Es gilt das gesprochene Wort!

Sehr geehrte Damen und Herren,

auch ich begrüße Sie herzlich zu unserer Konferenz „IT-Aufsicht bei Banken“, die heute mittlerweile in die siebte Auflage geht. Unsere Veranstaltung findet erstmals rein virtuell statt. Natürlich wäre es mir lieber gewesen, Sie persönlich zu treffen, aber immerhin: Moderne Technik macht es auch in Zeiten der COVID-19-Pandemie möglich, dass wir uns über wichtige Fragen der IT-Sicherheit austauschen. Und davon abgesehen: dieses Format hat ja auch Vorteile. Sie sparen den Reiseaufwand und wir konnten weit mehr Teilnehmer zulassen, als dies bei einer physischen Veranstaltung der Fall gewesen wäre.

Nicht nur unsere Konferenz ist digital geworden, meine Damen und Herren. Die gesamte Finanzindustrie hat durch Pandemie und Kontaktbeschränkungen nochmals einen digitalen Schub erhalten. Selbst Kundenberater mussten zeitweise ins Homeoffice wechseln. Da verwundert es nicht, dass digitales Banking mit rund um die Uhr verfügbaren Servicekanälen weitere Marktanteile gewinnen konnte. Für mich besonders bemerkenswert: Sogar die Deutschen, lange Zeit treue Bargeld-Fans, zahlen inzwischen selbst kleine Beträge kontaktlos mit der Karte. Beim Bäcker ebenso wie im Zeitungsladen. Damit ist auch das Potenzial für neue Marktteilnehmer wie Fintechs und Online-Zahlungsdienstleister größer geworden.

Je digitaler die Finanzwelt wird, desto mehr gewinnt das Thema IT-Sicherheit an Bedeutung. Die Pandemie hat dabei einige sehr grundlegende Fragestellungen in den Fokus gerückt. Zum Beispiel: Was passiert, wenn der physische Zugang zu Rechenzentren aufgrund von Ausgangssperren nicht mehr uneingeschränkt möglich ist? Diese Frage wird besonders brisant, wenn die entsprechenden IT-Dienstleistungen nicht aus dem Inland oder Europa bezogen werden, sondern an „offshore“-Dienstleister ausgelagert wurden. Einfach hinfliegen und nach dem Rechten sehen, war in der Pandemie ja nicht immer so einfach möglich. Ein anderer neuralgischer Punkt: Die quasi flächendeckende Nutzung von Homeoffice und die Tatsache, dass viel mehr Menschen Bankgeschäfte online abwickeln. In der Pandemie war dies zwar dringend erforderlich, Hacker und Cyberkriminelle haben aber schnell Witterung aufgenommen und neue Einfallstore für sich entdeckt. Unser Fazit: Insgesamt hat die Pandemie die Bedrohungslage im Cyber-Raum dauerhaft erhöht. Deshalb haben wir die IT-Risiken der Banken noch schärfer unter die Lupe genommen als zuvor. In der Hochphase der Pandemie haben wir die Institute und wichtige IT-Dienstleister besonders eng begleitet. Außerdem standen und stehen wir regelmäßig in Kontakt mit Partnerbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik in Bonn und tauschen uns über unsere Erkenntnisse aus. Glücklicherweise haben sich die gravierenden Vorfälle in Grenzen gehalten. Das zeigen unter anderem die Meldungen, die uns Banken und andere Zahlungsdienstleister regelmäßig senden müssen. Meldeten die Unternehmen 2018 und 2019 noch jeweils rund 300 Betriebs- und Sicherheitsvorfälle, so waren es im ersten Pandemiejahr 2020 nur noch gut 240. In der ersten Hälfte dieses Jahres waren es knapp 160. Und wenn man sich die Problemursachen genauer ansieht, stellt man fest: Rund 40 Prozent der Meldungen beruhen auf Systemfehlern. Will sagen: Die Schwierigkeiten sind meist hausgemacht. Da waren zum Beispiel Systeme falsch konzipiert und Komponenten fehlerhaft. Stellen wir solche Mängel fest, dann braucht das Institut nicht lange auf einen Brief oder einen Anruf von uns zu warten: IT-Sicherheit muss bei jedem Institut Top-Priorität sein. Allerdings decken unsere Meldungen nur einen Teil der tatsächlichen Entwicklungen ab.

Wie hoch das Risiko ist, Opfer von Cyberangriffen zu werden, darauf hat die Europäische Kommission bereits im vergangenen Herbst hingewiesen. Demnach hätten die Attacken auf den europäischen Finanzsektor seit Ausbruch der Pandemie um mehr als ein Drittel zugenommen. Noch schauriger als diese große Zahl sind die konkreten Berichte über Hackerangriffe, wie sie auch in Deutschland leider immer wieder vorkommen. Diese Schilderungen machen deutlich, wie geschickt die Angreifer vorgehen und wie leicht sie den Banken das Leben schwermachen können. So geschehen etwa im Januar 2020, als ein Dienstleister einer größeren Bank Opfer von DDOs-Angriffen wurde. Das Bundeskriminalamt fand später heraus: Die Angriffe waren möglicherweise das Werk zweier Jugendlicher. Auch im genossenschaftlichen Sektor kam es zu DDOs-Angriffen, zuletzt Anfang Juni auf das Online-Banking von rund 800 Kreditinstituten.

Außerdem haben wir in den vergangenen Monaten wiederholt Erpressungsversuche mit Ransomware-Angriffen beobachtet. Dabei wollen die Angreifer ein Lösegeld erpressen, bevor sie Bildschirme oder Daten wieder freigeben. Unter anderem eine deutsche Großbank hat im März 2020 einen Ransomware-Angriff auf einen ihrer Dienstleister gemeldet. Möglicherweise waren auch andere Kunden betroffen, da der Dienstleister noch weitere Banken, aber auch Unternehmen und Einrichtungen außerhalb des Bankensektors bedient. Und auch ein deutscher Versicherer wurde im Juli 2021 Opfer eines Ransomware-Angriffs. Bei diesem Angriff wurde nicht nur der Geschäftsbetrieb des Versicherers für einen längeren Zeitraum nahezu komplett lahmgelegt, sondern es wurden auch große Datenmengen – insbesondere personenbezogene Daten - erbeutet.

All das legt zwei grundlegende Handlungsfelder offen:

Erstens: Cyberkriminelle ruhen sich niemals aus. Und sie sind kreativ. Immer wieder suchen und finden sie neue Angriffsmöglichkeiten und Einfallstore. Dafür entwickeln sie sogar eigene Tools. Und wenn selbst jugendliche Nerds aus Langeweile das erweiterte Netzwerk eines größeren deutschen Instituts auf die Probe stellen können, dann zeigt das, dass die Banken ihre digitale Resilienz konsequent weiter verbessern müssen. Sie müssen widerstandsfähiger und anpassungsfähiger werden. Und sie müssen imstande sein, ihre digitalen operationellen Prozesse auch während eines Störungsfalls aufrechtzuerhalten.

Zweitens: Die Auslagerungen. Aus den verschiedensten Gründen ist Outsourcing auch im Bankensektor zu einem unumkehrbaren Trend geworden. Wir Aufseher finden dies gar nicht negativ. Zum einen, ist dies sicher ein Instrument, mit dem Banken ihre Kosten begrenzen können. Und auch unter Sicherheitsaspekten begrüßen wir es durchaus, wenn Dienstleistungen – insbesondere im IT-Bereich – durch professionell aufgestellte Unternehmen erbracht werden. Nicht zuletzt die Corona-Pandemie hat aber gezeigt, dass die Aufspaltung von Wertschöpfungsketten auch Risiken birgt. Insbesondere, wenn Institute in hohem Maß von einzelnen Dienstleistern abhängig sind. Ein Beispiel veranschaulicht dies: Gerade als in Deutschland die erste Corona-Welle abgeebbt war, brach sie in Indien aus, und das auch noch zur Monsunzeit. Dieses Zusammentreffen von Pandemie und Unwettern führte schnell zu Engpässen bei Rechenzentren, auf die deutsche Banken Daten ausgelagert hatten. Was beweist: Selbst das beste und teuerste eigene Sicherheitssystem hilft einer Bank wenig, wenn die Netzwerke ihrer Dienstleister oder Subdienstleister Sicherheitslücken aufweisen – oder Opfer höherer Gewalt werden. Wir werden die IT-Verantwortlichen der Banken daher künftig noch stärker in die Pflicht nehmen: Sie müssen genau Buch darüber führen, welche Dienstleistung ausgelagert wurde bzw. von wem welche Dienstleistung bezogen wird.

Meine Damen und Herren,

natürlich weiß ich aus unseren Gesprächen mit den Instituten, dass den meisten Vorständen diese Probleme bewusst sind. Und die meisten Banken investieren auch viel Geld und Manpower, um ihre IT sicher zu machen. Und dies ist gewiss auch ein Grund, warum der Bankensektor bisher weniger von Cyberangriffen als so manche andere Branche betroffen ist. Aber leider gilt dies nicht für alle Banken Noch immer - und bedauerlicherweise viel zu oft - erleben wir die eine oder andere böse Überraschung, wenn wir die IT-Systeme der Banken prüfen. Das muss sich ändern. Es wird Zeit, dass die Banken von sich aus aktiv werden. Andernfalls werden wir aktiv oder – schlimmer noch – irgendwelche Hacker.

Das Thema IT-Sicherheit ist aus meiner Sicht aber so elementar, dass es regulatorisch mindestens auf europäischer Ebene angegangen werden muss, wenn nicht sogar auf globaler. Mit dem ersten Entwurf des „Digital Operational Resilience Acts“ (DORA) hat die Europäische Kommission im Spätsommer des vergangenen Jahres einen wichtigen Impuls gesetzt. Konkret plant die Kommission, im Rahmen von DORA die digitale operationelle Resilienz der Finanzunternehmen zu stärken und kritische IKT-Drittdienstleister auf dem Gebiet der Informations- und Kommunikationstechnologie stringent und noch konsequenter zu überwachen, ohne dabei die Finanzunternehmen aus ihrer Verantwortung zu entlassen. Herr Dr. Beekmann wird uns gleich noch einige Details dazu vorstellen. Allerdings wird DORA noch eine Weile auf sich warten lassen. Sowohl im Europäischen Parlament wie auch im Rat dauern die Verhandlungen noch an. Näheres zu DORA erläutert uns Frau Brüggemann gleich in ihrem Vortrag.

Schwarz auf weiß haben wir dagegen bereits die zusätzlichen Kompetenzen, mit denen uns der deutsche Gesetzgeber im Mai mit dem FISG ausgestattet hat, dem Gesetz zur Stärkung der Finanzmarktintegrität. Ab 2022 kann die Aufsicht direkt auf Unternehmen zugreifen, auf die Banken wesentliche Aktivitäten und Prozesse auslagern. Das FISG gibt uns dafür schon das eine oder andere scharfe Schwert an die Hand – unter anderem in Form erweiterter Anordnungsbefugnisse: Mussten wir bislang den Umweg über die Banken nehmen, können wir künftig unmittelbar auf das Auslagerungsunternehmen zugreifen, wenn wir einen Missstand vermeiden oder beheben wollen. Auch Bußgelder können wir dann direkt gegenüber dem jeweiligen Unternehmen verhängen. Und für den Fall, dass Institute Auslagerungsunternehmen in Drittstaaten außerhalb des Europäischen Währungsraums beauftragen, müssen sie mit diesen vertraglich einen Zustellungsbevollmächtigten vereinbaren, an den wir zum Beispiel Prüfungsanordnungen kurzfristig zustellen können. Außerdem wird die Anzeigepflicht für wesentliche Auslagerungen wiedereingeführt, was uns einen flächendeckenden Überblick über Auslagerungen und die damit einhergehenden (Konzentrations-)Risiken verschafft.

Auch wir selbst waren in den vergangenen Monaten auch außerhalb der laufenden Aufsicht aktiv. Um die Informationssicherheit im Finanzsektor weiter zu stärken, haben wir unsere Mindestanforderungen an das Risikomanagement der Banken (MaRisk) und die Bankaufsichtlichen Anforderungen an die IT (BAIT) noch einmal angepasst. Die Novellen beider Rundschreiben wurden im August veröffentlicht, ebenso die neuen ZAIT, die Anforderungen an die IT von Zahlungsdienstleistern. Bei den Arbeiten an den MaRisk und den BAIT haben wir nicht nur europäische Richtlinien umgesetzt, sondern auch Erkenntnisse aus unseren aufsichtlichen Prüfungen einfließen lassen. Zur BAIT-Novelle und zur Einführung einer Anzeigepflicht hören Sie gleich mehr von Herrn Dr. Beekmann.

Außerdem haben wir die Gruppe IT-Aufsicht der BaFin um ein Referat für Incident Reporting, Überwachung von IT-Mehrmandantendienstleistern und Krisenprävention erweitert. Neu ist auch eine weitere Gruppe zur Überwachung von Zahlungsdienstleistern. Sie sehen: Auch in der Struktur der BaFin erhält Informationssicherheit noch mehr Gewicht.

Ein weiteres wichtiges Thema war der SREP, der aufsichtliche Überprüfungs- und Bewertungsprozess für die Informations- und Kommunikationstechnologie der unter unserer direkten Aufsicht stehenden sogenannten weniger bedeutenden Institute, den LSIs. Näheres hierzu hören Sie gleich von Herrn Vogel von der Deutschen Bundesbank. Ebenfalls von der Bundesbank spricht zu uns Herr Englisch, der zu IT-Prüfungen im Lichte der MaRisk-Novelle vortragen wird.

Meine Damen und Herren,

eines muss uns allen klar sein: IT-Sicherheit ist kein kurzer Sprint, sondern – im wahren Wortsinn – ein Dauerlauf, und das in hohem Tempo. Die digitale Transformation der Finanzwirtschaft ist nämlich noch längst nicht an ihrem Ende angekommen. Wir befinden uns allenfalls am Ende der ersten Kurve. Und mit jeder neuen Innovation und jeder neuen Entwicklung tun sich neben wirtschaftlichen Chancen auch Risiken auf, die wir immer wieder neu analysieren und eindämmen müssen. Unser Austausch mit Ihnen bleibt deshalb unerlässlich. In Konferenzen wie dieser, aber auch in vertiefenden Gesprächen, etwa in den Fachgremien. Auf diese und unsere heutigen Gespräche freue ich mich.

Ich wünsche Ihnen und uns eine ertragreiche Konferenz!