Aufrufe
vor 5 Jahren

die bank 12 // 2016

  • Text
  • Banken
  • Unternehmen
  • Diebank
  • Digitalisierung
  • Institute
  • Deutschland
  • Anforderungen
  • Risiken
  • Befragten
  • Banking
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó IT & KOMMUNIKATION

ó IT & KOMMUNIKATION Bis Ende 2016 wird eine Verordnung mit den branchenspezifischen Anforderungen für das Finanz- und Versicherungswesen erwartet. Nach Inkrafttreten dieser Verordnung bleiben den Banken sechs Monate für die Umsetzung der Meldepflicht für IT-Sicherheitsvorfälle. Ebenfalls 2016 verabschiedet wurde die europäische Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie), die Anforderungen an kritische Dienste und Clouddienste definiert. Diese Richtlinie muss bis 2018 zunächst in nationale Gesetzgebung umgesetzt werden und wird in Deutschland vermutlich in die Überarbeitung des IT-Sicherheitsgesetzes und KRITIS einfließen. Konkret enthält auch diese Richtlinie neben den Sicherheitsanforderungen definierte Meldepflichten für IT-Sicherheitsvorfälle. Ziel ist es – trotz wachsender Bedrohung durch Cyber-Angriffe –, größere Ausfälle in der Versorgungssicherheit zu vermeiden und mögliche Schäden durch Attacken so weit wie möglich einzugrenzen. Im deutschen Bankenwesen ist das systematische Management von Informationssicherheit noch sehr heterogen, da die IT-Landschaft bei Banken selbst sehr komplex ist (IT-Dienstleister, zentralisierte/dezentralisierte IT). Der Gesetzgeber lässt bis jetzt offen, wie KRITIS-Betreiber das geforderte IT- Sicherheitsniveau künftig realisieren. In einem Auslegungsschreiben hat die Ba- Fin im Jahr 2015 die Erwartungen an den IT-Sicherheitsbeauftragten (IT-SiBe) im Rahmen der MaRisk konkretisiert. Kernpunkt des Schreibens ist die nicht-auslagerbare Steuerung der Informationssicherheits-Governance. Außerdem enthält es allgemeine Anforderungen, darunter die Unabhängigkeit des IT-Sicherheitsbeauftragten, die Vereinbarkeit dieser Aufgabe mit anderen Funktionen, außerdem konkrete Aufgabenstellungen wie die Erstellung von Leitlinien, die Koordination von IT-Sicherheitsmaßnahmen und die Berichterstattung an die Leitungsebene. Mit den bankenaufsichtsrechtlichen Anforderungen an die IT (BAIT) will die BaFin die Anforderungen an die IT-Sicherheit aus MaRisk AT 7.2 (Technischorganisatorische Ausstattung) konkretisieren. Diese künftige Norm befindet sich derzeit noch in Diskussion, aber die Anforderungen hieraus werden die Banken in den nächsten Jahren als Rundschreiben oder Verordnung erreichen. Grundsätzlich fordert das IT-Sicherheitsgesetz eine Umsetzung der Informationssicherheit nach dem aktuellen Stand der Technik. Banken, die auf der sicheren Seite sein wollen, ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) zu empfehlen. Neben anderen Standards haben sich hierfür der „IT-Grundschutz“ des BSI, des deutschen Bundesamts für Sicherheit in der Informationstechnik im deutschsprachigen Raum und die ISO/IEC 27001 international etabliert. Erweitert werden diese branchenunabhängigen Frameworks von branchenspezifischen Standards und Vorgaben. Vorteile eines ISMS Ein modernes Informationssicherheits- Managementsystem schafft Handlungsoptionen und eröffnet Spielräume: Organisationen, die z. B. ein ISMS gemäß ISO/ IEC27001 implementieren, identifizieren und analysieren in diesem Zug ihre Informationssicherheitsrisiken. Dies schafft ein hohes Maß an Transparenz und bietet nicht nur die Möglichkeit, diese Risiken zu steuern, sondern ist auch eine wertvolle Informationsbasis für Managemententscheidungen, übrigens eine wesentliche Anforderung der MaRisk-Novelle. Ein ISMS steigert die Resilienz gegenüber Cyber-Angriffen. So können KRITIS- Betreiber mit einem zertifizierten ISMS nach ISO/IEC 27001 das im IT-Sicherheitsgesetz geforderte hohe IT-Sicherheitsniveau nachweisen. Dabei gibt das Ergebnis der regelmäßigen Überwachungs-/Re-Zertifizierungsprüfungen Aufschluss über Wirksamkeit und Verbesserungspotenziale im ISMS. Der im ISMS verankerte kontinuierliche Verbesserungsprozess stellt sicher, dass das Unternehmen seine Risiken immer besser steuert und seine Resilienz gegenüber Cyber-Angriffen ausbaut. Das ISMS kann Kosten senken. Bei der ISMS-Einführung werden der Ist-Zustand ermittelt und risikoorientierte IT-Sicherheitsmaßnahmen geplant. Typischerweise führt dies zu einem strukturierteren Management der Risiken, einem gezielteren Ressourceneinsatz und damit zu einer Steigerung der Informationssicherheit auf allen Ebenen. Schließlich schafft ein ISMS Vertrauen und Differenzierung. Angesichts der wachsenden Bedrohungslage sind Verbraucher und Öffentlichkeit hinsichtlich der Einhaltung von Datenschutz und Datensicherheit wesentlich sensibler als noch vor wenigen Jahren. Mit einem zertifizierten ISMS signalisiert das Unternehmen ein hohes IT-Sicherheitsniveau nach nationalem oder internationalem Standard. Das schafft Vergleichbarkeit am Markt und Vertrauen bei Kunden. Fazit Als Konsequenz aus der erhöhten Bedrohungslage und der zunehmenden Digitalisierung steht die IT immer stärker im Fokus nationaler, europäischer und internationaler Interessen. Die Aufsichtsbehörden ziehen die Zügel weiter an, konkretisieren die Anforderungen an das IT- Sicherheitsniveau stetig. Klar ist: Jedes Institut muss über ein angemessenes Maß an IT-Sicherheits-Know-how verfügen, IT-Sicherheit wird immer mehr zum Wettbewerbsfaktor. Datensicherheit ist längst nicht mehr „nur“ Kundenservice, sondern integraler Bestandteil des Geschäftsmodells im Rahmen des digitalen Wandels. ó Autor: Hans Gabriel ist Community-Leiter IS Risk Management bei der TÜV Rheinland i-sec GmbH. 54 diebank 12.2016

IT & KOMMUNIKATION ó Banken verzweifeln am Online-Recht DIGITALER DIALOG Nicht nur Facebook, sondern auch seriöse Finanzinstitute nehmen es mit dem Online-Recht nicht immer so genau. Eine aktuelle Studie der Unternehmensberatung Absolit kommt zu dem Ergebnis, dass es keiner einzigen Bank gelingt, alle Rechtsvorschriften im E-Mail-Marketing einzuhalten. Auch im Bereich der Nutzerfreundlichkeit und der mobilen Optimierung besitzen alle untersuchten Banken noch großen Nachholbedarf. Damit laufen die Finanzdienstleister große Gefahr, den Kontakt zu ihren Kunden zu verlieren. Torsten Schwarz Keywords: Marketing, Digitalisierung, Rechtsrisiken Datenschutz und Rechtssicherheit sind Themen, mit denen sich zwar kein Unternehmen gerne auseinandersetzt, sich aber zwangsläufig beschäftigen muss, wenn es einen Newsletter versenden möchte. Nur wer seine Abonnenten über die Verwendung seiner personenbezogenen Daten aufklärt und sie vor oder während der Anmeldung über ihr Widerrufsrecht informiert, handelt im Sinn seiner Kunden. Beim Newsletter-Marketing gibt es zwei wichtige Vorschriften, die ein Unternehmen unbedingt beachten sollte: Zum einen muss die Anmeldung im sogenannten Double-Opt-in-Verfahren erfolgen. Hierbei bekommt der Abonnent zunächst eine E-Mail mit einem Link, den er klicken muss, um die Anmeldung zu bestätigen. Zum anderen dürfen vom Empfänger nicht mehr Daten abgefragt werden als notwendig. In diesen Fall wäre das nur die E-Mail-Adresse, alles andere muss optional sein. Rechtssicherheit – ein heikles Thema Beide Vorschriften werden dabei längst nicht von allen Banken beachtet. Das gerichtlich bestätigte Verfahren des Double-Opt-in nutzen zwar 85 Prozent der untersuchten Banken, dabei verlangen jedoch rund 30 Prozent weitere personenbezogene Daten außer der obligatorischen E-Mail-Adresse. Insgesamt erfüllen nur 15 Prozent der Banken alle drei Seriositätskriterien des Double-Opt-in- Verfahrens. Die Gesamtpunktzahl aller Kriterien der Rechtssicherheit erfüllte keine einzige Bank. Mangelhafte Informierung der Kunden Ebenso beängstigende Ergebnisse erzielen die Banken, wenn es um die Information der Kunden über den Datenschutz geht. Lediglich 65 Prozent der Banken weisen ihre Kunden auf ihr Widerrufsrecht hin und nur 61 Prozent darauf, was mit ihren persönlichen Daten nach der Anmeldung passiert. Auch die Kennzeichnungspflicht scheint für die Banken noch immer ein Problem darzustellen. So ergab die Untersuchung, dass nur jede zweite Bank (51 Prozent) über ein vollständiges Impressum in ihren Newslettern verfügt. Bei einer Willkommensmail waren es sogar nur 33 Prozent. Bei drei Finanzdienstleistern fehlte das Impressum im Newsletter gar komplett, obwohl dies das Gesetz verlangt. Auch weiß der Kunde oftmals gar nicht, was er von dem Newsletter erwarten kann, da ein Beispiel-Newsletter nur von 39 Prozent der Unternehmen angeboten wird. Auch über die Versandfrequenz des Newsletters informieren nur 52 Prozent der Finanzdienstleister vorab. Damit wird der Kunde über seine Rechte und die Leistungen, die mit dem Bezug eines Newsletters einhergehen, im Dunkeln gelassen. Scheuen Banken den Kundenkontakt? Eine Anmeldung zu einem Newsletter sollte für den künftigen Abonnenten möglichst unkompliziert sein. Die meisten Banken sind von einem nutzerfreundlichen Anmeldeprozess leider weit entfernt. Dies fängt schon damit an, dass ein Interessent oftmals aktiv nach einem Newsletter suchen muss. Gerade einmal 10 Prozent der untersuchten Banken haben eine auffällige Gestaltung der Newsletter-Anmeldung. Die Anmeldung selbst wird bei 79 Prozent der Banken nur einmal auf der Homepage platziert. Bei einer entsprechend unauffällig gestalteten Newsletter-Anmeldung ist es damit umso leichter für den Kunden, diese Option gänzlich zu übersehen. Insgesamt rückt die Anmeldung zum Newsletter nur bei 31 Prozent der untersuchten Banken sofort ins Blickfeld der Kunden, bei 38 Prozent dagegen ist er nicht einmal auf der Startseite vorhanden. Sofern der Kunde 12.2016 diebank 55

die bank