Erscheinung:27.09.2018 | Thema Risikomanagement Rede bei der BaFin-Veranstaltung „IT-Aufsicht bei Banken“
Rede des Exekutivdirektors Bankenaufsicht am 27. September 2018 in Frankfurt am Main
Es gilt das gesprochene Wort.
Meine Damen und Herren,
ich begrüße Sie alle herzlich zu unserer Informationsveranstaltung „IT-Aufsicht bei Banken“. Diese richten wir nun bereits zum fünften Mal aus. Diesmal nicht in Bonn, im alten Plenarsaal, sondern im Kap Europa. Dieser Wechsel von der alten Bundeshauptstadt in eine Location, die Europa im Namen trägt, spiegelt die zunehmende Harmonisierung aufsichtlicher Fragen auf europäischer Ebene treffend wider. Und für eines dürfte die Digitalisierung mindestens sorgen: Die Finanzaufsichtsbehörden werden sich künftig in noch stärkerem Umfang als bisher europaweit, wenn nicht global vernetzen. Aus gutem Grund ist das Thema dieser Veranstaltung, die Cyber-Sicherheit, deshalb ein gemeinsames Projekt nationaler und internationaler Behörden.
Deren Kompetenzen müssen ineinandergreifen, um „die Abwehr“ zu schließen. Und daher freue ich mich, neben Vertretern der EZB und der Bundesbank auch den Präsidenten unserer nationalen Cyber-Sicherheitsbehörde BSI, Herrn Arne Schönbohm, als KeyNote Speaker begrüßen zu dürfen. Ganz herzlich willkommen und bereits jetzt vielen Dank für Ihre Mitwirkung!
Angesichts dieser spannenden Themen ist es uns natürlich wichtig, möglichst viele Gäste hier zu begrüßen und mit Ihnen ins Gespräch zu kommen. Diese Veranstaltung war innerhalb von wenigen Stunden komplett ausgebucht.
Mit über 1.300 Anmeldungen haben wir dabei nicht nur die Anmeldezahl von 2017 geknackt, sondern wir haben auch noch den Anmelderekord aller BaFin-Veranstaltungen überhaupt aufgestellt. Das freut uns natürlich sehr.
Dieser enorme Zuspruch zeigt uns, dass die weiter voranschreitende Digitalisierung auch in der Bankenwelt ein heißes Thema ist. Open Banking, Banking-as-a-Platform und Cloud Computing sind nur einige der Entwicklungen, die Institute wie Aufsicht vor teilweise völlig neue Herausforderungen stellen. Diese Entwicklungen haben das Potential, die Wertschöpfungsketten grundlegend zu verändern. Insbesondere das Thema Cloud Computing beschäftigt auch die BaFin intensiv. Dazu haben wir eine Orientierungshilfe für die Institute erarbeitet, die kurz vor der Veröffentlichung steht.
Meine Kollegin Ira Steinbrecher wird Sie in ihrem Vortrag durch die wesentlichen Inhalte führen.
Natürlich müssen und werden wir auch über Risiken sprechen: Die Nebenwirkungen der neuen digitalen Technologien und Geschäftsmodelle lassen sich zum Teil noch gar nicht abschließend beurteilen. Fest steht: Die zukünftige Bankenwelt wird anders sein als die heutige. Aber wie genau sie aussehen wird, darüber können wir seriöserweise noch keine Prognosen abgeben. Dazu ist die Innovationsgeschwindigkeit momentan einfach zu hoch. Eines aber steht fest: In der digitalen Finanzwelt ist die Informationstechnik ein entscheidender Wettbewerbsfaktor für den Erfolg von Banken geworden. Die IT-Systeme sind heute nicht mehr nur notwendige Infrastruktur oder gar bloßer Kostenfaktor. Sie sind das Fundament, auf dem künftig das Gros der Geschäfte abgewickelt wird. Und deshalb gilt nicht nur „banking is people“, sondern inzwischen auch „banking is technology“. Wer diese Entwicklung im Banking ignoriert oder, schlimmer noch, sie nicht wahr haben will, der handelt fahrlässig. Banken, die ihre IT-Systeme und ihre Prozesse nicht schnell auf den neusten Stand bringen, laufen Gefahr, massiv an Wettbewerbsfähigkeit einzubüßen. Aber auch das Gegenteil trifft zu: Mit Investitionen in die IT und in kreative Köpfe lassen sich die Chancen ergreifen, die uns die digitale Welt eröffnet.
Gleichzeitig darf aber niemand die Augen vor den Risiken verschließen, die mit der gestiegenen Bedeutung von IT in den Banken einhergehen. Ich sage es in aller Deutlichkeit: Die Gefahren, die sowohl durch interne IT-Probleme wie durch externe Cyber-Angriffe auf die Finanzunternehmen einwirken können, sind eine fundamentale Bedrohung. Nicht nur für das einzelne Unternehmen, sondern je nach Ausmaß auch für die Finanzstabilität insgesamt. Denn in der klassischen Risikomatrix finden Sie IT-Risiken rechts oben, das heißt: Die Wahrscheinlichkeit, dass es zu Angriffen auf die IT kommt, ist 1 – es gibt sie jeden Tag. Und die Schadenshöhe kann gravierend sein. Spektakuläre Fälle wie WannaCry haben Sie alle mitbekommen. Aber es gibt nahezu täglich auch weniger spektakuläre Angriffsversuche auch auf deutsche Unternehmen.
Für Journalisten gilt ja häufig der Grundsatz: Nur schlechte Nachrichten sind gute Nachrichten. Und deshalb lesen wir viel über groß angelegte Cyber-Attacken und wenig über das, was dagegen getan wird. Daher weiß außerhalb der Fachwelt kaum jemand, dass die IT-Sicherheit von Banken schon seit geraumer Zeit im Fokus unserer aufsichtlichen Praxis steht.
Mein Kollege Jens Obermöller wird Ihnen gleich einen kurzen Überblick über die aktuellen Arbeitsschwerpunkte der IT-Aufsicht der BaFin geben. Claus Sengler von der Europäischen Zentralbank wird das Thema heute Nachmittag aus der europäischen Perspektive beleuchten.
Im November vergangenen Jahres haben wir unsere „Bankaufsichtlichen Anforderungen an die IT“ – kurz: „BAIT“ veröffentlicht. Sie sollen neben anderen Dingen das Risiko- und Sicherheitsbewusstsein in den Banken erhöhen. Manches in diesen Anforderungen mag trivial klingen: Da wird zum Beispiel eine IT-Strategie oder ein IT-Schwachstellenmanagement gefordert. „So etwas liegt doch auf der Hand“, könnten Sie sagen. Glauben Sie mir: Wir haben diese Anforderungen nicht ohne Grund mit aufgenommen. Denn genau hier stellen wir immer wieder Mängel fest. Das untermauern auch die Zahlen: Wir haben seit Einführung der Meldepflicht für Vorfälle im Zahlungsverkehr eine dreistellige Anzahl von Meldungen erhalten, davon mehr als 100 für bedeutsame Vorfälle. Und die können im schlimmsten Fall – siehe Risikomatrix – existenzbedrohend wirken. Davon resultieren die allermeisten gar nicht aus externen Cyber-Angriffen, sondern aus Fehlern der internen IT-Strukturen. Die Einführung der BAIT war deshalb ein richtiger Schritt. Renate Essler von der BaFin und Dr. Michael Paust werden hierzu Ihre Einblicke mit Ihnen teilen und über die Weiterentwicklungen der BAIT berichten. Den Blick aus der Prüfungspraxis der BAIT-Anforderungen wird Rainer Englisch von der Bundesbank beisteuern.
Neben den Vorfällen im Zahlungsverkehr kommt es auch in anderen, uns wohlbekannten IT-Bereichen einer Bank zu Sicherheitsvorfällen. Und auch hier sind Mängel in der Cyber-Hygiene und Software- oder Hardwarestörungen eine viel häufigere Ursache als Attacken von außen. Wir werden daher einen stärkeren Fokus auf die Effektivität von Schutzmaßnahmen und auf geeignete Krisenreaktionsmechanismen legen müssen. Dabei wird es darum gehen, wie Krisenübungen und ein wirksames Notfallmanagement aussehen sollten. Auch das Thema Penetrationstest wird im kommenden Jahr im Fokus unserer Arbeit stehen.
Meine Damen und Herren,
IT wird niemals endgültig sicher sein. Dazu entwickelt sich der technische Fortschritt viel zu schnell. Von den Marktteilnehmern, aber auch von uns Aufsehern wird zurecht verlangt, dass wir mit diesen Entwicklungen Schritt halten. Wir müssen auch unsere eigenen Regeln auf den Prüfstand stellen. Und das geht weit über die BAIT hinaus. So mussten Bankmanager bis vergangenes Jahr umfassende bankpraktische Erfahrungen vorweisen, um Vorstand werden zu können – insbesondere Erfahrungen im potentiell riskanten Kreditgeschäft. Das war auch richtig so: Schließlich sollte jeder künftige Bankvorstand in seinem Berufsleben auch schon mal mit dem Risiko konfrontiert gewesen sein, richtig Geld zu „verbrennen“. Und das Risiko hierfür war und ist im Kreditgeschäft besonders groß. Im heutigen Zeitalter der Cyber- und IT-Risiken ist es aber genauso wichtig, dass ein Geschäftsleiter über fundierte IT-Kenntnisse verfügt. IT-Vorstände ohne bankpraktische Erfahrung können daher heute bereits, zumindest in geeigneten Fällen, nach sechs Monaten zum Geschäftsleiter werden.
Meine Damen und Herren,
neben den operationellen IT-Risiken gibt es auch strategische Risiken. Diese ergeben sich aus den Veränderungen der Wertschöpfungskette der Finanzdienstleister. Veränderungen, die die Digitalisierung erzwingt. Aber dieser Zwang zur Veränderung eröffnet auch viele Möglichkeiten. Beispiel Zahlungsverkehr: Dienstleister, die von der Finanzaufsicht zugelassen sind, dürfen mit Zustimmung des Kontoinhabers rund um das Zahlungskonto innovative Dienste erbringen. Diese Chance besteht natürlich nicht nur für junge Finanzunternehmen. Auch jedes Kreditinstitut kann diese Dienste anbieten. Die PSD2, die zweite Zahlungsdienste-Richtlinie (Payment Services Directive 2), widmet sich diesem Thema ausführlich. Tobias Schmidt und Felix Strassmair von der BaFin berichten in ihrem Vortrag über die neuesten Entwicklungen zu diesen Themen.
Meine Damen und Herren,
die Herausforderungen der Digitalisierung mit ihren Chancen und Risiken sind in vielen Fällen noch ein unbeschriebenes Blatt. Aber ich kann Ihnen eines versprechen: Wir sind dabei, das Blatt – gemeinsam mit den Behörden im In- und Ausland – immer weiter zu füllen. Und wir werden diese Themen auch künftig immer wieder mit Ihnen diskutieren.
Damit wir noch intensiver miteinander ins Gespräch kommen, haben wir im Foyer – erstmals bei dieser Veranstaltung – Informationsstände zu den Themen Cloud, PSD 2 und BAIT eingerichtet. Dort können Sie mit Kolleginnen und Kollegen der BaFin ins Gespräch kommen und Ihre Fragen loswerden. Und ich bitte Sie: Machen Sie reichlich Gebrauch davon! Denn von einem bin ich fest überzeugt: Wohin uns die Digitalisierung auch führen mag: Der menschliche Austausch wird unersetzbar bleiben. Das gilt in besonderem Maße auch für die Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). BaFin und BSI haben ein gemeinsames Ziel: die IT-Sicherheit im Finanzsektor zu stärken. Dem dient die duale Aufsicht über die Betreiber kritischer Infrastrukturen. Dabei haben wir ein weiteres konkretes Anliegen im Blick: Die betroffenen Unternehmen sollen so wenig wie möglich zusätzlich belastet werden. Erst vor zwei Wochen haben wir dafür die BAIT entsprechend ergänzt – auch das ein Ergebnis enger Abstimmung zwischen BaFin und BSI. Zudem haben wir als BaFin die Chance, unsere Aufsichtsexpertise im Cyber-Abwehrzentrum des BSI einzubringen. Dort gewinnen wir wiederum ganz aktuelle Erkenntnisse zur Cyber-Abwehr, die uns bei unserer täglichen Arbeit helfen.
An dieser Stelle möchte ich mich recht herzlich für die intensive und vertrauensvolle Zusammenarbeit beim Präsidenten des BSI bedanken, Herrn Arne Schönbohm. Ich übergebe Ihnen, lieber Herr Schönbohm, das Wort und bin gespannt auf ihre Ausführungen.