kontext ein, speziell im europäischen Aufsichtsgefüge mit dem Einheitlichen Aufsichtsmechanismus (Single Supervisory Mechanism – SSM) der Europäischen Zentralbank, der EBA und den nationalen Behörden. Die Schwierigkeiten lägen vor allem in der Vielfalt der Sprachen, dem unterschiedlichen Verständnis von Begriffen und den verschiedenen Aufsichtskulturen begründet. Inzwischen habe man aber gemeinsame Prüfungserfahrungen gemacht, auf die man aufbauen könne.