OpRisk
Banken im IT-Risikomanagement führend

Die Fälle von Computer- und Internetkriminalität nehmen weiter zu – nicht nur die Anzahl steigt, sondern auch die finanziellen Schäden werden größer. Nach einem vorübergehenden Rückgang erlebt das Phishing mit immer raffinierteren Methoden ein Comeback. Das zeigen das „Lagebild Cybercrime“ des Bundeskriminalamtes (BKA) und aktuelle Umfragen des Hightech-Verbands BITKOM. Die Cyberkriminellen reagieren professionell und flexibel auf neue Sicherheitsstandards und passen ihre Methoden schnell den geänderten Rahmenbedingungen an. Die Erfahrung zeigt, dass die Angriffe schnell eine Kettenreaktion im Unternehmen nach sich ziehen und zu einer Lähmung der Geschäftsabläufe führen können.

Cyber-Risiken entstehen durch die zunehmende Digitalisierung und Vernetzung von Wirtschaft und Gesellschaft. Heute kann die Infrastruktur jedes Unternehmens angegriffen werden. Daten- und Identitätsdiebstahl, das Sabotieren von Systemen durch Dritte oder durch (ehemalige) Mitarbeiter können jeden treffen und geschehen täglich. Die Folge sind Sach-, Haftpflicht- oder Vermögensschäden, die zu hohen finanziellen Verlusten führen und sich in der Unternehmensbilanz widerspiegeln. „IT-Sicherheit ist Chefsache und gehört in den Risikomanagement-Kontext eingepflegt“, sagt Dr. Rebecca Julia Koch, Geschäftsführerin der Kleist Versicherungsmakler GmbH. Manager, die die Identifikation und Analyse von Cyberrisiken nicht veranlassten, handelten mitunter fahrlässig. Speziell in der Kreditwirtschaft steigt mit zunehmender Digitalisierung auch das IT-Risiko, sodass die Bankenaufsicht ein verstärktes Augenmerk auf die Ausgestaltung der IT-Systeme der Institute legt. Dazu gehören auch IT-Berechtigungen, technisch-organisatorische Ausstattungen, Notfallkonzepte, Outsourcing-Maßnahmen sowie Anpassungen der IT-Systeme bei Fusionen und Übernahmen.

Getrieben wird dieser Trend durch nationale Verwaltungsvorschriften (MaRisk, MaSI) und Gesetze (KWG) sowie internationale Aufsichtsstandards wie die Bankenaufsichtlichen Anforderungen an die IT (BAIT) und die Umsetzung der Prinzipien des Baseler Ausschusses für Bankenaufsicht (z.B. BCBS 239). Der Schwerpunkt liegt dabei auf Data Governance, Datenqualität und -aggregation sowie Risikoreporting und einer adäquaten IT-Infrastruktur. Die Rahmenbedingungen verändern sich stetig und erfordern eine neue Betrachtung des Risiko- und Versicherungsmanagements im Unternehmen. Kritisch wird es aus Sicht der Regulatoren immer dann, wenn aus dem Zugriff auf die Daten wesentliche Risiken für ein Institut entstehen können. „Im Datenmanagement ist deshalb grundsätzlich Verfügbarkeit, Integrität und Vertraulichkeit zu gewährleisten“, sagt Natalie Kress, Managerin Cyber Practice beim Industrieversicherer ACE Group. Zu beobachten sei eine generelle Tendenz, IT-Risiken auch durch Versicherungsverträge zu decken. „Bei Cyberpolicen ist der deutsche Markt allerdings noch sehr zurückhaltend“, so Andreas Wania, Hauptbevollmächtigter der ACE Group im Rahmen eines Roundtable-Gesprächs in Frankfurt. Derzeit bewegt sich das Segment in Deutschland mit rund 10 Mio. € Prämienvolumen p.a. auf äußerst niedrigem Niveau. Weltweit wird der Cyberpolicen-Markt auf 3 Mrd. US-$ geschätzt, wovon die USA alleine 2. Mrd. US-$ auf sich vereinen.

Trotz einer extremen Komplexität von Cyberversicherungen und einem außergewöhnlich hohen Beratungsbedarf sieht Risikomanager Wania auch bei deutschen Unternehmen in den nächsten fünf Jahren erhebliches Steigerungspotenzial. Vor allem Banken reagierten sehr „cyberpolicen-affin“. Da die Institute oft begehrte Ziele von Cyber-Attacken sind und schon vor vielen Jahren mit dem Aufbau des Online Bankings und der Digitalisierung des Geschäftsmodells begonnen haben, ist die Güte des IT-Risikomanagements relativ stark ausgeprägt. Alexander Geschonneck,  Forensik-Experte bei der  KPMG AG, sieht Banken deshalb als Vorreiter im Umgang mit Cyberrisiken. Der Umgang mit IT-Risiken ist allerdings auch eine Frage der Risikokultur. Während in den USA weit weniger Datenschutzvorgaben existieren, „treffen die Unternehmen im Schadenfall bei Verstößen gegen die IT-Sicherheitsanforderungen empfindliche Geldbußen und hohe Schadenersatzansprüche mit Strafcharakter – Reputationsschäden inklusive“, weiß Dr. Gunbritt Kammerer-Galahn, Partnerin bei Taylor Wessing in Düsseldorf. Das US-Rechtswesen habe in den Staaten seinen Ursprung in der Haftpflicht und werde dementsprechend stärker mit Haftpflichtversicherungsprodukten gedeckt, in Deutschland dagegen mehr durch Eigenschaden-, Kostenschaden- und Drittschadendeckung. Hierzulande liege der Schwerpunkt stärker auf der Vorsorge, vor allem die Datenschutz-Hürden seien weltweit mit am höchsten, so Kammerer-Galahn. In anderen Ländern, auch innerhalb der EU, würden Datenschutz-Themen deutlich gelassener behandelt. Zu rechnen ist in naher Zukunft mit einer Angleichung der Risikomanagementpraxis. Schon heute sind Datenverluste und -manipulationen, Hackerangriffe und Computerviren versicherbare Risiken. Dazu zählt auch menschliches Versagen und die unberechtigte Nutzung von IT-Systemen durch Dritte.

Kontakt  
Diesen Artikel ...  
Artikelinformationen 
Artikel veröffentlicht am:
01.07.2015
Quelle(n):

Autor/in 
Stefan Hirschmann
Weitere interessante Artikel 
Artikel abonnieren 
die bank | Newsfeed
Newsletter

die bank | Newsletter

Abonnieren Sie den kostenlosen redaktionellen Newsletter der Fachzeitschrift „die bank“.
Sie erhalten jeden Monat zwei Newsletter mit aktuellen Beiträgen und News.

 Anmeldung

 Newsletter-Archiv