ó IT & KOMMUNIKATION Integrität und Authentizität datenverarbeitender Systeme gesichert, einschließlich der dort vorgehaltenen Daten. Es liegt in der Verantwortung der Unternehmen kritischer Systeme, für ein bestimmtes Schutzniveau an IT-Sicherheit zu sogen. Dafür sind gegebenenfalls branchenbezogene Mindeststandards zu entwickeln, die sich dafür eignen, die jeweilige Technik vor Attacken zu schützen. Zwei Jahre will der Gesetzgeber den Unternehmen dafür Zeit geben. In diesem Zusammenhang kommt dem Bundesamt für Informationssicherheit (BSI) eine besondere Rolle zu. Es soll künftig die entwickelten Anforderungen absegnen. Ein ebenfalls zweijähriger turnusmäßiger Nachweis der Unternehmen, dass sie die gesetzten Standards erfüllen, komplettiert das Konzept. Zweitens sollen Meldeanforderungen die IT-Sicherheit verbessern. Gerade dieser Punkt war vormals vonseiten der Wirtschaft kritisiert worden. So halten sich Unternehmen, die Opfer von Cyber- Attacken werden, aus Sorge um die eigene Reputation eher zurück, als dies einzugestehen. Gegenüber dem ersten Entwurf zum IT- Sicherheitsgesetz hat sich also insofern vom Grundsatz her nichts geändert. Die entsprechenden Meldepflichten bilden neben dem Einhalten der jeweiligen Mindeststandards auch weiterhin das Herzstück der neuen rechtlichen Regelungen. Insbesondere sollen Betreiber und Anbieter von Kritischen Infrastrukturen verpflichtet werden, dem Bundesamt für Informationssicherheit etwaige Angriffe auf ihre IT-Systeme anzuzeigen. Allerdings gibt es eine Abstufung. Kommt es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes mit einem Schadenseintritt, dann soll eine anonymisierte Meldung genügen. Etwas anderes gilt hingegen bei einem konkreten Schadensfall. In solchen Fällen sind dem Bundesamt auch Details zu etwaigen IT- Sicherheitsvorfällen nennen. Mit dieser Abstufung versucht man, die Bedenken der Wirtschaft aufzufangen. Drittens zielt das Gesetz schließlich darauf ab, das Bundesamt für Informationssicherheit und das Bundeskriminalamt effektiver aufzustellen, um den neuen Herausforderungen zu begegnen. Neben finanziellen Mitteln ist damit zusätzlich eine bessere Personalausstattung verbunden. Schließlich sind die eingehenden Meldungen und Informationen zu relevanten IT-Sicherheitsvorfällen und Cyber- Attacken zu analysieren und auswerten. Dadurch sollen aber nicht nur etwaige Angriffsmuster ausgemacht werden. Das Anliegen ist vielmehr, die gewonnenen Erkenntnisse der Praxis wieder zur Verfügung zu stellen und so Betreiber und gefährdete Unternehmen vor drohenden Übergriffen abzusichern. Die Informationen aus den Meldungen sollen also letztlich ganz maßgeblich mit dazu beitragen, den Schutz insgesamt wieder zu verbessern und – falls nötig – Korrekturen an den Mindeststandards vorzunehmen. Das Bundesamt für Informationssicherheit soll dabei zugleich eine beratende und unterstützende Funktion bezüglich der IT-Sicherheit wahrnehmen. Im Referentenentwurf scheint man sich durchaus bewusst, einen Spagat bewältigen zu müssen, zumal das bestehende IT- Sicherheitsniveau derzeit je nach Branche oder auch Unternehmen bisweilen unterschiedlich stark ausgeprägt ist: In einigen Infrastrukturbereichen finden sich entsprechende Standards bislang kaum oder beginnen sich erst langsam zu entwickeln. In anderen Branchen hingegen bestehen bereits einschlägige rechtliche Vorgaben. Sie nehmen oftmals gerade auch die IT-Sicherheit in den Blick. Ein differenziertes Risikomanagement und übergreifende Sicherheitskonzepte sind dabei nur einige Bausteine. Bankenpraxis und Bankenaufsicht Für Banken – wie für den gesamten Finanzsektor mit Börsen, Finanzdienstleistern und Versicherungen – als Kritische Infrastrukturen, dürfte sich durch die neuen Entwicklungen im Ergebnis nicht allzu viel ändern. Dort steht die Informationstechnologie ja bereits seit Langem im Mittelpunkt, bildet sie doch das Rückgrat des modernen Bankgeschäfts. Das sieht auch die Aufsicht so, wenn sie verschiedentlich betont, dass heute stärker denn je nahezu alle Geschäftsabläufe in den Kreditinstituten maßgeblich von einer funktionierenden IT-Infrastruktur abhängig sind: Angefangen beim eigentlichem Bankgeschäft – egal ob als Internetbzw. Mobile Banking oder im Rahmen des Filialgeschäfts – über den Einsatz elektronischer Handelssysteme bis hin zur Aufbereitung von Kennzahlen und der Weitergabe von Informationen im Controlling, Risikomanagement und dem Meldewesen. Eine funktionierende IT wirkt dabei in jeder Hinsicht und in besonderer Weise vertrauensbildend. Konsequenterweise haben sich dazu begleitend auch die aufsichtsrechtlichen Regelungen weiterentwickelt. Das Kreditwesengesetz (KWG) enthält ja bereits mit § 6 Abs. 2 KWG eine allgemeine und mit § 25a KWG eine zentrale Grundlage zur IT-Sicherheit. So müssen Institute über eine angemessene technisch-organisatorische Ausstattung und ein angemessenes Notfallkonzept verfügen, insbesondere für IT-Systeme. Ergänzend dazu stehen die Mindestanforderungen für das Risikomanagement (MaRisk). Sie komplettieren den Rahmen für entsprechende Sicherheitsstandards. So haben die Institute explizit dafür zu sorgen, dass ihre IT-Systeme und IT-Prozesse die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sicherstellen. Insofern gibt es bereits Parallelen zum IT-Sicherheitsgesetz. All das hat bereits in der Vergangenheit das Bewusstsein für die IT-Sicherheit nicht nur in den Instituten geschärft. Entsprechende Risiken stehen inzwischen auch im besonderen Fokus der Aufsichts- 60 diebank 1.2015
IT & KOMMUNIKATION ó praxis. Ausgehend davon, dass eine gute IT-Infrastruktur Geld kostet, eine schlechte hingegen noch mehr Geld und die Reputation, hat die Bankenaufsicht die neuen Entwicklungen bereits auf dem Radar. Und sie wird nicht müde, ihre klare Erwartungshaltung an ein angemessenes und wirksames Risikomanagement der Banken zu betonen. Der aufsichtsrechtliche Ansatz korrespondiert dabei im Grunde bereits mit dem des IT-Sicherheitsgesetzes selbst: Je komplexer die Struktur, desto höher die Anforderungen. Es liegt daher auf der Hand, dass die aufsichtsrechtliche Prüfungspraxis die IT-Sicherheit noch stärker in den Blick nehmen wird. Um eine etwaige Doppelaufsicht zu vermeiden, sollen gegebenenfalls in das KWG etwaige Anforderungen aus dem kommenden IT-Sicherheitsgesetz einfließen. Letzteres greift das bereits indirekt auf, wenn es nämlich heißt, dass die neuen Anforderungen auf Betreiber Kritischer Infrastrukturen keine Anwendung finden, soweit solche bereits aufgrund anderer Rechtsvorschriften zu entsprechenden Anforderungen an die informationstechnischen Systeme, Komponenten oder Prozesse verpflichtet sind. Und genau das ist bei Banken schon der Fall. Auch die speziell von der Wirtschaft bisher kritisch beäugten Meldepflichten treffen die Banken nicht neu. Sie sind vielmehr gang und gäbe. So hatte etwa zuletzt der Baseler Ausschuss für Bankenaufsicht für das unverzügliche Zusammenrechnen von Risikodaten Anfang 2013 neue Anforderungen auf den Weg gebracht, die derzeit umzusetzen sind. Dem Finanzsektor mit seinen schon bestehenden Standards dürfte also alles in allem eher eine Vorreiterrolle zukommen. Auf seinen Lorbeeren wird er sich allerdings nicht ausruhen können. Denn das Zusammenwirken mit Kunden unterschiedlicher Branchen und damit verbundenen wechselseitigen Beziehungen rufen nach einer Anpassung bestimmter Standards. Nur dann ist eine gesicherte Zusammenarbeit auch weiterhin möglich. Der Wirtschaft wird vor allem dort ein Mehraufwand entstehen, wo das Einhalten eines Mindestniveaus an IT-Sicherheit fehlt und entsprechende Meldewege bislang noch nicht existieren. Für sie wird auch die Durchführung der angedachten Sicherheitsaudits mit zusätzlichen Kosten verbunden sein. Banken können den neuen Regelungen also vergleichsweise gelassen entgegensehen. fl Die aufsichtsrechtliche Prüfungspraxis wird die IT-Sicherheit noch stärker in den Blick nehmen. Europäische Dimension Die Kritik an den vorgesehen Regelungen ließ nicht lange auf sich warten. Verwiesen wurde vor allem darauf, dass das gesamte Thema sich im Grunde nicht auf die nationale Ebene beschränken kann, sondern mindestens im europäischen Kontext behandelt werden muss. Und dort gibt es ja in der Tat bereits Überlegungen für eine EU-weite Regulierung der IT-Sicherheit. Ist der Zeitpunkt für eine Neuregelung hierzulande also verfrüht? Den Punkt hat man auch im Referentenentwurf erkannt. Zwar müsse das Thema IT-Sicherheit in der Tat verstärkt global gedacht werden. Dafür sei jedoch ein entschlossenes nationales Handeln unabdingbar. Zugleich betont man im Gesetzentwurf, dass die angedachten Regelungen zu den branchenspezifischen Sicherheitsanforderungen und den Meldungen erheblicher IT-Sicherheitsvorfälle für Betreiber kritischer Systeme im Grundsatz parallel gehen mit den einschlägigen Vorschlägen der Kommission für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netzund Informationssicherheit in der Union. Wenn es dabei bleibt, dann werden die Mitgliedstaaten nach den bisherigen Entwürfen verpflichtet, für entsprechende Maßnahmen zum Risikomanagement und zur Meldung von Sicherheitsvorfällen an die zuständigen nationalen Behörden zu sorgen – und zwar sowohl im privatwirtschaftlichen als auch im öffentlichen Bereich. Die jetzigen Vorschläge aus dem Innenministerium sollen dabei zugleich einen Diskussionsbeitrag zu den laufenden Verhandlungen zum Richtlinienentwurf bieten. Fazit und Ausblick Noch ist nicht aller Tage Abend. Der Referentenentwurf ist erst einmal eine Diskussionsgrundlage. Mit Anpassungen von heute auf morgen ist also nicht zu rechnen, zumal der selbst gesteckte Anspruch durchaus eine hohe Messlatte liefert: So sollen die IT-Systeme und digitalen Infrastrukturen Deutschlands die sichersten weltweit werden. Der jetzige Vorschlag ist noch innerhalb der Regierung abzustimmen und wird dann mit den angesprochenen Kreisen aus Wirtschaft und Gesellschaft zu diskutieren sein. Auch wenn man hinsichtlich einiger Details aus der Wirtschaft noch Gegenwind erwarten darf, hat man sich doch von Bankenseite bereits insgesamt zufrieden mit dem Entwurf gezeigt, der insoweit in die richtige Richtung weist. Dennoch sollte man nicht zu viel Vertrauen allein in gesetzliche Regelungen setzen. In erster Linie ist es die Technik, die hier vorprescht. Die rechtlichen Rahmenbedingungen können bestenfalls so etwas wie Leitplanken bieten. Sie dürfen angesichts der Priorität des Themas aber auf keinen Fall hinterherhinken. Autor: Dr. André Niedostadek, LL.M. ist Professor für Wirtschafts-, Arbeits- und Sozialrecht an der Hochschule Harz in Halberstadt. 1.2015 diebank 61
G 8790 gesamtbanksteuerung Erfolgsf
STANDPUNKT ó Bad News/Good News fl
IT & KOMMUNIKATION 52 IT & Kommunik
Finanzmarkt Trends REGULIERUNG RISK
Laden...
Laden...