Skip to main content
main-content

06.10.2020 | Outsourcing | Gastbeitrag | Onlineartikel

Mehr Cyberangriffe und IT-Auslagerung unter der Lupe

Autor:
Paul Kaffsack
3 Min. Lesedauer

Im September häuften sich die Cyberangriffe gegen deutsche Finanzunternehmen. Während die Auslagerung von IT-Sicherheit an Spezialdienstleister aufgrund dessen weiter zunimmt, strebt die Bafin gleichzeitig nach mehr Kontrolle über die Dienstleister.


Unlängst hat sich der mit der Pandemie einhergehende Trend zu großvolumigen Cyberangriffen auf die Finanzbranche weiter zugespitzt. Dabei war erneut eine Zunahme von ausgefeilten Attacken auf neuralgische Punkte zu beobachten. Hier sind hochkriminelle Angreifer am Werk, oft ist Erpressung im Spiel. Aber auch einfachere Angriffe von "Script Kiddies" haben während der Pandemie Konjunktur. Als Konsequenz verstärkt sich in der Finanzindustrie der Trend zur Auslagerung von IT-Sicherheit weiter. Das bleibt auch der Bafin nicht verborgen.

Bafin will mehr Kontrolle über IT-Dienstleister

Raimund Röseler, Bafin Exekutivdirektor Bankenaufsicht, sieht Corona als Digitalisierungsbeschleuniger, der digitale Schwachstellen im Finanzsektor offengelegt hat. Er verortet Fehler sowohl bei den Banken als auch bei deren IT-Dienstleistern (Bafin Journal 8/2020). Zwar sieht Röseler Daten lieber "in der Cloud eines Dienstleisters, der viel von Sicherheit versteht, als auf einem alten Server im Keller der Bank". Allerdings moniert er bei der Auslagerung an globale Big Tech Companies, dass diese wenig Interesse an der lokalen Regulatorik haben und nicht sanktioniert werden können. Er fordert daher für die Bafin direkte Kontroll- und Sanktionsmöglichkeiten gegenüber IT-Dienstleistern.

Röselers Forderung ist Ausdruck einer größeren Entwicklung. Langjährige IT-Sicherheitsanbieter in der Finanzindustrie beobachten den Trend hin zu einer strikteren Praxis der Bafin bei der Prüfung von Auslagerungen im Bereich IT-Sicherheit. Banken legen ihrerseits die Messlatte für Dienstleister höher. Aus der Sicherheitsperspektive ist das zu begrüßen.

Hohe Compliance-Hürden bei der IT-Auslagerung

Für das Outsourcing von zentralen IT-Diensten und IT-Sicherheit in der Finanzindustrie gelten umfassende regulatorische Auflagen. Diese sind noch strenger bei “wesentlichen Auslagerungen”, wie sie in den MaRisk AT9 der Bafin und § 25b KWG definiert sind.

Nur wenige IT-Dienstleister können diese Vorgaben hinsichtlich Compliance, IT-Sicherheit, Risikomanagement, Datenschutz und Reporting vollumfänglich erfüllen. Daher müssen Banken genau prüfen, welcher Dienstleister die Erfüllung der Anforderungen überhaupt zusichern kann.

Erfolgreiche Auslagerung in der Praxis

Es ist zu erwarten, dass die Anforderungen der Aufsicht an die Auslagerung weiter steigen. Schon jetzt ist vermehrt zu beobachten, dass Finanzunternehmen das Outsourcing von IT-Sicherheit von vornherein als "wesentliche Auslagerung" einstufen. Diese Risikobewertung ist sinnvoll. Da die MaRisk lediglich den Rahmen vorgibt, die Gestaltung aber vom jeweiligen Institut vorgenommen wird, ist jede wesentliche Auslagerung individuell. Um die Vorgaben fallspezifisch angemessen umzusetzen, hat es sich in der Praxis bewährt, die Aufsicht früh mit einzubeziehen.

Instituten ist zudem zu empfehlen, Technik und Regulatorik mit dem Dienstleister parallel zu klären – auch wenn die Kaufentscheidung noch nicht zu 100 Prozent gefallen ist. Es müssen angemessene Informations-, Prüfungs- und Kontrollrechte vereinbart werden. Ebenso Bestimmungen zu Weisungsrecht, Risikomanagement, Datenschutz und Reporting. Das braucht Zeit, denn die vorgefertigten Klauseln der Institute müssen meist angepasst werden, um im Alltag wirklich zu greifen. Für Dienstleister sind die entstehenden Prozessvorgaben enorm – es entsteht das Risiko von Compliance-Lücken. Hochzertifizierte Anbieter und solche, die bereits mit wesentlichen Auslagerungen betraut sind, nutzen Synergien und können mit ihren eingespielten Prozessen von Anfang an Compliance sicherstellen.

Dienstleister in der Pflicht

Falls die Bafin ihr Bestreben nach mehr Kontroll- und Sanktionsmöglichkeiten bei IT-Dienstleistern realisiert, werden die Anforderungen noch einmal höher. Wer in der Finanzindustrie als zuverlässiger Partner gelten will, darf den Besuch durch die Bafin jedoch nicht scheuen. Mehr noch: Ein aktiver Austausch zwischen IT-Dienstleistern und Aufsicht ist notwendig, um steigende Anforderungen in nutzerfreundliche Lösungen umzusetzen. Von einer solchen Kooperation profitiert die gesamte Finanzindustrie.

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

01.08.2020 | IT | Ausgabe 7-8/2020

Wie die neuen Vorzeichen beim Outsourcing wirken

01.08.2020 | IT | Ausgabe 7-8/2020

IT | Trends

01.12.2019 | Strategie | Ausgabe 12/2019

Verlässlich zusammenarbeiten

Das könnte Sie auch interessieren

Premium Partner

    Bildnachweise