Cybersicherheit

Max Kirschhöfer, Rechtsanwalt, Thümmel, Schütze & Partner

Cybersicherheit – eine Herausforderung für Staat und Wirtschaft. Unter diesem Titel hat die BaFin Mitte Mai 2020 die nunmehr vierte Ausgabe der „BaFin Perspektiven“ veröffentlicht. Nachdem sich die Finanzaufsicht in den vorangegangenen Ausgaben bereits zweimal dem Thema Digitalisierung (Ausgaben 1/ 2018 und 1/2019) sowie einmal dem Thema Nachhaltigkeit (Ausgabe (2/2019) gewidmet hat, ist Gegenstand der vierten Ausgabe der BaFin-Perspektiven erneut ein „Digital-Thema“, wenngleich nunmehr die Risikogesichtspunkte im Fokus der Aufsicht stehen. 

Als wesentliche Bedrohungsarten führt die BaFin Ransomware-Angriffe, Identitätsdiebstahl, Botnetze sowie Schadprogramme an. Das erhebliche Schadenspotential, das durch Cyberangriffe verursacht wird, lässt auch die Finanzwirtschaft nicht außen vor, welche etwa durch Online- und Mobile-Banking, den Einsatz von verschiedenen Banking-Apps und dem wachsenden FinTech-Markt längst Teil des digitalen Alltags geworden ist. Folglich war es ein logischer Schritt, dass sich der Gesetzgeber sowie die Aufsicht dem Thema Cybersicherheit längst angenommen haben. So hat die Europäische Kommission bereits im März 2018 einen FinTech-Aktionsplan vorgelegt, dessen primäres Ziel die Verbesserung der Cyber-Resilienz, also der Widerstandsfähigkeit von Unternehmen gegen Angriffe auf die IT-Sicherheit, ist. An diesen FinTech-Aktionsplan aus dem Jahr 2018 hat sich dann, wie bei europäischen Rechtsakten üblich, im April 2020 (erneut) eine Konsultationsphase angeschlossen, mit welcher die Europäische Kommission ein „Consultation on a new digital finance strategy for Europe / FinTech action plan“ genanntes Dokument veröffentlicht und zur Konsultation gestellt hat (die Konsultation endet am 26.06.2020). 

SEMINARTIPPS

Geldwäsche IT – technisch optimierte Unterstützung der Kontrollhandlungen, 19.06.2020, ZOOM.

PraxisFalle IT-Dienstleistungen: Auslagerung vs. Sonstiger Fremdbezug, 22.06.2020, Frankfurt/Offenbach.

IT-Risikomanagement 2020, 24.06.2020, Frankfurt/Offenbach.

Praxisprobleme in Kontoführung & Zahlungsverkehr, 29.10.2020, Würzburg.

Letztlich möchte diese „digital finance strategy“ bzw. der „FinTech action plan“, deren finale Veröffentlichung derzeit für das dritte Quartal 2020 angedacht ist, sich den auf die fortschreitende Digitalisierung zurückzuführenden zunehmenden Herausforderungen für den Finanzsektor annehmen und hat somit nicht weniger zum Ziel, als die „Technologieneutralität und Innovationsfreundlichkeit“ sicherzustellen ohne „dabei den Verbraucherschutz aus den Augen zu verlieren“, wobei gleichzeitig die „Fragmentierung für digitale Finanzdienstleistungen im europäischen Wirtschaftsraum“ beseitigt und der europäische Wirtschaftsraum „angemessen“ reguliert werden soll (vgl. BaFin-Perspektiven Ausgabe 1/2020 S. 23). Auch wenn ein erneutes starkes Regulierungsaufkommen somit zu erwarten ist, ist aus hiesiger Sicht eine einheitliche europäische Regulierung zu begrüßen, da sie europaweit für einheitliche Rahmenbedingungen sorgt. 

Was wiederum die nationale IT-Sicherheitsperspektive im Finanzsektor anbelangt, so weist die BaFin in ihren Perspektiven zu Cyberrisiken darauf hin, dass sie hier bereits „frühzeitig“ mit den für die Banken geltenden BAIT, den für die Versicherungen geltenden VAIT sowie den für KVGen geltenden KAIT entsprechende aufsichtsrechtliche Rundschreiben herausgebracht hat, welche den „zentralen Baustein der Aufsicht über die Informationssicherheit“ bilden und somit bekannt sein sollten. Die bereits seit geraumer Zeit veröffentlichten Rundschreiben wurden nach hiesiger Kenntnis allerdings längst in den Instituten umgesetzt. 

Darauf hinzuweisen ist abschließend, dass die BaFin Cyberrisken als Querschnittsrisiken einordnet, welche einen „hochgradigen Einfluss auf die gesamte Risikolage der Bank“ haben, weswegen Cyberrisiken „wie alle anderen wesentlichen Risikoarten“ „gemanagt“ werden sollten.