„Die Pandemie hat die Bedrohungslage im Cyber-Raum dauerhaft erhöht“, erklärte Raimund Röseler bei der BaFin-Veranstaltung „IT-Aufsicht bei Banken “, die am 27. September erstmals rein virtuell stattfand. Die „gravierenden Vorfälle“ hätten sich glücklicherweise in Grenzen gehalten, berichtete der BaFin-Exekutivdirektor der Bankenaufsicht. Die gesamte Finanzindustrie habe aber durch Pandemie und Kontaktbeschränkungen nochmals einen digitalen Schub erhalten. Und je digitaler die Finanzwelt werde, desto mehr gewinne das Thema IT-Sicherheit an Bedeutung.

„Hacker und Cyberkriminelle haben schnell Witterung aufgenommen und neue Einfallstore für sich entdeckt“, sagte Röseler. „Deshalb haben wir die IT-Risiken der Banken noch schärfer unter die Lupe genommen als zuvor.“ In der Hochphase der Pandemie habe die BaFin die Institute und wichtige IT-Dienstleister besonders eng begleitet. „IT-Sicherheit muss bei jedem Institut Top-Priorität sein“, betonte Röseler.

Wie hoch das Risiko ist, Opfer von Cyberangriffen zu werden, darauf habe die Europäische Kommission im vergangenen Herbst nochmal eindringlich hingewiesen. Demnach hätten die Attacken auf den europäischen Finanzsektor seit Ausbruch der Pandemie um mehr als ein Drittel zugenommen. So sei es auch in Deutschland mehrfach zu DDOs-Angriffen (Distributed Denial of Service) gekommen. Dabei werden die Bandbreite oder die Ressourcen eines Servers derart überlastet, dass dieser schlimmstenfalls nicht mehr erreichbar ist. Im Januar 2020 etwa sei ein Dienstleister einer größeren Bank Opfer solcher Angriffe geworden. Auch im genossenschaftlichen Sektor sei es zu DDOs-Angriffen gekommen, zuletzt Anfang Juni auf das Online-Banking von rund 800 Kreditinstituten. Zudem habe die BaFin in den vergangenen Monaten wiederholt Erpressungsversuche mit Ransomware-Angriffen beobachtet. Dabei wollen die Angreifer ein Lösegeld erpressen, bevor sie Bildschirme oder Daten wieder freigeben. Dies habe unter anderem den Dienstleister einer deutschen Großbank sowie einen Versicherer betroffen.

Zwei Handlungsfelder: Digitale Resilienz und Auslagerungen

All das lege zwei grundlegende Handlungsfelder offen. Erstens müssten die Banken ihre digitale Resilienz konsequent weiter verbessern, mahnte Röseler. Denn Cyberkriminelle seien kreativ. Immer wieder suchten und fänden sie neue Angriffsmöglichkeiten. „Die Banken müssen daher widerstandsfähiger und anpassungsfähiger werden. Und sie müssen imstande sein, ihre digitalen operationellen Prozesse auch während eines Störungsfalls aufrechtzuerhalten.“

Das zweite Handlungsfeld betreffe Auslagerungen. Outsourcing sei auch im Bankensektor zu einem unumkehrbaren Trend geworden. Nicht nur angesichts möglicher Kosteneinsparungen, sondern auch unter Sicherheitsaspekten begrüße es die BaFin durchaus, wenn Dienstleistungen – insbesondere im IT-Bereich – durch professionell aufgestellte Unternehmen erbracht würden, sagte Röseler. Nicht zuletzt in der Pandemie habe sich aber gezeigt, dass die Aufspaltung von Wertschöpfungsketten auch Risiken berge. Insbesondere, wenn Institute in hohem Maße von einzelnen Dienstleistern abhängig seien. „Selbst das beste und teuerste eigene Sicherheitssystem hilft einer Bank wenig, wenn die Netzwerke ihrer Dienstleister oder Subdienstleister Sicherheitslücken aufweisen – oder wenn sie Opfer höherer Gewalt werden.“ Die BaFin werde die IT-Verantwortlichen der Banken daher künftig weiterhin stark in die Pflicht nehmen, kündigte Röseler an. Sie müssten genau Buch darüber führen, welche Dienstleistungen ausgelagert bzw. von wem welche Dienstleistung bezogen werde.

Problembewusstsein vorhanden, aber noch nicht überall

Den meisten Vorständen seien die Probleme bewusst. Und die meisten Banken investierten mittlerweile auch viel Geld und Manpower, um ihre IT sicher zu machen. Dies sei sicherlich auch ein Grund, warum der Bankensektor bisher weniger von Cyberangriffen betroffen sei als so manche andere Branche.

Aber leider gelte dies nicht für alle Banken. Noch immer – und bedauerlicherweise viel zu oft – erlebe die BaFin die eine oder andere böse Überraschung, wenn sie die IT-Systeme der Banken prüfe. „Das muss sich ändern“, forderte Röseler. „Es wird Zeit, dass die Banken von sich aus aktiv werden. Andernfalls werden wir aktiv oder – schlimmer noch – irgendwelche Hacker.“

DORA: Digitale operationelle Resilienz

Das Thema IT-Sicherheit ist aus Röselers Sicht so elementar, dass es regulatorisch mindestens auf europäischer Ebene angegangen werden muss, wenn nicht sogar auf globaler. Mit dem Entwurf ihres Digital Operational Resilience Acts (DORA) habe die Europäische Kommission im Spätsommer des vergangenen Jahres einen wichtigen Impuls gesetzt. DORA soll die digitale operationelle Resilienz der Finanzunternehmen stärken und weiter sicherstellen, dass kritische Drittdienstleister auf dem Gebiet der Informations- und Kommunikationstechnologie (IKT) stringent und konsequent überwacht werden, ohne dabei die Finanzunternehmen aus ihrer Verantwortung zu entlassen.

BaFin-Referentin Silke Brüggemann erläuterte den Konferenzteilnehmerinnen und -teilnehmern Einzelheiten der geplanten Verordnung, die einheitliche und harmonisierte Regeln für den gesamten Finanzsektor schaffen soll. Die wesentlichen regulatorischen Elemente beträfen die Gewährleistung der digitalen operationellen Resilienz der Finanzunternehmen, führte Brüggemann aus: die Harmonisierung des IKT-Risikomanagements mit den Elementen IKT-Governance und IKT-Risikomanagement-Rahmenwerk, die Vereinheitlichung und Ausweitung der Meldepflichten von schwerwiegenden IKT-Vorfällen auf den gesamten Finanzsektor und einen europäischen Überwachungsrahmen für kritische IKT-Drittdienstleister. Der Anwendungsbereich sei weit gefasst. Er umfasse unter anderem Kreditinstitute und Zahlungsdienstleister, Erst- und Rückversicherer und Wertpapierfirmen, aber auch E-Geld-Institute, Zentralverwahrer (CSDs) und „Kryptoverwahrer“, Zentrale Gegenparteien und Handelsplätze.

DORA ist ein wesentlicher Baustein des Digital Finance Packages, mit dem die EU-Kommission die Wettbewerbsfähigkeit erhöhen, Innovationen fördern und den europäischen Finanzmarkt moderner, sicherer und widerstandsfähiger machen will. Sowohl im Europäischen Parlament als auch im Rat der Europäischen Union dauern die Verhandlungen allerdings noch an. In die Verhandlungen des Rats ist die BaFin unter Federführung des Bundesministeriums der Finanzen eng eingebunden. Die Verordnung soll voraussichtlich im kommenden Jahr in Kraft treten.

FISG: Direkter Zugriff der BaFin auf Dienstleister

„Schwarz auf weiß“, sagte Röseler, habe die BaFin dagegen bereits die zusätzlichen Kompetenzen, mit denen der deutsche Gesetzgeber die BaFin mit dem FISG, dem Gesetz zur Stärkung der Finanzmarktintegrität (siehe BaFinJournal Juni 2021), ausgestattet habe. Ab 2022 kann die Aufsicht direkt auf diejenigen Unternehmen zugreifen, auf die Banken wesentliche Prozesse und Aktivitäten auslagern. „Das FISG gibt uns dafür das eine oder andere scharfe Schwert an die Hand – unter anderem in Form erweiterter Anordnungsbefugnisse: Mussten wir bislang den Umweg über die Banken nehmen, können wir künftig unmittelbar auf das Auslagerungsunternehmen zugreifen, wenn wir einen Missstand vermeiden oder beheben wollen“, erklärte Röseler.

Auch Sanktionen könne die BaFin dann direkt gegenüber dem jeweiligen Unternehmen verhängen. Und für den Fall, dass Institute Auslagerungsunternehmen in Drittstaaten außerhalb des Europäischen Währungsraums beauftragten, müsse es einen Zustellungsbevollmächtigten geben, an den die Aufsicht zum Beispiel Prüfungsanordnungen kurzfristig zustellen könne. Außerdem gelte nun wieder eine Anzeigepflicht für wesentliche Auslagerungen, was der BaFin einen flächendeckenden Überblick über Auslagerungen und die damit einhergehenden (Konzentrations-)Risiken verschaffe.

Anzeigepflicht für Auslagerungen

BaFin-Experte Dr. Frank Beekmann erläuterte den Konferenzteilnehmern den Hintergrund der Anzeigepflicht. „Die Digitalisierung bietet verstärkte Möglichkeiten, Aktivitäten und Prozesse auszulagern“, sagte er. Dies führe im ersten Schritt zu speziellen Risiken bei den auslagernden Instituten. Je mehr ausgelagert werde, desto wichtiger – und damit kritischer – werde aber die Rolle der Dienstleister. „Eine Konzentration auf sogenannte Mehrmandantendienstleister (MMDLs), die für mehrere Banken tätig sind, birgt Risiken für den Gesamtmarkt.“ Darum sei es wichtig, dass die BaFin einen Überblick über Auslagerungsbeziehungen erhalte. Dadurch könne sie MMDLs identifizieren, eine Risikoeinschätzung vornehmen und kritische MMDLs überwachen.

Hintergrund der durch das FISG normierten Anzeigepflicht sind unter anderem die Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) zu Auslagerungen. Diese sehen vor, dass Banken und Zahlungsdienstleister bei wesentlichen Auslagerungen die Absicht, den Vollzug, wesentliche Änderungen sowie schwerwiegende Vorfälle bei der Aufsicht anzuzeigen haben. Darüber hinaus müssen sie ein Register mit Informationen zu Auslagerungsvereinbarungen führen. Bei der BaFin sind die Anzeigen – mit Ausnahme der schwerwiegenden Vorfälle – über das Meldeportal MVP einzureichen. Die entsprechende Anzeigenverordnung wird sie demnächst öffentlich konsultieren.

MaRisk, BAIT und ZAIT

Um das Risikomanagement und die Informationssicherheit im Finanzsektor weiter zu stärken, war die BaFin bereits in den vergangenen Monaten aktiv: Im August veröffentlichte sie Novellen der Mindestanforderungen an das Risikomanagement (MaRisk) der Banken und der Bankaufsichtlichen Anforderungen an die IT (BAIT), ebenso wie die ZAIT, die Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (siehe BaFinJournal August 2021).

Anlass für die Novellierung der BAIT sowie die Erstellung der ZAIT war die Umsetzung der EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken. Zudem flossen Erfahrungen aus der Aufsichtspraxis von BaFin und Deutscher Bundesbank in die Rundschreiben ein. Beekmann erläuterte die wichtigsten der insgesamt rund 150 Änderungen, die die Banken ohne Umsetzungsfristen beachten müssen. Ganz neu seien die Kapitel zur Operativen Informationssicherheit (5), zum IT-Notfallmanagement (10) und zum Management der Beziehungen mit Zahlungsdienstnutzern (11). Aber auch in anderen Kapiteln (siehe Infokasten) habe es teils umfangreiche Anpassungen gegeben.

Ziel der Vorgaben in Kapitel 5 sei es unter anderem, dass die Banken sicherheitsrelevante Ereignisse noch zuverlässiger erkennen, zielgerichteter analysieren und regelmäßig die Wirksamkeit ihrer Informationssicherheitsmaßnahmen überprüften. In Kapitel 10 konkretisierten die BAIT die Anforderungen von AT 7.3 MaRisk für IT-Systeme. Die Unternehmen müssten für zeitkritische Aktivitäten und Prozesse über verschiedene IT-Notfallpläne verfügen. „Und – das ist ebenso wichtig – sie müssen diese Pläne testen, um sicherzustellen, dass sie im Ernstfall auch funktionieren.“ Kapitel 11 schließlich verpflichte die Banken unter anderem dazu, ihre Zahlungsdienstnutzer umfassend zu informieren, etwa über Risiken, Sicherheitsupdates und Möglichkeiten, beispielsweise Zahlungslimits anzupassen. „Natürlich gilt auch hier: Wir werden prinzipienbasierte Aufsicht betreiben und auf die Wahrung der Proportionalität achten“, versicherte Beekmann.

Erkenntnisse aus der Prüfungspraxis

Rainer Englisch von der Deutschen Bundesbank schilderte im Lichte der Novellen von MaRisk und BAIT detailliert, in welchen Themenbereichen die Aufsicht bei ihren IT-Prüfungen in den vergangenen zehn Jahren die meisten wesentlichen Mängel festgestellt hat. Demnach decken die Prüfer bei Auslagerungen und sonstigem Fremdbezug von IT-Dienstleistungen am häufigsten Mängel bei den Banken auf (21 Prozent). Zwar handele es sich dabei nicht um ein originäres IT-Thema, erklärte Englisch. Dennoch stehe es in engem Zusammenhang mit den Themen, bei denen die Aufsicht ebenfalls besonders häufig wesentliche Mängel feststellte: Informationsrisikomanagement (17 Prozent), Informationssicherheitsmanagement (16 Prozent) und Identitäts- und Rechtemanagement (13 Prozent). Englisch ging zudem auf die Risiken ein, die entstehen, wenn Banken aufsichtliche Anforderungen in diesen Bereichen nicht erfüllen.

Erste Erkenntnisse des erstmals durchgeführten aufsichtlichen Überprüfungs- und Bewertungsprozesses (SREP) für die Informations- und Kommunikationstechnologie der sogenannten weniger bedeutenden Institute (LSIs), die unter der direkten Aufsicht der BaFin stehen, fasste Bundesbank-Experte Andreas Vogel zusammen. Demnach schätzen die befragten Institute ihre IT-Risiken durchgehend auf ein mittleres bis hohes Niveau. Die größeren Risiken sehen sie bei IT-Auslagerungen, -Sicherheit und -Verfügbarkeit. Ihren „Reifegrad“ beim Umgang mit diesen Risiken schätzen die Institute ebenfalls als hoch ein. Vor allem das Informationsrisiko- und das Informationssicherheitsmanagement sowie die operative Informationssicherheit hielten viele aber selbst noch für verbesserungswürdig, berichtete Vogel. Er wies in diesem Zusammenhang darauf hin, dass die aufsichtliche Einschätzung erfahrungsgemäß häufig deutlich niedriger ausfalle als die Selbsteinschätzung. Er forderte die Institute daher auf, ihre Selbsteinschätzung ausführlich zu erläutern, damit die Aufsicht diese nachvollziehen könne.

Der IKT-SREP für die LSIs war ursprünglich für 2020 geplant, aufgrund der Covid-19-Pandemie aber um ein Jahr verschoben worden. Er soll auf Basis der Erkenntnisse und im Dialog mit der Industrie kontinuierlich weiterentwickelt werden. Grundlage des LSI-IKT-SREP sind die EBA-Leitlinien für die IKT-Risikobewertung im Rahmen des SREP.

„IT-Sicherheit ist ein Dauerlauf in hohem Tempo“

„Eines muss uns allen klar sein“, resümierte BaFin-Exekutivdirektor Röseler vor dem Hintergrund der Ausführungen: „IT-Sicherheit ist kein kurzer Sprint, sondern – im wahren Wortsinn – ein Dauerlauf, und das in hohem Tempo. Die digitale Transformation der Finanzwirtschaft ist noch längst nicht an ihrem Ende angekommen. Wir befinden uns allenfalls in der ersten Kurve.“