Auf einen Blick
01
Wer bedroht die Cybersicherheit von Banken?
Unternehmen aus der Finanzindustrie werden laut einer Untersuchung der Boston Consulting Group 300-mal häufiger attackiert als andere Firmen. Accenture rechnet für die globale Finanzbranche allein zwischen 2019 und 2023 mit Cybercrime-bedingten Verlusten in Höhe von etwa 347 Milliarden US-Dollar. Indessen listet die Allianz in ihrem Risk Barometer für 2021 Cybervorfälle als den größten Risikofaktor für die Finanzindustrie auf – noch vor Betriebsausfällen und pandemischen Ausbrüchen.
Diese verschärfte Bedrohungslandschaft resultiert unter anderem aus der sukzessiven Digitalisierung des Finanzwesens. In den vergangenen Jahren wurden die Assets immer digitaler. Das klassische Bankengeschäft wurde um digitale Lösungen für Banking, Zahlungstransfer, Vermögensanlage und vieles mehr erweitert.
Damit stieg auch die Zahl an wertvollen Datensätzen und Geschäftsprozessen, die das Interesse von Cyberkriminellen wecken. Auf illegalen Marktplätzen im Darknet werden Daten von Finanzdiensten und Payment-Anbietern zu Höchstpreisen gehandelt.
Die digitale Transformation findet auch in der Kriminalität statt. Die Anzahl klassischer Banküberfälle nimmt kontinuierlich ab – dafür steigt die Zahl virtueller Attacken exponentiell, da Aufwand und Risiko immer geringer werden. Ein DDoS-Angriff ist im Darknet schon ab etwa 15 US-Dollar erhältlich. Das lässt die Hemmschwelle sinken und lockt viele digitale Bankräuber an. In der gefährlichen Gemengelage aus Script-Kiddies, politisch motivierten Hacktivisten und staatlich unterstützten Cyberspionen führen Cyberkriminelle, die monetäre Interessen verfolgen, das Feld der Angreifer an. Laut Verizon sind sie allein für über 90 Prozent aller Attacken auf die Finanzindustrie verantwortlich.
Mit den MaRisk gibt die BaFin einen ganzheitlichen Rahmen für das Management aller wesentlichen Risiken von Banken und Finanzdienstleistern vor. Das aufsichtsrechtliche Regelwerk ist prinzipienorientiert und modular aufgebaut, damit Institute individuelle und bedarfsgerechte Prozesse für ein ganzheitliches Risikomanagement aufbauen können.
Vorgaben zu Aufbau und Absicherung von IT-Systemen finden sich in den MaRisk etwa in AT 7.2 zur technisch-organisatorischen Ausstattung. Die Regulatorik zielt darauf ab, Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit von Daten sicherzustellen. Zu diesem Zweck müssen Banken und Finanzdienstleister angemessene Prozesse für die IT-Berechtigungsvergabe implementieren. Diese stellen sicher, dass Mitarbeiter nur über die Zugriffsrechte auf Daten verfügen, die sie zur Erfüllung ihrer Tätigkeit auch wirklich benötigen. Daneben sieht AT 7.2 den Einsatz von Überwachungs- und Steuerungsprozessen vor, die bedarfsgerechte Identifikationsmethoden und Schutzmaßnahmen für den IT-Betrieb umfassen.
Weitere Vorgaben für die IT, die sich in erster Linie an angeschlossene Dienstleister für das IT-Outsourcing richten, finden sich in AT 9. Dort behandelt die BaFin unter anderem die erforderlichen Rechte und Pflichten, die für die Vertragsparteien beim Outsourcing Geltung finden müssen. Hierzu zählen etwa Prüf- und Zugangsrechte zu den Geschäftsräumen und Rechenzentren des Dienstleisters, das Exitmanagement sowie Angaben zum Ort der Leistungserbringungen und zum geltenden Recht.
Vergleichbar mit den MaRisk definieren auch die BAIT die gesetzlichen Anforderungen des § 25a KWG. In dem Anforderungskatalog erläutert die Aufsicht, wie Finanzinstitute eine angemessene technisch-organisatorische Ausstattung der IT-Systeme aufzustellen haben. Inhaltlich bauen die BAIT auf den MaRisk auf und konkretisieren diese. Allerdings bleiben die MaRisk-Anforderungen von den BAIT unberührt und behalten somit ihre Geltung. Die BaFin hebt besonders die Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts hervor. Außerdem adressieren die BAIT auch § 25b KWG, da Unternehmen in der Finanzindustrie zunehmend IT-Dienstleistungen als sonstigen Fremdbezug, unwesentliche oder wesentliche Auslagerungen outsourcen. In der Summe sieht die BaFin die BAIT als den zentralen Baustein für die IT-Aufsicht im Bankensektor in Deutschland.
Die BAIT sind ebenfalls modular aufgebaut und umfassen mitsamt der Erweiterung durch die 2021 anstehende Novelle zwölf Kapitel: IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Operative Informationssicherheit, Identitäts- und Rechtemanagement, IT-Projekte & Anwendungsentwicklung, IT-Betrieb, Auslagerungen & sonstiger Fremdbezug von IT-Dienstleistungen, IT-Notfallmanagement, Kundenbeziehungen mit Zahlungsdienstnutzern (ZAIT) und Kritische Infrastrukturen. Prinzipiell lassen sich die Kapitel den drei Primärbereichen Governance, Steuerung und Operativ zuordnen, wobei einzelne Kapitel in sämtlichen Bereichen anzusiedeln sind (Querschnittsaufgaben). Die BAIT sind prinzipienorientiert strukturiert und wollen durch eine transparente Darstellung der Anforderungen in erster Linie ein IT-Risikobewusstsein schaffen. Die Anforderungen folgen den Maßgaben der Methodenfreiheit und der doppelten Proportionalität zur Wahrung der Verhältnismäßigkeit. Dadurch soll Instituten der Aufbau individueller und bedarfsgerechter Lösungen zum Schutz ihrer Daten und Systeme ermöglicht werden.
05
IT-Sicherheit für Banken: Das müssen Sie wissen
Die Bedrohungslage in der Finanzindustrie verschärft sich seit Jahren kontinuierlich. Umso mehr digitale Assets von Banken und Finanzdienstleistern als Services über die Cloud bereitgestellt werden, desto attraktiver werden Unternehmen der Branche als Ziele für Cyberattacken. Gleichzeitig erleichtert die vergrößerte virtuelle Angriffsfläche Cyberkriminellen die Suche nach Sicherheitslücken und verwundbaren Instituten.
Europäische wie auch lokale Aufsichtsbehörden reagieren auf diese Entwicklung mit immer strikterer und umfangreicherer Regulatorik.
Diesen Vorgaben für Datensicherheit, Datenschutz und Compliance gerecht zu werden und gleichzeitig die Wünsche der Kunden nach performanten und komfortablen Services zu erfüllen, stellt sich zunehmend als Drahtseilakt heraus.
Bei der Umsetzung von regulatorischen Anforderungen helfen Spezialdienstleister. Sie können durch ihre Branchenexpertise sicherstellen, dass die digitalen Lösungen Compliance-gerecht aufgesetzt sind und betrieben werden. Durch technisches Know-how lässt sich ebenso ein Trade-off zwischen einerseits Datensicherheit, Datenschutz und Compliance sowie andererseits Komfort und Performance vermeiden. Moderne Technologien erlauben es, alle diese Punkte parallel und bedarfsgerecht zu adressieren.