BaFin - Navigation & Service

BaFinPerspektiven 1 | 2018 © BaFin / www.freepik.com

Erscheinung:01.08.2018 | Thema Fintech Digitalisierung und Informationssicherheit im Finanz- und Versicherungswesen im Fokus aufsichtlicher Anforderungen

In einer globalisierten Finanzwelt, in der immer mehr Menschen digital bezahlen, Geld transferieren und ihre Geldanlage online bestreiten, haben IT-Governance und Informationssicherheit für die Aufsicht inzwischen den gleichen Stellenwert wie die Ausstattung der Unternehmen mit Kapital und Liquidität. Für die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) war es daher ein logischer Schritt, ihre Anforderungen auf diesem Gebiet zu konkretisieren.

Einleitung

Informationstechnik (IT) ist heute in der Finanzwelt nicht mehr nur Nebenbedingung, um Erträge zu generieren, sie ist inzwischen – und das macht sie auch angreifbar – Basisinfrastruktur für sämtliche bankfachlichen, aber auch alle nichtbankfachlichen Prozesse. Darauf hat auch BaFin-Präsident Felix Hufeld hingewiesen, etwa bei der BaFin-Informationsveranstaltung „IT-Aufsicht bei Banken“ am 16. März 2017. Darüber hinaus ist IT-Sicherheit auch ein gesellschaftlich relevantes Thema.

Beide Aspekte, IT als Grundlage für das Wirtschaften entlang aller Wertschöpfungsketten im Finanzsektor und der Verweis, dass ohne Informationssicherheit1 kein nachhaltiges und gesellschaftlich akzeptiertes Geschäft möglich sei, waren für die BaFin ausschlaggebend dafür, die Bankaufsichtlichen Anforderungen an die IT (BAIT) zu entwickeln – gemeinsam mit der Deutschen Bundesbank und in Abstimmung mit Vertretern der Kreditinstitute und ihrer Verbände. Am 6. November 2017 hat die BaFin die BAIT veröffentlicht. Mit den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) , die die BaFin am 2. Juli 2018 publiziert hat, sind vergleichbare Anforderungen an die Versicherungswirtschaft geschaffen worden.

BAIT und VAIT sind prinzipienorientiert und proportional gestaltete Regelwerke, deren Zweck darin besteht, die bislang eher allgemein gehaltenen Anforderungen der Aufsicht an die IT zu konkretisieren und transparenter zu machen.

Wandel der Anforderungen an die IT im Finanzsektor

Der Wertschöpfungsprozess der Banken besteht seit jeher im Wesentlichen aus der Verarbeitung von Informationen. Die Digitalisierung ist also für die Institute nicht neu. Die Digitalisierung der Bankgeschäfte vollzog sich in der Vergangenheit jedoch maßgeblich im Innern der Institute und war lange Zeit – trotz ihrer Bedeutung insbesondere im Zahlungsverkehr – für die meisten Kunden kaum wahrnehmbar.

Erste Onlinebanking-Angebote (Stichwort „BTX“2) für Kunden kamen bereits vor mehr als 30 Jahren auf. Aber erst in den vergangenen zehn bis 15 Jahren haben sich der bargeldlose Zahlungsverkehr – auch im Rahmen des zunehmend intensiver genutzten Online-Bankings – und das Online-Brokerage im Privatkundengeschäft etabliert. Mit konkurrenzfähigen Direktbanken und den ersten App-basierten volldigitalisierten Instituten ist nun die nächste technische Evolutionsstufe in der Interaktion mit Kunden erreicht.

Digitalisierung im Banking heißt aber auch, Geschäfts- und IT-Prozesse mit Hilfe relevanter Daten und geeigneter IT-Systeme (Hard- und Softwarekomponenten) zu unterstützen und zu automatisieren – über alle Kundenkanäle, die gesamte Informationskette im Unternehmen und über definierte Schnittstellen mit Dritten hinweg.3 Hierbei kommt es insbesondere auf eine intelligente Vernetzung von Geschäftsprozessen an, die sich in vielen Fällen auch über mehrere Unternehmenseinheiten erstrecken. Nicht zu vergessen ist auch das zunehmend intensivere Zusammenwirken mit Unternehmen, die für die Institute externe IT-Dienstleistungen in mehr oder minder großem Umfang erbringen.

Die aufsichtliche Überwachungs- und Prüfungspraxis zeigt, dass es vielen Banken noch immer Probleme bereitet, mehrere bzw. unterschiedlich digitalisierte Geschäftsprozesse technisch angemessen miteinander zu verknüpfen. Dies ist jedoch für eine Digitalisierung, die das Geschäft zielorientiert unterstützen soll, entscheidend. Es genügt nämlich nicht, einzelne Prozesse zu digitalisieren oder nur in Teilbereichen digitale Geschäftsmodelle einzuführen. Der technologische Fortschritt erzwingt eine sehr viel stärkere Ausrichtung an Innovation und eine permanente Anpassung an das Kundenverhalten, das sich dynamisch verändert.4

Somit bringt die Digitalisierung neben den allgegenwärtigen und weiter zunehmenden Informations- und Cybersicherheitsrisiken auch Risiken strategischer Natur für die Banken und ihre IT-Dienstleister mit sich, weil sie die Wertschöpfungsketten im Finanzdienstleistungssektor verändert.5 Derzeit zeichnen sich bei der Digitalisierung im Bankensektor verschiedene Trends6 ab.

Nachfolgend werden einige technologische (Weiter-)Entwicklungen kurz dargestellt:

Digitalisierungsinitiativen an der Kundenschnittstelle

In klassischen Filialbanken wurden zwar schon früh Online-Banking-Angebote entwickelt, deren Umsetzung wurde aber zumeist nur halbherzig begleitet, da der Fokus darauf gerichtet war, dass die Kundschaft die Filialen nutzte. Inzwischen hat zwar die Qualität der digitalen Angebote erheblich zugenommen, diese werden jedoch in vielen Fällen noch immer unzureichend mit dem klassischen Filialgeschäft abgestimmt, obwohl die meisten Kunden inzwischen Angebote über alle Vertriebskanäle hinweg7 erwarten.

In diese Lücke stoßen seit einigen Jahren zunehmend Direktbanken, Fintechs8 und Crowdfunding-Plattformen, die oft nur einen spezifischen Teil des Bankgeschäfts anbieten. Die zunehmende Popularität dieser innovativen Anbieter hat den Wettbewerbs- und Investitionsdruck auf die etablierten Player im Bankensektor deutlich erhöht.9 Wenn sie sich in diesem Umfeld behaupten wollen, müssen sie mehr tun als in Technik zu investieren – etwa in die Implementierung von mobilen Apps und Omnichannel-Plattformen. Die Banken müssen auch ihre Ablauforganisation und ihre Steuerungsmechanismen zügig an die neuen Entwicklungen anpassen.

Prozessdigitalisierung

Mit der zunehmenden Reife digitaler Technologien entstehen neue Möglichkeiten, bislang nur teilautomatisierte Prozesse weiter zu automatisieren – etwa im Kreditgeschäft (Stichwort „Kreditfabrik“) und rund um die Eröffnung von Konten (Stichwort „VideoIdent“).

Die etablierten Banken werden im Onlinegeschäft jedoch nur dann mit den neuen, digitalen Wettbewerbern konkurrieren können, wenn sie auch angrenzende Backend-Prozesse stärker automatisieren und so die Kostenstrukturen erheblich verbessern. Und auch bei der Prozessdigitalisierung reicht es nicht aus, neue Lösungen zu entwickeln. Diese Lösungen müssen zügig und wirksam in die Wertschöpfungs- bzw. Prozessketten integriert werden – im Institut und institutsübergreifend.

Hinzu kommt, dass sie sich dabei vielerorts mit veralteten und/oder zu komplexen IT-Systemen auseinandersetzen müssen. Viele Institute weisen zudem erhebliche Mängel in ihrer IT-Governance auf, wie die Aufsicht festgestellt hat. Oft werden auch im Rahmen der Governance getroffene Vorgaben nicht wirksam umgesetzt bzw. die Operationalisierung nur unzureichend überwacht.10

Neue Dynamik in IT-Projekten

Was Kunden in Bezug auf die Nutzung moderner Technologien von Banken erwarten, gilt zunehmend auch für die IT-Projektorganisation und die in diesem Rahmen umgesetzte Softwareentwicklung in den Instituten und bei deren IT-Dienstleistern: Sie müssen schnell, schlank und kurzfristig anpassbar sein – kurzum: agil.

Mittlerweile organisieren nach eigenen Angaben mehr als 35 Prozent der Banken IT-Entwicklungsprojekte nach Scrum, etwa 30 Prozent setzen auf Kanban.11 Beide agilen Softwareentwicklungsansätze bieten die Möglichkeit, Softwarebestandteile im Entwicklungsprozess noch erheblich zu verändern. Somit kann eine einsatzfähige Grundversion einer Applikation bestenfalls bereits nach wenigen Wochen zur Verfügung stehen und nicht erst nach Monaten.

Bei aller Begeisterung für innovative Softwareentwicklung sollte jedoch nicht außer Acht bleiben, dass es für einen sicheren IT-Betrieb essenziell ist, dass neben einer geeigneten funktionalen Hardware insbesondere auch Software erforderlich ist, die möglichst so entwickelt wurde, dass Sicherheitsmaßnahmen den herkömmlichen Softwareentwicklungsprozess ergänzen. Nur so kann grundsätzlich gewährleistet werden, dass ausreichend auf Sicherheit geachtet wird, unabhängig davon, ob man eine agile oder andere Vorgehensweise bei der Entwicklung wählt.12 Dies setzt jedoch voraus, dass Sicherheit als explizite Anforderung in den Entwicklungsprozess aufgenommen wird (Stichwort „Security by Design“) und dass ganzheitliche Sicherheitsmaßnahmen von der Initialisierung an berücksichtigt, umgesetzt, getestet und vor Produktivsetzung fachlich abgenommen werden.

Abschied vom eigenen Rechenzentrum – ist die Cloud als ‚as a Service‘ eine Lösung?

Bereits heute arbeiten nach eigenen Angaben über 50 Prozent der befragten Unternehmen im Finanzsektor an der Straffung ihrer Rechenzentren und der Konsolidierung ihrer IT-Infrastruktur.13 Möglich macht dies auch die stärkere Nutzung externer Cloud-Dienste, auf die zum Beispiel Anwendungen, Plattformen und auch Sicherheitslösungen verlagert werden. Insbesondere mit As-a-Service-Konzepten14 können Unternehmen ihre IT-Architektur sowohl standardisieren als auch beschleunigen.15 Mit der Verlagerung der Verarbeitung teilweise hochsensibler Daten in die Cloud geht jedoch auch ein erhebliches Sicherheitsrisiko einher, dies betrifft sowohl die Sicherheit der IT-Systeme der Cloud (also die des Cloud-Betreibers) als auch die zu verarbeitenden bzw. gespeicherten Daten in der Cloud (also die des Cloud-Nutzers).16

Grundsätzliche internationale aufsichtliche Anforderungen an die IT

Bereits frühzeitig hat sich die Finanzmarktaufsicht mit Anforderungen an die IT-Infrastruktur befasst und hier zunächst insbesondere Governanceanforderungen in den Mittelpunkt gestellt. Die beim Finanzstabilitätsrat FSB (Financial Stability Board) angesiedelte Senior Supervisors Group, in der die Aufsichtsbehörden der zehn Länder vertreten sind, die die weltweit größten Banken beaufsichtigen, hat in ihrem Bericht aus dem Jahr 201017 die Bedeutung einer starken IT-Governance hervorgehoben und eine auch aus Sicht der BaFin zentrale Forderung aufgestellt: Die IT-Strategie muss essenzieller Teil der Geschäftsstrategie sein. Die BaFin erwartet insoweit, dass die notwendigen Anforderungen an die digitale Transformation auf geschäftspolitischen Grundlagen basieren und strategisch verankert werden, denn nur mit einem ganzheitlichen, geschäftsübergreifenden Ansatz lässt sich die IT-Architektur strategisch weiterentwickeln.
Viele IT-Regulierungsvorgaben der jüngeren Zeit sind unter anderem deshalb entstanden, weil bankinterne Prozesse, die in den technischen Systemen der Banken verarbeitet werden, (noch) nicht ausreichend integriert und automatisiert waren bzw. sind, beispielsweise Datenaggregations- und Berichterstattungsprozesse, die für die Steuerung einer Bank relevant sind (Stichwort „BCBS 239 “18, die in der letzten Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) umgesetzt worden sind).

Ein weiterer Aspekt drängt im Zuge der Digitalisierung immer stärker in das Bewusstsein von Industrie und Aufsicht, nämlich die Informationssicherheit bzw. die Sicherheit im Cyberraum19 (siehe Infokasten „Definition Informationssicherheit und Cybersicherheit“).

Die Cybersicherheit hat – über die Informationssicherheit hinausgehend – auch eine politische Dimension, denn es stellt sich bislang in vielen Fällen als überaus schwierig dar, nach einem Cyberangriff den realen Angreifer zu identifizieren, um anschließend wirksame Maßnahmen gegen ihn ergreifen zu können.

Wegen der überragenden Bedeutung der Cybersicherheit für den Finanzsektor hat die G7 Cyber Expert Group einen Bericht über die grundlegenden Elemente für die wirksame Bewertung der Cybersicherheit im Sektor vorgelegt, der am 12. Oktober 2017 von den Finanzministern und den Zentralbankpräsidenten der G7 angenommen wurde.23 Derzeit prüft die BaFin, inwieweit die BAIT angepasst bzw. ergänzt werden müssen, um den Vorgaben des G7-Berichts gerecht zu werden, etwa um Anforderungen an das Notfallmanagement24 und entsprechende Übungen.

EBA-Regulierung mit IT-Bezug

Weil Digitalisierung kein nationales Thema ist, ist es essentiell, europaweit ein gemeinsames Verständnis und einheitliche regulatorische Anforderungen dazu zu entwickeln. Die Europäische Bankenaufsichtsbehörde EBA (European Banking Authority), in der auf verschiedenen Ebenen auch die BaFin vertreten ist, ist federführend für die Harmonisierung der Aufsichtspraxis in der Europäischen Union (EU) zuständig.

Am 7. Juli 2014 hat die EBA Leitlinien zum aufsichtlichen Überprüfungs- und Bewertungsprozess SREP (Supervisory Review and Evaluation Process) veröffentlicht.25 Der SREP schließt die Beurteilung der Schlüsselindikatoren, des Geschäftsmodells, der Governance und der Kapital- und Liquiditätsrisiken ein. Die EBA hat in ihren SREP-Leitlinien erstmals den Begriff „IT-Risiko“ definiert (siehe Infokasten „Definition IT-Risiko“).

Um das IT-Risiko innerhalb des SREPs noch genauer validieren und bewerten zu können, hat die EBA am 11. Mai 2017 konkretisierende Leitlinien27 erlassen. Ergänzend zum allgemeinen SREP hat sie darin ein IT-SREP-Verfahren für bedeutende Institute (Significant Institutions – SIs) und eines für weniger bedeutende Institute (Less Significant Institutions – LSIs) entwickelt.

Gemäß Tz. 5 zielen die IT-SREP-Leitlinien vom Mai 2017 darauf ab, die Konvergenz der Aufsichtspraktiken bei der Bewertung des IT-Risikos im Rahmen des SREPs sicherzustellen. Die Leitlinien enthalten hierfür Bewertungskriterien, welche die zuständigen Behörden bei der aufsichtlichen Bewertung der IT-Governance und IT-Strategie der Institute und bei der aufsichtlichen Bewertung von deren IT-Risikopositionen und -kontrollen anwenden sollten.

Außerdem hat die Aufsicht zu bewerten, ob der allgemeine Governance-Rahmen und der interne Kontrollrahmen des Instituts die IT-Systeme und die damit verbundenen Risiken ordnungsgemäß abdecken und ob das Leitungsgremium diese Aspekte angemessen angeht und verwaltet, da die IT für das ordnungsgemäße Funktionieren eines Instituts von zentraler Bedeutung ist. Insbesondere hat die Aufsicht zu beurteilen,

  • ob das Institut über eine angemessene IT-Strategie verfügt, die hinreichend geregelt ist und mit dessen Geschäftsstrategie in Einklang steht,
  • ob die internen Governance-Regelungen des Instituts in Bezug auf die IT-Systeme des Instituts angemessen sind
  • und ob der Risikomanagementrahmen und der interne Kontrollrahmen des Instituts dessen IT-Systeme angemessen sichern.

Auch sollen die Aufseher auf der Basis des Titels 5 der EBA-SREP-Leitlinien vom Mai 2017 bewerten, ob das Institut über eine angemessene und transparente Unternehmensstruktur verfügt, die zweckdienlich ist, und ob es entsprechende Governance-Regeln umgesetzt hat. Mit Blick auf die IT-Systeme und im Einklang mit den EBA-Leitlinien zur internen Governance28 soll sie prüfen, ob das Institut über eine solide und transparente Organisationsstruktur verfügt, in der die Verantwortlichkeiten in Bezug auf die IT klar definiert sind. Das gilt auch für das Leitungsorgan und seine Ausschüsse. Zu prüfen ist auch, dass wichtige, für die IT verantwortliche Personen wie etwa der Chief Information Officer (CIO) und der Chief Operating Officer (COO) über einen ausreichenden indirekten oder direkten Zugang zum Aufsichtsorgan verfügen. So soll sichergestellt werden, dass auch das Aufsichtsorgan die mit der IT verbundenen Risiken kennt und sich mit ihnen befasst.

Da die Bedeutung von IT-Auslagerungen für den Geschäftserfolg weiter zunimmt, aber auch mit Blick auf die damit verbundenen Sicherheitsrisiken fordern die Leitlinien, dass die Aufsichtsbehörden bewerten, ob die IT-Auslagerungspolitik und -strategie des Instituts die Auswirkungen der IT-Auslagerung auf das Geschäft und das Geschäftsmodell des Instituts berücksichtigen.

Aufsichtliche Anforderungen an die IT der Institute mit KWG-Lizenz

Auch in Deutschland ist die IT-Aufsicht mehr und mehr in den Fokus aufsichtlichen Handelns gerückt. Schon 2012 hat die BaFin das Referat „IT-Infrastrukturen bei Banken“ eingerichtet. Zum Jahresbeginn 2018 wurde die Gruppe „IT-Aufsicht / Zahlungsverkehr / Cybersicherheit“ gegründet, in der dieses Referat aufgegangen ist. Die Gruppe ist unter anderem für Grundsatzfragen zur Cybersicherheit, der Aufsicht über Zahlungs- und E-Geldinstitute, Prüfungen mit IT-Bezug und Grundsatzfragen zur IT-Aufsicht zuständig. Die IT-Aufsicht erfolgt seitdem geschäftsbereichsübergreifend und soll nachfolgend exemplarisch am Beispiel des Kreditwesengesetzes (KWG) dargestellt werden:

Die Generalnorm für die Aufsicht über Institute in § 6 Abs. 2 KWG lautet: „Die Bundesanstalt hat Mißständen im Kredit- und Finanzdienstleistungswesen entgegenzuwirken, welche die Sicherheit der den Instituten anvertrauten Vermögenswerte gefährden, die ordnungsmäßige Durchführung der Bankgeschäfte oder Finanzdienstleistungen beeinträchtigen oder erhebliche Nachteile für die Gesamtwirtschaft herbeiführen können.“

Die BaFin interpretiert dies so, dass die „den Instituten anvertrauten Vermögenswerte“ heute in der Regel Daten sind, die in IT-Systemen verarbeitet und gespeichert werden. Eine Beeinträchtigung der ordnungsmäßigen Durchführung der Bankgeschäfte oder Finanzdienstleistungen ist somit immer mindestens dann anzunehmen, wenn

  • die Verfügbarkeit der IT-Systeme unzureichend ist, das heißt, wenn also die IT-Systeme nicht bestimmungsgemäß betriebsbereit sind und die Verarbeitung der Daten nicht korrekt abläuft,
  • die Datenintegrität nicht vollständig gewährleistet werden kann, wenn also die Korrektheit der Daten (Datenintegrität) und / oder die Korrektheit der Funktionsweise des IT-Systems (Systemintegrität) nicht sichergestellt ist beziehungsweise
  • die Vertraulichkeit nicht sichergestellt werden kann, sprich: wenn es möglich ist, die zu schützenden Daten unautorisiert und unbemerkt zu manipulieren.

Konkretisiert werden die allgemeinen Aufgaben der Bankenaufsicht nach § 6 KWG durch § 25a Abs. 1 KWG (siehe Infokasten).

§ 25a Abs. 1 KWG

Dieser Paragraf gibt vor, dass „ein Institut […] über eine ordnungsgemäße Geschäftsorganisation verfügen [muss], die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich; sie haben die erforderlichen Maßnahmen für die Ausarbeitung der entsprechenden institutsinternen Vorgaben zu ergreifen, sofern nicht das Verwaltungs- oder Aufsichtsorgan entscheidet. Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, […]; das Risikomanagement umfasst insbesondere […]
4. eine angemessene personelle und technischorganisatorische Ausstattung des Instituts;
5. die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme […] .“

Was die BaFin mit Blick auf die IT konkret unter einer ordnungsgemäßen Geschäftsorganisation versteht, hat sie insbesondere in ihren BAIT niedergelegt.

Interpretation der Aufsichtsnormen durch die BAIT

Allgemeine Hinweise

Die BAIT interpretieren – ebenso wie die Ende Oktober 2017 überarbeiteten MaRisk – die gesetzlichen Anforderungen des § 25a Abs. 1 Satz 3 Nrn. 4 und 5 KWG. Da die Institute immer mehr IT-Dienstleistungen von Dritten in Anspruch nehmen, weil sie zum Beispiel IT-Dienstleistungen auslagern, beziehen die BAIT auch den § 25b KWG in diese Interpretation ein. Dort wird unter anderem der Umgang mit der Auslagerung von Aktivitäten und Prozessen geregelt. Durch Verweise auf konkrete Textziffern in den MaRisk wird der Bezug der BAIT zu den allgemeinen bankaufsichtlichen Anforderungen an das Risikomanagement sichergestellt.

Die BAIT in der vorliegenden ersten Fassung adressieren insbesondere Themen, bei denen die Aufsicht in den vergangenen Jahren bei Prüfungen wesentliche Mängel identifiziert hat. Dazu gehören zum Beispiel die IT-Strategie und die IT-Governance, die Informationssicherheit, das Berechtigungsmanagement und die Anwendungsentwicklung sowie der Bezug von IT-Dienstleistungen von Dritten im Sinne von IT-Auslagerungen beziehungsweise der Fremdbezug von IT-Dienstleistungen.

Die BAIT sollen insbesondere dem Management der Institute und - mittelbar über die Auslegungsverträge - auch dem IT-Dienstleister dabei helfen, auch mit Blick auf die IT-Aufbau- und -Ablauforganisation und bei der Nutzung der IT-Systeme eine ordnungsgemäße Geschäftsorganisation sicherzustellen. Die als Prinzipien formulierten Anforderungen der BAIT sind jedoch nicht als vollständiger Anforderungskatalog anzusehen. Insoweit bleiben die Institute und ihre IT-Dienstleister gemäß AT 7.2 MaRisk in der Pflicht, bei der Umsetzung der BAIT-Anforderungen auf gängige Standards abzustellen und diese wirksam zu implementieren.

Darüber hinaus ist es ein Wesensmerkmal der BAIT, dass der Grundsatz der doppelten Proportionalität uneingeschränkt gilt.

IT-Risikobewusstsein schärfen

Ein zentrales Ziel der BAIT ist es, das IT-Risikobewusstsein in den Instituten und insbesondere auf den Führungsebenen zu schärfen. Der hier einschlägige Begriff „IT-Risiko“ wurde bereits oben definiert.29 Das Erfordernis, Risikotransparenz zu schaffen und sich mit dem IT-Risiko auf allen Ebenen des Instituts auseinanderzusetzen, zieht sich durch alle acht Themenmodule der BAIT und ist integraler Bestandteil der Anforderungen in den einzelnen Textziffern.

IT-Strategie – II.1. BAIT

In Bezug auf die IT-Strategie steht die Anforderung im Vordergrund, dass sich die Geschäftsleitung regelmäßig mit den strategischen Implikationen der verschiedenen Aspekte der IT für die Geschäftsstrategie auseinandersetzt. Hierzu gehören neben der Aufbau- und Ablauforganisation der IT im Institut zum Beispiel auch der Umgang mit der individuellen Datenverarbeitung (IDV) in den Fachbereichen, strategische Aussagen zum externen Bezug von IT-Dienstleistungen (Auslagerung von IT-Dienstleistungen beziehungsweise Fremdbezug von IT) und grundlegende Anforderungen an das Notfallmanagement.

Die Geschäftsleitung hat die IT-Strategie in einem zyklischen Prozess zu erarbeiten und nach Erörterung mit dem Aufsichtsorgan zu beschließen und institutsintern zu veröffentlichen. Durch die darin formulierten Maßnahmen zur Erreichung der Strategieziele wird auch Klarheit darüber geschaffen, welche Bedeutung die IT für die Durchführung der Bankgeschäfte hat. Des Weiteren erwartet die Aufsicht insbesondere auch strategische Aussagen zum IT-Risikobewusstsein, aber auch Hinweise zur Einhaltung der Anforderungen an die Informationssicherheit im Institut und gegenüber Dritten.

Governance – II.2. BAIT

Die IT-Governance ist die Struktur zur Steuerung und Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie. Die Geschäftsleitung ist dafür verantwortlich, dass die Regelungen zur IT-Governance institutsintern und gegenüber Dritten wirksam umgesetzt werden. Sie hat auch dafür Sorge zu tragen, dass insbesondere das Informationsrisiko- und das Informationssicherheitsmanagement, der IT-Betrieb und die Anwendungsentwicklung angemessen mit Personal ausgestattet sind. Dies ist aus Sicht der BaFin vor allem deshalb wichtig, weil auf diese Weise das Risiko einer qualitativen oder quantitativen Unterausstattung dieser Bereiche frühzeitig erkannt und möglichst umgehend behoben werden kann.

Informationsrisikomanagement – II.3. BAIT

Das Institut hat im Rahmen des Managements der Informationsrisiken den Schutzbedarf der relevanten Daten bzw. Informationen zu ermitteln. Auf dieser Grundlage sind Soll-Maßnahmen festzulegen und diese mit den wirksam umgesetzten Ist-Maßnahmen zu vergleichen. Die daraus resultierende Transparenz der Risikosituation, die Ableitung risikomindernder Maßnahmen und die Überwachung von deren wirksamer Umsetzung sowie die Kenntnis des ermittelten Restrisikos seitens der Geschäftsleitung sind zentrale Anforderungen zur Schärfung des IT-Risikobewusstseins im Institut und gegenüber IT-Dienstleistern.

Damit neben den IT-Risiken auch die einschlägigen Risiken mit IT-Bezug adäquat gesteuert werden können, erwartet die Aufsicht von den Instituten, dass sie einen aktuellen Überblick über die Bestandteile des festgelegten Informationsverbunds30 sowie deren Abhängigkeiten und Schnittstellen haben. Das Institut sollte sich hierbei insbesondere an den betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie an der Risikosituation orientieren. Um ihrer Managementverantwortung gerecht werden zu können, ist die Geschäftsleitung regelmäßig, mindestens jedoch vierteljährlich, vor allem über die Ergebnisse der Risikoanalyse und Veränderungen der IT-Risikosituation zu unterrichten.

Grafik 1: Three-Lines-of-Defence-Modell

Grafik 1: Three-Lines-of-Defence-Modell Eigene Darstellung – in Anlehnung an Three-Lines-of-Defence-Modell aus dem Occasional Paper Nr. 11 der BIS, 2015, Bank for International Settlements (BIS). Grafik 1: Three-Lines-of-Defence-Modell

Informationssicherheitsmanagement – II.4. BAIT

Das Informationssicherheitsmanagement macht Vorgaben zur Informationssicherheit, definiert entsprechende Prozesse und steuert deren Umsetzung. Die Aufsicht betrachtet die Informationssicherheit als Teil der 2. Verteidigungslinie im Sinne des Three-Lines-of-Defense-Modells (siehe Grafik), die die operative 1. Linie überwacht, aber auch unterstützt.
Die Geschäftsleitung ist dafür verantwortlich, unter Berücksichtigung der festgestellten Risikosituation eine Informationssicherheitsleitlinie zu beschließen und hausintern zu veröffentlichen. Die im Rahmen des Informationsrisikomanagements definierten Schutzbedarfe sind durch Informationssicherheitsrichtlinien zu konkretisieren.

Der Informationssicherheitsbeauftragte (ISB)31 oder – bei größeren Instituten – das Informationssicherheitsmanagement-System (ISMS)32 sind aus Sicht der Aufsicht die maßgeblichen Instanzen für die Umsetzung, Einhaltung und Überwachung der unternehmensinternen Vorgaben für die Informationssicherheit innerhalb des Instituts und gegenüber Dritten auf der Basis der aufsichtlichen Anforderungen unter Einbeziehung der einschlägigen Standards. Deshalb ist die Funktion des Informationssicherheitsbeauftragten organisatorisch und prozessual unabhängig auszugestalten, so dass die Bewertung der Informationssicherheit und – soweit notwendig –die Bearbeitung von Informationssicherheitsvorfällen frei von Interessenkonflikten erfolgen können. Der ISB hat der Geschäftsleitung regelmäßig (mindestens vierteljährlich) und anlassbezogen zu berichten.

Vor allem mit Blick auf das zunehmende Cyberrisiko erwartet die Aufsicht, dass diese Funktion quantitativ und qualitativ angemessen mit personellen und finanziellen Ressourcen ausgestattet ist – so, wie es sich aus § 25a KWG i.V.m. AT 7.1 MaRisk und den einschlägigen Standards (BSI-Standard 200-2, Seite 40 ff; ISO/IEC 27001: 2013, 4.4) ableiten lässt. Selbstverständlich beachtet sie auch dabei das Proportionalitätsprinzip und hat spezielle Erleichterungen insbesondere für kleine Institute formuliert.

Benutzerberechtigungsmanagement – II.5. BAIT

Berechtigungen zum Zugriff auf genau definierte Teile von IT-Systemen sind notwendig, damit bestimmte Aufgaben erfüllt werden können. Sie sind aber auch ein zentraler Baustein bei der Schaffung von IT-Sicherheit. Im Rahmen des Benutzerberechtigungsmanagements ist deshalb das Berechtigungskonzept schriftlich festzulegen. Bei der Erarbeitung des Konzepts sind die Fachbereiche einzubeziehen. Beim Berechtigungskonzept ist das Need-to-know-Prinzip anzuwenden, das besagt, dass nur die Berechtigungen zu genehmigen und einzurichten sind, die für die Erfüllung einer konkreten Aufgabe benötigt werden. Das gilt auch für den Rezertifizierungsprozess, in dem geprüft werden muss, ob eingeräumte Berechtigungen weiter notwendig sind. Sollte dies nicht mehr der Fall sein, müssen die Berechtigungen wirksam entzogen werden.33

IT-Projekte und Anwendungsentwicklung – II.6. BAIT

Bei der Steuerung und Überwachung von IT-Projekten sind insbesondere die Risiken im Hinblick auf die Dauer, den Ressourcenverbrauch und die Qualität zu berücksichtigen. Die Geschäftsleitung hat dafür Sorge zu tragen, dass eine Gesamtübersicht der IT-Projektrisiken und der Risiken erstellt wird, die sich aus den Abhängigkeiten verschiedener Projekte untereinander ergeben.

Bereits bei der Entwicklung von Anwendungen sind Vorkehrungen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der in diesem Programm zu verarbeitenden Daten sicherstellen. Diese Vorgaben dienen insbesondere dazu, das Risiko zu reduzieren, dass die Anwendung versehentlich geändert oder absichtlich manipuliert wird. An dieser Stelle sei auch noch einmal auf die Ausführungen zur Einbindung der einschlägigen Sicherheitsmaßnahmen im Sinne des Security by Design verwiesen.34

Darüber hinaus ist es aus Sicht der BaFin stets sinnvoll, Anwendungen der individuellen Datenverarbeitung (IDV-Anwendungen), die die Fachbereiche entwickeln bzw. betreiben, in Risikoklassen einzuteilen und diese Einteilung regelmäßig zu evaluieren. Die Aufsicht erwartet auch, dass jedes Institut alle IDV-Anwendungen in einem zentralen Register führt, die insbesondere für bankgeschäftliche Prozesse, für die Risikosteuerung und -überwachung oder für die Rechnungslegung Bedeutung haben.

IT-Betrieb – II. 7. BAIT

Der IT-Betrieb hat in erster Linie die Anforderungen zu erfüllen, die sich aus der Umsetzung der Geschäftsstrategie und aus den IT-unterstützten Geschäftsprozessen ergeben, und hierbei auch das Portfolio der IT-Systeme angemessen zu steuern. Des Weiteren soll er technische Innovationen nach Maßgabe der Fachbereiche aufgreifen und – gegebenenfalls in Projektform – in die IT-Produktion überführen.

Die entsprechenden Prozesse zur Änderung von IT-Systemen sind abhängig von Art, Umfang, Komplexität und Risikogehalt auszugestalten und umzusetzen (Proportionalität). Dies gilt ebenso für Neu- bzw. Ersatzbeschaffungen von IT-Systemen sowie für sicherheitsrelevante Nachbesserungen (Sicherheitspatches). Im Rahmen des Produktlebenszyklus-Managements sind hierbei auch die Risiken zu überwachen, die aus veralteten IT-Systemen resultieren. Dies ist jedoch nur möglich, wenn alle Komponenten der IT-Systeme inklusive der Bestandsangaben und die gegenseitigen Abhängigkeiten der verwalteten Objekte angemessen geführt werden. Hierfür sollten mittlere und große Institute grundsätzlich eine Configuration Management Database (CMDB) nutzen, kleine zumindest ein Inventarverzeichnis. Die erfassten Informationen sind regelmäßig und anlassbezogen zu aktualisieren.

Für den Fall, dass es ungeplante Abweichungen vom Regelbetrieb gibt, sind vorab geeignete Kriterien für die Information der Geschäftsleitung über mögliche Ursachen dieser Störung, über die zu ergreifenden Notfallmaßnahmen zur Aufrechterhaltung bzw. Wiederherstellung des Geschäftsbetriebs und über die Beseitigung der Mängel schriftlich festzulegen. Im Rahmen des Notfallmanagements35 gemäß AT 7.3 MaRisk sind regelmäßig jeweils dokumentierende Notfallübungen im Institut und gegebenenfalls gemeinsam mit bedeutenden IT-Dienstleistern durchzuführen und zu evaluieren und festgestellte Schwächen und Mängel zu beseitigen.

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen – II. 8. BAIT

Nimmt ein Institut IT-Dienstleistungen in Anspruch, gilt grundsätzlich dasselbe wie bei der Inanspruchnahme von Dienstleistungen allgemein: Das Institut hat zu prüfen, ob es sich um eine Auslagerung im Sinne des § 25b KWG handelt. Ist dies der Fall, hat sie die Anforderungen des § 25b KWG und AT 9 der MaRisk zu erfüllen, und das Institut muss vorab eine Risikoanalyse durchführen. Die Risiken aus dem sonstigen Fremdbezug von IT-Dienstleistungen, deren Definition ebenfalls in AT 9 MaRisk zu finden ist, sind ebenfalls vorab zu bewerten. Nur so kann das Institut seine vollständige Risikosituation ermitteln und Konzentrationsrisiken bei den extern bezogenen IT-Dienstleistungen erkennen. Des Weiteren erwartet die Aufsicht, dass die aus der jeweiligen Risikoanalyse abgeleiteten Maßnahmen in die Gestaltung der einzelnen Verträge mit dritten Dienstleistungserbringern einfließen. Bei wesentlichen Auslagerungen von IT-Dienstleistungen sind die Vorgaben des AT 9 Tz. 7 MaRisk einzuhalten; dies gilt selbstverständlich auch bei Cloud Computing.36

Umsetzung der BAIT

Die BAIT sind mit ihrer Veröffentlichung am 6. November 2017 in Kraft getreten. Eine Umsetzungsfrist oder Übergangsfristen hat die BaFin nicht vorgesehen, denn in den BAIT werden keine neuen Anforderungen an die Institute und ihre Dienstleister gestellt. Bei der Jahresabschlussprüfung 2018 werden die einschlägigen Vorgaben der Prüfungsberichtsverordnung (PrüfbV) unter Einbeziehung der BAIT erstmals Berücksichtigung finden. Prüfungen nach § 44 KWG mit IT-Fokus orientieren sich seit Anfang 2018 ebenfalls an den BAIT.

Mögliche Anpassungen der BAIT

Die modulare Ausgestaltung der BAIT eröffnet der Aufsicht die notwendige Flexibilität für künftige Anpassungen oder Ergänzungen. Die BaFin hat bereits mehrfach angekündigt, dass das Thema „IT-Notfallmanagement inklusive Test- und Wiederherstellungsverfahren“ in die BAIT integriert werden soll.

Sie prüft derzeit auch, ob die BAIT an die „G7 – Fundamental Elements of Cybersecurity“37 und die „Leitlinien zu Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten gemäß der Richtlinie (EU) 2015/2366 (PSD2)“38 angepasst werden müssen.

Des Weiteren erwägt die BaFin – in enger Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) – ein spezielles Modul zu Kritischen Infrastrukturen (KRITIS), das die BAIT ergänzen soll. Dieses spezielle Modul soll ausschließlich für diejenigen Banken und IT-Dienstleister gelten, die KRITIS-Betreiber im Sektor Finanz- und Versicherungswesen im Sinne des § 2 Abs. 10 BSI-Gesetz sind. Es soll die notwendigen Anforderungen formulieren, die diese KRITIS-Betreiber erfüllen müssen, um den einschlägigen Vorgaben des § 8a Abs. 3 BSI-Gesetz nachzukommen.

Digitalisierung der Versicherungswirtschaft

Die Digitalisierung als eines der zentralen strategischen Themen in der Versicherungswirtschaft

Neben unternehmensinterner Prozessoptimierung und Effizienzsteigerung geht es bei der Digitalisierung im Versicherungssektor vor allem um die Verbesserung des Kontakts zum Kunden.39 Versicherungsunternehmen haben in den vergangenen Jahren bereits viele ihrer Geschäftsprozesse – intern und im Vertrieb – gestrafft und automatisiert. Insbesondere durch Automatisierung manueller Prozessschritte hin zu einer möglichst volldigitalen Abwicklung von Antrags-, Vertrags- und Schadenprozessen lässt sich die interne Automatisierungsquote deutlich steigern. Über Skaleneffekte lassen sich zudem Kosten senken. So weisen bereits viele standardisierbare Prozesse, wie etwa Bestandsverwaltung und Schadenmanagement, einen hohen Automatisierungsgrad auf.

Ein weiterer Fokus liegt bei der Digitalisierung in der Versicherungswirtschaft auf der Ausgestaltung der Kundenschnittstellen. Die digitale Transformation der Versicherungsunternehmen kann nur gelingen, wenn Kundenbindung und Kundenzufriedenheit mindestens gehalten und, besser noch, erheblich gesteigert werden können. Hierzu ist es essenziell, dem Kunden einen messbaren Mehrwert zu verschaffen – im besten Fall ein aus seiner Sicht optimales Kundenerlebnis.40

Neue Herausforderungen im Versicherungsvertrieb – die Cyberversicherung

Verschiedene Untersuchungen zeigen, dass Cybergefahren sowohl international41 als auch auf der Risikoagenda deutscher Unternehmen in letzter Zeit immer weiter nach oben gerückt sind. Im aktuellen Allianz Risk Barometer der Allianz Global Corporate & Speciality SE (AGCS) wird dargestellt, dass Cyberangriffe inzwischen auf Position zwei der am meisten gefürchteten Unternehmensrisiken angekommen seien.42

Auch die deutsche Versicherungswirtschaft hat auf diese Situation reagiert und ein Produkt Cyberversicherung in verschiedenen Ausprägungen entwickelt.43 Der Gesamtverband der deutschen Versicherungswirtschaft e.V. (GDV) hat hierzu – als unverbindlich deklarierte – allgemeine Versicherungsbedingungen (AVB Cyber) veröffentlicht, die extrem weitgehende Anforderungen an die Antragsteller stellen, die dieses Risiko versichern wollen.44

Versicherungsaufsichtliche Anforderungen an die IT (VAIT)

Es wird nicht überraschen, dass die Aufsicht auch von der Branche, die Cyberrisiken versichern kann, erwartet, dass sie die grundlegenden Anforderungen einhält und wirksam umgesetzt hat, die an die IT-Governance, das IT-Risiko- und Informationssicherheitsmanagement, die Anwendungsentwicklung und den Betrieb von IT-Systemen gestellt werden. Hierzu hat die BaFin Mitte März 2018 den Entwurf des Rundschreibens Versicherungsaufsichtliche Anforderungen an die IT (VAIT) zur Konsultation gestellt. Am 2. Juli 2018 hat sie die VAIT publiziert.

Die VAIT sollen – vergleichbar mit den BAIT für den Bankensektor – der zentrale Baustein der IT-Aufsicht über all die Versicherungsunternehmen und Pensionsfonds (Unternehmen) sein, die in den Textziffern 2 und 3 der Vorbemerkung zu den VAIT benannt sind.45

Das Rundschreiben enthält Hinweise zur Auslegung der Vorschriften des Versicherungsaufsichtsgesetzes (VAG) zur Geschäftsorganisation, soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen (siehe Infokasten „Interpretation des VAG durch die VAIT“).

Die VAIT konkretisieren also, was die Aufsicht unter einer angemessenen Ausgestaltung der IT-Systeme (Hard- und Software-Komponenten) und der dazugehörigen IT-Prozesse versteht, und zwar unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit. Da inzwischen viele Unternehmen IT-Dienstleistungen von Dritten in Form von Ausgliederungen oder sonstigen Dienstleistungsbeziehungen beziehen, sind auch dazu Anforderungen in den VAIT formuliert.

Die VAIT sollen transparent machen, was die Aufsicht von den Unternehmen und ihren IT-Dienstleistern verlangt. Sie sollen ihnen auf diese Weise helfen, auch mit Blick auf die IT eine ordnungsgemäße und wirksame Geschäftsorganisation sicherzustellen. Da die Anforderungen jedoch keinen vollständigen Vorgabenkatalog darstellen und hinsichtlich Regelungstiefe und -umfang nicht abschließend sind, bleibt jedes Unternehmen folglich auch insbesondere jenseits der Konkretisierungen durch die VAIT verpflichtet, grundsätzlich auf gängige IT-Standards abzustellen und den Stand der Technik zu berücksichtigen.

Bei der Umsetzung der Anforderungen der VAIT an die Geschäftsorganisation und somit auch der Ausgestaltung der Strukturen, IT-Systeme oder Prozesse der Unternehmen spielt auch hierbei das Proportionalitätsprinzip eine erhebliche Rolle. Die Anforderungen sind also auf eine Art und Weise zu erfüllen, die der Wesensart, dem Umfang und der Komplexität der Risiken gerecht wird, die mit der Tätigkeit des Unternehmens einhergehen.

Auch bei den VAIT ziehen sich das Erfordernis, Risikotransparenz zu schaffen, und die Notwendigkeit, sich mit dem IT-Risiko auf allen Ebenen des Unternehmens und seiner IT-Dienstleister auseinanderzusetzen, durch alle Themenbereiche.

Zusammenfassung

Die Digitalisierung hat bereits zu erheblichen und teilweise einschneidenden Veränderungen in der Finanz- und Versicherungswirtschaft geführt und wird dies weiterhin tun. Viele Kunden wollen überall und zu jeder Zeit mit Banken und Versicherern interagieren können. Entsprechend hoch sind ihre Erwartungen an die Unternehmen, was die Sicherheit und Integrität ihrer Daten angeht. Dies führt zu einem intensiven Wettstreit der etablierten Anbieter mit neuen innovativen Wettbewerbern.

Banken und Versicherungen verfügen über zwei in einer „digitalen Welt“ notwendige Rohstoffe: Vertrauen und Daten. Der derzeit auch am Finanzmarkt zu beobachtende zunehmende Einsatz von Big Data (BD) und künstlicher Intelligenz (AI -Artificial Intelligence) stellt sowohl die Industrie als auch die Regulierung, insbesondere aber auch die Kunden vor gewaltige Herausforderungen. Bei allem notwendigen Veränderungsdruck wären die Unternehmen allein aus wirtschaftlichem Kalkül gut beraten, genau zu überlegen, inwieweit sie die neuen technischen Möglichkeiten tatsächlich ausreizen wollen, etwa bei der Monetarisierung persönlicher Daten mithilfe von BDAI-Anwendungen. Ansonsten laufen sie in bestimmten Fällen Gefahr, dass Reputationsschäden den Nutzen überwiegen könnten.

Die Aufgabe der BaFin ist es in erster Linie, ein funktionsfähiges, stabiles und integres Finanzsystem zu gewährleisten. Sie wird ihrer Aufgabe gerecht, indem sie beispielsweise aufsichtliche Anforderungen an die Geschäftsorganisation der an Finanzmarkt tätigen erlaubnispflichtigen Unternehmen stellt. Selbstverständlich geht der digitale Wandel auch an Aufsichtsbehörden nicht spurlos vorbei. Regelmäßig muss evaluiert werden, welche neuen Anforderungen rechtlicher und technischer Art die Innovationswelle, die Gesellschaft und Wirtschaft gegenwärtig erleben, an Regulierung und Aufsicht stellt. Abschließende Antworten darauf kann gegenwärtig niemand geben. Umso wichtiger sind eine ständige Auseinandersetzung mit solchen Fragen und der regelmäßige Austausch zwischen Behörden, Unternehmen und Wissenschaft.

Es wird eine gesamtgesellschaftliche Aufgabe sein müssen, die Balance zwischen der Renditeerwartung der Unternehmen, der notwendigen Überwachung der Einhaltung der Anforderungen an die Governance und die Cybersicherheit durch die Aufsicht sowie der informationellen Selbstbestimmung der Verbraucher zu schaffen und auch langfristig sicherzustellen.

Fußnoten:

  1. 1 DTCC & Oliver Wyman, Large-scale cyber-attacks on the financial system – A case for better coordinated response and recovery strategies, http://www.oliverwyman.com/our-expertise/insights/2018/mar/large-scale-cyber-attacks-on-the-financial-system.html.
  2. 2 Bildschirmtext.
  3. 3 Röseler, Banking wird sich ganz radikal ändern, Treiber des Wandels ist die Digitalisierung, in: Zeitschrift für das gesamte Kreditwesen, Nr. 7/2018, Seite 25 ff.
  4. 4 COREtransform: White Paper – Primat des Technologischen – Regulatorik im Spannungsfeld
    zwischen Gestalten und Verwalten, https://transform.core.se/de/about/insights/knowledge-work/white-paper/.
  5. 5 BaFin, Big Data trifft auf künstliche Intelligenz – Herausforderungen und Implikationen für Aufsicht und Regulierung von Finanzdienstleistungen, Seite 7 ff. und Seite 64 ff., www.bafin.de/dok/10985478.
  6. 6 Deutsche Bank Research, Fintech reloaded – Die Bank als digitales Ökosystem, https://www.dbresearch.de/PROD/RPS_DE-PROD/PROD0000000000443890/Fintech_reloaded_%E2%80%93_Die_Bank_als_digitales_%C3%96kosyste.pdf.
  7. 7 Stollarz, Digitalisierung in der Finanzbranche ist kein Selbstzweck, in: Börsen-Zeitung online, 28.04.2018, Seite B5.
  8. 8 Eine allgemeingültige Definition des Begriffs Fintechs existiert bisher nicht. Als Kombination aus den Worten Financial Services und Technology versteht man unter Fintechs gemeinhin junge Unternehmen, die mit Hilfe technologiebasierter Systeme spezialisierte und besonders kundenorientierte Finanzdienstleistungen anbieten.
  9. 9 Deutsche Bank Research, Kommentar – Start-ups beflügeln Märkte mit digitalen Technologien (Fintech #7), https://www.dbresearch.de/PROD/RPS_DE-PROD/PROD0000000000447700/Start-ups_befl%C3%BCgeln_M%C3%A4rkte_mit_digitalen_Technolog.PDF, abgerufen am 11.05.2018.
  10. 10 Vgl. hierzu Abschnitt 6.4, Governance – II.2. BAIT.
  11. 11 IT Finanzmagazin, 70 Prozent der Banken und Versicherer entwickeln mit agilen IT-Methoden wie Scrum oder Kanban, https://www.it-finanzmagazin.de/70-prozent-der-banken-und-versicherer-entwickeln-mit-agilen-it-methoden-wie-scrum-oder-kanban-35438, abgerufen am 11.05.2018.
  12. 12 Schild, Heise Online – Sichere Softwareentwicklung nach dem "Security by Design"-Prinzip, https://www.heise.de/developer/artikel/Sichere-Softwareentwicklung-nach-dem-Security-by-Design-Prinzip-403663.html, abgerufen am 11.05.2018.
  13. 13 Bain & Company, Mehr Tempo, weniger Altlasten: IT-Architektur im digitalen Zeitalter, http://www.bain.de/Images/Bain-Studie_IT-Architektur_im_digitalen_Zeitalter.pdf.
  14. 14 Infrastructure as a Service (IaaS) ist neben Software as a Service (SaaS) und Platform as a Service (PaaS) eines der drei Servicemodelle des Cloud Computings. Der Service beinhaltet regelmäßig die Bereitstellung von Rechenzentrumsinfrastruktur durch einen Cloud Provider. Der Zugriff über die Ressourcen erfolgt über private oder öffentliche Netzwerke. Zu den Komponenten der bereitgestellten Infrastruktur gehören beispielsweise Server, Rechen- und Netzkapazitäten, Kommunikationsgeräte wie Router, Switche und Firewalls, Speicherplatz sowie Systeme zur Sicherung und Archivierung von Daten.
  15. 15 IT Finanzmagazin, Studie zur IT-Architektur: Banken & Versicherer haben wachsende technologische Defizite, https://www.it-finanzmagazin.de/bain-studie-zur-it-architektur-banken-versicherer-haben-wachsende-technologische-defizite-45983, abgerufen am 11.05.2018.
  16. 16 com! Professional, Sicherheit in der Cloud funktioniert anders, https://com-magazin.de/praxis/cloud/sicherheit-in-cloud-funktioniert-1469946.html, abgerufen am 11.05.2018.
  17. 17 Senior Supervisory Group, Observations on Developments in Risk Appetite Frameworks and IT Infrastructure, https://www.newyorkfed.org/medialibrary/media/newsevents/news/banking/2010/an101223.pdf, abgerufen am 11.05.2018.
  18. 18 Basel Committee on Banking Supervision, Principles for effective risk data aggregation and risk reporting.
  19. 19 Steffens, Hacker-Jagd im Cyberspace – Grundlagen und Grenzen der Suche nach den Tätern in: c’t 14/2017, Seite 122.
  20. 20 Vgl. BSI-Standard 200-2, Seite 12.
  21. 21 BSI, https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/ cyber-sicherheit_node.html, abgerufen am 30.07.2018.
  22. 22 Geiß, Völkerrecht im „Cyberwar“, http://www.ipg-journal.de/schwerpunkt-des-monats/neue-high-tech-kriege/artikel/detail/voelkerrecht-im-cyberwar-859/, abgerufen am 11.05.2018.
  23. 23 Siehe Bundesministerium der Finanzen: https://www.bundesfinanzministerium.de/Content/EN/Standardartikel/Topics/Financial_markets/Articles/2017-10-27-Cyber-Security-download.pdf?__blob=publicationFile&v=2.
  24. 24 Lawrence, Cybersimulation: Der Teufel, den man kennt, in: Herbert Frommes Versicherungsmonitor, https://versicherungsmonitor.de/2018/05/03/cybersimulation-der-teufel-den-man-kennt/, abgerufen am 11.05.2018.
  25. 25 EBA-Leitlinien EBA/GL/2014/13.
  26. 26 EBA-Leitlinien EBA/GL/2014/13, a.a.O., Seite 8.
  27. 27 EBA-Leitlinien EBA/GL/2017/05. Das Kürzel „IKT“ steht für Informations- und Kommunikationstechnik.
  28. 28 EBA-Leitlinien EBA/GL/44.
  29. 29 Siehe Infokasten "IT-Risiko".
  30. 30 Zu einem Informationsverbund gehören beispielsweise geschäftsrelevante Informationen, Geschäftsprozesse, IT-Systeme sowie Netz- und Gebäudeinfrastrukturen.
  31. 31 Siehe Bundesamt für Sicherheit in der Informationstechnik (BSI)-Standard 200-2, Seite 40 ff.
  32. 32 Siehe ISO/IEC 27001: 2013, 4.4.
  33. 33 Siehe BSI, IT-Grundschutz: M 2.8 Vergabe von Zugriffsrechten.
  34. 34 Siehe EBA-Regulierung mit IT-Bezug.
  35. 35 Siehe BSI-Grundschutz 100-4 oder ISO 22301:2012.
  36. 36 Vgl. BaFinJournal April 2018, Seite 29 ff.
  37. 37 Vgl. hierzu Abschnitt 3.
  38. 38 EBA-Leitlinien EBA/GL/2017/17.
  39. 39 Versicherungsforen Leipzig, Digitalisierung der Customer Journey bei Versicherungen in der DACH-Region, https://www.liferay.com/documents/10182/171894549/Digitalisierung%20der%20Customer%20Journey%20bei%20Versicherungen%20in%20der%20DACH-Region.
  40. 40 Bain & Company, Digitalisierung der Versicherungswirtschaft: Die 18-Milliarden-Chance, Seite 21, http://www.bain.de/Images/161202_Bain-Google-Studie_Digitalisierung_der_Versicherungswirtschaft.pdf
  41. 41 IT Finanzmagazin, Whitepaper der Versicherungsforen Leipzig & NICE: Kunden und Digitalisierung treiben die Assekuranz, https://www.it-finanzmagazin.de/whitepaper-der-versicherungsforen-leipzig-nice-kunden-und-digitalisierung-treiben-die-assekuranz-31078, abgerufen am 11.05.2018.
  42. 42 datensicherheit.de: Cyber-Sicherheitsvorfälle: Neuer Kaspersky-Bericht über Folgekosten liegt vor, https://www.datensicherheit.de/aktuelles/cyber-sicherheitsvorfaelle-neuer-kaspersky-bericht-ueber-folgekosten-liegt-vor-25899, abgerufen am 11.05.2018.
  43. 43 Allianz Risk Barometer, https://www.allianzdeutschland.de/allianz-risk-barometer-2018/id_79713564/index, abgerufen am 11.05.2018.
  44. 44 VersicherungsJournal.de, Signal Iduna bringt Cyber-Schutzschild auf den Markt, https://www.versicherungsjournal.de/versicherungen-und-finanzen/signal-iduna-bringt-cyber-schutzschild-auf-den-markt-131904.php, abgerufen am 11.05.2018.
  45. 45 GDV, AVB Cyber, hier: A 1-16 (insbesondere A 1-16.2 a), https://www.gdv.de/resource/blob/6100/d4c013232e8b0a5722b7655b8c0cc207/01-allgemeine-versicherungsbedingungen-fuer-die-cyberrisiko-versicherung--avb-cyber--data.pdf.
  46. 46Vgl. BaFinJournal April 2018, Seite 24 ff.

Zusatzinformationen

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback