Aufrufe
vor 5 Jahren

die bank 05 // 2016

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó IT & KOMMUNIKATION

ó IT & KOMMUNIKATION Regulierungsarbitrage muss vermieden werden IT-SICHERHEITSGESETZ Das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz (IT-SiG) stellt an Betreiber aus den sieben kritischen Sektoren mit dem Erreichen eines Mindestsicherheitsniveaus und dem Aufbau eines Meldewesens zwei Kernforderungen. Am Beispiel der im Januar 2016 veröffentlichten Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung können erste Hinweise für die Regulierung der Kreditwirtschaft nach IT-SiG gezogen werden. Waldemar Grudzien Keywords: Banktechnologie, Regulierung, Meldewesen Ein IT-Sicherheitsgesetz war längst überfällig. Nicht etwa, weil die IT im Finanzsektor unsicher wäre, sondern weil IT so wichtig ist. Auf hoch verfügbare und hoch sichere IT-Infrastrukturen sind nicht nur die Betreiber Kritischer Infrastrukturen angewiesen, sondern alle Unternehmen. Aber natürlich müssen diejenigen Unternehmen besonders großen Wert auf eine sichere IT legen, deren Geschäftserfolg im überragenden Maß von ihrer IT abhängt – dazu gehören Banken und Versicherungsunternehmen. Zudem ist der deutsche Gesetzgeber ohnehin gezwungen, ein IT-Sicherheitsgesetz zu erlassen. Grund ist die Europäische Netzwerk-Informationssicherheits-Richtlinie (NISD), die binnen 18 Monaten nach ihrer Verabschiedung national umgesetzt werden muss. Die NISD sollte – nach jahrelangen Verzögerungen – noch im ersten Halbjahr 2016 verabschiedet vorliegen. Das im Juli 2015 verabschiedete IT-Sicherheitsgesetz kann als vorweggenommene Umsetzung der NISD gesehen werden. Man kann nur hoffen, dass die NIS-Richtlinie keine elementaren Widersprüche zum früher umzusetzenden IT-Sicherheitsgesetz aufweisen wird. Ansonsten hätte sich das Vorpreschen Deutschlands in ein kostspieliges und zeitintensives Nachbessern verwandelt. Das IT-Sicherheitsgesetz verfolgt richtigerweise einen All- Gefahren-Ansatz, der Grund für den Ausfall der IT ist unerheblich. Es müssen alle Bedrohungen betrachtet werden, nicht nur IT-Bedrohungen wie zum Beispiel DDoS, Hacking und APT, sondern auch Social Engineering, Missbrauch sowie physische Gefahren wie Feuer oder Überschwemmung. Neben Bedrohungen spielen auch Schwachstellen eine wichtige Rolle. Und auch hier müssen nicht nur technische, sondern auch organisatorische Schwachstellen berücksichtigt werden, wie menschliches Fehlverhalten oder Störungen in IT-Systemen Dritter. Das IT-Sicherheitsgesetz stellt als Artikelgesetz zwei Kernforderungen auf: Erstens müssen die Betreiber Kritischer IT-Infrastrukturen ein Mindestsicherheitsniveau ihrer IT-Systeme einhalten und zweitens ein Meldewesen für erhebliche Störungen dieser IT-Systeme aufbauen und betreiben. Das IT-SiG enthält u. a. Änderungen zum BSI-Gesetz, zum Atomgesetz, zum Energiewirtschaftsgesetz und zum Telekommunikationsgesetz. Mindestsicherheitsniveau Das IT-Sicherheitsgesetz reguliert sogenannte Mindeststandards – gemeint ist ein Mindestsicherheitsniveau – im § 8a (Sicherheit in der Informationstechnik Kritischer Infrastrukturen) des BSI-Gesetzes. Darin werden Betreiber Kritischer Infrastrukturen verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 des BSI-Gesetzes (mithilfe dieser Verordnung wird festgelegt, welche Infrastrukturen, Prozesse und Anwendungen letztendlich kritisch im IT-SiG-Sinn sind) angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik nicht nur „berücksichtigt“, sondern eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. Das richtige Maß an „Angemessenheit“ wird wohl erst mit der jeweiligen Fach- 46 diebank 05.2016

IT & KOMMUNIKATION ó fi MÖGLICHE INFORMATIONS- UND MELDEFLÜSSE ” 1 Betreiber Störung erkennnen Störung melden Experteneinschätzung BSI Meldung weiterleiten (AtG und EnWG) Meldung quittieren & weiterleiten Infos sammeln Infos analysieren + bewerten Produkte erstellen Produkte versenden Aufsichtsbehörden & BBK Meldung (TKG) Bewertung unterstützen sonst zuständige Behörden des Bundes Quelle: BSI. 05.2016 diebank 47

die bank