Herr Hufeld, ein wichtiges Thema bei der Konferenz zur IT-Aufsicht bei Banken waren Cyberrisiken. Muss man sich um die IT-Sicherheit des Finanzsystems Sorgen machen?

Akut nicht, grundsätzlich aber schon. Die Zahl der Angriffe auf die IT-Systeme von Unternehmen – und damit eben auch auf die der Finanzindustrie – nimmt zu. Gleichzeitig ist die Qualität der Sicherheitsmaßnahmen von Banken, Versicherern und anderen Finanzunternehmen noch nicht auf dem Niveau, auf dem sie sein müsste. Wir haben in der jüngeren Vergangenheit eine ganze Reihe von Prüfungen durchgeführt und die Ergebnisse sind – Stand heute – nicht zufriedenstellend. Oder, um es wie Kollege Röseler zu sagen: Niemand hätte, in Schulnoten ausgedrückt, etwas Besseres als eine Vier bekommen. Hier besteht also ganz offensichtlich Handlungsbedarf.

Wo liegen die Schwächen?

Es geht hier zum einen um Risikomanagementverfahren, um Vorsorge – und zwar sowohl gegen unabsichtliche Fehler von Mitarbeitern als auch gegen gezielte kriminelle Attacken von außerhalb. Zum anderen geht es aber auch um die Qualität von Dienstleistern, an die häufig erhebliche Teile des IT-Managements ausgelagert werden, und um die Fähigkeit sicherzustellen, dass diese die IT-Sicherheit auch tatsächlich gewährleisten. Wir brauchen hier letztlich ein Bündel von Maßnahmen aus Hardware-Schutz, Software-Schutz und Schutz vor menschlichem Verhalten.

Wie kommt es, dass die Gefahr so stark zugenommen hat?

Die Informationstechnik bietet große strategische und operative Möglichkeiten. Der große Wandel, der derzeit stattfindet, die Digitalisierung in all ihren Facetten, birgt aber nicht nur große geschäftliche Chancen für junge Start-ups und etablierte Unternehmen, sondern bringt auch neue Risiken und neue technische Möglichkeiten für Kriminelle mit sich. Sehr beliebt ist derzeit laut Europol, dem Europäischen Polizeiamt, Ransomware. Das sind Schadprogramme, die den Zugriff auf Daten und Systeme einschränken und nur gegen Zahlung eines Lösegeldes wieder freigeben. Aber auch Phishing ist nach wie vor ein großes Problem, also der Versuch, über E-Mails an sensible Informationen wie Passwörter oder Kreditkartendaten zu gelangen oder Schadsoftware auf den Rechnern der Opfer zu installieren. Das ist die dunkle Seite der Medaille der Digitalisierung. Und sie muss ebenso im Fokus stehen wie deren Chancen.

Was genau erwartet die BaFin von den Unternehmen?

Wir werden unsere Erwartungen in den BAIT, den bankaufsichtlichen Anforderungen an die IT-Sicherheit, die wir derzeit konsultieren, sehr konkret ausformulieren. Besonders wichtig sind uns hier die Themen IT-Strategie, Informationssicherheitsmanagement – in diesem Zusammenhang vor allem der Informationssicherheitsbeauftragte – und Fremdbezug von Dienstleistungen.

Die BAIT fußen auf entsprechenden Vorarbeiten des Finanzstabilitätsrats FSB. Denn die Risiken, über die wir hier sprechen, sind ja letztlich globaler Natur. Das FSB hat einen ganzen Kanon von Prozess-Schritten, Perspektiven und Grundlegungen entwickelt, der letztlich jedem Institut die Möglichkeit geben soll, in strukturierter Form die unterschiedlichen Aspekte der IT-Sicherheit anzugehen und entsprechende Vorkehrungen zu etablieren. Ich denke, wir kommen ein gutes Stück voran, wenn sich alle Institute auf dieser Basis intensiv mit dem Thema auseinandersetzen. Absolute Sicherheit wird es nie geben, aber wir können die Hürden deutlich höher hängen.