Jetzt Mitglied werden

IT-Sicherheit! Praxis! BAFIN!

Von Jan Wendenburg - 26. Januar 2015

Die Welt hat sich verändert, auch die Finanzwelt und ganz besonders die Welt der Informationstechnologie. Nach Snowden, NSA, Anonymous und aktuell Lizard Squad, einer Vielzahl von Einbrüchen in Unternehmensnetzwerken und Datenskandalen stehen wir heute erst am Anfang des Wettlaufs zum Schutz unserer Daten, unserer Werte und unserer Privatsphäre.

Die Bankenaufsicht platziert nun seit einiger Zeit das Thema IT-Sicherheit verstärkt in Publikationen, Veranstaltungen und Vorträgen. Das hat einen ganz einfachen Grund:
Die Informationstechnologie (IT) hat das Bankwesen völlig revolutioniert. Ohne IT sind Bankprozesse in der modernen Welt schlicht und einfach nicht mehr möglich. Bekanntlich hat jede Medaille aber zwei Seiten. Diese Abhängigkeit schafft neue Risiken deren Größe, Auswirkung und Beherrschbarkeit aber heute keiner, insbesondere vor dem Hintergrund der stürmischen Entwicklung der IT, vollständig erfassen und abschätzen kann.

Auch der Kriminelle geht mit der Zeit

Der „Bankraub“ von heute erfolgt nicht mehr am Schalter. Der „Bankräuber“ von heute sitzt zusammen mit seinen Kollegen irgendwo auf der Welt gemütlich vor seinem Computer und plant, koordiniert und führt seinen Beutezug dort in aller Ruhe durch. Für den Bankraub muss noch nicht einmal ein Konto geplündert werden. Andere vertrauliche Daten, wie Kreditkarten, Kontoverbindungen, etc. reichen meist völlig aus. Für diese Daten werden von anderen zwielichtigen Organisationen gerne eine entsprechende Entlohnung geboten, wenn die eigene Organisation nicht selbst für die Geheimhaltung des Einbruchs bezahlt.

Die Gefahr eines digitalen Angriffs wächst jeden Tag

Wie praktisch, dass die Entlohnung auch gleich digital, völlig anonym und in Echtzeit in Kryptowährungen, wie Bitcoins oder anderen erfolgen kann. Die erforderliche Kommunikation und Informationsaustausch erfolgt über TOR, dem ziemlich anonymen „Dark Net“-Bereich des Internets.
Das Ökosystem für den digitalen Angriff wächst – jeden Tag ein bisschen mehr, jeden Tag ein bisschen besser. Internationale Hacker-Gruppen lassen sich von kriminellen Organisationen anheuern. Werbung machen Hacker durch weltweite Aktionen, wie z.B. den kürzlich erfolgten SONY Play Station Network und Microsoft XBOX Angriff. Eine bessere globale Werbung ist wohl kaum zu bekommen. Die konsequente weitere Entwicklung ist nun der perfekte Angriff für jedermann. Leicht online zu buchen. Das Ergebnis sind dann global verteilte Hacker in enger Zusammenarbeit mit international arbeitenden kriminellen Organisationen.
Der entstehende direkte Schaden solcher globaler Angriffe beträgt oft viele Millionen Euro oder US-Dollar, der indirekte oft eher Milliarden. Im Fall von SONY Pictures bleibt auch noch abzuwarten, ob das betroffene Unternehmen den Fall im Ganzen überlebt.

Und was machen Sie?

In Deutschland leben viele noch auf einer (fast) glücklichen Insel. Erfreulicherweise sind wir in Deutschland von den großen Datenskandalen bisher verschont geblieben. Vielleicht können die meisten Hacker kein Deutsch, vielleicht haben viele vom deutschen Datenschutz gehört. Dennoch ist es eine trügerische Ruhe. Es ist die Ruhe vor dem Sturm!
Draußen tobt der Sturm schon längst und er wird nicht schwächer. Es ist nicht die Frage, ob es Ihre Organisation erwischt, es ist nur die Frage, wann und ob es dann kritisch, bzw. relevant ist.

IT-Risiken beherrschen ist überlebenswichtig

Unter dem Begriff „IT-Risiko“, den die MaRisk nicht definieren, versteht die Bankenaufsicht alle Risiken für die Vermögens- und Ertragslage der Institute, die aufgrund von Mängeln entstehen, die das IT-Management beziehungsweise die IT-Steuerung, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von Informationstechnologie betreffen.“ (Dr. Josef Kockert/Martin Held, Fachartikel, www.bafin.de)
Für jede Organisation, Institut und Unternehmen ist zukünftig eine strukturierte, nachvollziehbare und damit jederzeit kontrollierbare leistungs- und lernfähige IT Sicherheit überlebenswichtig. Dies ist nicht nur Angelegenheit der IT-Abteilung oder des CIO. Es ist eine Angelegenheit der ganzen Organisation, angefangen vom Aufsichtsrat und Vorstand bis hin zum Pförtner. Jeder ist betroffen, jeder muss mitmachen.

Ganzheitliche Konzepte sind wichtig

Die Bankenaufsicht definiert und fordert für die IT-Sicherheit keine punktuellen Aktionen oder Maßnahmen. Was nützt die beste Firewall, wenn Daten über CDs das Unternehmen verlassen, beim Datenaustausch oder in Online Paymentsystemen der Dienstleister Lücken hat?
Es ist ein ganzheitliches Risiko, das nur mit ganzheitlichen Konzepten beherrscht werden kann. Daher verlangt die Bankenaufsicht auch entsprechend holistische Strukturen, Konzepte, Maßnahmen und deren kontinuierliche Überwachung.
In deren Fachartikeln und Vorträgen werden daher auch u.a. die Bereiche IT-Governance, IT-Sicherheitsmanagement, Steuerung der operationellen Risiken der IT, Verlässlicher IT-Betrieb und professionelles IT-Servicemanagement, Softwareentwicklung & -beschaffung, Risiko der eingesetzten Software, Umsetzung in den Instituten und bei den IT-Dienstleistern und Anforderungen an Dienstleister – Auslagerungsmanagement angesprochen.

Neun Ratschläge für das Thema IT-Sicherheit

In den Gesprächen, u.a. auch direkt mit der Bafin, habe ich persönlich,  neben einer Vielzahl von Informationen, Einschätzungen und Lösungsmöglichkeiten, ein paar besondere Themen mitgenommen und empfehle diese auch jedem der sich mit dem Thema IT-Sicherheit in der Finanzindustrie beschäftigt:
Befolgen Sie den Leitgedanken der Bafin, dass die von Zahlungsdienstleistern zu ergreifenden Maßnahmen den jeweiligen Sicherheitsrisiken angemessen sein müssen. Auch die IT-Sicherheit muss als ein integrierter Bestandteil der IT/ Geschäftsstrategie verstanden werden. Dem Vorstand ist gut geraten, immer die Hoheit über Out- und Insourcing zu behalten. Nicht zu vergessen ist natürlich eine formalisierte (!) Dokumentation der Prozesse. Für Prüfungen ist dieser Schritt zwingend erforderlich. Schließlich fordert selbst die Bafin eine dokumentierte IT-Strategie. Apropos Outsourcing: Ohne eine passende IT-Strategie ist es auch keine Lösung. Outsourcing ist sogar unmöglich, wenn das Institut kein Know-how hat, den Dienstleister selbst qualifiziert kontrollieren zu können. Zudem wird die Risikoverantwortung nicht outgesourcet, sie bleibt immer im Institut und ist nicht delegierbar. Zu guter Letzt besitzt die Bafin die Macht, ein Institut zu schließen, wenn das Risiko zu hoch wird.

Bildnachweis: BranislavP über istockphoto.de

Lesen Sie auch

Der Computer analysiert, der Mensch entscheidet

Der Einsatz von Künstlicher Intelligenz hat das Potenzial,[…]

Thomas Belker

Künstliche Intelligenz als Use Case Factory: vom Management operativer Risiken lernen

Viele Herausforderungen der Gesamtbanksteuerung sind noch nicht gelöst.[…]

Lars Holzgraefe

Das gute Gefühl, alles unter Kontrolle zu haben

Klingt nach einer klassischen Fintech-Idee, kommt aber von[…]

Nils Brinkhoff

Das Blockchain Lab der Commerzbank

Vor zwei Jahren startete die Commerzbank zusammen mit[…]

Sören Hartung

„There is no such thing as a killer feature“

Auf dem Ein-Tages-Kongress "Digitale Transformation" am 10. April[…]

Philipp Scherber

„Technologie lässt Barrieren fallen“

An zwei Abenden in Köln und Berlin stellten[…]

Philipp Scherber

Digital Wealth Management im Drehstuhl

Am 18. Mai 2018 widmeten wir uns gemeinsam[…]

Philipp Scherber

Ausweg aus der Legacy-Falle

Advertorial: IT-Verantwortliche von Finanzunternehmen geraten zunehmend unter Druck:[…]

Thomas Hellweg

Die Zukunft ist fehlerfrei – Dortmunder Volksbank arbeitet erfolgreich mit helic ID

Eine schlechte Datenqualität kann sich heutzutage kein Unternehmen[…]

Patrick Paetzel

„Den Nachbearbeitungsaufwand so gering wie möglich gestalten“

Im Jahr 2015 kam es zu einer Sonderprüfung[…]

Christian Grosshardt

„Ohne Macher kommen Projekte nicht in Gang“

Der Erfolg von IT-Projekten ist zu einem Großteil[…]

Philipp Scherber

BAIT – Bankaufsichtliche Anforderungen an die IT: Herausforderung und Chance

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagiert auf wachsende[…]

Gerald Spiegel

Die elektronische Signatur

Für eine verbesserte und kontrollierbare Kundekommunikation

Redaktion

Papierlos zu mehr Effizienz – und nebenbei Bäume retten

Die Bank of Montreal (BMO) setzt auf technologische[…]

Jochen Razum

Robotic Process Automation ist das neue Outsourcing für Banken

Banken in Deutschland entdecken Robotic Process Automation (RPA),[…]

Robert Scholze

Vom digitalen Assistenten zum virtuellen Bankberater

Künstliche Intelligenz hat Einzug in die Bankenwelt gehalten[…]

Sven Guhr

Vier Kriterien zur erfolgreichen Digitalisierung des Kreditantragsprozesses

Die Digitalisierung schreitet nicht nur im Kreditgeschäft mit[…]

Achim Himmelreich

Die CeBIT will neue Wege gehen

„d!conomy – no limits“ – unter diesem Motto[…]

Christian Grosshardt

Business Intelligence: So profitieren Banken von professioneller Datenverwertung

Zunehmende Regulierung, immer komplexere Prozesse und Disruption im[…]

Heiko Böhm

„Kreditwirtschaft hat noch keine Lösung gefunden“

Obwohl mittlerweile vielerlei Payment-Lösungen existieren, sind Bargeld und[…]

Christian Grosshardt

„Man muss als Bank vorne mit dabei sein“

Kreditinstitute stehen vor der täglichen Herausforderung, ihre Services[…]

Christian Grosshardt

Blockchain birgt großes Potential für Finanzdienstleister

„Blockchain wird die Art, wie weltweit Geschäfte gemacht[…]

Daniel Fernandez

„Gewaltiger Engpass entstanden“

Seit einiger Zeit sehen sich insbesondere die IT-Fachbereiche[…]

Christian Grosshardt

Digitaler Erfolgsfaktor für Banken: einfacher und schneller Kreditantrag

In Zeiten des Internetgeschäfts macht der Wunsch nach[…]

Cybercrime: Ein wesentliches Risiko?

Banken sollten das Thema Informationssicherheit nicht nur der[…]

Gerald Spiegel

Der Schlüssel zum Erfolg liegt in der IT

Wenn Finanzinstitute wachsen, steigt nicht nur die Bilanzsumme.[…]

Elisabeth Schoss-Leppert

Wo bleibt Smart-Banking?

Die Digitale Agenda der Bundesregierung beschreibt die Grundsätze[…]

Florian Dreifus

Neue (digitale) Wege einer Traditionsbank

Digitalisierung bedeutet für viele eine Umstellung im prozessualen[…]

Michael C. Neubert

Digitale Vermögensverwaltung – Kunden-erfolg und MiFID II unter einem Dach

Digitalisierte Mehrwertdienstleistungen machen die Vermögensbetreuung auch im Retailbereich[…]

Mario Alves

„Es bedarf eines zentralen Kommunikationskonzepts“

Im 21. Jahrhundert leben und arbeiten wir in[…]

Christian Grosshardt

Die Gunst der Stunde

Als noch das Kerbholz oder der Ishango-Knochen zum[…]

Horst Liebscher

„Dialog statt Push-Kommunikation“

Social Business-Technologien können interne Unternehmensprozesse und externe Kommunikation[…]

Philipp Scherber

„Heutzutage muss man vielen Qualitätsaspekten genügen”

SDL ist weltweiter Marktführer für Übersetzungslösungen. Das Unternehmen[…]

Anna Stötzer

Kosten runter, Datensicherheit rauf und zufriedenere Mitarbeiter

Die Volksbank Freiburg hat ihre Druckerflotte konsolidiert. Kostendruck[…]

Julian Achleitner

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

„If you can make it in Ansbach, you’ll make it anywhere.”

Cloud Computing, Safe Harbor, Privacy Shield und Blockchain[…]

Philipp Scherber

„Gemeinsam mit unseren Kunden deren Herausforderungen lösen.“

Security-Lösungen sind für jede Bank ein absolutes Muss.[…]

Julian Achleitner

Transaktionsklassifikation für die Kundenanalyse

Es gibt eine unglaubliche Menge an Kundendaten, welche[…]

Ronny Fuchs

EZB mit neuer Website

Die Europäische Zentralbank hat ihr Kommunikationsangebot einer Frischzellenkur[…]

Christian Grosshardt

„Bank geht heute nur, wenn man seine Daten auch entsprechend im Griff hat!“

Digitale Zeiten erfordern schnelles Handeln und eine noch[…]

Christian Grosshardt

„Positiver Wandel in der Projektmanagementkultur mit Softwareeinsatz“

Die Berlin Hyp AG ist auf großvolumige Immobilienfinanzierungen[…]

Julian Achleitner

„Aktionismus ohne ganzheitliche Strategie muss endlich aufhören!“

Gerne lassen Banken über ihre Marketingabteilung verlautbaren, dass[…]

Christian Grosshardt

Advertorial: Was Kunden wollen – Deutschlands Banken-IT im digitalen Umstyling

Banken-IT: Zwischen Software und Beratungsgespräch Vielfältig und modern:[…]

Christian Grosshardt

Datenschutz gilt nicht nur für Firewalls

In Zeiten von Cyber-Attacken und den dafür notwendigen[…]

Christian Grosshardt

Sind Banken bereits abgehängt?

Während Banken über die bestmögliche Umsetzung von Mobile-Payment-Lösungen[…]

Christian Grosshardt

Digitalisierung, aber wie?

Berlin, London und im Silicon Valley, hier entstehen[…]

Thorsten Hahn

„Es ist höchste Eisenbahn!“

Die Komplexität in der gesamten Banksteuerung hat sich[…]

Christian Grosshardt

Wem gehört die Zukunft?

Autor: Jaron Lanier Euro: 24,99 480 Seiten, gebunden[…]

Christian Grosshardt

Digitalisierung konsequent umsetzen, gerade bei alltäglichen Prozessen.

Die Digitalisierung hat uns alle und unser alltägliches[…]

Christian Grosshardt

„The Amazon moment for banking!“

Andauernd reden wir von der fortschreitenen Digitalisierung. Fakt[…]

Christian Grosshardt

Titelverteidigung – „MBVO.de“ gewinnt erneut

Und täglich grüßt das Murmeltier! Nachdem das Verbraucherportal[…]

Christian Grosshardt