Mit den neuen Vorgaben zur IT-Sicherheit will die Bafin verhindern, dass Kreditinstitute sich nicht gut genug gegen Cyber-Gefahren wappnen.
Anja Kühner
Die Vorgaben der Bankenaufseher für Kreditinstitute können stellvertretend für alle Unternehmen gesehen werden – denn Fragen rund um IT-Strategie, IT-Governance, Notfallmanagement, Berechtigungen und das Informationsrisikomanagement gehen weit über reine Technikfragen hinaus. Sie können überlebensrelevant für ein Unternehmen sein. Bei der IT sind deutsche Finanzinstitute keinesfalls eine Vorzeige-Branche.
"Unsere IT-Prüfungen in Banken enden meist mit einem verheerenden Ergebnis – kein Institut schnitt bisher besser als mit der Schulnote vier ab", berichtete Raimund Röseler, Exekutivdirektor Bankenaufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin), auf der Veranstaltung "IT-Aufsicht bei Banken" am 16. März in Bonn.
IT-Sicherheit steht weiter im Mittelpunkt
Ein Schwerpunkt der Veranstaltung lag auf der Erläuterung der Bankaufsichtlichen Anforderungen an die IT (BAIT), die die Bafin in dieser Woche veröffentlichen will. "In der BAIT stehen viele Banalitäten", sagte Raimund Röseler, Exekutivdirektor Bankenaufsicht der Bafin. Wenn die Bafin diese veröffentliche, dann habe dies einen Grund. Er wies darauf hin, dass die Geschäftsleitung für die Umsetzung und Einhaltung der BAIT verantwortlich sei, denn sie „werden dazu beitragen, in den Banken das unternehmensweite Bewusstsein für das IT-Risiko und die IT-Sicherheit zu erhöhen."
Felix Hufeld, Präsident der Bafin, zu den BAIT in Bonn: "Irgendwann wird aufgrund von Problemen in der IT ein großer Schaden entstehen und wir wollen als Teil der Branche den Impact minimieren."
Anja Kühner
Cyber-Gefahren drohen jedoch nicht nur durch Hacker. Auch Mitarbeiter, Dienstleister oder ein technischer Ausfall von IT-Ketten können Auslöser von Störungen oder Unterbrechungen sein. "Irgendwann wird aufgrund von Problemen in der IT ein großer Schaden entstehen. Und wir wollen als Teil der Branche den Impact minimieren", betonte Bafin-Präsident Felix Hufeld in Bonn. Die detaillierten BAIT ähneln daher einer Checkliste für die Geschäftsführung: "Mit dem Kopf ein Problem erkannt zu haben, ist das eine, eine Lösung strukturiert umzusetzen etwas anderes", so Hufeld.
Mit den Vorgaben zur IT will die Aufsichtsbehörde genau dies erreichen. Dazu konkretisiert sie die Bestimmungen der Mindestanforderungen an das Risikomanagement (MaRisk) im Hinblick auf die IT. "Es handelt sich nicht um eine Erweiterung", stellte Jens Obermöller, Referatsleiter Kompetenz IT-Sicherheit der Bafin, klar. Kritik übte er vor allem an denjenigen Instituten, die noch immer keine IT-Strategie festgelegt haben. Auch das Schadenmanagement lasse zu wünschen übrig.
Acht Schwerpunkte für eine bessere IT
Insgesamt stellen die BAIT auf acht Schwerpunkte ab:
- IT-Strategie,
- IT-Governance,
- Informationsrisikomanagement,
- Informationssicherheitsmanagement,
- Benutzerberechtigungsmanagement,
- IT-Projekte und Anwendungsentwicklung sowie
- IT-Betrieb und
- IT-Dienstleistungen.
Wichtig ist den Aufsehern beispielsweise die personelle Trennung von IT und deren Aufsicht ebenso wie die zwischen Datenschutz und dem Beauftragten für Informationssicherheit. Auch müsse sichergestellt werden, dass Störungsmeldungen der Geschäftsleitung bekannt und nicht von der IT unter dem Radar gehalten werden.
Insbesondere die Bereiche Outsourcing und Cloud Services wurden eifrig diskutiert. Problematisch sei beispielsweise, dass die beauftragten externen Dienstleister die ihnen übertragenen Tätigkeiten, wie beispielsweise die Softwareentwicklung, auf weitere Anbieter weitergeben. Bei Outsourcing auf zweiter oder dritter Ebene hätten sich laut Obermöller in den vergangenen Jahren Konzentrationen auf wenige zentrale Dienstleister ergeben. "Wenn dort ein Programmierfehler oder Sicherheitslücken in eine neue Anwendung programmiert werden, dann kann es schnell das ganze Bankensystem betreffen, ohne dass dies den Instituten bewusst wäre", beschreibt er. Mit der Veröffentlichung der BAIT soll noch diese Woche eine sechswöchige Konsultationsphase beginnen. Im Anschluss daran plant die Bafin ein separates Rundschreiben zu den Regelungen.