Umgang mit Cyberrisiken: Prüfung Informationssicherheit in Instituten

Recep Bay, Prüfer für Interne Revisionssysteme^DIIR, CRMA, Leiter Koordination Regulatorik, Bürgschaftsbank Baden-Württemberg GmbH.

I. Einleitung

Die gestiegenen Cyberrisiken in der Finanzbranche haben die Aufsicht veranlasst, sich international mit diesem Themenfeld zu beschäftigen und mit Handlungsempfehlungen einen Mehrwert für die Institute zu schaffen. Sowohl auf europäischer als auch nationaler Ebene werden konkrete Leitlinien und Anforderungen definiert, die Institute bei der Errichtung von Schutzmaßnahmen gegen Risiken aus dem IT-Umfeld unterstützen sollen. 

Nicht unbedeutend sind die von der Aufsichtsbehörde geplanten Aufsichtsschwerpunkte für das Jahr 2020. Insgesamt wurden vier Aufsichtsschwerpunkte festgelegt. Dabei wurde „Digitalisierung, IT­ und Cyberrisiken“ als erstes Schwerpunktthema aufgezeigt, was den hohen Stellenwert aus aufsichtlicher Sicht widerspiegelt[1]. 

Die bereits von der Europäischen Bankenaufsichtsbehörde (European Banking Authority – EBA) zunächst in 2017 formulierten, dann durch die am 28/11/2019 veröffentlichten Leitlinien zur Sicherheit und zum Risikomanagement der Informations- und Kommunikationstechnologie (IKT)[2] treten am 30/06/2020 für die nationalen Aufsichtsbehörden in Kraft. Auf nationaler Ebene werden diese Anforderungen im Rahmen der MaRisk und BAIT Berücksichtigung finden. In Deutschland ist das Thema Informationssicherheits-Risikomanagement bereits durch die MaRisk und BAIT an die Institute herangetragen worden, deren anstehende Novellierung in 2020 erwartet wird. Parallel hierzu wurden im aktuellen BaFin Journal 05/2020 „Cybersicherheit“[3] umfangreiche Informationen rund um das Thema Cybersicherheit den Instituten zur Verfügung gestellt. Sie beinhalten methodische Vorgehensweisen, Regeln und Verfahren im Umgang mit Cyberrisiken. 

Für die sogenannte zweite (Compliance) und dritte Verteidigungslinie (Interne Revision) in den Instituten bedeutet es nachzuvollziehen, ob die regulatorischen Anforderungen gemäß den definierten Vorgaben eingerichtet und beachtet werden.

Im Rahmen des Beitrags werden die Schwerpunkte auf die Einhaltung von formellen Vorgaben hinsichtlich strategischer Ausrichtung, IT-Risikobewusstsein, Informationssicherheit und Maßnahmen gelegt. Dabei werden die Grundarten von Cyberrisiken und Maßnahmen zur Risikoeingrenzung beschrieben. Anhand von ausgewählten Praxisbeispielen (mobiles Arbeiten und Auslagerungen) werden Umsetzungsempfehlungen und deren Überprüfung der Einhaltung beschrieben.

Der Beitrag erhebt keinen Anspruch auf Vollständigkeit. Alle Inhalte im Beitrag beziehen sich auf die persönlichen Erfahrungen des Prüfers. Dieser Beitrag stellt nach Auffassung des Autors die von der Internen Revision und Compliance zu prüfenden wesentlichen Themengebiete dar.

1. Definition

Die zunehmenden Cyberrisiken resultieren einerseits durch die eingeführte Digitalisierung von traditionell manuell geprägten Prozessabläufen sowie die vermehrte Vernetzung der Institute mit externen Dienstleistern, durch die beständig neue Einfallstore für Angreifer geschaffen werden; andererseits durch die zunehmende Professionalisierung der Cyberkriminellen, die ihr technologisches Waffenarsenal kontinuierlich aufrüsten. Nicht ohne Grund werden Cyberangriffe gegenwärtig als das größte operationelle Risiko in Instituten gesehen[4]. Der Durchbruch von neuen Technologien wie Biometrie, künstliche Intelligenz und Quantencomputer ist teilweise geschehen oder steht kurz bevor. Mit den neuen technologischen Möglichkeiten entstehen klare Chancen für die Institute aber auch gleichzeitig neue Formen der Bedrohung für die Cybersicherheit[5].

Für das Institut besteht insofern die Herausforderung, sich permanent auf neue Gefahrensituationen einzustellen und darauf die richtigen Handlungsaktivitäten zu definieren. Je gegenwärtiger Risiken aus dem Cyberumfeld sind, desto größer wird der Wunsch nach IT-Sicherheit sein. Die IT-Sicherheit ist in verschiedenen regulatorischen Anforderungen geregelt. Wobei anzumerken ist, dass die Erfüllung der regulatorischen Anforderungen keine Garantie zum vollkommenen Schutz vor Cyberrisiken darstellt.

2. Grundlagen

Gemäß den Veröffentlichungen der Aufsicht rücken neue Risiken in den Fokus der Bankenaufsicht, „die zum großen Teil an die rasanten Entwicklungen im Bereich der Informationstechnologie zurückzuführen sind. Begriffe wie Finanztechnologie (Fintech), Cloud Computing, Blockchain, IT-Sicherheit, IT-Sicherheitsbeauftragter, IT-Schutzbedarf, Risiken der Informations- und Kommunikationstechnologie und Cyberrisiken spielen seit einiger Zeit auch in der Kreditwirtschaft eine zunehmende Rolle“[6]. 

  [...]
Beitragsnummer: 9555