Seite wählen
Zurück zur Übersicht

Lesezeit: .

Banken, Versicherer und Finanzdienstleister müssen sich auf verstärkte Kontrollen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einstellen, insbesondere hinsichtlich IT- und Cybersicherheit. Der Bereich „IT- und Cyberrisiken“ ist eines von drei Schwerpunktthemen, welche die BaFin für 2021 gesetzt hat.

„Hauptziel war und ist es, die Folgen der Pandemie für die Unternehmen des Finanzmarkts und für die Finanzstabilität einzudämmen“, heißt es im Vorwort der jetzt veröffentlichten Broschüre mit den aufsichtlichen Schwerpunkten der BaFin für 2021. Durch die Pandemie seien IT- und Cyberrisiken noch stärker in den Fokus des Aufsichtshandelns gerückt, weil die digitalen Angebote von Finanzinstituten in einer Zeit eingeschränkten gesellschaftlichen Lebens noch mehr als zuvor genutzt würden. Zugleich sind digitale Geschäftsmodelle weiter auf dem Vormarsch.

Steigendes Risiko durch Cyberangriffe und interne Vorfälle

IT-Systeme werden für die Geschäftstätigkeit der Kreditinstitute immer wichtiger, damit gewinnt auch das Thema Cybersicherheit weiter an Bedeutung. Datendiebstähle und Cybercrime-bedingte Systemausfälle stuft die Finanzaufsicht als „besonders relevante Gefahren“ ein. Schließlich können IT-Pannen oder Cyberangriffe neben finanziellen Verlusten und nachhaltigen Reputationsschäden für betroffene Unternehmen auch systemische Auswirkungen zur Folge haben.

Zunehmendes Gefährdungspotenzial sieht die BaFin außerdem in internen Mängeln und Schwachstellen in IT-Systemen. Die Folgen IT-strategischer Fehlentscheidungen seien mit denen von Cyberangriffen vergleichbar. Überalterte Systeme, die sich nur eingeschränkt warten lassen, sowie unsichere Software begünstigen Ausfälle und Datenverluste.

Auslagerungen von IT-Dienstleistungen im Aufsichtsfokus

Die Auslagerung von IT-Dienstleistungen als wesentliche Aktivitäten und Prozesse im Sinne von §25b KWG gewinnt bei Banken und Sparkassen zunehmend an Bedeutung. Im Rahmen ihrer risikoorientierten Aufsicht will die BaFin daher besonderes Augenmerk auf Auslagerungen legen. Die Behörde kündigte an, im laufenden Jahr systematisch bei den auslagernden Finanzunternehmen abzufragen, welche Maßnahmen sie ergriffen haben, um IT- und Cyberrisiken zu begrenzen. Weniger bedeutende Institute (Less Significant Institutions, LSIs), die direkt der Aufsicht durch die BaFin unterstehen, müssen darlegen, was sie getan haben und tun, um ihre IT-Systeme vor Cyberangriffen und internen Vorfällen zu schützen. Beispielsweise sollten Banken nachweisen können, wie sie die dauerhafte Verfügbarkeit ihres Banking-Portals sicherstellen, damit KundInnen jederzeit Zugriff auf ihr Online-Konto haben. Das erfordert eine lückenlose Dokumentation.

Neues IT-Regelwerk für Zahlungs- und E-Geld-Institute

Bei der Aufsicht über Zahlungs- und E-Geld-Institute richtet die BaFin den Fokus verstärkt auf die Prüfung der IT- und Datensicherheit. Mit den „Zahlungsdienstlichen Anforderungen an die IT“ (ZAIT) erwartet solche Institute ein neues Regelwerk, das die Leitlinien der Europäischen Bankenaufsichtsbehörde EBA zur Beurteilung der IT-Risiken umsetzt.

Die ZAIT orientieren sich begrifflich wie inhaltlich eng an den bekannten IT-Vorgaben der BaFin für Banken (BAIT), Versicherungen (VAIT) und Kapitalverwaltungsgesellschaften (KAIT). Sie umfassen neben Vorgaben zu IT-Strategie und IT-Governance auch Regelungen zu Informationsrisikomanagement, Informationssicherheitsmanagement und Auslagerungen.

Versicherungsaufsicht prüft verstärkt IT-Governance und IT-Infrastrukturen

Auch die Versicherungs- und Wertpapieraufsicht wird 2021 besonderes Augenmerk auf IT- und Cybersicherheit legen. Bei den Versicherern steht dabei vor allem die Prüfung der IT-Governance und der IT-Infrastrukturen der beaufsichtigten Unternehmen im Vordergrund. Die Wertpapieraufsicht will sich indessen genau ansehen, wie ihre „Kapitalverwaltungsaufsichtlichen Anforderungen an die IT“ (KAIT) im Assetmanagement eingehalten werden.

Konsequenzen aus dem Wirecard-Skandal

Cyberrisiken werden laut BaFin ebenfalls Schwerpunkte bei Sonderprüfungen und einer neuen Fokusaufsicht sein, der künftig Institute oder Institutsgruppen von besonderer Relevanz unterliegen. Darunter fallen etwa sehr komplexe oder international verflochtene Unternehmen oder solche mit einem innovativen Geschäftsmodell. Die Fokusaufsicht ist eine direkte Reaktion auf den Wirecard-Skandal, der Schwachstellen in den Aufsichtsstrukturen offengelegt hatte. So soll künftig eine flexible Eingreiftruppe der BaFin eigenständig forensische Prüfungen durchführen können.

Trend zu strafferer Regulatorik hält an

Angesichts der verschärften Bedrohungslage ist der Schritt der BaFin nachvollziehbar, ihre Kontrollen zu IT- und Cybersicherheit zu intensivieren. Die Allianz listet Cybervorfälle in ihrem Risk Barometer 2021 als größten Risikofaktor für die Finanzindustrie. Im vergangenen Jahr zielten 23 Prozent aller Cyberangriffe auf Finanzinstitute ab. Insbesondere Zahl und Intensität von DDoS-Attacken steigen. Der Trend zu einer strafferen Regulatorik im Finanzsektor, die von den Instituten höheres Engagement bei IT-Sicherheit, Datenschutz und Compliance erfordert, wird sich auch in Zukunft fortsetzen. Mit dem geplanten EU Digital Operational Resilience Act (DORA) steht bereits eine neue EU-Verordnung in den Startlöchern, die weitere Anforderungen an Finanzunternehmen stellt. Banken und Finanzdienstleister werden sich daher intensiver denn je mit ihrer IT-Architektur sowie mit Compliance-Themen befassen müssen. Vor diesem Hintergrund stellen externe Dienstleister für die Auslagerung digitaler Prozesse eine attraktive Möglichkeit dar, den Inhouse-Aufwand zu reduzieren und dennoch alle Anforderungen an IT-Sicherheit und Compliance optimal zu decken.

Myra erfüllt alle Anforderungen der BaFin

Als erfahrener Spezialdienstleister für Cybersicherheit im Finanzsektor begleitet Myra Security schon lange wesentliche und unwesentliche Auslagerungen nach KWG § 25, MaRisk AT9 und BAIT. Zudem erfüllen wir bereits jetzt die für DORA relevanten Anforderungen an Risikomanagement, Reporting, Testing und Auslagerung. Namhafte Unternehmen und Organisationen aus der Finanzindustrie nutzen seit Jahren die Security-as-a-Service-Plattform von Myra, um ihre Bedürfnisse nach Cybersicherheit und Compliance gleichermaßen abzudecken.

Diesen Artikel teilen