IT-Risiken in Banken
eBook - ePub

IT-Risiken in Banken

Aufsichtliches Rahmenwerk für die Digitale Transformation

  1. 160 Seiten
  2. German
  3. ePUB (handyfreundlich)
  4. Über iOS und Android verfügbar
eBook - ePub

IT-Risiken in Banken

Aufsichtliches Rahmenwerk für die Digitale Transformation

Angaben zum Buch
Buchvorschau
Inhaltsverzeichnis
Quellenangaben

Über dieses Buch

Die IT und ihre Risiken geraten immer mehr in den Fokus der Bankenaufsicht. Mit den BAIT "Bankaufsichtliche Anforderungen an die IT" hat die BaFin erstmals spezifische und die allgemeinen MaRisk-Anforderungen erläuternde Anforderungen an die IT von Banken veröffentlicht.Das Buch erläutert die Hintergründe der BAIT und gibt Interpretationshilfen und Auslegungshinweise. Darüber hinaus werden die Anforderungen von EBA und EZB, die IT, Cyberrisiko und Cloud Computing betreffen, und Themen wie BCBS 239, SREP für IT beleuchtet.

Häufig gestellte Fragen

Gehe einfach zum Kontobereich in den Einstellungen und klicke auf „Abo kündigen“ – ganz einfach. Nachdem du gekündigt hast, bleibt deine Mitgliedschaft für den verbleibenden Abozeitraum, den du bereits bezahlt hast, aktiv. Mehr Informationen hier.
Derzeit stehen all unsere auf Mobilgeräte reagierenden ePub-Bücher zum Download über die App zur Verfügung. Die meisten unserer PDFs stehen ebenfalls zum Download bereit; wir arbeiten daran, auch die übrigen PDFs zum Download anzubieten, bei denen dies aktuell noch nicht möglich ist. Weitere Informationen hier.
Mit beiden Aboplänen erhältst du vollen Zugang zur Bibliothek und allen Funktionen von Perlego. Die einzigen Unterschiede bestehen im Preis und dem Abozeitraum: Mit dem Jahresabo sparst du auf 12 Monate gerechnet im Vergleich zum Monatsabo rund 30 %.
Wir sind ein Online-Abodienst für Lehrbücher, bei dem du für weniger als den Preis eines einzelnen Buches pro Monat Zugang zu einer ganzen Online-Bibliothek erhältst. Mit über 1 Million Büchern zu über 1.000 verschiedenen Themen haben wir bestimmt alles, was du brauchst! Weitere Informationen hier.
Achte auf das Symbol zum Vorlesen in deinem nächsten Buch, um zu sehen, ob du es dir auch anhören kannst. Bei diesem Tool wird dir Text laut vorgelesen, wobei der Text beim Vorlesen auch grafisch hervorgehoben wird. Du kannst das Vorlesen jederzeit anhalten, beschleunigen und verlangsamen. Weitere Informationen hier.
Ja, du hast Zugang zu IT-Risiken in Banken von Gerhard Hellstern,Patrik Buchmüller im PDF- und/oder ePub-Format sowie zu anderen beliebten Büchern aus Volkswirtschaftslehre & Wirtschaftstheorie. Aus unserem Katalog stehen dir über 1 Million Bücher zur Verfügung.

Information

Verlag
Schäffer-Poeschel
Jahr
2019
ISBN
9783791045375
Thema
Volkswirtschaftslehre
Thema
Wirtschaftstheorie

1 Vorwort und Einführung

The banking system is increasingly reliant on information technology, which exposes it to a growing and evolving set of operational risks. Banks with operationally resilient systems, staff, processes and technology can better adapt to evolving shocks and maintain the provision of critical financial services.
Stefan Ingves1
Spätestens mit der Rede von Stefan Ingves, schwedischer Zentralbankpräsident und ehemaliger Chairman des Baseler Ausschusses für Bankenaufsicht, aus der dieses Zitat stammt, ist klargeworden, welche Rolle das Thema IT-Risiko für die Regulatorik nunmehr spielt. In seiner Rede, eigentlich zum Thema Abschluss von Basel III, weist Stefan Ingves nachdrücklich auf die Bedeutung von IT-Risiken hin und lässt keinen Zweifel daran, dass sich der Baseler Ausschuss zukünftig noch intensiver darum kümmern wird.
Von deutscher Seite hat bereits 2015 Andreas Dombret, ehemals im Vorstand der Deutschen Bundesbank zuständig für Banken und Finanzaufsicht, auf das Thema Cyberrisiko hingewiesen.2 Auch Felix Hufeld, Präsident der BaFin, äußerte sich in der Vergangenheit bei vielen Gelegenheiten zum Thema Digitalisierung – neben den Chancen für die Finanzbranche stets auch zu den Risiken: Im Spiegel bspw. wurde Felix Hufeld am 26.11.2018 zitiert mit den Worten3 »Banken schützen sich nicht gut genug gegen Cyberangriffe« und »IT-Sicherheit müsse in Banken Chefsache sein«.
Eine Analyse, worauf die Kassandrarufe der Finanzaufsicht fußen, liefert folgende Anhaltspunkte:
  • Die Informations- und Kommunikationstechnologie IKT hat für Finanzdienstleister eine extrem hohe Bedeutung – sie ist quasi deren Nervensystem4.
  • Durch Online-Banking, E-Business und Banking-Apps ist die digitale Vernetzung zwischen Finanzdienstleistern und Kunden in den letzten Jahren erheblich gestiegen. Die neuen Vertriebs- und Kommunikationskanäle implizieren potenzielle Risiken, die vorher so nicht existiert haben.
  • Sowohl für Privatpersonen als auch für Unternehmen – bei diesen über alle Branchen hinweg – hat die Bedrohung durch Cyberrisiken (Hacker, Viren, Trojaner etc.) in den letzten Jahren stetig zugenommen5. Ein ganzer Zweig der Kriminalität hat sich darauf spezialisiert, Sorglosigkeit und Unvermögen in Bezug auf neue Technologien auszunutzen.
  • Während in der Vergangenheit die Finanzbranche als eine der ersten Branchen IT-Systeme in großem Maße eingesetzt hat, findet man heutzutage Schlagzeilen wie »Beim Thema Digitalisierung haben die Banken zehn Jahre verschlafen«6. Die Gründe hierfür liegen u. a. in notwendigen Sparmaßnahmen aufgrund fehlender Ertragskraft, sowie in mangelnder Innovationsfreude aufgrund überbürokratisierter Bankorganisationen. Dies führte in vielen Fällen zu veralteten und schwerfälligen IT-Infrastrukturen.
Ein weiterer Grund für die Sorge der Aufsicht ist, dass sie in ihrer Aufsichtstätigkeit offenbar den Eindruck gewonnen hat, dass die Banken dem Thema IT-Risiko bisher nicht die notwendige Aufmerksamkeit schenken7. Auch wenn nur wenige spektakuläre Verlustfälle bei Banken durch IT-Risiken bekannt geworden sind, ist davon auszugehen, dass die Dunkelziffer entsprechend hoch ist.
Einen Einblick in die Thematik lieferte die Finanzaufsicht auf ihrer Konferenz zum Thema »IT-Aufsicht bei Banken«8 am 27. September 2018: Auf dieser Veranstaltung wurde bekannt gegeben, dass seit 2017 insgesamt 420 Sicherheitsvorfallmeldungen – davon ein Drittel mittelschwere und schwere Vorfälle – bei der BaFin eingegangen sind, dass aber nur wenige auf »echte« Cyberangriffe zurückzuführen waren. Die meisten seien auf Defizite bei der »Cyberhygiene«9 zurückzuführen seien. Die BaFin führte weiter aus, dass bei allen europäischen Banken folgende Schwachstellen in Bezug auf IT gehäuft auftraten10:
  • »unzureichende »Cyber-Hygiene«,
  • unzureichende Überwachung von dritten Dienstleistern bzw. der gesamten Lieferkette,
  • unzureichendes Testen von Prozessen, Technologien, aber auch Personen,
  • unzureichende Investitionen in die Fähigkeiten, Cyber-Angriffe zu entdecken und Bedrohungen zu identifizieren,
  • unzureichende strategische Planung und strategische Steuerung im Bereich Cyber, yy Gegenwart von »End-of-Life-Systemen«,
  • technikzentrierter Fokus, Faktor Mensch wird vernachlässigt«.
Vor diesem Hintergrund ist insgesamt nachvollziehbar, dass die Finanzaufsicht auf nationaler sowie internationaler Ebene beim Thema IT-Risiko tätig geworden ist. Wie im nächsten Kapitel detailliert aufgezeigt wird, haben diverse Organisationen, Behörden und Gremien in den letzten zwei bis drei Jahren zu unterschiedlichen Aspekten des Themas IT-Risiko Hinweise, Regelungen, Verordnungen etc. veröffentlicht. Vergleicht man diese Werke, dann fällt – wie auch bei anderen Regulierungsthemen – auf, dass diese teilweise überlappende Anforderungen enthalten, teilweise aber auch andere Schwerpunkte setzen. Es ist daher extrem aufwändig, sich einen vollständigen Überblick über die jeweils aktuelle bzw. anstehende Regelungslage zu verschaffen.
Um die Problematik der IT-Risiken in Gänze zu erfassen, reicht es allerdings nicht aus, sich lediglich auf das Cyberrisiko im engeren Sinne, d. h. das Risiko eines vorsätzlichen und zielgerichteten Angriffs auf IT-Systeme und Daten zu beschränken. Auch durch veraltete technische Systeme, ein fehlendes Internes Kontrollsystem oder unzureichende organisatorische Regelungen im IT-Bereich können Verluste entstehen, die ein Institut in existenzielle Nöte bringen können. Bei den Regulierungsvorhaben auf diesem Gebiet wurde daher in der Regel versucht, die IT-Risiken in einer Top-Down-Vorgehensweise in den unternehmensweiten Risikomanagementprozess einzugliedern.
Wie im Folgenden zu sehen sein wird, ist dies auf der einen Seite relativ komplex, da im Vergleich zu Marktpreis- oder Kreditrisiken sowohl die genaue Abgrenzung des Risikos als auch die Metrik bei der Bemessung viel weniger klar ist. Auf der anderen Seite konnte die Finanzaufsicht bei der Erarbeitung der Regelungen bereits auf viele formulierte Standards aus der IT-Welt zurückgreifen: Die in Kapitel 3.1 noch ausführlich dargestellten ISO-2700X Normen, das COBIT- und das ITIL-Rahmenwerk beschreiben im Detail, wie man mit IT-Risken umgehen kann und sollte. Inhaltlich ist damit eigentlich fixiert, wie IT-Risiken reduziert werden können, wenn man bereit ist, die entsprechenden Kosten und Ressourcen für Schutz- und Kontrollmaßnahmen zu tragen.
In Analogie zu anderen Risikoarten, bei denen die Regulatorik im Rahmen ihrer institutsindividuellen Überwachung (sog. Säule 2 der Baseler Eigenmittelakkords) Methodenfreiheit zugesteht, wird auch bei den IT-Risiken letztlich nicht versucht, auf granularer Ebene alles im Einzelnen festzulegen, sondern sich an übergeordneten Prinzipien zu orientieren. Der Nachteil von Prinzipien ist aber, dass diese einen diskretionären Interpretationsspielraum bieten, so dass die regulierten Institute nicht im Detail wissen, was nun genau zu tun ist. Dies ist der Preis für die notwendige Flexibilität, die der prinzipienorientierten Regulierung immanent ist. Ohne diese Flexibilität wäre es allerdings kaum denkbar, einen prozessorientierten Regulierungsrahmen festzusetzen, der sowohl für international agierende Großbanken wie auch für lokal agierende Verbundinstitute anwendbar ist.
Die besondere Herausforderung liegt vor diesem Hintergrund darin, dass im Bereich IT die Vorgaben besonders vielschichtig sind. So müssen allein zur Interpretation der Bankaufsichtlichen Anforderungen an die IT (BAIT) der BaFin auch die Auslegungen zu den Mindestanforderungen an das Risikomanagement (MaRisk) sowie die Fortentwicklung des Kreditwesengesetzes (KWG) zwangsläufig herangezogen werden. Dazu kommen über die Akteure EBA, EZB-Bankenaufsicht und Baseler Ausschuss hinaus noch Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und weiterer Standardsetzer im Bereich IT-Sicherheit auf europäischer und internationaler Ebene hinzu.
Das vorliegende Buch nimmt eine Bestandsaufnahme des aktuell gültigen Regelungsrahmens für IT-Risiken vor. Folgende Leitfragen haben uns dabei geholfen die entsprechenden thematischen Schwerpunkte zu setzen:
  • Welche Regelungen gelten derzeit für die Institute in Deutschland? Wie hängen diese zusammen, was ist verpflichtend umzusetzen und was sind nur Hinweise?
  • Wie lassen sich einzelne prinzipienorientierte Anforderungen so umsetzen, dass die Aufsicht voraussichtlich zufrieden sein wird? Welche Abhängigkeiten sind dabei zu beachten und was ist letztlich die Intention hinter einzelnen Normen?
Das Buch ist somit ein Kompromiss zwischen einem klassischen Gesetzes-Kommentar zu den BAIT und einem Praktiker-Handbuch zur IT-Sicherheit in Banken. Um die gültigen Vorschriften und Regelungen würdigen zu können, werden diese in den Kontext ihrer Entstehung und ihrer Vorgeschichte eingebettet. Wo immer möglich und sinnvoll werden Parallelen aber auch Unterschiede zwischen den unterschiedlichen Werken aufgezeigt, um ein möglichst vollständiges Bild zu zeichnen.
Die allgemeine Gewissheit »Regulierung wird niemals enden«11 gilt in hohem Maße für das noch neue Feld der IT-Risiken. In diesem Buch werden deshalb auch absehbare Entwicklungen und weitere Regulierungsvorhaben vorgestellt. Diese bilden letztlich den regulatorischen Rahmen für die digitale Transformation, in der sich die gesamte Finanzbranche derzeit befindet und sicherlich auch noch eine längere Zeit befinden wird.
Die Autoren danken Christine Mährle, Dr. Jens Gampe, Rainer Englisch und Frank Beekmann sowie den Teilnehmern des OpRisk-Quantworkshop am 24.01.2019 im Hause der Deutschen Bundesbank für die anregenden Diskussionen über die Themen dieses Buches und wichtige Hinweise. Darüber hinaus möchten wir der VÖB-Service GmbH und hierbei vor allem Olaf Zißner für die Verwendung des regulatorischen Informationsdienstes RADAR danken.
Gerhard Hellstern dankt darüber hinaus seiner Frau Manuela sowie den Kindern Julius-Maximilian und Ann-Kathrin für ihre Unterstützung.
Gerhard Hellstern Stuttgart
Patrik Buchmüller Bonn-Kessenich
20.5.2019
1 Vgl. Ingves, Stefan (2018)
2 Vgl. Dombret, Andreas (2015)
3 Vgl. http://www.spiegel.de/netzwelt/netzpolitik/bafin-chef-felix-hufeld-banken-tun-zu-wenig-gegen-cyberangriffe-a-1239464.html, abgerufen am 15.3.2019.
4 Vgl. Moormann/Schmidt (2007)
5 Vgl. BSI (2018)
6 Vgl. https://www.stern.de/wirtschaft/news/commerzbank-vor-dax-aus---bei-der-digitalisierung-haben-diebanken-zehn-jahre-verschlafen--8214870.html, abgerufen am 15.3.2019.
7 Vgl. https://www.wiwo.de/unternehmen/banken/bafin-banken-haben-bei-it-sicherheit-nachholbedarf/23121612.html, abgerufen am 15.3.2019.
8 Vgl. https://www.bafin.de/SharedDocs/Veranstaltungen/DE/180927_it_aufsicht.html, abgerufen am 15.3.2019. Unter diesem Link finden sich auch die Redetexte bzw. Präsentationen der Veranstaltung.
9 Es wird nicht näher ausgeführt was die BaFin unter »Cyberhygiene« genau versteht. Zu vermuten ist, dass sie sich hier an der European Union Agency for Network and Information Security (ENISA) orientiert, https://www.enisa.europa.eu/publications/cyber-hygiene, abgerufen am 15.3.2019.
10 Vgl. Präsentation Obermeier (2018), »Arbeitsschwerpunkte 2018 der Gruppe IT-Aufsicht« auf o. g. BaFin-Konferenz am 27.9.2018
11 Vgl. http://www.spiegel.de/wirtschaft/soziales/bafin-warnt-10-jahre-nach-beginn-der-finanzkrise-vorderegulierung-a-1238077.html, abgerufen am 15.3.2019.

Inhaltsverzeichnis

  1. Inhaltsverzeichnis
  2. Hinweis zum Urheberrecht
  3. Impressum
  4. 1 Vorwort und Einführung
  5. 2 Rechtsgrundlagen für Vorgaben zur Bank-IT
  6. 3 Bankaufsichtliche Anforderungen an die IT (BAIT)
  7. 4 Orientierungshilfe zu Auslagerungen an Cloud-Anbieter
  8. 5 Anstehende Erweiterungen der Vorgaben und angrenzende Regelungen
  9. 6 Zusammenfassung und Ausblick
  10. Literatur
  11. Stichwortverzeichnis
  12. Autoren