- Es gilt das gesprochene Wort -

Sehr geehrte Damen und Herren,

herzlich willkommen zu unserer Informationsveranstaltung „IT-Aufsicht bei Banken“, die wir nun bereits zum dritten Mal an diesem besonderen Ort ausrichten. Hier, im alten Bonner Plenarsaal, tagten bis in die 90er Jahre hinein noch die Abgeordneten des Deutschen Bundestags. Heute ist der Berliner Reichstag Sitz des Parlamentes. Das Thema IT-Sicherheit ist dort spätestens seit dem Hackerangriff auf das Interne Netzwerk des Bundestags im Mai vergangenen Jahres Gegenstand vieler Debatten. Gerade die Attacke auf die gewählte Vertretung des deutschen Volkes führt uns deutlich vor Augen, dass Cyberangriffe nicht nur Stoff für Science-Fiction-Filme sind. Sie sind Alltag – sehr ernst zu nehmender Alltag.

In einer Welt, in der immer mehr Menschen digital bezahlen und Geld transferieren, in der viele Anleger ihre Geldanlage online bestreiten, ist IT-Sicherheit kein Randthema mehr für Nerds und pingelige Aufseher. Das Thema IT-Sicherheit ist ein gesellschaftlich relevantes Thema und muss gerade bei Finanzunternehmen und -dienstleistern höchste Priorität haben, denn ihnen vertrauen Menschen ihr Geld und ihre Daten an.

Die vielen Anmeldungen zur heutigen Veranstaltung – es waren mehr als 1000 – bestätigen mir, dass Ihnen, den IT-Sicherheitsexperten und Vertretern der Finanzbranche, die Brisanz des Themas bewusst ist. Gut so! Die Informationstechnik ist heute in der Finanzwelt eben nicht mehr nur Nebenbedingung, um Erträge zu generieren, sondern – und das macht sie auch angreifbar – Basisinfrastruktur für sämtliche bankfachlichen, aber auch alle nichtbankfachlichen Prozesse. Sie können sich ausmalen, welche Folgen der Ausfall eines IT-Systems haben kann und was es bedeutet, wenn Cyber-Kriminelle in Ihr IT-System eindringen. One cyber at-tack can ruin your whole day!

Im Kino machen die Bad Guys den Guten oft schwer zu schaffen. Sie haben die besseren Waffen, die schnelleren Autos und scheinen auch mit ihren IT-Möglichkeiten meist einen Schritt voraus zu sein. Im wirklichen Leben dürfen weder Sie noch wir zulassen, dass die „dunkle Seite“ der Digitalisierung diesen Vorsprung gewinnt und ausnutzt. Auch die auf-sichtlichen Anforderungen an die Informationsinfrastruktur müssen da-her immer auf der Höhe der Zeit sein. Wir werden daher unsere MaRisk, die Mindestanforderungen an das Risikomanagement, entsprechend weiterentwickeln und konkretisieren, um für eine angemessene Risikoprävention und ein Mehr an IT-Sicherheit zu sorgen.

Was wir mit Blick auf die IT-Sicherheit vom Management der Institute verlangen, ist mit einem Update der MaRisk nicht ausreichend abgebildet. Prüfungen der Deutschen Bundesbank haben Mängel zutage gefördert, die das unterstreichen, beispielsweise in der IT-Strategie und IT-Governance, in der Informationssicherheit, im Berechtigungsmanagement und der Anwendungsentwicklung. Jörg Bretz, Prüfungsleiter in der Hauptverwaltung Hessen, wird gleich in seinem Vortrag genauer darauf eingehen.

Wir haben daher – auch auf entsprechende Forderungen aus Ihren Reihen – beschlossen, die MaRisk in einem eigenen Rundschreiben zu konkretisieren, in den Bankaufsichtlichen Anforderungen an die IT (BAIT). Mit den BAIT wollen Bundesbank und BaFin transparent machen, was genau wir als Aufseher erwarten. Die BAIT sollen vor allem das Bewusst-sein für IT-Risiken in den Instituten erhöhen – auch im Verhältnis zu den IT-Auslagerungsunternehmen. In Kürze wollen wir die BAIT öffentlich konsultieren. Wir freuen uns auf ihre Anregungen! Renate Essler von der BaFin und Dr. Michael Paust von der Bundesbank werden Sie später in das Thema einführen.

Meine Damen und Herren, neben den originären Cyber- und IT-Risiken, die zu den operationellen Risiken zählen, bringt die Digitalisierung auch Risiken strategischer Natur mit sich, da sie die Wertschöpfungskette der Finanzdienstleistungskette verändert. Wobei man hier nicht nur die Risiken sehen sollte, sondern auch die Chancen. Die PSD2, die zweite Zahlungsdienste-Richtlinie (Payment Services Directive 2), widmet sich diesem Thema ausführlich. Das Vorhaben der EU, einen digitalen Binnen-markt für Finanzdienstleistungen zu schaffen, erhält mit dem digitalen Bezahlen einen weiteren Schub. Die PSD 2 setzt hierfür verlässliche Standards, außerdem trägt sie die unterschiedlichen Anforderungen an die beteiligten Akteure zusammen. Die Richtlinie bringt uns unserem Ziel näher, Innovation, Wettbewerb und Sicherheit in ein ausgewogenes Verhältnis zueinander zu bringen.

Ein wichtiges Element der PSD2 ist die Verpflichtung zur starken Kundenauthentifizierung und sicheren Kommunikation – gewissermaßen als Schutzhelm für das digitale Bezahlen. Die PSD2 ist auch ein Beispiel da-für, dass Regulatorik ein entscheidender Treiber von Innovation sein kann, ein erster Schritt auf dem Weg in ein Zeitalter des Open Banking und des Banking as a Platform. Je näher wir uns auf ein solches Zeitalter zu bewegen, desto schärfer wird natürlich der Wettbewerb zwischen etablierten Kreditinstituten und jungen Fintechs. Ein nicht ganz unerheblicher Anteil der traditionellen Erträge von Banken könnte dabei auf dem Spiel stehen. Umgekehrt ist aber nicht zu übersehen, dass es längst auch Kooperationen zwischen alteingesessenen Banken und jungen Fintechs gibt. Einen Überblick über den aktuellen Stand der PSD2-Umsetzung werden Ihnen meine Kollegen Dr. Felix Reinshagen und Tobias Schmidt geben.

Eingangs habe ich gesagt, dass auch die aufsichtlichen Anforderungen an die Informationsinfrastruktur immer auf der Höhe der Zeit sein müssten. Auch wir Aufseher selbst müssen natürlich sicherstellen, dass wir mit der Entwicklung der IT Schritt halten. Als Finanzaufseher können und wollen wir aber nicht in die Rolle von Programmierern oder Ingenieuren schlüpfen. Wir sind ja durchaus selbstbewusst, aber wir wissen, wo unsere Grenzen liegen. Aus gutem Grund gibt es eine Aufgabenteilung: Unsere Aufgabe ist es zu beurteilen und zu kontrollieren, welchen Einfluss IT-Risiken unter anderem auf Geschäftsmodell, Risikotragfähigkeit und Zulassungspflicht haben, und dies bankaufsichtlich zu würdigen.

Neben dem Kreditwesengesetz, den MaRisk und künftig den BAIT bildet unter anderem das IT-Sicherheitsgesetz den notwendigen Rahmen für unsere aufsichtliche Arbeit.

Der zentrale IT-Sicherheitsdienstleister des Bundes ist das BSI, das Bundesamt für Sicherheit in der Informationstechnik. Das BSI hat das nötige technische Spezialwissen, wir haben das Aufsichtswissen. Da wir sehr eng mit dem BSI zusammenarbeiten, können wir unser Aufsichtswissen mit dem IT-Wissen des BSI bündeln. Angesichts der Dynamik der technischen Entwicklung und der Kreativität der bösen Jungs werden wir uns gemeinsam immer neuen Herausforderungen stellen und daran wachsen.

Was wir künftig vor allem bei den „kritischen Infrastrukturen“ haben werden, ist eine duale Aufsicht. In manchen Bereichen, etwa bei einigen Meldepflichten, werden wir auch eine doppelte Aufsicht haben. Das lässt sich aufgrund paralleler Tatbestände in den einschlägigen Rechtsnormen und der verschiedenen Rollen von BSI und BaFin nun einmal nicht ganz vermeiden. Von meinen Kollegen Dr. Jens Gampe und Dr. Sebastian Silberg werden wir nachher mehr zu diesem Thema erfahren.

Digitalisierung und Cyberrisk – dazu passt der viel zitierte Satz „We are building the plane while flying it”. Es werden Technologien und Geschäftsmodelle entwickelt, die an den Start gehen, ohne dass wir deren Risiken und Nebenwirkungen bereits abschließend kennen. Wir möchten heute einen Beitrag dazu leisten, dieses Wissen voranzubringen. Ich wünsche Ihnen und uns viele konstruktive Gespräche und anregende Diskussionen, meine Damen und Herren. Und nun übergebe ich an Jens Obermöller, den Leiter des Referats Kompetenz IT-Sicherheit der BaFin.