IT-Sicherheit bleibt für Banken und Versicherungen ein Dauerbrenner. Die BaFin spricht von täglichen Attacken auf Finanzinstitute. Doch welche neuen Gefahren entstehen und welche Rolle spielen eine steigende Zahl von Vorschriften wie die aktualisierten BAIT?

IT-Sicherheit in Banken und Sparkassen

IT-Sicherheit ist ein zentrales Thema für Banken und Sparkassen.

Partner des Bank Blogs

Cyber-Security und der sichere IT-Betrieb von Finanzinstituten bilden einen Dauerbrenner – ja beides kann man längst nicht mehr voneinander trennen, so wie etwa beim Betrieb von Flugzeugen auch das Motto „Safety first“ gilt. BaFin und BSI sprechen von täglichen Attacken auf Banken und Versicherungen. Erst im Juni 2021 haben wir wieder einen umfassenden DDoS-Sabotageangriff auf das Onlinebanking von 820 Instituten erlebt. Hinzukommt die nach wie vor starke Bedrohung durch Angriffe von innen – und Herausforderungen, die durch die so sinnvollen Clouds entstanden sind.

Gleichzeitig steht das Finanzwesen nicht nur von Cyberkriminellen unter Beschuss. Vielmehr unterliegen die Geldhäuser auch einer riesigen und anschwellenden Flut von Vorschriften: Die Themen IT-Sicherheit, aufsichtsrechtliche Vorgaben für Banken und Versicherungen und die Eigenschaft als Betreiber von „Kritischen Infrastrukturen“ überlagern sich dabei. Eine zusätzliche Belastung haben diese Herausforderungen durch die verstärkte mobile Arbeit seit Ausbruch von Corona erhalten: Die Angestellten nutzen viel mehr mobile Geräte an allen möglichen Orten – außerhalb der Firmenzentrale.

Neue bankaufsichtliche Anforderungen an die IT (BAIT)

Von allen Marktteilnehmern wurde daher mit Spannung die 6. Novelle der BAIT erwartet, der Bankaufsichtlichen Anforderungen an die IT, die am 16. August veröffentlicht worden und sogleich in Kraft getreten sind. Auch wenn es keine grundlegenden Änderungen gibt, sind die BAIT an einigen Stellen erweitert, angepasst und auch kommunikativ geschärft worden. Im neuen Kapitel „Operative Informationssicherheit“ formuliert die Aufsicht Anforderungen an die Ausgestaltung von Wirksamkeitskontrollen für bereits umgesetzte Informationssicherheitsmaßnahmen in Form von Tests und Übungen – „ein wesentlicher Bestandteil eines jeden effektiven und nachhaltigen Informationssicherheitsmanagementsystems“, wie die BaFin betont.

Ein weiteres neues BAIT-Kapitel „IT-Notfallmanagement“ sieht die Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen vor. Diese müssen die Institute jährlich prüfen – auf Basis eines IT-Testkonzepts. Im „BaFin Journal“ August 2021 äußert sich die BaFin auch grundsätzlich zur Philosophie der IT-Sicherheit – oder eben Informationssicherheit: So folgt die BAIT dem Ziel der „Informationssicherheit“ und „nicht dem – enger gesteckten – Ziel ‚IT-Sicherheit‘. Klassische IT-Sicherheit beschränkt sich auf das Handlungsfeld Informationstechnik, während Informationssicherheit den Schutz von relevanten Informationen zum Ziel hat, gleichgültig, in welcher Form sie vorliegen. Das Handlungsfeld der Informationssicherheit schließt somit alles ein, was im Zusammenhang mit Informationsverarbeitung steht.“ Die betroffenen Unternehmensprozesse müssten demnach ihre Wirkung für die gesamte Organisation entfalten. Es reiche nicht aus, „allein den IT-Betrieb und die Anwendungsentwicklung mit angemessenen Ressourcen auszustatten.“

Ideallösung Generalunternehmer

Zusätzliche Aufgabe für die IT-Abteilungen also, die neben dem eigentlichen Finanzgeschäft inzwischen den operativen Kern von Finanzhäusern ausmachen. Die entsprechenden Vorstände müssen u.U. auch jetzt ihre IT-Strategie anpassen. Da liegt es auf der Hand, dass man auf spezialisierte Dienstleister zurückgreift – auch angesichts der aktualisierten Vorschriften.

„Make or buy“, „sonstiger Fremdbezug“ oder „wesentliche Auslagerung“ –  wie weit man als Institut geht, hängt neben der Größe, dem Risiko und der eigenen IT-Kompetenz vor allem auch von der IT-Strategie des Vorstandes ab – und die sollte es unbedingt geben. IT-Sicherheit sollte bei der Entwicklung aller Produkte und Dienstleistungen von Anfang an mitgedacht werden, wie es gerade erst ein Beitrag hier im Bank Blog zur IT-Security beschrieben hat. Große Systemhäuser setzen als Generalunternehmer (GU) stark auf individuelle Lösungen, die viele traditionelle Dienstleister nicht bieten. Das Lösungsportfolio im dediziertem Vertical Finance sollte daher die Bereiche UCC, LAN/WLAN, WAN/SD-WAN, Firewall, Voice bis hin zu MIFID II konformer Sprachaufzeichnung umfassen.

Das Schließen von Bankfilialen und die zunehmende mobile Arbeit werden Web- und Videolösungen sowie Video-Ident-Verfahren weiter boomen lassen. „Bring-your-own-Device“-Integrationen bedürfen einer Anpassung der IT-Sicherheitskonzepte. Lösungen wie Microsoft Teams zu nutzen und zu managen, ist dabei ein fester Bestandteil der Leistungen geworden, die Kunden fordern. Themen wie DSGVO und der CLOUD Act müssen hier zwingend Beachtung finden. Firewall- und Netzwerklösungen wiederum sollten eine vollwertige SIEM- und NOC-Umsetzung im 24/7 Betrieb umfassen. Ein zentraler Punkt für Dienstleister ist daher ein Managed Firewall-Konzept, das sich an die BaFin-Anforderung anlehnt.

Alles aus einer Hand – und die Verantwortung ist delegiert

Die Gefahr von Attacken ist ungebrochen und ist mit der vermehrten mobilen Nutzung und Heimarbeit noch größer geworden. Das Risiko der „Angriffe von innen“ ist hierdurch deutlich erhöht. Des Weiteren sollte bei Vor-Ort-Standorten der Banken wiederum eine moderne Netzwerksegmentierung greifen. Jeder Standort erhält eine eigene Firewall.

Ob Omnichannel, Sprachaufzeichnung, Managed Service oder das Hosting in Rechenzentren. Professionell und gut aufgestellte GUs übernehmen gleichzeitig die komplette Steuerung der nachgelagerten Unternehmen sowie besonders die Einhaltung aller rechtlichen und branchenspezifischen Anforderungen. Dass die Spezialisten all die Leistungen und Standards bringen, sollte sich ein Auftraggeber durch Nachweise dokumentieren lassen. Die Aufwendungen für das Durchsetzen von Prüfungsrechten kann durch einen IDW PS 951 Typ 2 Prüfbericht eines Dienstleisters minimiert oder vereinfacht werden. Neben diesen Berichten wird die Bank durch Notfallkonzepte und -übungen, Sicherheitskonzepte, Risikoberichte, Dokumentationen und Penetrationstests unterstützt, die BaFin soeben wieder gefordert hat.

Wer einen auditierten Generalunternehmer engagiert, ist somit sicherer unterwegs – und so können gerade die für IT zuständigen Vorstände fester im Sattel sitzen. Wenn sie denn vollständig informiert sind. Schließlich ist es aus Sicht der BaFin absolut wichtig „dass sich die Institute über aktuelle externe und interne Bedrohungen und Schwachstellen informieren und die Geschäftsleitung über die Ergebnisse der Risikoanalyse und Veränderungen der Risikosituation unterrichten.“


Sebastian Bolle

Sebastian Bolle ist Koautor des Beitrags. Er ist Leiter Presales bei der Ostertag DeTeWe GmbH für die Bereiche Mitel / IT-Data mit Fokus auf das Finanzwesen und kritische Infrastrukturen. Der Bankkaufmann war zuvor in verschiedenen Unternehmen, u.a. als Leiter IT/TK tätig.