FRANK FUKALA

Diplom-Betriebswirt (FH)
Diplom-Wirtschaftsinformatiker (FH)
CISA • Certified ISO/IEC 27001 Auditor
CCNA Security • CCDA

Tel. +49 511 3539360
This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

Die Bankenaufsicht und der Cyber...

...und was damit auf die Finanzbranche zukommt:

Am 08.07.2015 sprach Herr Felix Hufeld, Präsident der BaFin, auf dem Bundesbanksymposium "Bankenaufsicht im Dialog" in Frankfurt am Main über »Cyberrisiken«*.

Der »Cyber«

Persönlich halte ich ja den Begriff »Cyber« in der Art und Weise wie er heutzutage gerne in Politik und Wirtschaft verwendet wird für eines der schlimmsten Unwörter aller Zeiten! Warum, fragen Sie? Weil damit etwas sehr greifbares und reales, nämlich die bewusst gewollte Kommunikation von Geräten aller Art in miteinander verbundenen Netzwerken in etwas abstraktes, nicht greifbares, ja fast ausserirdisch Anmutendes — den Cyberraum — verwandelt.

Aber kommen wir zurück zum eigentlichen Thema: Was teilt uns Herr Hufeld denn nun zum Thema »Cyberrisiko« in seiner Rede mit? Betrachten wir dies anhand einiger ganz subjektiv ausgewählter Ausschnitte:

Die Sicht der BaFin

"Das Internet ermöglicht Menschen, unberechtigt auf IT-Systeme anderer zuzugreifen und diese zu schädigen." Nun, den unberechtigten Zugriff ermöglichen schlecht oder falsch konfigurierte Systeme und/oder vorhandene Sicherheitslücken in Software, aber sicher nicht das Internet. Aber okay, wir wissen ja was damit gemeint sein soll.

Absicherung vor Denial of Service Angriffen gefordert

"Die Bankenaufsicht geht davon aus, dass die Institute dieses [Anm.: es geht um Distributed Denial of Service Attacken] hohe Cyberrisiko entsprechend den Anforderungen nach KWG (§25a Abs. 1 KWG) in ihr Risikomanagement einbeziehen und sich auf diese Angriffe vorbereiten." Na das ist doch mal eine klare Ansage!

Sicherheitsstandards auch bei Dienstleistern einfordern und überwachen (!)

"Sicherheitsstandards sind nicht nur von Instituten, sondern auch von ihren Dienstleistern konsequent einzuhalten. Banken wiederum haben die Einhaltung der Anforderungen bei ihren IT-Dienstleistern konsequent zu überwachen. Das erwartet auch die BaFin." Okay, auch damit können wir umgehen, stellen nun also an alle unsere IT- Dienstleister die gleichen wie für uns selbst geltenden Sicherheitsstandards und überwachen deren Einhaltung. Könnte nur sein, dass durch die zusätzlichen Audits, Pentests und entsprechend benötigten, qualifizierten Auslagerungsbeauftragten die Marge der Bank sinkt oder die Produkte der Dienstleister teuerer werden müssen oder wahrscheinlich beides.

Investitionen in IT-Sicherheit erforderlich

"Banken müssen aus diesen Angriffsmustern lernen und ihre Gegenmaßnahmen entsprechend ausrichten. Und sollten sie betroffen sein, gilt es, eng mit den zuständigen Strafverfolgungsbehörden (Bundeskriminalamt und Landeskriminalämter) und dem Bundesamt für Sicherheit in der Informationstechnik zusammenzuarbeiten." Satz 1 erfordert erhebliche personelle und technische Ressourcen vorzuhalten, die das auch leisten können und Satz 2: IT-Sicherheitsgesetz lässt grüßen.

Weitere Regulierung ante portas

"So wurde inzwischen bei der Europäischen Bankenaufsichtsbehörde (EBA) eine Task-Force zu IT-Risiken gegründet, die neue Anforderungen an die IT-Organisation der Banken in Europa aufstellen wird und damit die Basis für eine einheitliche IT-Aufsicht legt." Wir dürfen also entsprechende Vorgaben aus London erwarten...hoffen wir nur, dass die deutsche Aufsicht ihre Rolle in der Zusammenarbeit mit der EBA ordentlich macht und wir so etwas wie ein Proportionalitätsprinzip bekommen oder sich auf systemrelevante Institute beschränkt. Ansonsten könnte das für kleinere Institute spannend werden.

Verstärkt Prüfungen durch die Aufsicht

"In Deutschland hat die BaFin in Zusammenarbeit mit der Bundesbank in den vergangenen zwei Jahren Prüfungsmodule zu IT-Prüfungen erarbeitet... Es könnte auch erforderlich werden, die Einhaltung dieser Anforderungen öfter und intensiver vor Ort zu überprüfen." Ob das nun eine Drohung ist, wenn die Branche den Anschein macht, das Thema nicht ernst zu nehmen oder ein Versprechen überlasse ich jetzt mal Ihrer eigenen Deutung.

Penetrationstests sollen es richten

"Die Banken selbst sollten ihre Widerstandsfähigkeit durch regelmäßige Penetrationstests auf die Probe stellen." Bitte, bitte, bitte machen Sie sich zuerst Gedanken über eine auf Ihr Institut angepasste Sicherheitsstrategie und setzen Sie die grundlegenden Hausaufgaben zum Thema Informationssicherheit um: ich empfehle z.B. einen vollständigen und realistischen Test Ihres Notfallkonzepts, bevor Sie einen Pentest beauftragen.

Conclusio

Nicht falsch verstehen, ich halte das Thema Informationssicherheit für essentiell, gerade in der Finanzbranche! Aber ich befürchte, dass uns die Regulierung in eine Welt von Standards und Normen drängt, die das eigentliche Ziel verfehlen — Informationssicherheit kann man nicht einfach anschalten und auch nicht kiloweise kaufen — und ganz nebenbei auf diesem Weg die Belastung für kleinere und mittlere Institute immens wird.

Lesen Sie dazu auch unseren Artikel »Cyber-Angriffe Risiken für Banken und Aktivitäten der Aufsicht« zur Veröffentlichung im BaFin Journal Februar 2015 und Sie erkennen, dass die Aufsicht das Thema Informationssicherheit wirklich ernst nimmt.

Im Dialog entsteht Klarheit. Gerne sprechen wir ganz unverbindlich mit Ihnen über dieses und andere Themen.

 

*Link zum Text der Rede (Stand 22.09.2015): http://www.bafin.de/SharedDocs/Reden/DE/re_150708_hufeld_cyberrisiken_bundesbank.html