Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

IT-Sicherheit! Praxis! BAFIN!

Von Jan Wendenburg - 26. Januar 2015

Die Welt hat sich verändert, auch die Finanzwelt und ganz besonders die Welt der Informationstechnologie. Nach Snowden, NSA, Anonymous und aktuell Lizard Squad, einer Vielzahl von Einbrüchen in Unternehmensnetzwerken und Datenskandalen stehen wir heute erst am Anfang des Wettlaufs zum Schutz unserer Daten, unserer Werte und unserer Privatsphäre.

Die Bankenaufsicht platziert nun seit einiger Zeit das Thema IT-Sicherheit verstärkt in Publikationen, Veranstaltungen und Vorträgen. Das hat einen ganz einfachen Grund:
Die Informationstechnologie (IT) hat das Bankwesen völlig revolutioniert. Ohne IT sind Bankprozesse in der modernen Welt schlicht und einfach nicht mehr möglich. Bekanntlich hat jede Medaille aber zwei Seiten. Diese Abhängigkeit schafft neue Risiken deren Größe, Auswirkung und Beherrschbarkeit aber heute keiner, insbesondere vor dem Hintergrund der stürmischen Entwicklung der IT, vollständig erfassen und abschätzen kann.

Auch der Kriminelle geht mit der Zeit

Der „Bankraub“ von heute erfolgt nicht mehr am Schalter. Der „Bankräuber“ von heute sitzt zusammen mit seinen Kollegen irgendwo auf der Welt gemütlich vor seinem Computer und plant, koordiniert und führt seinen Beutezug dort in aller Ruhe durch. Für den Bankraub muss noch nicht einmal ein Konto geplündert werden. Andere vertrauliche Daten, wie Kreditkarten, Kontoverbindungen, etc. reichen meist völlig aus. Für diese Daten werden von anderen zwielichtigen Organisationen gerne eine entsprechende Entlohnung geboten, wenn die eigene Organisation nicht selbst für die Geheimhaltung des Einbruchs bezahlt.

Die Gefahr eines digitalen Angriffs wächst jeden Tag

Wie praktisch, dass die Entlohnung auch gleich digital, völlig anonym und in Echtzeit in Kryptowährungen, wie Bitcoins oder anderen erfolgen kann. Die erforderliche Kommunikation und Informationsaustausch erfolgt über TOR, dem ziemlich anonymen „Dark Net“-Bereich des Internets.
Das Ökosystem für den digitalen Angriff wächst – jeden Tag ein bisschen mehr, jeden Tag ein bisschen besser. Internationale Hacker-Gruppen lassen sich von kriminellen Organisationen anheuern. Werbung machen Hacker durch weltweite Aktionen, wie z.B. den kürzlich erfolgten SONY Play Station Network und Microsoft XBOX Angriff. Eine bessere globale Werbung ist wohl kaum zu bekommen. Die konsequente weitere Entwicklung ist nun der perfekte Angriff für jedermann. Leicht online zu buchen. Das Ergebnis sind dann global verteilte Hacker in enger Zusammenarbeit mit international arbeitenden kriminellen Organisationen.
Der entstehende direkte Schaden solcher globaler Angriffe beträgt oft viele Millionen Euro oder US-Dollar, der indirekte oft eher Milliarden. Im Fall von SONY Pictures bleibt auch noch abzuwarten, ob das betroffene Unternehmen den Fall im Ganzen überlebt.

Und was machen Sie?

In Deutschland leben viele noch auf einer (fast) glücklichen Insel. Erfreulicherweise sind wir in Deutschland von den großen Datenskandalen bisher verschont geblieben. Vielleicht können die meisten Hacker kein Deutsch, vielleicht haben viele vom deutschen Datenschutz gehört. Dennoch ist es eine trügerische Ruhe. Es ist die Ruhe vor dem Sturm!
Draußen tobt der Sturm schon längst und er wird nicht schwächer. Es ist nicht die Frage, ob es Ihre Organisation erwischt, es ist nur die Frage, wann und ob es dann kritisch, bzw. relevant ist.

IT-Risiken beherrschen ist überlebenswichtig

Unter dem Begriff „IT-Risiko“, den die MaRisk nicht definieren, versteht die Bankenaufsicht alle Risiken für die Vermögens- und Ertragslage der Institute, die aufgrund von Mängeln entstehen, die das IT-Management beziehungsweise die IT-Steuerung, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von Informationstechnologie betreffen.“ (Dr. Josef Kockert/Martin Held, Fachartikel, www.bafin.de)
Für jede Organisation, Institut und Unternehmen ist zukünftig eine strukturierte, nachvollziehbare und damit jederzeit kontrollierbare leistungs- und lernfähige IT Sicherheit überlebenswichtig. Dies ist nicht nur Angelegenheit der IT-Abteilung oder des CIO. Es ist eine Angelegenheit der ganzen Organisation, angefangen vom Aufsichtsrat und Vorstand bis hin zum Pförtner. Jeder ist betroffen, jeder muss mitmachen.

Ganzheitliche Konzepte sind wichtig

Die Bankenaufsicht definiert und fordert für die IT-Sicherheit keine punktuellen Aktionen oder Maßnahmen. Was nützt die beste Firewall, wenn Daten über CDs das Unternehmen verlassen, beim Datenaustausch oder in Online Paymentsystemen der Dienstleister Lücken hat?
Es ist ein ganzheitliches Risiko, das nur mit ganzheitlichen Konzepten beherrscht werden kann. Daher verlangt die Bankenaufsicht auch entsprechend holistische Strukturen, Konzepte, Maßnahmen und deren kontinuierliche Überwachung.
In deren Fachartikeln und Vorträgen werden daher auch u.a. die Bereiche IT-Governance, IT-Sicherheitsmanagement, Steuerung der operationellen Risiken der IT, Verlässlicher IT-Betrieb und professionelles IT-Servicemanagement, Softwareentwicklung & -beschaffung, Risiko der eingesetzten Software, Umsetzung in den Instituten und bei den IT-Dienstleistern und Anforderungen an Dienstleister – Auslagerungsmanagement angesprochen.

Neun Ratschläge für das Thema IT-Sicherheit

In den Gesprächen, u.a. auch direkt mit der Bafin, habe ich persönlich,  neben einer Vielzahl von Informationen, Einschätzungen und Lösungsmöglichkeiten, ein paar besondere Themen mitgenommen und empfehle diese auch jedem der sich mit dem Thema IT-Sicherheit in der Finanzindustrie beschäftigt:
Befolgen Sie den Leitgedanken der Bafin, dass die von Zahlungsdienstleistern zu ergreifenden Maßnahmen den jeweiligen Sicherheitsrisiken angemessen sein müssen. Auch die IT-Sicherheit muss als ein integrierter Bestandteil der IT/ Geschäftsstrategie verstanden werden. Dem Vorstand ist gut geraten, immer die Hoheit über Out- und Insourcing zu behalten. Nicht zu vergessen ist natürlich eine formalisierte (!) Dokumentation der Prozesse. Für Prüfungen ist dieser Schritt zwingend erforderlich. Schließlich fordert selbst die Bafin eine dokumentierte IT-Strategie. Apropos Outsourcing: Ohne eine passende IT-Strategie ist es auch keine Lösung. Outsourcing ist sogar unmöglich, wenn das Institut kein Know-how hat, den Dienstleister selbst qualifiziert kontrollieren zu können. Zudem wird die Risikoverantwortung nicht outgesourcet, sie bleibt immer im Institut und ist nicht delegierbar. Zu guter Letzt besitzt die Bafin die Macht, ein Institut zu schließen, wenn das Risiko zu hoch wird.

Bildnachweis: BranislavP über istockphoto.de

Lesen Sie auch

Finanzbranche, digitale Antragstrecken, Dem Business muss mehr Macht in die Hand gegeben werden, sagt Annemarie Pucher im Interview.

„Es muss alles einfacher werden“

Annemarie Pucher, CEO von ISIS Papyrus, über digitale[…]

Laura Kracht
Quantencomputer, Früher Montecralo, heute Quanten

Früher Monte-Carlo – heute Quanten

Technologie ist auch im Finanzsektor entscheidend. Doch bei[…]

Lars Meinecke
It, Kernbank-Migration, DateeinübertragungDie bank11 hat in Kooperation ein besonders Migrationsprojekt

Ein besonderes Migrationsprojekt

Dr. Klaus Peithner (gbs) und Dr. Martin Straaten[…]

Gemeinschaftsbeitrag
Banker steht besser da als Konkurrenz, kommt die Superposition für Banken oder sind Quantencomputer noch Zukunftsmusik

Die „Superposition“ für die Bank

Quantencomputer? Ach, damit beschäftigen wir uns später. Doch[…]

Thomas Friedenberger
Sind Quantencomputer die nächste Evolutionsstufe im Finanzsektor?

Infografik: Der nächste Quantensprung

Quantencomputer? Sind noch Zukunftsmusik. Ist das so? Kann[…]

Redaktion
Low-Code Banking-Portal RaboDirect

Low-Code: Bankwesen auf dem nächsten Level

Low-Code-/No-Code-Lösungen sind voll im Trend. Doch sie sind[…]

Redaktion
Banken müssen resilienter werden, sagt die IT-lerin Luise Linden.

Eine gute IT: „Banken müssen resilienter werden“

Diplom-Informatikerin Luise Linden ist seit 2018 CTO bei[…]

Thorsten Hahn
Der Prozess der Digitalisierung ist bei Banken immer noch im vollen Gange.

„Digitalisierung bei Banken ist ein noch nicht abgeschlossener Transformationsprozess“

Martin Baumann, Head of Analytics & Consulting Services[…]

Thomas Friedenberger
Dr. Friedrich G. Zuther vom BVR spricht im Interview über Private und Public Blockchain, Libra und die scheinbare Objektivität von KI.

„Das hätten wir niemals mit Technik allein hinbekommen“

IT- und Organisationsexperte Dr. Friedrich G. Zuther vom[…]

Redaktion

„Die Technologie ist da, die Geschäftsmodelle noch nicht“

Bernd Märzluft (links im Foto) und Marc Köhler[…]

Thorsten Hahn

Prozesse sind entscheidend, nicht Systeme

noris network ist ein IT-Dienstleister und Betreiber von[…]

Redaktion

Die Zukunft des Backup: Von periodisch zu kontinuierlich

Die Ausfälle von kritischen Applikationen können für Banken[…]

Johannes Streibich
Wie kann ein Unternehmen sich effektiv gegen DDoS-Attacken schützen? Grafik zum Beitrag

Wenn Anwendungen in IT-Systemen regelrecht „bombardiert“ werden

Lars Meinecke beschreibt, wie man mit Cloud-Lösungen von[…]

Lars Meinecke

Event Streaming und der Weg zu Ruhm und Reichtum

Für die Bigtechs aus dem Silicon Valley ist[…]

Falko Schwarz
Eine elektronische Signatur mit Schlüssel- und Schlosssymbol

„Die elektronische Signatur bietet einen doppelten Mehrwert für Kunden“

Die Helaba hat im Strategieprojekt Digitalisierung neben Use[…]

Daniel Fernandez
Plattformökokomie: Zahlen und Fakten

Infografik: Banking 4.0: Plattformen verändern alles

Die Plattformökonomie könnte auch in der Finanzbranche zum[…]

Redaktion

Das „Sicherheitsrisiko Drucker”: Wie groß ist es in einer Bank wirklich?

Sicherheitsexperte Stefan Dydak von HP spricht offen über[…]

Thomas Friedenberger
Der CEO und Chief Technologist von Camunda sitzen auf einer Bank

„Banken müssen sich zu Software-Unternehmen entwickeln“

Hinter den Kulissen arbeiten deutsche Banken daran, bei[…]

Thorsten Hahn

So gefährlich sind Plattformen für Banken

„Banking is necessary, banks are not.“ Wird Bill[…]

Thomas Friedenberger

Gemeinsam gegen Cyber-Angriffe kämpfen

Die Banken-IT wird heute durch maschinell organisierte Hochleistungs-Angriffe[…]

Bernd Märzluft

„Wir haben dem Bot beigebracht, sich selbst zu verbessern“

Wie Künstliche Intelligenz den Kundenservice unterstützt, erklärt Götz[…]

Thomas Friedenberger
Grafik Ausbildungsinitiative

FI-TS startet Ausbildungsoffensive

Um dem Fachkräftemangel und der demografischen Entwicklung, die[…]

Annika Krodel
Grafik Europäischer Datenschutztag

Privatsphäre Fehlanzeige: Wie wichtig sind uns unsere Daten?

Das World Wide Web bietet unendliche Möglichkeiten. Doch[…]

Redaktion

Cloud & BaFin vertragen sich besser als man denkt

Die Cloud ist für Banken sicher ein nicht[…]

Andreas Bachmann

„Finanzielle Inklusion vorantreiben“

Für kenianische Banken wird das Smartphone zum wichtigsten[…]

Philipp Scherber

„Die Hauptvorteile sehen wir in der Agilität“

Michael Girg, Chief Cloud Officer bei der Deutschen[…]

Thomas Friedenberger

Im Zeichen der Automatisierung

Low-Code-Software macht umfangreiches Programmieren unnötig und punktet mit[…]

Herbert Schild

„Wie eine Operation am offenen Herzen“

Ein Gespräch mit Dr. Martin Straaten, Sprecher der[…]

Thorsten Hahn

Wie gefährdet ist die Datensicherheit in der Finanzbranche?

Geldinstitute tragen eine hohe Verantwortung. Persönliche Informationen und[…]

Redaktion
Artikel iStock-1086570062-Vladimir Obradovic

Digital Onboarding auch für Banken entscheidend

Für ihr Online-Geschäft benötigen immer mehr Branchen eine[…]

Redaktion

Von Casablanca nach Schanghai

Die marokkanische BMCE Bank hat ihre erste Niederlassung[…]

Philipp Scherber

Die Angst vor der Cloud

Immer noch wagen sich nur wenige Banken hoch[…]

Tobias Schenkel
Karl im Brahm, Vorstandsvorsitzender der Avaloq Sourcing (Europe) AG.

„Das Kernbankensystem ist das Rückgrat einer Bank“

Nicht selten werden Plattformen, Software-as-a-Service (SaaS) und Cloud-Lösungen[…]

Philipp Scherber
Dr. Alexander Bethke-Jaenicke, Gründer und geschäftsführender Partner von Horn & Company

Data Analytics: „Andere Branchen sind deutlich weiter“

Die Industrialisierung von Prozessen steht weit oben auf[…]

Philipp Scherber
Ingo Küpper, Geschäftsführer der crossbuilders GmbH

Das Spiel im Sandkasten

Um auf die Veränderungen am Markt reagieren zu[…]

Philipp Scherber

„Die PSD2 gibt Banken ein Stück Kontrolle zurück“

Die PSD2 öffnet die Schnittstellen von Banken für[…]

Daniel Fernandez

Kernbank-IT – alte Zöpfe abschneiden

Deutsche Banken liegen bei der Digitalisierung bestenfalls im[…]

Jürgen Pöllath

Lösen Chatbots und RPA bald den klassischen IT-Support ab?

IT-Fachmedien prognostizieren seit Jahren eine Übernahme des klassischen[…]

Robert Gatzemann

„Chatbots werden zur Regelkommunikation“

Nicht nur Backoffice-Prozesse, sondern auch die Kundenkommunikation wird[…]

Philipp Scherber

Der Transparenz verpflichtet

Die regulatorische Belastung auf deutsche Finanzinstitute wächst stetig[…]

Axel Schmale

19. November 1984: Der BTX-Hack schockiert Deutschland

Der Auftritt des Chaos Computer Clubs am 19.[…]

Daniel Fernandez

Wenn Digitalisierung einfach intelligent ist

Zukunftsweisend, papierlos, nachhaltig – diese Aspekte fehlten bis[…]

Siegfried Fichtler

Der Computer analysiert, der Mensch entscheidet

Der Einsatz von Künstlicher Intelligenz hat das Potenzial,[…]

Thomas Belker

Künstliche Intelligenz als Use Case Factory: vom Management operativer Risiken lernen

Viele Herausforderungen der Gesamtbanksteuerung sind noch nicht gelöst.[…]

Lars Holzgraefe

Das gute Gefühl, alles unter Kontrolle zu haben

Klingt nach einer klassischen Fintech-Idee, kommt aber von[…]

Nils Brinkhoff

Das Blockchain Lab der Commerzbank

Vor zwei Jahren startete die Commerzbank zusammen mit[…]

Sören Hartung

„There is no such thing as a killer feature“

Auf dem Ein-Tages-Kongress "Digitale Transformation" am 10. April[…]

Philipp Scherber

„Technologie lässt Barrieren fallen“

An zwei Abenden in Köln und Berlin stellten[…]

Philipp Scherber

Digital Wealth Management im Drehstuhl

Am 18. April 2018 widmeten wir uns gemeinsam[…]

Philipp Scherber

Ausweg aus der Legacy-Falle

Advertorial: IT-Verantwortliche von Finanzunternehmen geraten zunehmend unter Druck:[…]

Thomas Hellweg

Die Zukunft ist fehlerfrei – Dortmunder Volksbank arbeitet erfolgreich mit helic ID

Eine schlechte Datenqualität kann sich heutzutage kein Unternehmen[…]

Patrick Paetzel