Die App-Kolumne

Die Digitalisierung

Jürgen App -

 

Viele Finanzdienstleister verfolgen derzeit ambitionierte Digitalisierungsstrategien. Ein gesundes Maß an Digitalisierung stärkt auch die Wettbewerbsfähigkeit gegenüber Mitbewerbern und FinTechs. Die damit verbundenen IT-Maßnahmen betreffen idealerweise sowohl interne Geschäftsabläufe als auch Prozesse mit Kundeninteraktion. Betroffen sind insbesondere folgende wesentliche Prozesse:

  • Etablierung Geschäftsbeziehung / Onboarding
  • Kundendienstleistung (Beratung, Betreuung, Verwaltung)
  • Kundenberichterstattung
  • Interne Funktionen (z.B. CRM, Personal, Rechnungswesen, Aufbewahrung/Archivierung)

Durch die Maßnahmen können das genutzte IT-Netzwerk, Hardware, Software und sonstige Instrumente der Kommunikationstechnik betroffen sein.

In diesem Zusammenhang gewinnen naturgemäß aber auch die Sicherheit der IT-Infrastruktur und Cyber-Sicherheit stetig an Bedeutung. Mit den Chancen, welche die Digitalisierung den Instituten eröffnet, sind zwangsläufig auch höhere Anforderungen an das IT-Risiko-Management verbunden. Entsprechend der Bedeutung der Thematik widmet sich auch die Aufsicht zunehmend dem Thema Informationstechnologie. Die Risiken reichen von Datenverlust über Datenschutzrisiken bis hin zu potenziellen Angriffen auf die IT-Systeme durch externe Hacker. Wichtig erscheint es daher zunächst, Schwachstellen in den Systemen aufzudecken, um IT-Risiken effektiv begegnen zu können.

Anforderungen der Aufsicht

2017: Aufsichtsrechtliche Anforderungen an die IT - BAIT

Im November 2017 veröffentlichte die BaFin mit den sogenannten „BAIT“ Anforderungen an die IT von Banken und Finanzdienstleistungsunternehmen, welche die bereits in den MaRisk enthaltenen IT-bezogenen Anforderungen konkretisieren. Wesentliche Anforderungen hieraus sind die Bestimmung eines Informationssicherheitsbeauftragten, Richtlinien zur IT-Sicherheit, eines Datensicherungskonzepts sowie Mitarbeiterschulungen bzw. –sensibilisierungen. Des Weiteren werden Berechtigungs- und Rollenkonzepte und angemessene Verschlüsselungen gefordert.

Nach den Erfahrungen aus der Praxis werden von der BaFin häufig Themen der Netzwerksicherheit (z.B. vollständige Dokumentation der Netzwerkstruktur oder Absicherung externer Verbindungen durch Firewalls) thematisiert. Eine regelmäßige möglichst automatisierte Überprüfung der Firewall-Regeln, der Schutz interner Anwender durch Proxies, die Verschlüsselung und Authentifizierung von Verbindungen, die Sicherheit bei VPN und Fernzugriff sowie der Schutz gegen bösartige Überlastungen von außen (DDoS-Schutz) sind weitere geforderte Vorkehrungen.

2018: Orientierungshilfe Cloud

Im November 2018 hat die BaFin ferner ein „Merkblatt – Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ herausgegeben, welches spezifisch das stetig an Bedeutung gewinnende Thema der Auslagerung von Daten(verarbeitung) auf externe Plattformen adressiert. Die hierfür genutzten Cloud-Dienste werden dabei unterschieden in

  • Infrastructure as a Service (IaaS, Bereitstellung von Rechenleistungen und Speicherplatz),
  • Platform as a Service (PaaS, Bereitstellung von Entwicklerplattformen) oder
  • Software as a Service (SaaS, Bereitstellung von Softwareapplikationen/ Webanwendungen)

Die Dienstleistungsmodelle unterscheiden sich hinsichtlich der organisatorischen bzw. technischen Kontrollmöglichkeiten des jeweiligen Instituts. Bei IaaS hat der Nutzer die volle Kontrolle, bei PaaS hat er nur noch die Kontrolle über seine Anwendungen und bei SaaS übergibt er weitgehend die ganze Kontrolle an den Cloud- Anbieter. Ein Verlust von Kontrollmöglichkeiten befreit aber nicht von der Verantwortlichkeit im aufsichtsrechtlichen Sinn.

Beurteilung im Hinblick auf „wesentliche“ IT-Auslagerung

Im Rahmen der vorzunehmenden Risikoanalyse hinsichtlich der Beurteilung, ob eine wesentliche Auslagerung vorliegt, sind alle relevanten Aspekte zu betrachten. Hierzu gehören gemäß der Orientierungshilfe der BaFin zu Auslagerungen an Cloud-Anbieter u.a.:

Aspekte zur Beurteilung der Wesentlichkeit einer Auslagerung an Cloud-Anbieter

·         Ausgestaltung des genutzten Cloud-Dienstes

·         Kritikalität des auszulagernden Sachverhalts

·         Bewertung der operationellen (z.B. Systemausfall) Risiken

·         Erwägungen zum Standort der Datenspeicherung und der Datenverarbeitung

·         Bewertung der Eignung des Cloud-Anbieters (Fähigkeiten, Infrastruktur, wirtschaftliche Situation, etc.)

·         Risiken im Falle der Auslagerung mehrerer Sachverhalte an einen Cloud-Anbieter

 

Sinngemäß wird man derartige Aspekte auch bei anderen (IT-)Auslagerungen analog berücksichtigen müssen.

 

Ausblick

Neben den vorstehend dargestellten Vorgaben der BaFin an die Adressierung von IT-Risiken im allgemeinen und die Anforderungen an die Nutzung von Cloud-Diensten bzw. Beurteilung von Auslagerungen ist von Seiten der Aufsicht ist eine weitere Fortentwicklung der Anforderungen vorgesehen. Vertreter der BaFin haben jüngst bereits angedeutet, dass vor dem Hintergrund der Bedeutung eines angemessenen IT-Notfallmanagements hierzu ein zusätzliches Modul in den BAIT in Planung ist. Des Weiteren sind nach Aussage der BaFin mehr Vor-Ort-Prüfungen durch die Aufsicht vorgesehen.

Zurück