Banken gehören mit ihren Serivces zur kritischen Infrastruktur Deutschlands. Mit zunehmender Zahl digitaler Angebote wachsen jedoch die Risiken durch technische Ausfälle oder Hacker-Angriffe. Die digitale Resilienz und die IT-Compliance nehmen daher in der Branche eine zentrale Rolle ein.
Banken und Finanzdienstleister müssen die Vorgaben des IT-Sicherheitsgesetzes als sogenannte KRITIS-Betreiber, also Anbieter von kritischen Infrastrukturen, zum 1. Mai 2023 umgesetzt haben.
CROCOTHERY / stock.adobe.com
"Für das Funktionieren hochkomplexer Industrienationen ist der Schutz der IT-Systeme, die vor allem zur Kritischen Infrastruktur gehören, von besonderer Wichtigkeit. Dies gilt insbesondere für Deutschland, da Deutschland sowohl innerhalb Europas als auch weltweit von den meisten Cyber-Angriffen betroffen ist", schreibt Nicole Selzer im Buchkapitel "Gefahren der Vernetzung durch Vernetzung" (Seite 28). Dabei sei laut Kaspersky Lab 2018 jede zweite gefährliche E-Mail an einen deutschen Empfänger adressiert, "wodurch Deutschland zum vierten Mal in Folge die meisten bedrohlichen Spam-Nachrichten empfing".
Auch in anderen Bereichen ist die Sicherheit von Unternehmen und Verbrauchern bedroht, zeigen aktuelle Kasperksy-Zahlen. Diesen zufolge blockierte der IT-Sicherheitsdienstleister 2022 rund 200.000 neue mobile Banking-Trojaner. Dies sei eine Verdopplung gegenüber dem Vorjahr. Diese gehörten zu den am weitesten verbreiteten Bedrohungen für mobile Endgeräte. Cyber-Kriminelle nutzen die Schadsoftware, um nach Daten im Zusammenhang mit Online-Banking- und E-Payment-Systemen zu suchen. Da der Diebstahl von Finanzdaten lukrativ sei, investierten Täter aktiv in die Entwicklung neuer Malware.
Angemessene Überwachungs- und Steuerungsprozesse
Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) stellt deshalb Mindestanforderungen an das Risikomanagement (MaRisk) der Banken. Im Rundschreiben der Aufsichtsbehörde vom 16. August 2021 heißt es:
Für IT-Risiken sind angemessene Überwachungs- und Steuerungsprozesse einzurichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen. Beim Bezug von Software sind die damit verbundenen Risiken angemessen zu bewerten."
In den Bankaufsichtlichen Anforderungen an die IT (BAIT) hat die Bafin die Vorgabe konkretisiert. "Die Aufsicht stuft die BAIT als zentralen Baustein für die IT-Aufsicht im Bankensektor in Deutschland ein", berichtet Christian Glaser im Buchkapitel "IT-Regulatorik und -Sicherheit als Basis der Digitalisierung" (Seite 302).
In ihrem Anschreiben habe die Behörde verdeutlicht, dass sie die IT bei den Banken und Finanzdienstleistern als Basisinfrastruktur für sämtliche bankfachlichen, aber auch für alle nichtbankfachlichen Prozesse in den Instituten ansieht. Damit hebt sie "die Bedeutung der
und der Informationssicherheit auf eine Ebene mit der Ausstattung der Institute mit Kapital und Liquidität".Informationssicherheitsbeauftragte spielen zentrale Rolle
Zur Einhaltung der Informationssicherheit spielt insbesondere die nach den BAIT einzurichtende Stelle des oder der Informationssicherheitsbeauftragten (ISB) eine herausragende Rolle, erläutert Anja Schulz. Die Expertin hat die Stiftungsprofessur für Bankenregulierung an der Hochschule für Finanzwirtschaft und Management (HFM) in Bonn inne.
In der Dezember-Ausgabe der Zeitschrift "Bankmagazin" schreibt sie: "Dieser Position sollte daher ausreichend und geschultes Fachpersonal zugewiesen werden. Zudem ist empfehlenswert, sie als tragende Rolle möglichst weit oben in der Organisationsstruktur anzusiedeln." Dabei sehe die BAIT vor, diesen Posten grundsätzlich in der Bank einzurichten. "Ein Auslagern ist nur für sehr kleine Institute unter bestimmten Voraussetzungen zulässig."
Mehr Ressourcen für IT-Sicherheit
Wie der Stand der Dinge vor allem bei kleineren Banken und Regionalinstituten (Less Significant Institutions, kurz LSI) in Sachen IT-Sicherheit sowie der umgesetzten und geplanten Maßnahmen zur Reduzierung der Risiken ist, zeigen im September 2022 veröffentlichten Ergebnisse des LSI-Stresstest. Für diesen befragten Bafin und Deutsche Bundesbank insgesamt 1.299 Kreditinstitute und 17 Bausparkassen.
"Demnach planen mehr als drei Viertel der Institute, die finanziellen Ressourcen zum Schutz vor IT-Risiken in den kommenden fünf Jahren zu erhöhen. Fast 80 Prozent haben bereits eine Versicherung gegen Cyber-Risiken abgeschlossen, um eventuelle finanzielle Verluste zu reduzieren. Weitere acht Prozent planen, dies ebenfalls zu tun", fasst Schulz die erhobenen Zahlen zusammen.
IT-Resilienz von Beginn an mitdenken
Klar ist, alle Banken und Finanzdienstleister müssen mit ihren Bemühungen die Vorgaben des IT-Sicherheitsgesetzes als sogenannte KRITIS-Betreiber, also Anbieter von Kritischen Infrastrukturen, zum 1. Mai 2023 umgesetzt haben.
"Die Abhängigkeit von digitalen Zahlungsinfrastrukturen, auch im Alltag, steigt spürbar und stetig, und dafür werden zwingend verfügbare, ausfallsichere und vertrauenswürdige Kommunikationssysteme und IT-Infrastrukturen benötigt", machen Kai Börner, Dimitar Kroushkov und Jan-Ole Malchow die Notwendigkeit im Open-Access-Buch "Resilienz" auf Seite 169 deutlich. "Diese Kommunikationssysteme und IT-Infrastrukturen müssen als Gesamtsystem - von den Datenübertragungsnetzen über Datenverarbeitungszentren und Terminals bis hin zu den Endgeräten - resilient sein."
Da durch die vollständige Vernetzung nahezu alle Systeme kritisch werden, müsse die Robustheit in ein "gesamtsystemisches Denken, Planen und Handeln" einfließen. Ein wesentlicher Grundsatz sei dabei, jeweils die passenden Technologien und Organisationsformen einzusetzen und die Widerstandsfähigkeit bereits im Entwurfsprozess zu berücksichtigen. Eine kooperative Entwicklung von zentralen Komponenten könne dabei "für alle vorteilhaft sein".