Sven Stubbe, Managing Consultant/Team Manager, HiSolutions AG, Berlin
Paul Schürmann, Senior Consultant, HiSolutions AG, Berlin
Nina Lausen, Consultant, HiSolutions AG, Nürnberg
I. Bringt die erhöhte Regulatorik mehr Sicherheit in Finanzinstituten?
Für deutsche Finanzinstitute stehen besonders die Mindestanforderungen an das Risikomanagement (MaRisk) und die Bankaufsichtlichen Anforderungen an die IT (BAIT) im Fokus, welche die nationale Umsetzung der europäischen „EBA Guidelines on ICT and Security Risk Management“ darstellen. Mit der Novellierung der MaRisk und der BAIT sowie der bevorstehenden Neuerscheinung des Digital Operational Resilience Act (DORA) ergeben sich im Hinblick auf die Informationssicherheit und das Business Continuity Management (BCM) umfangreiche Änderungen für Finanzinstitute.
Hierzu gehören zum einen die neu geschaffenen Kapitel 5 „Operative Informationssicherheit“ und Kapitel 10 „IT-Notfallmanagement“ innerhalb der BAIT und die Schärfung der Vorgaben an die Notfallplanung und die Überprüfung dieser gem. MaRisk AT 7.3. Zum anderen kommen die durch DORA auferlegten Regelungen zur Schaffung von Sicherheitsvorkehrungen hinzu, welche die Risiken in Bezug auf Cyber-Angriffe und andere Bedrohungen hinsichtlich der Betriebsstabilität von Finanzinstituten minimieren.
Die Frage, ob die erhöhte Regulatorik zu mehr Sicherheit führt, kann daher mit „Ja!“ beantwortet werden, sofern die Finanzinstitute es schaffen, die Herausforderungen, die mit den neuen Anforderungen verbunden sind, zu meistern. Aber welche Herausforderungen bringen diese neu geschaffenen bzw. konkretisierten Anforderungen mit und wie können Finanzinstitute sich dessen annehmen? Wie können sie auf die regulatorischen Anforderungen reagieren und diese erfüllen?
Im Folgenden wird ein Überblick über die oben genannten Änderungen und Konkretisierungen der BAIT und MaRisk sowie Praxistipps zur Umsetzung der Anforderungen gegeben. Darüber hinaus wird ein Ausblick auf die Anforderungen des DORA aufgeführt.
II. Anforderungen an operative Informationssicherheit und IT-Notfallmanagement
Durch die BAIT-Novelle werden neue Anforderungen an den Bereich IT-Notfallmanagement (IT Service Continuity Management, ITSCM) und die operative Informationssicherheit der Finanzinstitute gestellt. Die Verschärfung der aufsichtsrechtlichen Anforderungen an die IT ist dabei insbesondere der zunehmenden Digitalisierung im Bankensektor geschuldet.
1. Operative Informationssicherheit im Fokus der Aufsicht
Ein Schwerpunkt der BAIT-Novellierung liegt auf Kapitel 5 „Operative Informationssicherheit“, das die operative Umsetzung der Vorgaben der Informationssicherheitsstrategie vorsieht. Um anhand der Vorgabe angemessene Überwachungs- und Steuerungsprozesse für (IT-)Risiken festzulegen, werden erstmalig konkrete technische und organisatorische Maßnahmen an die Reaktionsfähigkeit des Informationssicherheitsmanagements von Finanzinstituten gefordert. Hierzu werden konkret die Einführung eines Schwachstellenmanagements, die Anwendung der Netzwerksegmentierung und der sicheren Konfiguration von IT-Systemen, die Verschlüsselung von Daten und die Umsetzung eines Perimeterschutzes genannt.
In Bezug auf die Erkennung und Behandlung von (IT-)Risiken regeln die neuen Vorgaben, dass IT-Systeme, abhängig vom Schutzbedarf, mittels „Einsatz automatisierter IT-Systeme“[1] dauerhaft geloggt und zentral durch eine ständig besetzte Stelle überwacht und ausgewertet werden sollen. Dafür sollte ein Portfolio von regelbasierten Schwellwerten oder Use Cases definiert werden, welches die Identifizierung von sicherheitsrelevanten Ereignissen regelt. Im weitesten Sinne fordert die Novelle damit die Einführung eines Security Information and Event Managements (SIEM) sowie den Aufbau und Betrieb eines Security Operations Centers (SOC).
Für den Nachweis der Leistungsfähigkeit solcher Sicherheitsmechanismen und zur frühzeitigen Erkennung und Behebung von Sicherheitsvorfällen und -lücken sind Institute zusätzlich aufgefordert einen Überprüfungsprozess der IT-Systeme zu etablieren, der bspw. Schwachstellenscans und Penetrationstests vorsieht.
Grundsätzlich ist durch das neue Kapitel zu erkennen, dass die BAIT bestehende Regelungen aufgreift, diese konkretisiert und damit die Anforderungen aus den EBA Guidelines on ICT and Security Risk Management verschärft.
2. IT-Notfallmanagement als wesentlicher Baustein zur Sicherstellung des IT-Betriebs
Mit dem neu geschaffenen Kapitel 10 „IT-Notfallmanagement“ greifen die BAIT die bereits auf europäischer Ebene bestehenden Vorgaben an die IT-Notfallplanung aus den EBA Guidelines on ICT and Security Risk Management auf und überführen diese ins nationale Recht. Die neuen Regelungen ergänzen damit die bereits durch die MaRisk AT 7.3 bestehenden Anforderungen an das Business Continuity Management von Finanzinstituten und konkretisieren diese in Teilen, bzw. stellen sogar höhere Anforderungen, bspw. an die Detaillierung der Dokumentation und Prozesse im Rahmen des Business Continuity Managements bzw. des IT-Notfallmanagements.
So müssen Finanzinstitute auf Basis der neuen Regelungen konkrete Ziele und Rahmenbedingungen für das IT-Notfallmanagement definieren, die auf den Zielen und Strukturen des BCM aufbauen und korrespondierende Managementdisziplinen berücksichtigen. Die nationalen Aufsichtsbehörden gehen hiermit den bereits auf europäischer Ebene angestoßenen Weg, nicht mehr einzelne Sicherheitsdisziplinen isoliert zu betrachten, sondern einen ganzheitlichen Ansatz für (IT-)Sicherheits- und Risikomanagement zu verfolgen.
Auch die Anforderungen an die IT-Notfallplanung werden durch die BAIT-Novelle Tz. 3 spezifiziert. Ergänzend zu den Anforderungen aus MaRisk AT 7.3, die Finanzinstitute verpflichten, Geschäftsfortführungspläne für zeitkritische Geschäftsprozesse vorzuhalten, legt die BAIT-Novelle fest, für alle notfallrelevanten IT-Systeme, die zwingend für die Erbringung zeitkritischer Geschäftsprozesse benötigt werden, IT-Notfallpläne (Wiederanlauf- und Wiederherstellungspläne im Sinne des BSI-Standard 200-4 Business Continuity Management) zu erstellen. Neben der erforderlichen Wiederanlaufzeit (Recovery Time Objective, RTO), den notfallrelevanten IT-Systemen und Anforderungen an die Datenwiederherstellung (Recovery Point Objective, RPO) müssen alle relevanten Abhängigkeiten berücksichtigt sein. Auch in Bezug auf die Abhängigkeiten gehen die Anforderungen der BAIT über die bestehenden des MaRisk AT 7.3 hinaus und fordern, im Rahmen der IT-Notfallplanung, die gesamte Liefer- und Systemarchitekturkette, inklusive (IT-)Dienstleister und Provider zu betrachten. So müssen Finanzinstitute auch für Auslagerungen und Fremdbezüge (IT und non-IT), sofern diese maßgeblich zum ordnungsgemäßen Bankbetrieb beitragen, relevante Anforderungen an die Sicherheit erheben, an (IT-)Dienstleister weitergeben und daraus resultierende Maßnahmen und Risiken überwachen und steuern. Mit den neuen Regelungen der BAIT wird verstärkt die ganzheitliche Sicherheitsbetrachtung in der Finanzbranche fokussiert. Dieser Fokus bestätigt sich auch anhand der Anforderungen an das Übungs- und Testmanagement.
III. Risikoorientiertes Übungs- und Testmanagement
Einen großen Schwerpunkt der Novellen der BAIT und MaRisk stellen die Anforderungen an das Übungs- und Testmanagement von Finanzinstituten dar. Dieses fungiert als Schlüssel zur Verbesserung der Notfallplanung und zur Wirksamkeitsüberprüfung von Informationssicherheitsmaßnahmen. Die Bedeutung des Themas lässt sich anhand eines Vorfalls im Jahr 2019 verdeutlichen: Dabei sorgte ein Fehler in der IT eines Dienstleisters der Sparkassen für erhebliche Störungen im Zahlungsverkehr. Diese hatte weitreichende Folgen für die Allgemeinheit und führte beispielsweise zu nicht getätigten Lohn- und Rentenzahlungen.
Neben jährlichen Tests für alle notfallrelevanten IT-Systeme[2], liegt der Fokus nicht nur auf dem Test einzelner Anwendungen und Infrastrukturkomponenten, sondern auch auf dem gesamten Systemverbund und der Einbeziehung der erkannten Abhängigkeiten und IT-Prozesse. Es reicht demnach nicht mehr aus, einzig Funktionstests einzelner Anwendungen durchzuführen. Je Reifegrad des BCM und IT-Notfallmanagements besteht die Verpflichtung, komplexere Tests zu planen und durchzuführen, organisatorische Prozesse und Verantwortlichkeiten zu inkludieren und Applikations- und Infrastrukturzusammenhänge ganzheitlich zu betrachten. Es ist abzusehen, dass die Umsetzung der deutlich verschärften Anforderungen an das Übungs- und Testmanagement bei vielen Finanzinstituten einen spürbaren Mehraufwand bedeuten wird.
Umsetzungshinweise Um die Organisation zu entlasten und den Testaufwand zu reduzieren, können kombinierte Tests durchgeführt werden. Im Rahmen eines Failover Tests können neben organisatorischen Abläufen auch funktionale Tests der Systemkomponenten und Applikationen durchgeführt werden. Ist der IT-Betrieb an einen Provider ausgelagert, sollten gemeinsame Tests durchgeführt werden (in Anlehnung an MaRisk AT 7.3 Tz. 3). Grundsätzlich sollte innerhalb des IT-Testkonzepts eine stetige Erhöhung der Komplexität von Tests erkennbar sein. |
Explizit fordert die BAIT Tz. 5 die Durchführung von Failover-Tests zwischen zwei ausreichend entfernten Rechenzentren. Indirekt besteht somit die Anforderung, mindestens zwei Rechenzentren zu betreiben.
Failover Tests sind in den meisten Finanzinstituten bereits standardmäßig in der IT-Notfalltestplanung berücksichtigt. Eine größere Herausforderung birgt die hiermit indirekt formulierte Anforderung, dass kritische IT-Systeme redundant in einem zweiten Rechenzentrum mit einer angemessen räumlichen Distanz vorzuhalten und zu betreiben sind. Dies schließt aus, dass sich beide Rechenzentren im gleichen Brandabschnitt bzw. im gleichen Gebäude befinden.
Zudem muss zwischen funktioneller und physischer Redundanz bzw. Georedundanz unterschieden werden. Georedundanz muss dabei nicht zwingend Redundanz im Sinne parallel ausgelegter und betriebener Systeme beinhalten. So kann beispielsweise in einem Rechenzentrum eine Hälfte der Systeme betrieben werden, in einem anderen Rechenzentrum die andere Hälfte. Die Rechenzentren wären demnach georedundant, die Systeme jedoch nicht funktionell redundant.
Umsetzungshinweise Bei der Ermittlung des angemessenen Abstands zweier Rechenzentren sollte eine risikoorientierte Betrachtung erfolgen. Hierzu sollten Umgebungsgefährdungen, wie naheliegende Chemieparks oder Verkehrsknotenpunkte sowie Umweltrisiken, wie Hochwasser, Schwachstellen der Stromversorgung und wiederkehrende Wetterereignisse, analysiert werden. Als Faustregel gilt, dass die Entfernung so dimensioniert werden sollte, dass bei einem Schadensereignis nicht beide Rechenzentren gleichermaßen betroffen sind. Zudem muss die Entfernung geeignet sein, die Ausfallzeit zwischen der Umschaltung von dem einen auf das andere Rechenzentrum innerhalb der geforderten Wiederanlaufzeiten zu ermöglichen. Hierbei sollten auch manuelle Tätigkeiten, wie bspw. die Anfahrt von Technikern oder das manuelle Hochfahren von Systemen, berücksichtigt werden. |
Nicht nur aus Notfallgesichtspunkten, gem. MaRisk AT 7.3 Tz. 3 und BAIT-Novelle Kap. 10.4 wird dem Thema Üben und Testen mehr Raum geschenkt. Auch in der Informationssicherheit gewinnt die Überprüfung von Sicherheitsmaßnahmen an Bedeutung. Dies zeigt sich ebenso in der Praxis: So nennen Informationssicherheitsbeauftragte mit Blick auf die BAIT-Novelle Kap. 4.8 vor allem auch die geforderte „Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit“ und deren Umsetzung, also das aktive Testen der Systemsicherheit, als wesentliche Herausforderung.
Für Finanzinstitute, die bereits einen integrativen Ansatz zum Betrieb eines Informationssicherheits- und Business Continuity Managements etabliert haben oder sich an der ISO/IEC 27001[3] ausrichten, wird die Umsetzung leichter fallen, da auf bestehende Strukturen, Prozesse und Hilfsmittel zurückgegriffen werden kann.
Umsetzungshinweise Vorgaben an das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit können in eine bestehende Richtlinie zum Übungs- und Testmanagement aus dem Business Continuity Management integriert werden und auf bereits bestehende Verfahren aufbauen. Sich widersprechende Vorgaben oder unterschiedliche Methoden zwischen Informationssicherheit- und Business Continuity Management können so präventiv vermieden werden. Zur Planung und Nachverfolgung von jährlichen Überprüfungen kann zudem ein durch das Informationssicherheits- und Business Continuity Management gemeinsam genutzter Übungs- und Testplan genutzt werden. Dieser sollte je Übung bzw. Test neben Verantwortlichen, Art und Umfang der Überprüfung und geplantem Zeitraum auch die mit der Übung bzw. dem Test fokussierten Schutzziele enthalten. Durch diesen Ansatz kann sichergestellt werden, dass Aufwände in der Organisation reduziert werden und keine mehrfachen Überprüfungen stattfinden. |
Ein integrativer Ansatz im Übungs- und Testmanagement bietet für Institute viele Vorteile. Neben der besseren Planbarkeit und Steuerung von Übungen und Tests werden sowohl präventive Fragestellungen zu Sicherheitsmaßnahmen wie bspw. „Wie sorge ich dafür, dass es gar nicht erst zur Verletzung meiner Schutzziele kommt?“, als auch reaktive Sicherheitsmaßnahmen, wie bspw. „Wie sorge ich dafür, dass meine Schutzziele bei einer Verletzung schnellstmöglich wieder sichergestellt werden?“, gemeinsam beleuchtet und tragen damit im Ergebnis zur Steigerung der Resilienz bei.
IV. DORA – Harmonisierung und Steigerung der digitalen Resilienz
Den Grundgedanken der Resilienz greift auch die Europäische Kommission mit dem Digital Operational Resilience Act (DORA) auf, der im September 2020 im Rahmen des Digital Finance Package als Legislativfassung veröffentlicht wurde. Die Beschlussfassung des Europäischen Parlamentes und Rates wird noch im Jahr 2021 und das Inkrafttreten 2022 erwartet.
Übergeordnetes Ziel des DORA ist, die Resilienz bzw. Widerstandsfähigkeit der IT von Finanzinstituten und deren IT-Dienstleistern zu stärken und einen einheitlichen europaweit geltenden Rahmen zu schaffen. Damit sollen u. a. die Risiken von Cyberangriffen auf Finanzinstitute reduziert und die Sicherheit der Netzwerks- und Informationssysteme erhöht werden.
Mit welchen Anforderungen DORA künftig Finanzinstitute konfrontiert, zeigt folgende Auflistung:
- Governance zur Schaffung der IT-Resilienz
- IT-Risikomanagement
- Meldepflichten von IT-Vorfällen
- Überprüfung der IT-Resilienz
- Umgang mit Risiken von IT-Drittanbietern
- Informationsaustausch zu Cyberbedrohungen zwischen Finanzunternehmen
Jeder der Bereiche wird nachstehend vorgestellt und mit Umsetzungshinweisen unterlegt.
1. Governance zur Schaffung der IT-Resilienz
Die Leitung von Finanzinstituten wird durch DORA dazu verpflichtet, das IT-Risikomanagement sowie die IT-Risiken aktiv zu steuern und die Gesamtverantwortung dafür zu übernehmen. Dabei reicht es nicht aus, das IT-Risikomanagement lediglich mit den notwendigen Ressourcen auszustatten und Melde- und Entscheidungswege zu definieren. Vielmehr verpflichten die Regelungen des DORA die Institutionsleitung dazu, sich kontinuierlich zu engagieren, indem Kontroll- und Überwachungsaufgaben in Bezug auf das IT-Risikomanagement, die IT-Risiken, IT-Auslagerungen und IT-Vorfälle übernommen werden müssen.
Umsetzungshinweise Die zu etablierenden Kontroll- und Überwachungsmaßnahmen sollte die Institutionsleitung bereits bei der Etablierung der notwendigen Managementsysteme definieren. So können beispielsweise regelmäßige und anlassbezogene Managementreviews genutzt werden, um eine geeignete Steuerung, Kontrolle und Überwachung der IT-Resilienz sicherzustellen. In Konzernstrukturen ist es meist für Institutionsleitungen eine Herausforderung, die vollständige Steuerung zu übernehmen. Daher bietet es sich an, aktive Überprüfungen der Tochtergesellschaften zur Compliance durchzuführen und bei Abweichungen nachzusteuern. |
Eine weitere Anforderung zur Governance wird darin bestehen, dass die Institutionsleitung eine IT-Strategie entwerfen muss. Diese Anforderung wird bereits durch die BAIT gefordert und daher für deutsche Finanzinstitute vermutlich nicht als neue Anforderung wahrgenommen werden. Neu ist allerdings, dass neben der vorausgesetzten Konformität zur Gesamtstrategie des Unternehmens, Grundsätze zur IT-Resilienz ebenfalls dokumentiert werden müssen.
2. IT-Risikomanagement
Für das IT-Risikomanagement fordert DORA mehrere Risikofelder, in denen IT-Risiken aufgedeckt und identifiziert sowie präventiv und reaktiv behandelt werden müssen. Beispielsweise sollten ein Informationssicherheitsmanagement, ein IT-Notfallmanagement bzw. Business Continuity Management und ein Auslagerungsmanagement aufgebaut werden, um IT-Risiken hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit zu identifizieren und diese zu behandeln. Auch entstehende IT-Risiken aufgrund oder im Rahmen von Auslagerungen von IT-Services müssen durch das IT-Risikomanagement betrachtet werden.
Umsetzungshinweise Für ein umfassendes und funktionierendes (IT-)Risikomanagement sollte eine einheitliche Metrik etabliert und Risikoparameter für die Identifikation, Bewertung und Behandlung zwischen den unterschiedlichen Managementsystemen harmonisiert werden. Damit wird eine Vergleichbarkeit von Risiken im gesamten Unternehmen gefördert. Um weitere Synergien von Sicherheitsdisziplinen zu nutzen, kann eine zentrale Austauschplattform und ein gemeinsames Risikoregister etabliert werden, sodass die Risikoverantwortlichen gemeinsam an der Bewertung und Behandlung von Risiken arbeiten können. Hierdurch kann eine mehrfache Erhebung und Bewertung von (IT-)Risiken je Sicherheitsdisziplin vermieden werden. Ein weiterer Nutzen einer gemeinsamen Plattform ist die interdisziplinäre Betrachtung von (IT-)Risiken. Präventive und reaktive Maßnahmen werden damit ganzheitlich bewertet und können mit Blick auf die Steigerung der Resilienz einheitlich gesteuert werden. |
Eine weitere Anforderung des DORA zum IT-Risikomanagement von Finanzinstituten besteht darin, dass Mechanismen etabliert werden müssen, die eine schnelle Identifikation von IT-Vorfällen und -Risiken sowie Schwachstellen ermöglichen. Diese Erkennungsmechanismen müssen durch automatische Warnungen und Alarmierung an die zuständigen Mitarbeiter weitergeleitet werden, sodass eine schnelle Reaktion ermöglicht werden kann.
Umsetzungshinweise Zur Etablierung solcher Erkennungsmechanismen sollten regelbasierte Use Cases definiert werden, die beispielsweise durch ein Security Information and Event Management (SIEM) verwaltet werden. So können Anomalien zeitnah festgestellt und Reaktionen automatisiert eingeleitet werden (vgl. BAIT Kap. 5.4 und 5.5). |
3. Meldepflichten von IT-Vorfällen
Der gegenwärtige Entwurf des DORA sieht eine Meldepflicht von Finanzinstituten bei IT-Vorfällen vor. Unklar ist dabei derzeit, welcher Schwellwert für die Wesentlichkeit von meldepflichtigen IT-Vorfällen gelten soll. Zudem steht die Erarbeitung eines einheitlichen Meldeformulars durch die European Supervisory Authorities (ESA) aus.
Allerdings wird mit dem aktuellen Entwurf des DORA bereits dokumentiert, dass Meldungen bei schwerwiegenden IT-Vorfällen an die jeweils zuständigen Behörden erfolgen müssen. Je nach Finanzinstitut und Geschäftsmodell können dies unterschiedliche oder sogar mehrere Behörden sein. Unklar bleibt jedoch, wie ein „schwerwiegender IT-Vorfall“ einzuordnen ist. Es fehlen einheitliche Schwellwerte oder Kriterien hierfür.
Wichtig zu wissen ist, dass bei Inkrafttreten des DORA in aktueller Form Meldefristen eingehalten werden müssen. So muss eine Erstmeldung unverzüglich an die zuständige Behörde erfolgen und spätestens nach einer Woche eine Zwischenmeldung eingereicht werden. Nach Abschluss des IT-Vorfalls und der Ursachenanalyse muss durch das betroffene Finanzinstitut ein Abschlussbericht erstellt und versendet werden.
Umsetzungshinweise Es bestehen für gewisse IT-Vorfälle, wie bspw. den Verlust von personenbezogenen Daten, bereits festgelegte Meldepflichten. So muss bei einem Datenschutzvorfall gem. Art. 33 der DSGVO innerhalb von 72 Stunden eine Meldung an die zuständige Datenschutzbehörde erfolgen. In Notfall- oder Krisenkommunikationsplänen sollten alle gesetzlichen und vertraglichen Meldefristen identifiziert und dokumentiert werden, sodass im Ereignisfall unverzügliche Pflichtmeldungen abgesetzt werden können und entsprechende Formulare direkt verfügbar sind. |
4. Überprüfung der IT-Resilienz
DORA fordert von allen Finanzinstituten, von denen dieses Gesetz angewendet wird, risikobasierte Tests zur Cyber-Resilienz unter Berücksichtigung sich ändernder IT-Risiken und Cyber-Szenarien durchzuführen. Der risikobasierte Ansatz bedeutet, dass insbesondere kritische IT-Systeme und IT-Anwendungen auf deren Betriebsstabilität und Absicherung in Bezug auf Cyberangriffe mindestens jährlich überprüft werden müssen. Sollten Drittanbieter kritische IT-Systeme und IT-Anwendungen bereitstellen oder betreuen, müssen diese in Tests gleichermaßen einbezogen werden.
Umsetzungshinweise Da umfangreiche Tests, wie Penetrationstests, teilweise erhebliche Aufwände verursachen, ist es wichtig, diese auf kritische IT-Systeme und IT-Anwendungen einzugrenzen. Um zu identifizieren, welche IT-Systeme und -Anwendungen kritisch sind, sollten Finanzinstitute auf die Analysen des Informationssicherheitsmanagementsystems (ISMS) und BCM zurückgreifen. Insbesondere die Schutzbedarfsfeststellung (SBF) des ISMS und die Business Impact Analyse (BIA) des BCM schaffen Transparenz darüber, welche Informationen und IT-Ressourcen für das Unternehmen kritisch sind. Diese Analysen können kombiniert durchgeführt werden und damit zeit- und ressourcenschonend vergleichbare Ergebnisse erzeugen. Durch die Festlegung des Risikoappetits der Institution, welcher die Ergebnisse von SBF und BIA beeinflusst, können Finanzinstitute die Eingrenzung und den Umfang von erforderlichen Tests zusätzlich aktiv steuern. |
Die Tests der kritischen IT-Systeme und IT-Anwendungen müssen durch unabhängige interne und externe Parteien durchgeführt werden. Diese müssen gem. DORA u. a. in höchstem Maß geeignet sein, das notwendige Fachwissen zu Pentesting und Red-Teaming[4] aufweisen und von einer Akkreditierungsstelle der EU zertifiziert sein.
Als Ergebnis dieser Tests werden Schwachstellen der IT-Systeme und -Anwendungen transparent dargestellt. Aus diesen sind Handlungsbedarfe abzuleiten und zu priorisieren. Die Ergebnisse der Tests werden den zuständigen Behörden offengelegt.
Umsetzungshinweise Zur Steuerung der erforderlichen Tests und Übungen sollte eine mehrjährige Übungs- und Testplanung aufgebaut werden (siehe DORA, Kap. II). Mithilfe einer langfristigen Planung können Ressourcenbedarfe geeignet kalkuliert werden. Zusätzlich können unabhängige interne und externe Parteien frühzeitig beauftragt werden, um auch hier Planungssicherheit zu schaffen. |
5. Umgang mit Risiken von IT-Drittanbietern
IT-Risiken, die nicht vom Finanzinstitut direkt gesteuert werden können, da diese im Rahmen einer Auslagerung durch Drittanbieter entstehen bzw. übernommen werden, müssen vom auslagernden Institut überwacht werden. Diese Überwachung der IT-Risiken muss gem. DORA in allen Auslagerungsphasen ermöglicht werden. Damit untermauert DORA die bereits bekannte Ansicht, dass die Verantwortung für ausgelagerte Prozesse und Risiken weiterhin beim auslagernden Unternehmen liegt. Ein häufiges Problem bei der Überwachung der Dienstleister ist, dass die Überwachung und die spezifischen Sicherheitsanforderungen nicht hinreichend in den bestehenden Verträgen beachtet werden.
Umsetzungshinweise Risiken in Bezug auf Auslagerungen sollten bereits in der Planungsphase identifiziert und analysiert werden. Dadurch können eine fundierte Make-or-Buy-Entscheidung durch das jeweilige Finanzinstitut getroffen und zielgerichtete Dienstleisteranforderungen abgeleitet werden. Auf Basis der risikobasierten Anforderungen ist es möglich, adäquate Vertragsgrundlagen zu schaffen und Steuerungs- sowie Überprüfungsmaßnahmen für die gesamte Zeit des Dienstleistungsverhältnisses bis hin zur Beendigung der Vertragsbeziehung zu definieren. Das Auslagerungsmanagement sollte hierbei als ein zentrales, interdisziplinäres Steuerungssystem angesehen werden, das insbesondere die Schnittstellen zum Risikomanagement, zur Informationssicherheit und zum Business Continuity Management berücksichtigt. |
Große Dienstleister, die im Rahmen ihrer Tätigkeiten von erheblicher Bedeutung für die „Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen“[5] sind, werden gem. DORA künftig als kritische IKT-Dienstleister benannt und können damit dem gleichen EU-Aufsichtsrahmen wie Finanzinstitute selbst unterworfen werden. Dabei kann durch die Aufsicht vor allem geprüft werden, ob robuste Verfahren und Maßnahmen auch beim kritischen IT-Dienstleister umgesetzt sind, um die geeignete Steuerung von IT-Risiken sicherzustellen. Das bedeutet, dass diese zukünftig durch die ESA als führende Aufsichtsinstanz geprüft und überwacht werden können.
6. Informationsaustausch zu Cyberbedrohungen zwischen Finanzinstituten
Als Instrument zur Stärkung der Resilienz in der Finanzbranche bewirbt DORA eine institutionsübergreifende Zusammenarbeit. Durch den Austausch von Informationen zu Cyberbedrohungen, Indikatoren für neue Cyberangriffspraktiken und damit verbundenen IT-Risiken kann die digitale Betriebssicherheit des gesamten Finanzmarktes gestärkt werden. Dieses Instrument ist allerdings nicht verpflichtend.
Umsetzungshinweise Die von DORA vorgestellte Form der Zusammenarbeit zwischen Finanzinstituten sollte nicht nur zwischen Finanzinstituten selbst stattfinden. Für einen ganzheitlichen Ansatz eines (IT-)Sicherheits- und Risikomanagements sollten auch als wesentlich definierte Dienstleister in Kooperationen einbezogen werden. |
V. Fazit
Zusammenfassend lässt sich feststellen, dass alle aufsichtlichen Neuerungen darauf hinwirken, die verschiedenen Sicherheitsdisziplinen nicht mehr isoliert zu betrachten, sondern einen Resilienz-schaffenden und ganzheitlichen Überwachungs- und Steuerungsrahmen von IT-Risiken zu schaffen.
Die Herausforderung für Finanzinstitute wird künftig vermehrt darin bestehen, die einschlägigen Vorgaben und Anforderungen an die Sicherheit zu verwalten und interdisziplinär zu steuern. Umgesetzt werden kann dies u. a. durch die Etablierung einer zentralen Datenbasis in Form einer Übersicht aller Sicherheitsvorgaben und -richtlinien (inklusive der relevanten rechtlichen, regulatorischen und vertraglichen Anforderungen), welche die unterschiedlichen Themen, wie z. B. Datenschutz und Informationssicherheit, integriert verwaltet und mit Disziplinen, wie dem Risikomanagement und dem Business Continuity Management, verknüpft. Dies soll Finanzinstitute dabei unterstützen, ihre Sicherheit anforderungskonform zu betreiben und sich selbst nicht zu überregulieren.
PAXISTIPPS
- Mittels kombinierter Testverfahren und der Integration mehrerer Sicherheitsdisziplinen in das Übungs- und Testmanagement kann der Testaufwand reduziert und der Erkenntnisgewinn gesteigert werden.
- Bei der Planung georedundanter Rechenzentren sollte zusätzlich zur Bewertung der Umgebungsrisiken beachtet werden, dass ein Schwenk innerhalb der geforderten Wiederanlaufzeit ermöglicht werden muss.
- Für ein umfassendes und funktionierendes (IT-)Risikomanagement sollte eine einheitliche Metrik etabliert und Risikoparameter für die Identifikation, Bewertung und Behandlung zwischen den unterschiedlichen Managementsystemen harmonisiert werden. Damit wird eine Vergleichbarkeit von Risiken im gesamten Unternehmen gefördert.
- Um den Aufwand umfangreicher Testverfahren, wie Penetrationstests, zu reduzieren, sollten diese mit Fokus auf kritische IT-Systeme und -Anwendungen geplant und durchgeführt werden. Dafür sollten Finanzinstitute auf die Analysen des ISMS (Schutzbedarfsfeststellung) und BCM (Business Impact Analyse) zurückgreifen.
- Das Auslagerungsmanagement sollte als ein zentrales und vor allem interdisziplinäres Steuerungssystem betrachtet werden, in dem insbesondere Schnittstellen zum Risikomanagement, zur Informationssicherheit und zum BCM berücksichtigt werden.
[1] BAIT-Novelle, Kap. 5.3.
[2] Siehe Konsultationsentwurf BAIT-Novelle 13/2020, Kap. 10.4.
[3] Z. B. A.12.3.1 Tests der Datensicherung, A.14.2.3 Technische Überprüfung von Anwendungen nach Änderungen an der Betriebsplattform, A.14.2.8 Testen der Systemsicherheit.
[4] Penetrationstests und Red-Team-Einsätze haben viele Gemeinsamkeiten, unterscheiden sich allerdings in den Zielen der Tests. Pentests prüfen die IT-Systeme, Netzwerke oder Anwendungen hinsichtlich jeglicher Schwachstellen, während das Red-Teaming ausschließlich versucht eine Schwachstelle zu finden und diese bestmöglich auszunutzen. Die Schwachstelle beim Red-Teaming kann sich ebenso auf Personen und Prozesse beziehen.
[5] VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014 und (EU) Nr. 909/2014; Art. 28 Abs. 2 a).