Aufsichtsrecht: BaFin prüft IT-Sicherheit
Aufsichtsrecht: BaFin prüft IT-Sicherheit: Die BaFin hat für ihre IT-Aufsichtspraxis ein Dreistufenprogramm entwickelt. Stufe eins bildet ein Set von drei Rundschreiben, in denen für die Unternehmen der verschiedenen Aufsichtsbereiche vergleichbare Anforderungen an deren IT formuliert werden. Das sind
- die bankaufsichtlichen Anforderungen an die IT (BAIT),
- die versicherungsaufsichtlichen Anforderungen an die IT (VAIT) und
- die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT).
Aufsichtsrecht: BaFin prüft IT-Sicherheit
In BAIT, VAIT und KAIT regelt die BaFin aus, was sie von den Unternehmen in puncto IT-Governance und Informationssicherheit verlangt. Die BAIT konkretisieren § 25a Kreditwesengesetz, die VAIT § 23 Versicherungsaufsichtsgesetz und die KAIT § 28 Kapitalanlagegesetzbuch. In allen drei Rundschreiben hat die BaFin klargestellt, dass IT-Sicherheit Chefsache ist.
Ziel dieser Rundschreiben ist deshalb auch das Bewusstsein für IT-Risiken zu schärfen, auch mit Blick auf Risiken, die bei der Ausgliederung oder dem Erwerb von IT-Dienstleistungen entstehen können.
Um Unsicherheiten bei Auslagerungen und Ausgliederungen an Cloud-Anbieter zu minimieren, hat die BaFin zusätzlich eine Orientierungshilfe10 zu Auslagerungen an Cloud-Anbieter veröffentlicht.
3 Stufen Programm der BaFin – Aufsichtsrecht: BaFin prüft IT-Sicherheit
Stufe zwei hat zum Ziel, die Einhaltung dieser Rundschreiben vor Ort zu prüfen. Zugleich zielt Stufe zwei darauf, die Widerstandsfähigkeit (Resilience) der Banken gegen Cyberangriffe und ihre Fähigkeit, den Geschäftsbetrieb aufrechtzuerhalten (Continuity), weiter zu stärken. Dazu nimmt die BaFin die Effektivität der bestehenden Sicherheitsvorkehrungen verstärkt in den Fokus. Zu Stufe zwei gehören auch Red-Teaming-Tests11, eine
Art von Cyber-Stresstests für den deutschen Finanzsektor.
Auf Stufe drei geht es um die Verbesserung des Krisenmanagements: Sowohl die Institute als auch die BaFin müssen jederzeit auf einen Cyberangriff oder einen IT-Betriebsvorfall vorbereitet sein. Die BaFin hat deshalb, die
BAIT um ein Modul zum Notfallmanagement inklusive Notfalltests erweitert. Zusätzlich finden Cyberübungen statt, bei denen alle relevanten Akteure das Zusammenspiel im Krisenfall proben – und das national wie international.
Der geplante „Krisenplan Cyber“ ist ebenfalls auf Stufe drei angesiedelt.
Was ist eine Cyberkrise?
Der „Krisenplan Cyber“ definiert eine Cyberkrise als einen Cybervorfall, der Funktionen eines oder mehrerer beaufsichtigter Unternehmen beeinträchtigt, deren fehlende Ausübung die Realwirtschaft oder das Finanzsystem gefährden oder
deren plötzlicher Ausfall wahrscheinlich wesentliche Auswirkungen auf Dritte hat oder zur Ansteckung führt oder das allgemeine Vertrauen der Marktteilnehmenden untergraben könnte.
Was müssen Sie über Cyber-Resilienz wissen?
Cyber-Resilienz bezeichnet die Widerstandsfähigkeit von Unternehmen bei Angriffen auf die Sicherheit ihrer Informations- und Kommunikationstechnik (IKT). Im Fokus der Angreifer stehen die Systeme der Unternehmen oder auch die
Daten von Kunden.
Was macht das TIBER Cyber Team?
Das TIBER Cyber Team (TCT) stellt das nationale Kompetenzzentrum einer TIBER-Implementierung dar. In Deutschland ist diese Einheit bei der Bundesbank angesiedelt. Dieses Cyber-Team begleitet die von Unternehmen beauftragten TIBER-Tests während des kompletten Verlaufs, unterstützt sie mit Fachwissen, sorgt für die Einhaltung der Rahmenbedingungen von TIBER-Tests und stellt die Kommunikationsschnittstelle nach außen dar.
Dem TCT obliegt das Recht, einen Test als nicht TIBER-konform einzustufen, wenn dieser nicht im Einklang mit dessen Anforderungen durchgeführt wurde. Der Team Test Manager (TTM) ist ein Mitglied des TCT, der ein spezifisches Unternehmen bei einem TIBER-Test betreut und die Schnittstelle zu diesem bildet. Der TTM betreut das Unternehmen während der gesamten Laufzeit eines Tests.
Aufsichtsrecht in der Praxis: BaFin prüft IT-Sicherheit
Internationale Veröffentlichungen zu Anforderungen an die Informationssicherheit finden Sie auch hier. Einen allgemeinen Überblick zu internationalen Regularien liefert der Finanzstabilitätsrat FSB (Financial Stability Board) im Dokument
„Stocktake of Publicly Released Cybersecurity Regulations, Guidance and Supervisory Practices” aus dem Jahr 2017.
Weltweite Praktiken im Bankensektor fasst der Basler Ausschuss für Bankenaufsicht BCBS (BaselCommittee on Banking Supervision) in seiner Publikation „Cyber-resilience: Range of practices“ aus dem Jahr 2018 zusammen. Für den Versicherungssektor gibt das „Application Paper on Supervision of Insurer Cybersecurity“ (November 2018) der Internationalen Vereinigung der Versicherungsaufsichtsbehörden IAIS (International Association of Insurance Supervisors) eine entsprechende Übersicht.
Für Finanzmarktinfrastrukturen liefert die Cyber Task Force der Internationalen Organisation der Wertpapieraufsichtsbehörden IOSCO (International Organization of Securities Commissions) in ihrem Final Report eine vergleichbare Analyse.