IT-Sicherheit für Banken

Im Zuge der fortlaufenden Digitalisierung von Services und operationellem Geschäft spielt die IT-Sicherheit für Banken und Finanzdienstleister eine immer gewichtigere Rolle. Je mehr sich das Tagesgeschäft der Finanzindustrie in digitale Umgebungen verlagert, desto wichtiger wird die Absicherung der dabei verwendeten Prozesse und Dienste. Diese Transformation alarmiert auch die Aufsichtsbehörden, die zunehmend das Thema Cybersicherheit ins Zentrum ihrer Prüfungen rücken. Raimund Röseler, Exekutivdirektor der BaFin, beschreibt den Sachverhalt treffend: “In einer globalisierten Finanzwelt, in der immer mehr Menschen digital bezahlen beziehungsweise Geld transferieren und in der viele Anleger ihre Geldanlage online bestreiten, haben IT-Governance und Informationssicherheit für die Aufsicht inzwischen den gleichen Stellenwert wie die Ausstattung der Institute mit Kapital und Liquidität.”

01

Wer bedroht die Cybersicherheit von Banken?

Unternehmen aus der Finanzindustrie werden laut einer Untersuchung der Boston Consulting Group 300-mal häufiger attackiert als andere Firmen. Accenture rechnet für die globale Finanzbranche allein zwischen 2019 und 2023 mit Cybercrime-bedingten Verlusten in Höhe von etwa 347 Milliarden US-Dollar. Indessen listet die Allianz in ihrem Risk Barometer für 2021 Cybervorfälle als den größten Risikofaktor für die Finanzindustrie auf – noch vor Betriebsausfällen und pandemischen Ausbrüchen.

Diese verschärfte Bedrohungslandschaft resultiert unter anderem aus der sukzessiven Digitalisierung des Finanzwesens. In den vergangenen Jahren wurden die Assets immer digitaler. Das klassische Bankengeschäft wurde um digitale Lösungen für Banking, Zahlungstransfer, Vermögensanlage und vieles mehr erweitert.

Damit stieg auch die Zahl an wertvollen Datensätzen und Geschäftsprozessen, die das Interesse von Cyberkriminellen wecken. Auf illegalen Marktplätzen im Darknet werden Daten von Finanzdiensten und Payment-Anbietern zu Höchstpreisen gehandelt.

Die digitale Transformation findet auch in der Kriminalität statt. Die Anzahl klassischer Banküberfälle nimmt kontinuierlich ab – dafür steigt die Zahl virtueller Attacken exponentiell, da Aufwand und Risiko immer geringer werden. Ein DDoS-Angriff ist im Darknet schon ab etwa 15 US-Dollar erhältlich. Das lässt die Hemmschwelle sinken und lockt viele digitale Bankräuber an. In der gefährlichen Gemengelage aus Script-Kiddies, politisch motivierten Hacktivisten und staatlich unterstützten Cyberspionen führen Cyberkriminelle, die monetäre Interessen verfolgen, das Feld der Angreifer an. Laut Verizon sind sie allein für über 90 Prozent aller Attacken auf die Finanzindustrie verantwortlich.

02

Welche Erwartungen hat die Bankenaufsicht (BaFin) an die IT-Sicherheit?

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist sich der zunehmenden Bedeutung der Cybersicherheit in der Finanzindustrie bewusst. Laufend erweitert und konkretisiert die Aufsicht den Anforderungskatalog für Banken und Finanzdienstleistungen, um die Regulatorik an die dynamische Entwicklung in der IT anzupassen. Für den Compliance-gerechten Betrieb ihrer digitalen Dienste müssen Banken etwa die Vorgaben aus KWG (Kreditwesengesetz), MaRisk (Mindestanforderungen an das Risikomanagement) sowie BAIT (Bankaufsichtliche Anforderungen an die IT) beachten. Auf europäischer Ebene soll künftig DORA (Digital Operational Resilience Act) für eine Harmonisierung der geltenden Regulatorik sorgen. Banken zählen ab bestimmten Schwellenwerten von Transaktionen zu den Kritischen Infrastrukturen (KRITIS), für die nochmals höhere Anforderungen an die IT-Sicherheit, Datenschutz und Compliance gelten. Diese Institute müssen regelmäßig nachweisen, alle verfügbaren Optionen der Cybersicherheit zum Schutz ihrer Systeme einzusetzen, um Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit der Daten angemessen sicherzustellen.

Welche Bedeutung haben die MaRisk für die IT-Sicherheit von Banken?

Mit den MaRisk gibt die BaFin einen ganzheitlichen Rahmen für das Management aller wesentlichen Risiken von Banken und Finanzdienstleistern vor. Das aufsichtsrechtliche Regelwerk ist prinzipienorientiert und modular aufgebaut, damit Institute individuelle und bedarfsgerechte Prozesse für ein ganzheitliches Risikomanagement aufbauen können.

Vorgaben zu Aufbau und Absicherung von IT-Systemen finden sich in den MaRisk etwa in AT 7.2 zur technisch-organisatorischen Ausstattung. Die Regulatorik zielt darauf ab, Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit von Daten sicherzustellen. Zu diesem Zweck müssen Banken und Finanzdienstleister angemessene Prozesse für die IT-Berechtigungsvergabe implementieren. Diese stellen sicher, dass Mitarbeiter nur über die Zugriffsrechte auf Daten verfügen, die sie zur Erfüllung ihrer Tätigkeit auch wirklich benötigen. Daneben sieht AT 7.2 den Einsatz von Überwachungs- und Steuerungsprozessen vor, die bedarfsgerechte Identifikationsmethoden und Schutzmaßnahmen für den IT-Betrieb umfassen.

Weitere Vorgaben für die IT, die sich in erster Linie an angeschlossene Dienstleister für das IT-Outsourcing richten, finden sich in AT 9. Dort behandelt die BaFin unter anderem die erforderlichen Rechte und Pflichten, die für die Vertragsparteien beim Outsourcing Geltung finden müssen. Hierzu zählen etwa Prüf- und Zugangsrechte zu den Geschäftsräumen und Rechenzentren des Dienstleisters, das Exitmanagement sowie Angaben zum Ort der Leistungserbringungen und zum geltenden Recht.

 

 

Welche Bedeutung haben die BAIT für die IT-Sicherheit von Banken?

Vergleichbar mit den MaRisk definieren auch die BAIT die gesetzlichen Anforderungen des § 25a KWG. In dem Anforderungskatalog erläutert die Aufsicht, wie Finanzinstitute eine angemessene technisch-organisatorische Ausstattung der IT-Systeme aufzustellen haben. Inhaltlich bauen die BAIT auf den MaRisk auf und konkretisieren diese. Allerdings bleiben die MaRisk-Anforderungen von den BAIT unberührt und behalten somit ihre Geltung. Die BaFin hebt besonders die Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts hervor. Außerdem adressieren die BAIT auch § 25b KWG, da Unternehmen in der Finanzindustrie zunehmend IT-Dienstleistungen als sonstigen Fremdbezug, unwesentliche oder wesentliche Auslagerungen outsourcen. In der Summe sieht die BaFin die BAIT als den zentralen Baustein für die IT-Aufsicht im Bankensektor in Deutschland.

Die BAIT sind ebenfalls modular aufgebaut und umfassen mitsamt der Erweiterung durch die 2021 anstehende Novelle zwölf Kapitel: IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Operative Informationssicherheit, Identitäts- und Rechtemanagement, IT-Projekte & Anwendungsentwicklung, IT-Betrieb, Auslagerungen & sonstiger Fremdbezug von IT-Dienstleistungen, IT-​Notfallmanagement, Kundenbeziehungen mit Zahlungsdienstnutzern (ZAIT) und Kritische Infrastrukturen. Prinzipiell lassen sich die Kapitel den drei Primärbereichen Governance, Steuerung und Operativ zuordnen, wobei einzelne Kapitel in sämtlichen Bereichen anzusiedeln sind (Querschnittsaufgaben). Die BAIT sind prinzipienorientiert strukturiert und wollen durch eine transparente Darstellung der Anforderungen in erster Linie ein IT-Risikobewusstsein schaffen. Die Anforderungen folgen den Maßgaben der Methodenfreiheit und der doppelten Proportionalität zur Wahrung der Verhältnismäßigkeit. Dadurch soll Instituten der Aufbau individueller und bedarfsgerechter Lösungen zum Schutz ihrer Daten und Systeme ermöglicht werden.

Grafik über die Zusammenhänge von BAIT, DORA und MaRisk

Welchen Einfluss hat DORA auf die IT-Sicherheit von Banken?

Der Digital Operational Resilience Act sieht die Einführung eines umfassenden Rechtsrahmens auf EU-Ebene vor, der Vorschriften zur digitalen Betriebsstabilität für alle beaufsichtigten Finanzinstitute enthält. Im Kern zielt DORA dabei auf eine EU-weite Harmonisierung der geltenden Regulatorik ab. Daher umfasst der Anforderungskatalog im Wesentlichen die Vorgaben aus bekannten Regelwerken wie den EBA-Leitlinien, MaRisk oder auch BAIT. Dank DORA sollen künftig in ganz Europa dieselben regulatorischen Vorgaben für Unternehmen aus der Finanzbranche gelten. Langfristig könnte es außerdem einen einzigen EU-Hub zur Meldung von kritischen IT-Vorfällen geben.

03

Wie können TIBER-Tests die IT-Sicherheit von Banken erhöhen?

TIBER ist ein 2018 verabschiedetes EU-Rahmenwerk für sogenannte “bedrohungsgeleitete Penetrationstests”. Der Name ist ein Akronym und steht für “Threat Intelligence-based Ethical Red Teaming”. Das Rahmenwerk definiert, nach welchen Gesichtspunkten Finanzunternehmen ihre Cyberabwehr durch beauftragte White Hat Hacker überprüfen lassen können. Die Tests sollen Schwachstellen und Sicherheitslücken in Systemen, Prozessen und auch Räumlichkeiten von Instituten aufdecken. Auch die Security-Awareness von Mitarbeitern wird im Rahmen der Tests auf die Probe gestellt, etwa in Form von Phishing-Attacken oder Social Engineering. Die deutsche Implementierung TIBER-DE wurde unterdessen 2019 vom Bundesfinanzministerium (BMF) und der Deutschen Bank als Leistungsangebot für Banken, Versicherungen, Finanzmarktinfrastrukturen und deren Dienstleister beschlossen. Die Teilnahme ist allerdings freiwillig und wird nicht von der Aufsicht vorgeschrieben.

Person im Anzug steht auf einer Treppe

04

Welche Möglichkeiten haben Banken zur Umsetzung von IT-Sicherheit und Compliance?

Um kontinuierliche Verfügbarkeit, Stabilität, Datensicherheit, Datenintegrität und Datenschutz im sensiblen Finanzwesen sicherzustellen, ist höchste technische Expertise und Branchenerfahrung gefragt. Kaum ein Unternehmen stemmt aktuell noch sämtliche IT-Projekte inhouse, da Aufwand und Kosten für Hardware, Software und Personal immens sind. Spezialdienstleister helfen, diese Herausforderung zu bewältigen, indem sie IT-Prozesse als (wesentliche) Auslagerung oder Fremdbezug bereitstellen. Voraussetzung ist, dass der Dienstleister die hohen Compliance-Vorgaben erfüllt, die sich aus KWG, MaRisk, BAIT, DORA (zukünftig) sowie Datenschutz-Grundverordnung (DSGVO) und IT-Sicherheitsgesetz ergeben – diese gelten nämlich ebenso für angeschlossene Service-Partner und deren Subunternehmen.

05

IT-Sicherheit für Banken: Das müssen Sie wissen

Die Bedrohungslage in der Finanzindustrie verschärft sich seit Jahren kontinuierlich. Umso mehr digitale Assets von Banken und Finanzdienstleistern als Services über die Cloud bereitgestellt werden, desto attraktiver werden Unternehmen der Branche als Ziele für Cyberattacken. Gleichzeitig erleichtert die vergrößerte virtuelle Angriffsfläche Cyberkriminellen die Suche nach Sicherheitslücken und verwundbaren Instituten.

Europäische wie auch lokale Aufsichtsbehörden reagieren auf diese Entwicklung mit immer strikterer und umfangreicherer Regulatorik.

Diesen Vorgaben für Datensicherheit, Datenschutz und Compliance gerecht zu werden und gleichzeitig die Wünsche der Kunden nach performanten und komfortablen Services zu erfüllen, stellt sich zunehmend als Drahtseilakt heraus.

Bei der Umsetzung von regulatorischen Anforderungen helfen Spezialdienstleister. Sie können durch ihre Branchenexpertise sicherstellen, dass die digitalen Lösungen Compliance-gerecht aufgesetzt sind und betrieben werden. Durch technisches Know-how lässt sich ebenso ein Trade-off zwischen einerseits Datensicherheit, Datenschutz und Compliance sowie andererseits Komfort und Performance vermeiden. Moderne Technologien erlauben es, alle diese Punkte parallel und bedarfsgerecht zu adressieren.