BaFin fordert höhere Hürden für IT-Auslagerung
SECURITY INSIGHTS | 3 September 2020
In der August-Ausgabe des BaFin-Journals spricht Raimund Röseler, Exekutivdirektor Bankenaufsicht, über die aktuelle digitale Bedrohungslage in der Finanzindustrie und welche Herausforderungen die BaFin bei der Auslagerung an IT-Dienstleister sieht.
Corona hat laut dem Experten auch in der Finanzindustrie als Digitalisierungsbeschleuniger gewirkt und Schwächen bei den virtuellen Prozessen mancher Bank ans Licht gebracht. Zumeist handle es sich dabei um Nachlässigkeiten bei der Datensicherung und der Datenfreigabe. Die Aufsicht sieht die Fehler sowohl bei den Banken selbst als auch bei IT-Dienstleistern, die für Auslagerungen zum Einsatz kommen.
Grundsätzlich sieht Röseler die Daten von Unternehmen aus der Finanzindustrie lieber „in der Cloud eines Dienstleisters liegen, der viel von Sicherheit versteht, als auf einem alten Server im Keller der Bank”. Allerdings berge gerade die Auslagerung an globale Big Tech Companies Risiken, da diese Unternehmen wenig Interesse an der lokalen Regulatorik haben und nicht sanktioniert werden können.
Die Compliance-Hürden bei der IT-Auslagerung sind hoch
Für das Outsourcing von zentralen IT-Diensten und IT-Sicherheit in der Finanzindustrie gelten höchste regulatorische Auflagen. Diese sind noch einmal strenger, wenn es um „wesentliche Auslagerungen“ geht, wie sie in den Mindestanforderungen an das Risikomanagement (MaRisk AT9) der BaFin und § 25b KWG definiert sind.
Daraus ergeben sich für IT-Dienstleister im Finanzbereich bereits jetzt hohe Anforderungen hinsichtlich Compliance, IT-Sicherheit, Risikomanagement, Datenschutz und Reporting. Nur wenige Dienstleister sind imstande, diese Anforderungen vollumfänglich zu erfüllen. Röseler fordert für die BaFin zudem direkte Kontroll- und Sanktionsmöglichkeiten gegenüber IT-Dienstleistern, um diese notfalls zu zwingen, die regulatorischen Anforderungen zu beachten.
Outsourcing von IT-Sicherheit – wie Banken die höheren Hürden meistern
Als langjähriger IT-Sicherheitsanbieter in der Finanzindustrie beobachten wir einen deutlichen Trend hin zu einer strikteren Handhabe der BaFin bei der Prüfung von Auslagerungen in der IT-Sicherheit. Das veranlasst die Banken vermehrt dazu, derartige Auslagerungen von vornherein als wesentliche Auslagerung zu beurteilen. Röselers Forderung nach Kontroll- und Sanktionsmöglichkeiten gegenüber IT-Dienstleistern ist ein Ausdruck dieser Entwicklung. Die BaFin will die Messlatte folglich noch einmal höher legen. Daher müssen Banken genau prüfen, welcher Dienstleister die Erfüllung der Vorgaben überhaupt zusichern kann.
Dienstleister in der Pflicht
Auf der anderen Seite sind aber auch die IT-Dienstleister gefordert. Wer in der Finanzindustrie als zuverlässiger Partner wahrgenommen werden will, darf den Besuch durch die BaFin nicht scheuen. Mehr noch, jetzt ist ein aktiver Austausch von IT-Dienstleistern mit der Aufsicht gefragt, um die steigenden Anforderungen in nutzerfreundliche Lösungen umzusetzen. Von einer solchen Kooperation kann die Finanzindustrie nur profitieren, weil Produkte und Dienstleister, welche die Anforderungen der BaFin erfüllen, eindeutig zu identifizieren sind.