Cover

Hinweis zum Urheberrecht

Abbildung

Schäffer-Poeschel Verlag für Wirtschaft · Steuern · Recht GmbH, Stuttgart

Impressum

[4]Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.dnb.de abrufbar.

Print: ISBN 978-3-7910-4536-8 Bestell-Nr. 12007-0001
ePub: ISBN 978-3-7910-4537-5 Bestell-Nr. 12007-0100
ePDF: ISBN 978-3-7910-4538-2 Bestell-Nr. 12007-0150

Gerhard Hellstern/Patrik Buchmüller

IT-Risiken in Banken

1. Auflage, August 2019

© 2019 Schäffer-Poeschel Verlag für Wirtschaft · Steuern · Recht GmbH

www.schaeffer-poeschel.de

service@schaeffer-poeschel.de

Produktmanagement: Frank Katzenmayer

Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte, insbesondere die der Vervielfältigung, des auszugsweisen Nachdrucks, der Übersetzung und der Einspeicherung und Verarbeitung in elektronischen Systemen, vorbehalten. Alle Angaben/Daten nach bestem Wissen, jedoch ohne Gewähr für Vollständigkeit und Richtigkeit.

[7]1 Vorwort und Einführung

The banking system is increasingly reliant on information technology, which exposes it to a growing and evolving set of operational risks. Banks with operationally resilient systems, staff, processes and technology can better adapt to evolving shocks and maintain the provision of critical financial services.

Stefan Ingves1

Spätestens mit der Rede von Stefan Ingves, schwedischer Zentralbankpräsident und ehemaliger Chairman des Baseler Ausschusses für Bankenaufsicht, aus der dieses Zitat stammt, ist klargeworden, welche Rolle das Thema IT-Risiko für die Regulatorik nunmehr spielt. In seiner Rede, eigentlich zum Thema Abschluss von Basel III, weist Stefan Ingves nachdrücklich auf die Bedeutung von IT-Risiken hin und lässt keinen Zweifel daran, dass sich der Baseler Ausschuss zukünftig noch intensiver darum kümmern wird.

Von deutscher Seite hat bereits 2015 Andreas Dombret, ehemals im Vorstand der Deutschen Bundesbank zuständig für Banken und Finanzaufsicht, auf das Thema Cyberrisiko hingewiesen.2 Auch Felix Hufeld, Präsident der BaFin, äußerte sich in der Vergangenheit bei vielen Gelegenheiten zum Thema Digitalisierung – neben den Chancen für die Finanzbranche stets auch zu den Risiken: Im Spiegel bspw. wurde Felix Hufeld am 26.11.2018 zitiert mit den Worten3 »Banken schützen sich nicht gut genug gegen Cyberangriffe« und »IT-Sicherheit müsse in Banken Chefsache sein«.

Eine Analyse, worauf die Kassandrarufe der Finanzaufsicht fußen, liefert folgende Anhaltspunkte:

Ein weiterer Grund für die Sorge der Aufsicht ist, dass sie in ihrer Aufsichtstätigkeit offenbar den Eindruck gewonnen hat, dass die Banken dem Thema IT-Risiko bisher nicht die notwendige Aufmerksamkeit schenken7. Auch wenn nur wenige spektakuläre Verlustfälle bei Banken durch IT-Risiken bekannt geworden sind, ist davon auszugehen, dass die Dunkelziffer entsprechend hoch ist.

Einen Einblick in die Thematik lieferte die Finanzaufsicht auf ihrer Konferenz zum Thema »IT-Aufsicht bei Banken«8 am 27. September 2018: Auf dieser Veranstaltung wurde bekannt gegeben, dass seit 2017 insgesamt 420 Sicherheitsvorfallmeldungen – davon ein Drittel mittelschwere und schwere Vorfälle – bei der BaFin eingegangen sind, dass aber nur wenige auf »echte« Cyberangriffe zurückzuführen waren. Die meisten seien auf Defizite bei der »Cyberhygiene«9 zurückzuführen seien. Die BaFin führte weiter aus, dass bei allen europäischen Banken folgende Schwachstellen in Bezug auf IT gehäuft auftraten10:

Vor diesem Hintergrund ist insgesamt nachvollziehbar, dass die Finanzaufsicht auf nationaler sowie internationaler Ebene beim Thema IT-Risiko tätig geworden ist. Wie im nächsten Kapitel detailliert aufgezeigt wird, haben diverse Organisationen, Behörden und Gremien in den letzten zwei bis drei Jahren zu unterschiedlichen Aspekten des Themas IT-Risiko Hinweise, Regelungen, Verordnungen etc. veröffentlicht. Vergleicht man diese Werke, dann fällt – wie auch bei anderen Regulierungsthemen – auf, dass diese teilweise überlappende Anforderungen enthalten, teilweise aber auch andere Schwerpunkte setzen. Es ist daher extrem aufwändig, sich einen vollständigen Überblick über die jeweils aktuelle bzw. anstehende Regelungslage zu verschaffen.

Um die Problematik der IT-Risiken in Gänze zu erfassen, reicht es allerdings nicht aus, sich lediglich auf das Cyberrisiko im engeren Sinne, d. h. das Risiko eines vorsätzlichen und zielgerichteten Angriffs auf IT-Systeme und Daten zu beschränken. Auch durch veraltete technische Systeme, ein fehlendes Internes Kontrollsystem oder unzureichende organisatorische Regelungen im IT-Bereich können Verluste entstehen, die ein Institut in existenzielle Nöte bringen können. Bei den Regulierungsvorhaben auf diesem Gebiet wurde daher in der Regel versucht, die IT-Risiken in einer Top-Down-Vorgehensweise in den unternehmensweiten Risikomanagementprozess einzugliedern.

Wie im Folgenden zu sehen sein wird, ist dies auf der einen Seite relativ komplex, da im Vergleich zu Marktpreis- oder Kreditrisiken sowohl die genaue Abgrenzung des Risikos als auch die Metrik bei der Bemessung viel weniger klar ist. Auf der anderen Seite konnte die Finanzaufsicht bei der Erarbeitung der Regelungen bereits auf viele formulierte Standards aus der IT-Welt zurückgreifen: Die in Kapitel 3.1 noch ausführlich dargestellten ISO-2700X Normen, das COBIT- und das ITIL-Rahmenwerk beschreiben im Detail, wie man mit IT-Risken umgehen kann und sollte. Inhaltlich ist damit eigentlich fixiert, wie IT-Risiken reduziert werden können, wenn man bereit ist, die entsprechenden Kosten und Ressourcen für Schutz- und Kontrollmaßnahmen zu tragen.

In Analogie zu anderen Risikoarten, bei denen die Regulatorik im Rahmen ihrer institutsindividuellen Überwachung (sog. Säule 2 der Baseler Eigenmittelakkords) Methodenfreiheit zugesteht, wird auch bei den IT-Risiken letztlich nicht versucht, auf granularer Ebene alles im Einzelnen festzulegen, sondern sich an übergeordneten Prinzipien [10]zu orientieren. Der Nachteil von Prinzipien ist aber, dass diese einen diskretionären Interpretationsspielraum bieten, so dass die regulierten Institute nicht im Detail wissen, was nun genau zu tun ist. Dies ist der Preis für die notwendige Flexibilität, die der prinzipienorientierten Regulierung immanent ist. Ohne diese Flexibilität wäre es allerdings kaum denkbar, einen prozessorientierten Regulierungsrahmen festzusetzen, der sowohl für international agierende Großbanken wie auch für lokal agierende Verbundinstitute anwendbar ist.

Die besondere Herausforderung liegt vor diesem Hintergrund darin, dass im Bereich IT die Vorgaben besonders vielschichtig sind. So müssen allein zur Interpretation der Bankaufsichtlichen Anforderungen an die IT (BAIT) der BaFin auch die Auslegungen zu den Mindestanforderungen an das Risikomanagement (MaRisk) sowie die Fortentwicklung des Kreditwesengesetzes (KWG) zwangsläufig herangezogen werden. Dazu kommen über die Akteure EBA, EZB-Bankenaufsicht und Baseler Ausschuss hinaus noch Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und weiterer Standardsetzer im Bereich IT-Sicherheit auf europäischer und internationaler Ebene hinzu.

Das vorliegende Buch nimmt eine Bestandsaufnahme des aktuell gültigen Regelungsrahmens für IT-Risiken vor. Folgende Leitfragen haben uns dabei geholfen die entsprechenden thematischen Schwerpunkte zu setzen:

Das Buch ist somit ein Kompromiss zwischen einem klassischen Gesetzes-Kommentar zu den BAIT und einem Praktiker-Handbuch zur IT-Sicherheit in Banken. Um die gültigen Vorschriften und Regelungen würdigen zu können, werden diese in den Kontext ihrer Entstehung und ihrer Vorgeschichte eingebettet. Wo immer möglich und sinnvoll werden Parallelen aber auch Unterschiede zwischen den unterschiedlichen Werken aufgezeigt, um ein möglichst vollständiges Bild zu zeichnen.

Die allgemeine Gewissheit »Regulierung wird niemals enden«11 gilt in hohem Maße für das noch neue Feld der IT-Risiken. In diesem Buch werden deshalb auch absehbare [11]Entwicklungen und weitere Regulierungsvorhaben vorgestellt. Diese bilden letztlich den regulatorischen Rahmen für die digitale Transformation, in der sich die gesamte Finanzbranche derzeit befindet und sicherlich auch noch eine längere Zeit befinden wird.

Die Autoren danken Christine Mährle, Dr. Jens Gampe, Rainer Englisch und Frank Beekmann sowie den Teilnehmern des OpRisk-Quantworkshop am 24.01.2019 im Hause der Deutschen Bundesbank für die anregenden Diskussionen über die Themen dieses Buches und wichtige Hinweise. Darüber hinaus möchten wir der VÖB-Service GmbH und hierbei vor allem Olaf Zißner für die Verwendung des regulatorischen Informationsdienstes RADAR danken.

Gerhard Hellstern dankt darüber hinaus seiner Frau Manuela sowie den Kindern Julius-Maximilian und Ann-Kathrin für ihre Unterstützung.

Gerhard Hellstern Stuttgart
Patrik Buchmüller Bonn-Kessenich
20.5.2019

1 Vgl. Ingves, Stefan (2018)

2 Vgl. Dombret, Andreas (2015)

3 Vgl. http://www.spiegel.de/netzwelt/netzpolitik/bafin-chef-felix-hufeld-banken-tun-zu-wenig-gegen-cyberangriffe-a-1239464.html, abgerufen am 15.3.2019.

4 Vgl. Moormann/Schmidt (2007)

5 Vgl. BSI (2018)

6 Vgl. https://www.stern.de/wirtschaft/news/commerzbank-vor-dax-aus---bei-der-digitalisierung-haben-diebanken-zehn-jahre-verschlafen--8214870.html, abgerufen am 15.3.2019.

7 Vgl. https://www.wiwo.de/unternehmen/banken/bafin-banken-haben-bei-it-sicherheit-nachholbedarf/23121612.html, abgerufen am 15.3.2019.

8 Vgl. https://www.bafin.de/SharedDocs/Veranstaltungen/DE/180927_it_aufsicht.html, abgerufen am 15.3.2019. Unter diesem Link finden sich auch die Redetexte bzw. Präsentationen der Veranstaltung.

9 Es wird nicht näher ausgeführt was die BaFin unter »Cyberhygiene« genau versteht. Zu vermuten ist, dass sie sich hier an der European Union Agency for Network and Information Security (ENISA) orientiert, https://www.enisa.europa.eu/publications/cyber-hygiene, abgerufen am 15.3.2019.

10 Vgl. Präsentation Obermeier (2018), »Arbeitsschwerpunkte 2018 der Gruppe IT-Aufsicht« auf o. g. BaFin-Konferenz am 27.9.2018

11 Vgl. http://www.spiegel.de/wirtschaft/soziales/bafin-warnt-10-jahre-nach-beginn-der-finanzkrise-vorderegulierung-a-1238077.html, abgerufen am 15.3.2019.