Cyber Security und IT-Governance

FISG: Die Bankenaufsicht nimmt die IT-Dienstleister ins Visier

So bereiten sich IT-Dienstleister von Banken auf BaFin-Prüfungen vor

Keyfacts:

  • Mit dem FISG hat die Finanzaufsicht direkten Zugang zu wesentlichen IT-Dienstleistern von Banken erhalten
  • Ziel ist die Stärkung der Integrität und Resilienz des Finanzmarkts
  • Neben Banken müssen jetzt auch ihre IT-Dienstleister auf BaFin-Prüfungen vorbereitet sein – und verfügen bislang kaum über Erfahrungen damit

Was genau bedeutet es, unter die MaRisk (Mindestanforderungen an das Risikomanagement) oder die BAIT (Bankaufsichtliche Anforderungen an die IT) zu fallen? Regulatorische Anforderungen, die für Banken seit Jahren zum Alltag gehören, kommen nun auch direkt auf die IT-Dienstleister der Institute zu – inklusive entsprechender Vor-Ort-Prüfungen (On-site Inspections). Hintergrund ist das FISG – das Finanzintegritätsstärkungsgesetz. Es soll die Widerstandsfähigkeit der Finanzmarktunternehmen und der ihnen anvertrauten Vermögenswerte stärken.

Mit dem seit Anfang des Jahres in vollem Umfang geltenden FISG erhält die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) neue Prüfungsbefugnisse, die über die Grenzen der Finanzunternehmen hinausgehen. Die Aufsicht nimmt nun auch diejenigen Unternehmen in den Blick, „auf die Banken wesentliche Prozesse und Aktivitäten auslagern“ – für sie gelten nun „erweiterte Anordnungsbefugnisse“. Auf diese „Auslagerungsunternehmen“ kann die BaFin jetzt „unmittelbar zugreifen, wenn sie einen Missstand vermeiden oder beheben“ will. Vor allem auf Dienstleister, die viel für Banken tätig sind, kommen damit bedeutende zusätzliche Anforderungen zu. Konkret formuliert: Sie müssen künftig die Türen öffnen, wenn die Aufsicht davorsteht.

IT-Dienstleister haben meist keine Erfahrungen mit Banken-Regulatorik

Die Herausforderung: Die Service-Provider müssen ein Verständnis der zentralen regulatorischen Anforderungen und Standards aus dem Bankenbereich entwickeln. Damit hatten die meisten bislang kaum oder keine Berührungen – und mit entsprechenden Prüfungen haben sie bislang keine Erfahrungen.

Genau formuliert sind die Anforderungen im Gesetz bislang nicht – es sind keine Konkretisierungen durch die Aufsicht bekannt. Hier schließt sich aber der Kreis zu den eingangs erwähnten MaRisk und den BAIT. Denn die möglichen Anforderungen lassen sich aus der Praxis im Umgang mit diesen Regelwerken ableiten.

Was ist ein Missstand – und was umfasst die Prüfung?

Was genau würde zum Beispiel als „Missstand“ eingestuft, der eine Prüfung nach sich ziehen kann? Missstände oder Verstöße können zum Beispiel interne und externe Prüfungsberichte bei den Banken nahelegen, die Mängel bei den Dienstleistern oder an Behörden gemeldete Vorfälle enthalten (nach IT-Sicherheitsgesetz oder Datenschutzgrundverordnung, also im Bereich Informationssicherheit oder Datenschutz).

Erfahrungsgemäß zählen dann Aspekte des Informationssicherheits- und Informationsrisikomanagements in den Prüfungsumfang hinein, ebenso wie Angaben zur Organisation des Outsourcings und zum Notfallmanagement.

Wenn die BaFin vor der Tür steht…bleibt wenig Zeit

Eine rechtzeitige und detaillierte Vorbereitung und Begleitung solcher Prüfungen sind erforderlich, um die teils engen zeitlichen Vorgaben zu erfüllen. Zahlreiche Unterlagen mit Daten müssen nach Anforderung fristgerecht eingereicht werden. Nach der Ankündigung einer Prüfung bleiben in der Regel zwei Wochen Zeit für die erste Unterlagenlieferung. Und Anforderungen oder Rückfragen während der Prüfung sind in der Regel binnen 24 Stunden zu bedienen, so unsere Erfahrung aus Prüfverfahren bei Finanzinstituten. Bei Fristversäumnis wird außerdem von einer Fehlanzeige ausgegangen, was für Unternehmen zu unangenehmen Konsequenzen führen kann.

Unternehmen tun daher gut daran zu prüfen, ob sie betroffen sind. Lautet die Antwort Ja, sollten sie daran arbeiten, die benötigten Informationen griffbereit vorzuhalten und ihre Qualität zu sichern, bevor die Uhr Richtung Abgabefrist zu ticken beginnt.

Prüfungsbüro als Schaltzentrale – Proben sichern reibungslose Abläufe

Das Etablieren eines Prüfungsbüros im Unternehmen bietet sich an, um alle Informationen und Abläufe rund um eine IT-Aufsichtsprüfung zu bündeln und zu steuern. Auch Trainings und eine Vorab-Klärung der Verantwortlichkeiten für den Prüfungsfall bieten sich an.

Ein schlagkräftiges Team mit reibungslosen Abläufen ist die Voraussetzung für eine erfolgreiche Prüfungsphase. Denn die Aufsicht prüft oft zu mehreren Schwerpunkten durch mehrere Prüfende, und das parallel über eine Dauer von mehreren Wochen.

Durch sorgfältige Vorbereitung und das Einüben der Prüfungsabläufe entstehen bei Mitarbeitenden Aufmerksamkeit und ein Bewusstsein für das Thema und eine Vertrautheit mit der Materie – so können mögliche Fehler leichter vermieden werden. Die besten Voraussetzungen für einen erfolgreichen Abschluss einer Prüfung, auch wenn ein Unternehmen noch wenige Erfahrungen damit sammeln konnte.

 

Datenmanagement Banken (BCBS 239)

Möchten Sie einen ganzheitlichen Überblick über die BCBS 239 Compliance für Ihre Bank erhalten?

Diese Business Analytics hilft Ihnen dabei, den Compliance-Grad und den Umsetzungsstand fortlaufend zu messen und sich so im Marktvergleich einordnen zu können.

Jetzt testen

Governance Integration

Sind Ihre Governance-Systeme vollständig integriert?

Corporate Governance stellt das Fundament einer jeden gesunden Organisation dar. Nutzen Sie diese Business Analytics, um einen Überblick über den Status der Integration Ihres Governance-Systems zu erhalten.

Jetzt Analyse starten
Weiterlesen

Cyber Security und IT-Governance

Thema vertiefen

IT Compliance-Management

Die Digitalisierung, der zunehmende Einsatz von Cloud-basierten Geschäftslösungen und die Vernetzung von Daten, Objekten und Systemen durch komplexe IT-Infrastrukturen und Geschäftsprozesse, eröffnen für die Finanzbranche enorme Chancen. Informationswerte werden immer stärker zur Grundlage der Wertschöpfung. Sie sind ein wesentlicher Bestandteil zur Erreichung der Unternehmensziele.

Zugleich birgt dieser technische Wandel aber auch unvorhersehbare Risiken und bietet Cyberkriminellen neue Angriffsflächen. Denn mit dem wachsenden Potenzial für die Finanzbranche nehmen auch die Möglichkeiten für Hacker zu: Sie professionalisieren ihre Angriffe, indem sie Werkzeuge und eine zunehmende Zahl potenzieller Angriffsvektoren weiterentwickeln. Deswegen führen gezielte Attacken mit Phishing zu höheren Erfolgsquoten für Angreifer und größeren Schadenssummen bei den Opfern.

Thema vertiefen