BaFin

IT-Sicherheit: Erwartungen der Bankenaufsicht

Dr. Josef Kokert, Dr. Markus Held / BaFin

Datum: 31.10.2013

Die Bedeutung der Informations- und Kommunikationstechnik (IT) für Kreditinstitute hat in den vergangenen zwei Jahrzehnten stark zugenommen. Beinahe alle Prozesse werden heute durch IT unterstützt oder überhaupt erst ermöglicht.

Alle klassischen Geschäfte einer Bank vom Einlagengeschäft über die Kreditvergabe bis zum Zahlungsverkehr laufen über komplexe Kernbanksysteme. Der Filialbetrieb hängt ebenso von Rechenzentren ab wie Online- oder Mobile-Banking. Im Handelsgeschäft kommen zunehmend algorithmische Handelssysteme zum Einsatz (Algo-Trading, High-Frequency­Trading). IT-Systeme berechnen Kennzahlen für Risikomanagement und Controlling, aggregieren sie und bereiten sie auf; auch das Meldewesen läuft elektronisch ab. Interne und externe Kommunikation sind ebenso von IT abhängig wie zahlreiche Spezialanwendungen, die die individuelle Geschäftsstrategie von Instituten unterstützen – von der Immobilienverwaltung bis zur Vertriebssoftware. Geschäfts- und Kundendaten liegen meist ausschließlich in elektronischer Form vor.

Das Bankgeschäft ist heute vor allem auch Informationsverarbeitung. Ein Institut bedarf einer effizienten IT, um wirtschaftlich erfolgreich zu sein. Diese Erkenntnis spiegelt sich auch im Kreditwesengesetz (KWG) wieder. Es schreibt in § 25a Absatz 1 vor, dass Institute über eine angemessene technisch-organisatorische Ausstattung und ein angemessenes Notfallkonzept verfügen müssen, insbesondere für IT-Systeme. Nach dem KWG und den Mindestanforderungen an das Risikomanagement (MaRisk) haben die Institute dafür zu sorgen, dass ihre IT-Systeme und IT-Prozesse die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sicherstellen. Diese Aspekte sind in der Praxis unter dem Schlagwort IT-Sicherheit bekannt. Der Begriff Informationssicherheit wird in der Praxis oft synonym verwendet.

Die BaFin hat ihre Bemühungen um die IT-Sicherheit der Banken in den vergangenen Jahren verstärkt. Sonderprüfungen haben dazu beigetragen, das IT-Sicherheitsbewusstsein in den Instituten zu erhöhen. Ende Oktober hat die BaFin Vertreter der Kreditwirtschaft zu einer Informationsveranstaltung zu diesem Thema eingeladen, die auf großes Interesse gestoßen ist. Zudem steht die Aufsicht im Dialog mit ausgewählten IT-Dienstleistern, um sicherzustellen, dass die IT-Sicherheit in den Instituten trotz wechselnder Rahmenbedingungen auf hohem Niveau bleibt.

Wertbeitrag und Kosten

In vielen Instituten genießen jedoch diejenigen Organisationseinheiten besondere Wertschätzung, deren Wertbeitrag einfach messbar ist, zum Beispiel das Treasury und der Vertrieb. Die IT gilt dort eher als Kostenfaktor, so dass die für IT zuständigen Organisationseinheiten tendenziell stärker als andere Bereiche rigiden Kostensenkungsprogrammen unterworfen werden. Dass die Wertbeiträge anderer Einheiten ohne die Nutzung der IT kaum oder nicht möglich wären, wird den Banken häufig erst bewusst, wenn IT-Probleme den Betrieb behindern oder sogar lahmlegen – etwa bei Kernbankprozessen, im Online-Banking oder bei der Berechnung von Marktrisiken.

Aufgrund des Fortschritts in der IT werden die IT-Systeme immer komplexer, die Menge der Daten und der Grad der Arbeitsteilung steigen. Dadurch ist auch das Risiko stark gestiegen, diese Systeme nicht mehr sicher beherrschen zu können. Hinzu kommt die Bedrohung durch Angriffe auf die IT-Systeme. Der technische Fortschritt und zunehmende Bedrohungen erfordern zudem steigende Investitionen in die IT, vor allem in die IT-Sicherheit. Dieses Geld bereitzustellen, fällt vielen Instituten in Zeiten starken Kostendrucks schwer.

IT-Risiken

Unter dem Begriff „IT-Risiko“, den die MaRisk nicht definieren, versteht die Bankenaufsicht alle Risiken für die Vermögens- und Ertragslage der Institute, die aufgrund von Mängeln entstehen, die das IT-Management beziehungsweise die IT-Steuerung, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von Informationstechnologie betreffen. Damit folgt die BaFin der Definition, die der Ausschuss der Europäischen Bankenaufsichtsbehörden (CEBS)1) 2006 in den Leitlinien zur Anwendung des aufsichtlichen Überprüfungsverfahrens unter Säule II festlegte. IT-Risiken zählen demnach zu den operationellen Risiken.

Die Sicherheit und Qualität der IT-Prozesse und der IT-Systeme bestimmen den IT-Risikogehalt eines Unternehmens. Um die IT-Sicherheit zu gewährleisten, haben die Institute ein IT-Sicherheitsmanagement einzurichten. Die MaRisk nennen diese Anforderung zwar nicht explizit; sie ergibt sich aber aus der Aufzählung der Schutzkategorien der IT-Sicherheit und dem Verweis auf die gängigen Standards in AT 7.2., nämlich die des Bundesamts für Sicherheit in der Informationstechnik (BSI) und ISO 27001. Zu IT-Risiken sind aber nicht nur AT 7.2 und die Anforderungen an das Notfallmanagement in AT 7.3 der MaRisk einschlägig. Institute müssen beispielsweise auch die Regelungen zu Strategien in AT 4.2, zu Anpassungsprozessen in AT 8 und zum Outsourcing in AT 9 beachten. Die Bankenaufsicht betrachtet also IT-Risiken aus einer umfassenden Perspektive. Das IT-Sicherheitsmanagement ist lediglich ein Baustein, um die Verlässlichkeit der IT-Systeme herzustellen.

IT-Governance

Nach AT 3 der MaRisk ist die Geschäftsleitung für alle wesentlichen Risiken verantwortlich. Zu glauben, allein mit der Einrichtung eines IT-Sicherheitsmanagements sei der Bewältigung von IT-Risiken Genüge getan, ist ein Fehlschluss. Damit das IT-Sicherheitsmanagement überhaupt greifen kann, muss die Geschäftsleitung die IT-Organisation auch insgesamt angemessen steuern. Das setzt eine IT-Strategie voraus, die dem Geschäftsmodell angemessen ist und die in der IT-Organisation umgesetzt wird. Ihre Umsetzung muss nach AT 4.2 und 4.3 der MaRisk überprüft werden. Die IT-Strategie ist eine wichtige Informationsquelle für die IT-Revision und für die Einbindung der IT in die Ertrags- und Risikosteuerung.2)

Abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäfte haben die Institute in ihrer Geschäftsstrategie daher auch Aussagen zur geplanten Ausgestaltung der IT zu treffen. Die IT-Strategie unterliegt als Teil der Geschäftsstrategie den gleichen Anforderungen wie die Geschäftsstrategie selbst. Daraus ergibt sich Planungssicherheit für die IT-Organisation, die eine taktische IT-Planung und eine IT-Ressourcenplanung ermöglicht, die den Geschäftszielen effektiv dienen.

IT-Sicherheitsmanagement

Gemäß AT 7.2 Tz. 2 MaRisk ist für die IT-Sicherheit auf „gängige Standards“ abzustellen, nicht etwa nur auf „Standards für Informationssicherheitsmanagementsysteme“. Standards wie ISO 27000 auf dem Papier zu erfüllen, reicht nicht. Vielmehr muss die Gesamtheit der IT-Prozesse und IT-Systeme die Umsetzung der strategischen Ziele der IT-Sicherheit ermöglichen. Decken die beispielhaft genannten Standards des BSI und der ISO bestimmte Aspekte nicht ab, die nötig sind, um ein angemessenes Sicherheitsniveau zu garantieren, so muss das Institut weitere Maßnahmen treffen, die auf anderen Standards basieren können. BSI und ISO fordern, Art und Umfang von Schutzmaßnahmen danach auszuwählen, welche wirtschaftlichen Konsequenzen Verletzungen der IT-Sicherheit hätten. Die Institute müssen also selbst prüfen, welche Maßnahmen notwendig sind.

Eine Kernanforderung im IT-Sicherheitsmanagement ist – wie bei anderen Risikoarten – eine sorgfältige Risikoanalyse. Die Institute müssen den Schutzbedarf für die in Geschäftsprozessen verarbeiteten Informationen und die betroffenen IT-Systeme feststellen. Das Soll der Sicherheitsanforderungen haben sie mit den Sicherheitsmaßnahmen abzugleichen, die sie bereits umgesetzt haben. Dies ermöglicht die Restrisikoanalyse und Risikoüberwachung. Die fachlich Verantwortlichen entscheiden, welche IT-Risiken akzeptiert werden. Die Geschäftsleitung ist für die verbleibenden IT-Risiken verantwortlich. Sie muss sich mithin angemessen über die IT-Risiken informieren, auch im Rahmen der vierteljährlichen Risikoberichterstattung an die Geschäftsleitung.

Mathematische Modelle allein reichen nicht

Weiterhin sind die IT-Risiken im Sicherheitsmanagement der operationellen Risiken zu berücksichtigen. Es ist jedoch schwierig, IT-Risiken über mathematische Modelle zu steuern. Ihre Berücksichtigung innerhalb der Modelle für operationelle Risiken ist daher zwar durchaus richtig, reicht jedoch allein nicht aus. Denn IT-Risiken hängen substanziell von der Sicherheit und Qualität der IT-Prozesse und der eingesetzten IT-Produkte ab. Dies setzt primär qualitative Betrachtungen voraus.

Um die nötige Qualität zu erreichen, die Prozesse und Systeme brauchen, um sicher zu sein, muss das Institut die Bewertung von IT-Risiken zum Anlass nehmen, konkrete Maßnahmen in Technik und Organisation zu ergreifen. Das IT-Sicherheitsmanagement initiiert diese Maßnahmen, die dann von der IT-Organisation und gegebenenfalls anderen Organisationseinheiten umgesetzt werden.

Wird etwa eine strikte Benutzerberechtigungsverwaltung mit regelmäßigen Rezertifizierungen umgesetzt, so ist dies ein wichtiger Baustein der IT-Sicherheit, der aber allein nicht ausreicht. Die IT-Systeme müssen auch tatsächlich so ausgelegt und konfiguriert sein, dass die Berechtigungen nicht umgangen werden können.

Verlässlicher IT-Betrieb und professionelles IT-Servicemanagement

Ein stabil funktionierender IT-Betrieb ist ebenso Voraussetzung für die Verfügbarkeit der Bankprozesse wie die professionelle Verwaltung der IT-Dienste. Daher ist es notwendig, IT-Betrieb und IT-Servicemanagement in das interne Kontrollsystem einzubinden. Auch die MaRisk betonen an mehreren Stellen die Bedeutung eines funktionierenden Release-, Change- und Konfigurationsmanagements (zum Beispiel AT 7.2 Tz. 3, AT 8.2 Tz. 1, AT 7.2 Tz. 4).

Der IT-Betrieb ist nur dann verlässlich, wenn die IT auch bei erheblichen Störungen, menschlichen oder technischen Fehlern schnell wieder verfügbar wird. Daher sind wohldefinierte, ausreichend getestete Notfallkonzepte unerlässlich.

Schlagend gewordene IT-Risiken müssen rechtzeitig bemerkt werden, die Überwachung des IT-Betriebs muss also gut funktionieren. Das gilt ebenso für das Problem- und Störungs-Management, einschließlich der Behandlung von Sicherheitsvorfällen. Somit schließt sich der Kreis vom IT-Betrieb und IT-Servicemanagement zum IT-Sicherheitsmanagement.

Softwareentwicklung und -beschaffung

Software-Risiken, also Mängel in der Software, sind eine wesentliche Kategorie der IT-Risiken. Sie entstehen in der Softwareentwicklung, unabhängig davon, ob eine Software vom Institut selbst entwickelt oder von Zulieferern zur Verfügung gestellt wird. Auch in der Softwareentwicklung und -beschaffung muss daher das interne Kontrollsystem eines Instituts greifen.

Eine sorgfältige Planung, einschließlich der Anforderungserhebung und -analyse, der Qualitätssicherungs- und Testplanung, ist eine Grundvoraussetzung für die sichere Softwareentwicklung. Die BaFin fordert daher von den Instituten einen Regelprozess. Dieser umfasst die Planung, Entwicklung, Prüfung und Implementierung der Software in die Produktionsumgebung (AT 7.2 Tz. 3 MaRisk). Um die Datensicherheit zu gewährleisten, ist auch dieser Prozess auf gängige Standards abzustellen.

Damit Anwendungen die Geschäftsaktivitäten tatsächlich stützen können, ist es erforderlich, dass die Institute die bankfachlichen Anforderungen sorgfältig erheben und analysieren. Darüber hinaus müssen sie gegebenenfalls auch nichtfunktionale Anforderungen berücksichtigen, die einem sicheren und qualitativ angemessenen IT-Betrieb zugrunde liegen, zum Beispiel die Anforderungen an die Vertraulichkeit der Daten. Bei der eigentlichen Softwareentwicklung müssen Kontrollen greifen, die qualitativ minderwertige Produkte verhindern. So wird insbesondere die Umsetzung der bankfachlichen Anforderungen gesichert; ebenso die Verlässlichkeit und Vertrauenswürdigkeit der Software.

Weitere Schutzmaßnahmen

Zwar heben die MaRisk hervor, dass eine neue Software abschließend getestet und abgenommen werden muss, bevor sie in Betrieb genommen wird. Je nach Risikogehalt der Software müssen die Institute aber gegebenenfalls weitere Maßnahmen treffen. Die MaRisk fordern zudem explizit, die Entwicklungs- und Produktionsumgebung zu trennen.

Liefern Dritte die Software zu, erwartet die BaFin von der Bank dieselbe Sorgfalt wie bei der Eigenentwicklung von Software, insbesondere bei der Risikoanalyse. Dies betrifft die Ausgestaltung des Vertrags ebenso wie die Dokumentierung der Abnahme und sorgfältige Tests, bei denen neben der Funktionalität auch die Sicherheit und Verlässlichkeit des Systems berücksichtigt wird.

Umsetzung in den Instituten und bei IT-Dienstleistern

Eine Herausforderung besteht darin, die IT-Sicherheit auch dann auf hohem Niveau aufrechtzuerhalten, wenn sich die Rahmenbedingungen wandeln – zum Beispiel durch eine geänderte Geschäftsstrategie, neue Produkte, eine Restrukturierung oder neue gesetzliche Anforderungen – und das Budget begrenzt ist. Viele Institute haben die IT teilweise oder vollständig ausgelagert. Für sie kommt es darauf an, den IT-Dienstleister einzubeziehen, wenn sie das IT-Sicherheitsmanagement einrichten und umsetzen.

Entscheiden sich alle Institute einer Gruppe, Software und IT-Betrieb vom selben IT-Dienstleister zu beziehen, so konzentrieren sich dort die IT-Risiken. Umso dringlicher ist es, den Dienstleister wirksam zu steuern. Daher muss das Institut über eigenen Sachverstand verfügen, zum Beispiel, um die IT-Risikoberichte des Dienstleisters nachvollziehen und gegebenenfalls reagieren zu können.

Anforderungen an Dienstleister

Die Dienstleister unterliegen mittelbar der Aufsicht: Da sie den Kreditinstituten rechenschaftspflichtig sind, müssen sie deren Anforderungen umsetzen. Gerade Rechenzentren unterliegen – ebenso wie die interne IT-Organisation der Institute – einem hohen Kostendruck. Dies darf nicht dazu führen, dass sie unverhältnismäßig hohe Risiken eingehen, die die Institute träfen.

Bei Instituten und Dienstleistern gibt es in der IT häufig organisatorische Veränderungen. Auch dabei gilt es, das definierte IT-Sicherheitsniveau aufrechtzuerhalten.

Ausblick: Aufsichtspraxis

National und international hat die IT-Sicherheit für alle kritischen Infrastrukturen – und damit auch für die Kreditwirtschaft – strategische Bedeutung. Das erkennt die Politik zunehmend an: So hat die Bundesregierung bereits 2012 eine Cybersicherheitsstrategie für Deutschland entwickelt und ein IT-Sicherheitsgesetz ist ebenso absehbar wie eine EU-Richtlinie zur Cybersicherheit. Auch die BaFin wird ihre Bemühungen um die IT-Sicherheit in der Kreditwirtschaft weiter verstärken, unter anderem, indem sie besondere Themen vertieft angeht (zum Beispiel wurde bereits ein Rundschreiben zum Algorithmushandel konsultiert) und die Banken noch eingehender prüft.

Eine besondere Herausforderung für die Banken-IT ist die Notwendigkeit, ohne Verzögerung korrekte Risikodaten liefern zu können. Je größer und komplexer ein Institut oder eine Institutsgruppe ist, desto schwieriger ist es, die umgehende und korrekte Lieferung aller Daten zu garantieren. Dies wurde in der Finanzkrise besonders deutlich. Der Basler Ausschuss für Bankenaufsicht BCBS (Basel Committee on Banking Supervision) hat deshalb Anfang 2013 neue Anforderungen an die Risikodaten-Zusammenrechnung und die Risikoberichterstattung aufgestellt, die die Institute bis 2016 umzusetzen haben. Die IT-Sicherheit ist für das Vertrauen in die Daten und für deren Verfügbarkeit eine zwingende Voraussetzung. Sie beeinflusst auch zunehmend das Vertrauen der Privatkunden in wesentliche Bankdienstleistungen, etwa den Zahlungsverkehr.

Immer wichtiger wird die IT-Sicherheit auch, weil Bedrohungen zunehmen. Insbesondere gehen Hacker bei ihren Angriffen immer professioneller vor. Dieser Trend wird sich angesichts der Gewinne, die sich organisierte Kriminelle mittels Betrug, Wirtschaftsspionage oder Sabotage verschaffen können, aller Voraussicht nach weiter verstärken. Massive Hacker-Angriffe auf große amerikanische Institute und auf Unternehmen anderer Branchen wie Flugzeugbau und Stahlindustrie vermitteln einen Eindruck, was auch deutschen Instituten widerfahren könnte, wenn sie nicht frühzeitig gegensteuern.

Fußnoten

1) Committee of European Banking Supervisors. Vorgängergremium der Europäischen Bankenaufsichtsbehörde EBA (European Banking Authority).

2) Zu Besonderheiten der IT-Revision in Bezug auf den IT-Sicherheitsprozess finden sich Hinweise im BSI-Leitfaden IS-Revision und in ISO 27001 Abschnitt 6. Auf Besonderheiten der IT-Steuerung in Bezug auf den IT-Sicherheitsprozess gehen der BSI-Grundschutzkatalog M 2.336, das HV-Kompendium G 3 des BSI und ISO 27001 Abschnitt 7.2 f. ein.