Bankenaufsicht steigert Anforderungen an die IT
Keine Insel der Glückseligen
 

„Die Gefahr ist aus unserer Sicht ernstzunehmen“, warnt Felix Hufeld vor Angriffen aus dem Bereich Cyber-Kriminalität. Nur, weil bislang in Deutschland noch kein wirklich großer Schadensfall eingetreten ist, heiße das nicht, dass man sich auf einer „Insel der Glückseligen“ wähnen dürfe. „Cyber-Angriffe sind nicht Stoff von Science-Fiction-FIlmen, sie sind Alltag.“ Schwachstellen in der IT sind eins der größten Risiken für die deutsche Finanzwirtschaft, kein Thema nur für IT-Nerds und „pingelige Aufseher“ – und die Gefahr ist allgegenwärtig, verdeutlichte der Präsident der Bundesanstalt für Finanzdienstleistungsaufsicht in Bonn vor IT-Sicherheitsexperten und Vertretern der Finanzbranche. „Das Thema muss für Sie höchste Priorität haben, denn Ihnen vertrauen Menschen ihr Geld an.“


Bei einem Ausfall der IT entstehen in wenigen Stunden bereits enorme Schäden. Eine Ausfallzeit im Tagesbereich kann sogar das Überleben einer Organisation gefährden, verdeutlichte Renate Essler (BaFin-Referat Kompetenz IT-Sicherheit). Durch die zunehmende Digitalisierung entstehen dabei immer weitere Risiken. Die Banken sind sich dieser Gefahr durchaus bewusst und arbeiten permanent daran, die Einfallstore so dicht wie möglich zu halten. Was die Aufsicht dabei von ihnen erwartet, wird nun in den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) präzisiert. Sie stellen eine Konkretisierung der MaRisk dar, vertiefen die entsprechenden Regelungen aus dem KWG und schaffen einen flexiblen und praxisnahen Rahmen vor allem für das IT-Risikomanagement und das Management der IT-Ressourcen bei Finanzdienstleistern. Die Institute selbst und ihre Auslagerungsunternehmen werden zu einem höheren IT-Risikobewusstsein angehalten. Die BAIT sind analog zu den MaRisk aufgebaut mit diesen verknüpft, sollen dabei aber auch für „Nicht-IT-Experten“ verständlich bleiben.

Gemeinsam mit der Bundesbank haben die Bonner Finanzdienstleistungsaufseher für die BAIT acht Themenbereiche identifiziert: Neben der IT-Strategie und der IT-Governance stehen das Informationsrisikomanagement und das Informationssicherheitsmanagement auf der Liste, dazu das Benutzerberechtigungsmanagement, die IT-Projekte- und Anwendungsentwicklung, der IT-Betrieb als solcher inklusive der Datensicherung sowie als letzter Punkt die Auslagerung und der Fremdbezug von IT-Dienstleistungen. Die Entwürde wurden bereits mit den Verbänden und Vertretern der Industrie diskutiert und gehen in der kommenden Woche in die Konsultationsphase; im Sommer erfolgt voraussichtlich die Veröffentlichung eines entsprechenden Rundschreibens durch die BaFin.

Die BAIT sollen darüber hinaus – neben dem BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) – auch zur Umsetzung der acht Grundelemente beitragen, die von der G7-Expertengruppe Ende letzten Jahrs als Basisabsicherung für den Finanzsektor entwickelt wurden und die als Basis für die Entwicklung einer Cyber-Strategie gelten. Sie beinhalten eine Cyber-Sicherheitsstrategie, die Unternehmensführung, eine Risiko- und Maßnahmenbewertung, die Überwachung, Reaktion und Wiederherstellung, den Informationsaustausch sowie kontinuierliche Weiterbildung. Eine detaillierte Beschreibung der BAIT werden Sie auch im Mai-Heft unserer Fachzeitschrift „die bank“ finden.

Die Gefahr für die IT macht sich vor allem in Hackerangriffen und DDOS-Attacken bemerkbar. Sogenannte Schläfer, die sich durch eine undichte Stelle im Sicherheitssystem einmal ins Netz gehackt haben, können unter Umständen über viele Monate hinweg nicht entdeckt werden. Währenddessen spionieren sie das Unternehmen, die dort arbeitenden Personen und Arbeitsabläufe aus. Erst, wenn sie die Organisation durchschaut haben, schlagen sie zu und können dank ihres tiefreichenden Wissens viel größeren Schaden anrichten als ein Hacker, der nur eine kleine Attacke reitet. Social Engineering ist eins der Spezialgebiete dieser Schläfer. Dann kommt die Mail mit der Aufforderung zu einer Überweisung eben nicht von einem unbekannten Absender und kann so schnell als Fake identifiziert werden, sondern sie kommt vermeintlich vom Chef persönlich, dessen Daten der Schläfer besitzt. „Niemand kann ausschließen, dass das in Deutschland passiert. Wir sind nicht immun“, sagte Hufeld in Bonn.

Bankenleistung bestenfalls ausreichend 
Wenngleich größere Angriffe noch nicht publik wurden: Die BaFin mache regelmäßig schwerwiegende Feststellungen, verriet Raimund Röseler im Rahmen eines Pressegesprächs. Der Exekutivdirektor Bankenaufsicht konstatierte den europäischen Banken im IT-Bereich „enorm viel Nachholbedarf“. Es gebe sogar eine hohe Wahrscheinlichkeit, dass es irgendwann zu einem gravierenden Vorfall kommen werde, redete er den Banken-Vertretern in Bonn ins Gewissen. Röseler stützt sich dabei auf die Prüfberichte aus den Banken, die offenbar viele Wünsche offenlassen. "In Schulnoten ausgedrückt: Besser als 'vier' ist da keiner!" 

Ein Bereich, der in diesem Zusammenhang viel Aufmerksamkeit erfordert, ist die Auslagerung von Dienstleistungen, auf die Banken zunehmend zurückgreifen. Was hausintern personelle Ressourcen sparen hilft, gehe nicht zwingend mit einer Streuung des Risikos einher, wie Röseler verdeutlichte. Manchmal sei es gar besser, Dienste an fachlich versierte Externe zu vergeben. Schwierig werde es aber durch die weitergehende Beauftragung von Sub-Dienstleistern oder gar Sub-Sub-Dienstleistern. Ihm sei manches Mal unbehaglich, da das Ende dieser Auslagerungskette – und damit die Hoheit über ausgelagerte Daten – nicht erkennbar ist.

An eine festgelegte Begrenzung von solcherlei Outsourcing-Ketten denken die Finanzdienstleistungsaufseher indes nicht. Durch regulatorische Auflagen und Meldefristen könnte man ein solches Modell aber so weit erschweren, dass es für die Banken unwirtschaftlich werde. Auch sei eine Neuauflage der vor zehn Jahren abgeschafften Anzeigepflicht für Auslagerungen denkbar, ergänzte Röseler. Die Outsourcing-Dienstleister selbst werden von der BaFin nicht untersucht. Das soll auch so bleiben: „Wir können nicht auch noch zum Aufseher sämtlicher Dienstleister werden“, hieß es in Bonn. Wird allerdings im Rahmen der Überprüfung der auftraggebenden Bank ein Fehler in der Arbeit des Dienstleisters moniert, resultiert daraus natürlich eine Bestrafung der Bank. Eventuelle Schadenersatzansprüche dürften also in den Vertragswerken zwischen Bank und Dienstleister künftig eine noch wichtigere Rolle spielen.

 

 

Kontakt  
Diesen Artikel ...  
Artikelinformationen 
Artikel veröffentlicht am:
17.03.2017
Erschienen in Ausgabe:

Quelle(n):

Artikelbild: ©shutterstock

Autor/in 
Anja U. Kraus
Weitere interessante Artikel 
Artikel abonnieren 
die bank | Newsfeed
Newsletter

die bank | Newsletter

Abonnieren Sie den kostenlosen redaktionellen Newsletter der Fachzeitschrift „die bank“.
Sie erhalten jeden Monat zwei Newsletter mit aktuellen Beiträgen und News.

 Anmeldung

 Newsletter-Archiv