Aufrufe
vor 5 Jahren

die bank 05 // 2016

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó IT & KOMMUNIKATION

ó IT & KOMMUNIKATION Die Ordnungswidrigkeit kann in den Fällen zur Beseitigung der Sicherheitsmängel mit einer Geldbuße bis zu 100.000 €, bei Fällen zur Übermittlung der gesamten Audit-, Prüfungsoder Zertifizierungsergebnisse mit einer Geldbuße bis zu 50.000 € geahndet werden. Die in letzter Sekunde aufgenommenen Bußgeldvorschriften sind dem Vernehmen nach der NIS-Richtlinie geschuldet, welche Bußgeldvorschriften enthalten solle. Mitwirkung der Hersteller Als neuer Absatz 6 in § 8b des BSI-Gesetzes wurde eine Verpflichtung für Hersteller integriert: „Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung verlangen.“ Diese Neuerung ist zu begrüßen, schließlich wissen die Hersteller noch besser als ihre Käufer als Betreiber über Fehler und Schwachstellen ihrer eigenen Produkte Bescheid. Es bleibt aber abzuwarten, ob dieser Passus tatsächlich mit Leben gefüllt wird oder den Betreibern im Fall eines Falles nicht weiter nützen wird. 3 Aus Sicht der Bundesressorts ZV (Überweisung), Kartenzahlung, E-Geld Bargeldversorgung Kreditvergabe Geld- und Devisenhandel Wertpapier- und Derivatehandel Versicherungsleistungen Aus Sicht der Fachaufsicht BaFin jeglicher Zahlungsverkehr einschließlich Kartenzahlung; Online Banking einschließlich Mobile Banking Bargeldversorgung - Vorfälle, die zu einer Verletzung der Vertraulichkeit analog § 42a BDSG geführt haben; - Vorfälle, die zu signifikanten Reputationsschäden führen können; - Vorfälle, die vom Institut als Notfall gewertet werden und bei denen definierte Notfallmaßnahmen zum Einsatz kommen. Zeitleiste IT-SiG Dem Vernehmen nach will das BMI mit den Arbeiten zur Änderungsverordnung für Korb 2 im Mai beginnen und diese bis Ende 2016 abschließen. Zu den Umsetzungsfristen beider Forderungen bezieht sich das IT-Sicherheitsgesetz auf das Inkrafttreten der Rechtsverordnung, mit der die Kritischen Infrastrukturen bestimmt werden. Demnach muss die erste Forderung (Mindestsicherheitsniveau) „spätestens zwei Jahre“, die zweite Forderung (Meldewesen) „binnen sechs Monaten“ nach Inkrafttreten der Rechtsverordnung erfüllt sein. Somit ergeben sich zur Umsetzung für den Finanzsektor die folgenden Fristen: ó Etablierung Meldewesen: ab 1. Juli 2017 ó Erreichen Mindestsicherheitsniveau: bis Ende 2018 Da sich der Beginn der Arbeiten Stand heute um vier Monate von Januar auf Mai verschoben hat, darf man davon ausgehen, dass die Verordnung für Korb 2 nicht vor März 2017 fertiggestellt sein wird. Entsprechend müssten dann die Umsetzungsfristen angepasst werden. Erfüllung der Forderungen des IT-SiG Die Erfüllung der Anforderungen wird hier am Beispiel des Bankenverbands gezeigt, welcher für die privaten Banken in Deutschland spricht. Es wird ein Mindestsicherheitsstandard der privaten Banken entwickelt, d. h. im BSI-Jargon ein B3S der privaten Banken. Sowohl das BSI als auch die Fachaufsicht Ba- Fin erkennen mehrere B3S einer Branche an. Der Finanzsektor besteht aus den vier Branchen ó Kreditinstitute ó Börsen ó Versicherungsunternehmen ó Finanzdienstleister. Zu der Branche Kreditinstitute gehören Banken und Sparkassen. Dieser B3S der privaten Banken adressiert die beiden Hauptforderungen aus dem IT-SiG und soll durch eine Anerkennung durch das BSI und die BaFin den privaten Banken die Möglichkeit eröffnen, konform zum IT-SiG zu sein. Der B3S befindet sich derzeit in der Konsultationsphase mit dem BSI. Heute kann noch keine Aussage über den Zeitpunkt der Anerkennung des B3S durch BSI und BaFin getroffen werden. Auszugehen ist von der ersten Jahreshälfte 2016. Danach können die privaten Banken durch Umsetzung des B3S die Anforderungen des IT-SiG erfüllen. Weitere Regulierung Neben den bisher genannten Regulierungen IT-Sicherheitsgesetz und NIS-Richtlinie wirken auf die Kreditwirtschaft noch 50 diebank 05.2016

IT & KOMMUNIKATION ó weitere Regulierungsvorhaben ein, die ebenfalls Aussagen zu Mindestsicherheitsniveau und Meldewesen treffen: ó Rundschreiben der BaFin ó Payment Service Directive 2 (PSD2) der EU-Kommission ó Guidelines der europäischen Bankenaufsicht EBA ó Vorgaben des Single Supervisory Mechanism (SSM) BaFin-Rundschreiben Die „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSI) fordern ein Mindestsicherheitsniveau bei Internetzahlungen, das aus den beiden Hauptmaßnahmen Zwei-Faktor-Authentifizierung und einem Fraud-Management- System (Transaktionsüberwachung) besteht. Des Weiteren fordert die MaSI die Meldung schwerwiegender Zahlungssicherheitsvorfälle. Gemeint ist ein (Teil-)Ausfall von bankfachlichen Prozessen. Eine Meldung muss abgesetzt werden, wenn erkennbar ist, dass ein (Teil-)Ausfall länger als eine Stunde dauern wird. Damit ist auch die Frage nach dem „unverzüglich“ (siehe Absatz zum Meldewesen) geklärt: eine Stunde. Damit die Beseitigung des Zahlungssicherheitsvorfalls aufgrund der Meldung nicht in den Hintergrund gerät, darf zunächst nur eine kurze Meldung zur Lage abgesetzt werden, der eine ausführlichere folgen müsste. Die BaFin arbeitet derzeit an verschiedenen neuen Regelwerken zur IT-Sicherheit. Besonders erwähnenswert sind die „Bankenaufsichtlichen Anforderungen an die IT“. Die BAIT soll alle regulatorischen Anforderungen an die Bank-IT in einem Werk zusammenfassen. Idealerweise sollte sich ein B3S aus der Kreditwirtschaft als Untermenge in BAIT einfügen. PSD 2 Auch die PSD 2 stellt die „üblichen” Forderungen auf: Artikel 95 (Management of Operational and Security Risks) schreibt ein Managementinformationssystem vor, das auch ein Meldesystem umfassen muss. Die Europäische Bankenaufsicht EBA wird ermächtigt, für Banken verbindliche Sicherheitsstandards zu entwickeln. Man kann nur hoffen, dass diese Sicherheitsstandards der EBA den früher umzusetzenden Regulierungen wie das IT-SIG und der MaSI nicht widersprechen. Es geht weiter mit Artikel 96 (Incident reporting), der die unverzügliche Meldung eines Vorfalls an die nationale Aufsichtsbehörde vorschreibt. Guidelines der EBA Die Europäische Bankenaufsicht EBA hat die „Guidelines on the Security of Internet Payments“ entwickelt, die national durch die MaSI der BaFin umgesetzt wurden. In der Entwicklung befinden sich die „Guidelines on Incident Management“, die (erneut) Anforderungen an ein Meldewesen der Banken stellen werden. Auch hier wäre es vorteilhaft, würden diese Guidelines früher am „Regulierungsmarkt“ verbindlich gewordenen Dokumenten (IT-SiG, MaSI) nicht widersprechen. Auch diese Richtlinien werden durch ein Rundschreiben der BaFin umgesetzt. SSM Auch der SSM der Europäischen Zentralbank EZB ist in punkto Kernforderungen eines IT-Sicherheitsgesetzes nicht untätig. So arbeitet die 2015 neu eingerichtete „Expert Group on IT Risk“ an einer Meldepflicht für SSM-Banken (das sind die „bedeutenden“ Banken: in Europa 120, in Deutschland 21). Die „Working Group on On-Site IT Risk Methodology“ arbeitet an Prüfungsmethodologien für Vor-Ort-Prüfungen, d. h. an einem einzuhaltenden Mindestsicherheitsniveau als Spiegelbild eines Prüfungskatalogs. Zu Inhalten und Erscheinungsterminen beider Dokumente ist noch nichts bekannt. Fazit Eine neue Welle der IT-Sicherheit-Regulierung rollt über die Kritischen Sektoren. Das ist zu begrüßen, denn längst nicht alle Sektoren, Branchen und Unternehmen nehmen die Sicherheit ihrer IT so ernst, wie es dem wichtigen Produktionsfaktor IT gebührt. Ohne sichere IT kein Geschäft, das gilt insbesondere auch für den Finanzsektor. Der Gesetzgeber kann nicht ein Gesetz pro Sektor erlassen, sondern muss die vor dem Gesetz bereits gut aufgestellten Sektoren mit jenen mit Nachholbedarf in der IT-Sicherheit quasi in einem Guß mit der Gießkanne gleichermaßen bedenken. Die gut aufgestellten Sektoren müssen entsprechend weniger Aufwand zur Erfüllung der Gesetzesforderungen betreiben. Im Wesentlichen müssen sie das bereits vorhandene gute Sicherheitsniveau dokumentieren. Gleichwohl bleibt zu hoffen, dass der zuweilen als Wettbewerb der nationalen und europäischen Regulierer anmutende Wettlauf um die schnellste oder „wichtigste“ Regulierung nicht zum Wildwuchs oder gar zu widersprüchlichen Forderungen an die Betreiber führen wird. Auch darf die Europäische Regulierung der IT-Sicherheit – im Finanzsektor in Form von NISD, PSD 2, EBA und SSM – nicht zu in Inhalt und Grad unterschiedlichen Forderungen an die europäischen Betreiber führen: das viel bemühte Level Playing Field darf nicht verlassen werden, sonst kommt es zur Regulierungsarbitrage auch im IT-Sicherheitsbereich. ó Autor: Dr. Waldemar Grudzien, Direktor im Geschäftsbereich Retail Banking, Banktechnologie beim Bundesverband deutscher Banken, Berlin. 05.2016 diebank 51

die bank