Aufrufe
vor 3 Jahren

diebank 07 // 2020

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG

REGULIERUNG KRYPTOVERWAHRUNG WIRD ZUM NEUEN GESCHÄFTSFELD Der RiSi2Ko-Prüfungsansatz Die Thematik der Kryptoverwahrung wird in Deutschland nach dem November 2020 innovative Geschäftsfelder bieten. Dieser Beitrag eröffnet Entscheidern einen tiefen Einblick in die regulierte Dienstleistung Kryptoverwahrung und setzt sich mit einführenden Überlegungen zur Thematik der Schlüsselaufbewahrung auseinander. Zudem wird ein neuartiger Prüfungsansatz vorgestellt, der vor und nach Antragstellung zum Erhalt der Zulassungserlaubnis für diese Geschäftstätigkeit dienlich ist. Die jüngste Novellierung des Kreditwesengesetzes (KWG) reguliert Dienstleister im Umfeld sogenannter Kryptowerte. Die Bundesregierung bemüht sich mit ihrer Blockchain-Strategie um die Schaffung der rechtlichen Rahmenbedingungen, u. a. auch für digitale Wertpapiere. In Anbetracht der Entwicklungen zur Tokenisierung von Rechten erscheint es nicht unwahrscheinlich, dass sich die von Dienstleistern professionell durchgeführte Verwahrung digital verbriefter Rechte als neu aufkeimendes Geschäftsfeld etablieren wird. Mit der Anpassung des KWG ergibt sich für betroffene Unternehmen die Pflicht zur Einhaltung aufsichtsrechtlicher Anforderungen und Regelungen. Bereits im Markt tätige Unternehmen, wie auch neu in den Markt tretende Unternehmen müssen eine Zulassungserlaubnis für regulierte Dienstleistungen mit Kryptowerten beantragen. Die marktgerichtete Verwahrung von Kryptowerten für Dritte stellt nunmehr explizit eine solche erlaubnispflichtige Finanzdienstleistung dar. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) nominiert Kryptowerte als einen der Aufsichtsschwerpunkte für das Jahr 2020. Antragsteller sollten entsprechende Vorsicht walten lassen. Die herausgehobene Stellung der Kryptowerte im Rahmen der Aufsichtsschwerpunkte – im Abschnitt Digitalisierung, IT- und Cyberrisiken – deutet bereits darauf hin, dass neben Compliance-Themen auch ein angemessenes und wirksames Risikomanagement mit besonderem Fokus auf Informationssicherheit einen weiteren zentralen Eckpfeiler für die Aufsicht darstellt. Es ist sehr wahrscheinlich, dass aktuell auch etablierte Finanzdienstleister erwägen, ob sie einen Markteintritt durchführen oder gar die Verwahrung und andere Leistungen für reine Krypto-Dienstleister, etwa im Rahmen von Business Process Outsourcing, anbieten werden. In diesem Aufsatz wird ein risikoorientierter Prüfungsansatz vorgestellt, der für die Bedürfnisse der Krypto-Dienstleister konzipiert ist. Dadurch entsteht für diese der Vorteil, dass sie ihren Status quo im Sinne der aufsichtsrechtlichen Anforderungen von einer unabhängigen Partei − basierend auf einem geeignet definierten Kriterienkatalog − aufgezeigt bekommen. Dadurch können sie ihre Chancen auf die Erteilung einer Erlaubnis erhöhen. Darüber hinaus wird die BaFin im Rahmen ihrer laufenden Aufsichtstätigkeit bei Kryptoverwahrern regelmäßige Überprüfungen durchführen. Der im Folgenden vorgestellte Prüfungsansatz eignet sich insbesondere auch als laufender „Gesundheits-Check“. Dadurch kann behördlichen Feststellungen vorgebeugt werden, die häufig aufwendige Anpassungen zur Folge hätten. Dieser Prüfungsansatz grenzt sich von anderen meist deskriptiv orientierten Ansätzen insofern ab, als er in Übereinstimmung mit international anerkannten Prüfungsstandards konzipiert ist. Andere Publikationen stellen die „klassischen“ regulatorischen Anforderungen heraus, ohne das besondere technologische Risikoumfeld zu behandeln. Da die IT-Risiken aber insbesondere von der Aufsichtsbehörde betont werden und diese für die Erlaubniserteilung zuständig ist, bietet der vorliegende Aufsatz konkrete Hilfestellungen in diesem Bereich. Gegenstand der Kryptoverwahrung und Bedeutung der Schlüsselaufbewahrung Das Kryptoverwahrgeschäft im Sinne des KWG umfasst die Verwahrung, die Sicherung und die Verwaltung von Kryptowerten. Die Kryptoverwahrung im Sinne des Aufsatzes stellt grundsätzlich auf die (erlaubnispflichtige) Inobhutnahme von Kryptowerten für einen Dritten ab. Der Einsatz asymmetrischer Kryptografie erfordert zwingend ein Schlüsselmanagement, insbesondere bei Erzeugung, Verteilung und Verwahrung von Kryptowerten. Die Sicherheit eines kryptografischen Systems basiert wesentlich auf der sicheren Verwahrung des privaten Schlüssels. Es sei explizit darauf hingewiesen, dass ohne privaten Schlüssel kein Zugriff auf den Datenbankeintrag und somit auch keine Verfügung über den Kryptowert möglich ist. Eine nicht adäquat gesicherte Aufbewahrung führt zu einer Schadensanfälligkeit, bei der beispielsweise die in Kryptowerten verbrieften Rechte irreversibel verloren gehen bzw. nicht mehr ausgeübt werden können. An diesem Wurzelrisiko setzt die professionelle Dienstleistung des Kryptoverwahrgeschäfts an. Eine unabhängige Prüfung der erforderlichen ordnungsgemäßen prozessualen Gestaltung zur Erlangung und Aufrechterhaltung der BaFin-Erlaubnis bietet Krypto-Dienstleistern die Möglichkeit, mit einem wirtschaftlichen und regulatorisch abgesicherten Angebot zur Kryptoverwahrung an den Markt zu treten. In diesem Zusammenhang wird im folgenden Abschnitt der von den Verfassern konzipierte Prüfungsansatz vorgestellt.

Risikoorientierter Prüfungsansatz Das nachfolgend aufgeführte Prüfungskonzept wurde einerseits auf der Grundlage von vielfältigen Gesprächen mit Experten der Finanzbranche und andererseits anhand der Erkenntnisse aus der Durchführung von Workshops mit Spezialisten für Informationssicherheit erstellt. Das erarbeitete Konzept wird durch diesen Aufsatz der Öffentlichkeit zur Verfügung gestellt, um eine Orientierungshilfe und Diskussionsgrundlage zur weiteren Ausgestaltung in der Berufspraxis bereitzustellen. Den Verfassern sind keine anderen Prüfungsansätze bekannt, die die Ordnungsmäßigkeit und Sicherheit der IT-gestützten Kryptoverwahrung zum Gegenstand haben. Die Prüfung orientiert sich an den Vorgaben des IDW Prüfungsstandards 860, der für IT-Prüfungen außerhalb von Abschlussprüfungen vom Institut der Wirtschaftsprüfer (IDW) im Einklang mit internationalen Prüfungsstandards verabschiedet worden ist. Die Anwendung dieses Prüfungsstandards bietet drei Vorteile: 1. Als Dach-Standard ergibt sich die Möglichkeit, weitere Prüfungsnormen flexibel und bedarfsgerecht in die Prüfung zu integrieren. 2. Ausgangspunkt einer Prüfung nach IDW PS 860 ist die individuelle Vereinbarung der anzuwendenden Prüfungskriterien. Für den Anwendungsfall der IT-gestützten Kryptoverwahrung empfiehlt es sich somit, die Kriterien derart festzulegen, dass im Besonderen die IT-Anforderungen der BaFin erfüllt werden. Dabei kann auf erprobte und bewährte Standards und Regelwerke für IT-Prüfungen, die regelmäßig im Umfeld der Finanzaufsicht eingesetzt werden, zurückgegriffen werden. 3. Zuletzt ermöglicht eine Prüfung gemäß IDW PS 860 eine adressatenorientierte Assurance-Leistung mit der Zielsetzung, einen nach § 32 KWG erforderlichen Erlaubnisantrag für den Betrieb des Kryptoverwahrgeschäfts zu stellen bzw. die Voraussetzungen für die Bewilligung dauerhaft zu erfüllen. Prüfungsgegenstand ist das für die Kryptoverwahrung zugrunde liegende IT-System – auf der Grundlage einer Dokumentation dieses IT- System. Die direkte Prüfungsvariante beinhaltet die Prüfung des IT- Systems als solches. Im Gegensatz dazu setzt die indirekte Prüfung eine Erklärung der gesetzlichen Vertreter voraus. Neben der Dokumentation 07 // 2020 25

die bank