Aufrufe
vor 5 Jahren

die bank 08 // 2017

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG INTERVIEW

REGULIERUNG INTERVIEW Abwarten ist keine Option Interview mit Rechtsanwalt und IT-Rechtexperte Claudio Chirco über die Anforderungen an die IT-Compliance in Banken, neue Datenschutzvorgaben und die Veränderungen durch Cyberrisiken und IT-Kriminalität. diebank: Herr Dr. Chirco, Sie beraten zahlreiche Unternehmen aus dem Bank- und Finanzsektor im Rahmen von IT-Compliance-Projekten. Wie hat sich nach Ihrer Erfahrung das Thema IT-Sicherheit in den letzten Jahren gewandelt? Chirco: IT-Sicherheit ist kein neues Phänomen. Vor allem bei Banken spielt die IT-gestützte Informationsverarbeitung eine zentrale Rolle. Schon im Gefolge von Basel II kamen mit dem KWG und den MaRisk zahlreiche dezidierte Vorgaben zur IT-Sicherheit. Wenngleich somit IT-Sicherheit seit vielen Jahren ein wesentlicher Baustein interner Compliance-Systeme ist, gehörte dieses Thema bei den meisten Instituten nicht zu deren Top-Prioritäten. Inzwischen gewinnt die IT-Compliance hingegen immer mehr an Bedeutung, was nicht zuletzt auf die mediale Aufmerksamkeit, die Sensibilisierung der Verbraucher sowie darauf zurückzuführen ist, dass Gesetzgeber und Aufsicht hier verstärkt tätig sind und ihre Vorgaben noch weiter konkretisieren. diebank: Ein gutes Stichwort. Mit dem IT-Sicherheitsgesetz, der PSD2, der BAIT, den Empfehlungen bei Auslagerungen an Cloud Service Provider sowie der DSGVO müssen sich die Finanzinstitute aktuell mit zahlreichen, teilweise neuen Vorgaben auseinandersetzen. Wie behält man hier den Überblick? Chirco: Dies ist in der Tat die größte Herausforderung. Wer die IT-Sicherheit schon immer ernst genommen hat, ist jedoch schon sehr gut aufgestellt. Auch wenn es aktuell so aussieht, als wenn zahlreiche neue Regelungen auf die Institute zukommen, zeigt die konkrete Umsetzung, dass sich die Anforderungen in vielen Punkten wiederholen oder letztlich nur das schon Bestehende konkretisieren. Die BAIT sind ein gutes Beispiel. Hierin stellt die BaFin letztlich nur dar, was aus ihrer Sicht schon jetzt im Rahmen der Umsetzung der MaRisk an IT-Sicherheit vorhanden sein sollte. Ein weiteres Beispiel ist der zweite Korb der BSI-Kritisverordnung, mit dem auch kritische Infrastrukturen aus dem Finanzwesen den Vorgaben des BSIG unterworfen sind. Dieses fordert jedoch, neben besonderen Meldepflichten, lediglich eine angemessene IT-Sicherheit nach dem Stand der Technik. Der diesbezügliche Nachweis ist mit branchenspezifischen Sicherheitsstandards (B3S) möglich. Hierin kann jedoch letztlich nichts maßgeblich anderes stehen, als das, was den Instituten schon im Rahmen der BAIT vorgegeben wird. diebank: Dennoch spürt man viel Verunsicherung in den Banken, da die derzeitigen Regelungen teilweise nicht aufeinander abgestimmt sind, was deren Einhaltung mitunter erheblich erschwert. Chirco: Ja, das ist richtig. Auch die unterschiedlichen Zielsetzungen dieser Regelungen machen die Implementierung eines in sich schlüssigen IT-Compliance-Systems zu einer besonderen Herausforderung. Im Datenschutz besteht beispielsweise der Grundsatz der Datensparsamkeit, der nach dem Datenschutz Verantwortliche soll also so wenig personenbezogene Daten verarbeiten wie möglich und auch nur so lange, wie diese jeweils hierfür erforderlich sind. Bei der IT-Sicherheit sollen hingegen so viele Daten wie möglich gespeichert und analysiert werden, um hierauf aufbauend etwaige Sicherheitslücken effektiv schließen und etwaige zukünftige Angriffe verhindern zu können. Selbst der nationale, bereichsspezifische Datenschutz muss noch vom Gesetzgeber auf die DSGVO angepasst werden, obwohl diese nunmehr in weniger als einem Jahr in Kraft treten wird. Zurzeit ist also noch einiges im Umbruch, was den Instituten bei der Umsetzung der aktuellen Vorgaben viel Aufwand abverlangt. diebank: Wie sehen Sie die aktuelle Regulierungswelle? Chirco: Solche Vorgaben mögen unangenehm sein, aber ich halte sie für absolut erforderlich. Es ist höchste Zeit, dass IT-Sicherheit in Unternehmen die oberste Priorität genießt. Gleichzeitig dürfen die gesetzlichen und aufsichtsrechtlichen Vorgaben keinen Selbstzweck erfüllen, sondern sollen ausschließlich der Sache dienen. Dies wird nur erreicht, wenn Gesetzgeber und Auf- 54 08 // 2017

REGULIERUNG sichtsbehörden eng mit den betroffenen Unternehmen zusammenarbeiten, um eine für alle Beteiligten sinnvolle Lösung zu finden. Niemandem nützt es etwas, wenn Vorgaben an die IT- Sicherheit gemacht werden, die in der Praxis nicht umzusetzen sind. Die Kunst ist hier, einen gesunden Ausgleich zu finden. Ein für mich positives Beispiel ist die enge Abstimmung des Gesetzgebers mit den Branchenverbänden im Rahmen des sog. UP- Kritis, in dessen Rahmen die Voraussetzungen, wann ein Unternehmen aus dem Finanzbereich als Kritische Infrastruktur gilt, maßgeblich mitgeprägt wurden. Auch bei der Ausarbeitung der BAIT durch die BaFin und die Deutsche Bundesbank wurde ein enger Austausch mit Vertretern der Institute, deren IT-Dienstleistern sowie den Banken- und Prüfungsverbänden gesucht. Das Erfolgsrezept lautet: Verstärkung des koordinierten Vorgehens der Institute, Fortführung des kooperativen Ansatzes mit Gesetzgeber und Aufsichtsbehörden sowie Bewahrung der Agilität der gesetzlichen Rahmenbedingungen. diebank: Wo sehen Sie aktuell die größte Herausforderung bei der Umsetzung der neuen Vorgaben? Chirco: Teilweise bestehen Widersprüche zwischen den gesetzgeberischen und regulatorischen Vorgaben. Noch komplexer ist es, wenn zur Überwachung von deren Einhaltung verschiedene Aufsichtsbehörden, wie die BaFin, die Landesdatenschutzbeauftragten und das BSI, beauftragt sind. Dennoch halte ich dies nicht für das größte Problem. Nach meiner Erfahrung sind die Aufsichtsbehörden diesbezüglich zumeist sehr pragmatisch und oftmals bereit, in solchen Fällen eine für alle Parteien vertretbare Lösung zu finden. Die größte Herausforderung ist die Auswahl der richtigen Personen für ein solches IT-Compliance-Projekt. Dies fängt bei der Personalie des Informationssicherheitsbeauftragten an. Dieser soll umfassende Expertise und Kompetenzen in Bezug auf die Informationssicherheit haben, gleichzeitig hat er organisatorisch und prozessual unabhängig zu sein, er darf also nicht bei der IT aufgehängt sein. Dennoch muss es Dr. Claudio G. Chirco ist Partner bei der Wirtschaftskanzlei Beiten Burkhardt in Düsseldorf und Mitglied der Praxisgruppe IP/IT/Medien. Sein Tätigkeitsbereich umfasst Informationstechnologie, Telekommunikation und Datenschutz. Einer seiner Tätigkeitsschwerpunkte liegt in der Beratung seiner nationalen und internationalen Mandate bei der Realisierung von Datenschutzkonzepten. Zudem betreut er innovative Start-ups, insbesondere FinTech- und InsurTech-Unternehmen, umfassend vom Early Stage an durch alle Entwicklungsphasen. Chirco studierte Rechtswissenschaften an der Westfälischen Wilhelms Universität Münster und sammelte Berufserfahrung in Cannes (Frankreich) sowie an der deutschen Botschaft in Washington D.C. (USA). Seit 2011 ist er bei Beiten Burkhardt tätig, seit 2017 als Partner. Darüber hinaus ist er Dozent an der Hochschule Fresenius Düsseldorf. sich grundsätzlich um einen im eigenen Haus tätigen Mitarbeiter handeln. Das ist schon ganz schön verstrickt. diebank: Uneinigkeit besteht aktuell auch in der Frage, ob der Informationssicherheitsbeauftragte (ISB) zugleich Datenschutzbeauftragter (DSB) des Instituts sein darf. Was raten Sie? Chirco: Ich meine schon, weil beide Funktionen sehr ähnliche formale Voraussetzungen erfüllen müssen und zudem ein weitgehend identischer Überblick über die IT-Systeme im Institut erforderlich ist. Obwohl beide unterschiedliche Ziele verfolgen und die Datenverarbeitungsprozesse aus anderen Perspektiven zu betrachten haben, lassen sich die verschiedenen Positionen gut miteinander vereinbaren. Entscheidend ist natürlich immer, dass hierfür der passende Mitarbeiter ausgesucht wird. 08 // 2017 55

die bank