FRANK FUKALA

Diplom-Betriebswirt (FH)
Diplom-Wirtschaftsinformatiker (FH)
CISA • Certified ISO/IEC 27001 Auditor
CCNA Security • CCDA

Tel. +49 511 3539360
This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

»Cyber-Angriffe Risiken für Banken und Aktivitäten der Aufsicht«

lautet die Headline auf der Februar Ausgabe des BaFin Journal

im Februar 2015 und erweckt damit unsere besondere Aufmerksamkeit...schliesslich ist Informationssicherheit eines unserer Lieblingsthemen.

Inhaltlich stellt der Autor Dr. Markus Held aus dem Referat »IT-Infrastrukturen bei Banken« der BaFin erstmal klar, dass das Thema »Cyber-Angriff« alle Branche angeht, welche Risiken hieraus entstehen und dass das Thema nun auch durch die Bundesregierung mit dem vorliegenden Regierungsentwurf zum »IT-Sicherheitsgesetz« aufgenommen wird; die BaFin das Thema aber bereits seit 2006 mit den MaRisk adressiert.

BCBS 239 bald für alle Institute relevant?

Interessant ist der gleich zu Beginn des Artikels erfolgende Hinweis, dass »Cyber-Angriffe« auch die Ziele der vom Basel Committee on Banking Supervision formulierten »Principles for effective risk data aggregation and risk reporting« (Link zum PDF-Dokument BCBS 239, Januar 2013) gefährden. Unserer Ansicht nach ein weiterer deutlicher Hinweis, dass die Aufsichtsbehörden in Deutschland mittelfristig den Geltungsbereich dieser »Prinzipien« - aktuell gelten diese ab 2016 nur für 30 global systemrelevante Institute - auch auf nationaler Ebene stufenweise, zunächst auf national systemrelevante Institute beschränkt, für alle Institute einführen werden.

Die Ankündigung der Ausweitung auf die national systemrelevanten Banken können Sie in der Rede von Dr. Nagel vom 03. Dez. 2014 zum "Wandel der IT-Anforderung an Banken durch die gemeinsame Aufsicht" (Link zur Rede) nachlesen.

Schutz vor »Cyber-Bedrohung« wird nicht durch die übliche Notfallvorsorge erreicht!

Im weiteren Verlauf des Artikels werden die verschiedenen, typischen Angriffsziele in Banken kurz erläutert. Neben den "Klassikern" wie Buchführungs-, Handels- und Zahlungsverkehrssystemen werden explizit Systeme zur Bankensteuerung und Risikomanagement sowie Schnittstellen adressiert. Die von Instituten in § 25a KWG Absatz 1 geforderten üblichen Notfallmaßnahmen würden aber keinen hinreichenden Schutz gegen Cyber-Angriffe bieten.

Deutlich erfolgt an mehreren Stellen im Text der Hinweis, dass die Verantwortung beim Schutz vor »Cyber-Bedrohungen« auch im Falle von Auslagerungen beim Institut verbleibt.

Von besonderer Bedeutung ist die Forderung der Aufsicht nach "Sorgfältiger Planung, Absicherung und Überwachung der IT-Systeme und Netzwerke" als Schutzmassnahme gegen Cyber-Angriffe. Erfordert doch eine funktionierende »Überwachung« von IT-Systemen und Netzwerken neben spezieller Hard- und Software vor allem spezielle Qualifikationen bei den ausführenden Mitarbeitern...oder die Einbeziehung externer Dienstleister.

ALERT! Regelung durch EBA - Meldepflicht an BaFin - Berichtspflicht

Vor allem die letzten Absätze des Artikels haben es dann nochmal in sich. Dass die EBA das Thema "Cyber-Angriff" zukünftig aufgreifen wird ist eigentlich keine Überraschung. Aus dem Kontext im Artikel drängt sich die Vermutung auf, dass hier die deutschen Behörden wesentlich daran teilhaben werden.

Richtig interessant ist die dann folgende Aussage des Autors: "Sind Institute von Cyber-Angriffen betroffen, so erwartet die BaFin, darüber informiert zu werden. Cyber-Angriffe zu bemerken und hinreichend schnell zu reagieren, ist für die Institute eine Herausforderung für sich."

Damit sind einige hochbrisante Punkte angesprochen:

1) die Pflicht zur Meldung eines »Cyber-Angriffs« an die BaFin
2) die Pflicht »Cyber-Angriffe« zu erkennen --> Thema »Überwachung«
3) die klare Erwartung, Cyber-Bedrohung als eigenständiges Thema aufzugreifen

Und: mit der Pflicht zur Meldung geht auch eine Berichtspflicht einher. Auf deren Grundlage wird, wie es im Artikel heisst, "...die Aufsicht ... Mängel in der Konzeption und Wartung der IT-Systeme ebenso adressieren wie Fehlplanungen in der IT-Organisation oder beim IT-Budget, die den Mängeln zugrunde liegen." Eine klare Warnung an die Institute, die IT nicht als reinen Kostenfaktor ohne strategische Einbindung zu behandeln.

Leider wird im Artikel nicht definiert, wann sich ein »Cyber-Angriff« als meldepflichtig qualifiziert. Gilt dies bereits beim Versuch eines Angriffs oder muss dieser Angriff erfolgreich gewesen sein? Ist eine Infektion eines Arbeitsplatzrechners durch Ausführung einer SPAM-E-Mail bereits ein Cyber-Angriff oder hängt die Kategorisierung vom weiteren Verlauf des Vorfalls ab? Fragen die noch zu klären sind.

Wie Sie als Geschäftsleiter jetzt handeln müssen:

1) Informationssicherheit ist als eigenständiges Thema zu behandeln
2) IT und Informationssicherheit darf nicht als reiner Kostenfaktor betrachtet werden. Vielmehr sind strategisches Handeln und angemessene Maßnahmen wie z.B. eine angemessene Ressourcenausstattung notwendig
3) Speziell bei IT Auslagerungen / Nutzung von Rechenzentren: letztendlich stehen Sie in der Verantwortung. Daher müssen Sie die Risiken identifizieren und deren Einhaltung durch das Auslagerungsunternehmen sicherstellen - unter Umständen mit eigenen Kontrollhandlungen - durch eigenes Personal oder externe Spezialisten
4) In Abhängigkeit Ihres Risikoprofils für »Cyber-Bedrohungen«: erweitern Sie Ihren Notfallplan um das Thema »Cyber-Angriff« oder organisieren Sie das Thema eigenständig durch Bildung eines sogenannten Computer Emergency Response Teams (CERT)

Im Dialog entsteht Klarheit. Gerne sprechen wir ganz unverbindlich mit Ihnen über dieses und andere Themen.