Informationssicherheit in der Finanzbranche

Für Banken, Versicherungen und Finanzdienstleister bringt die voranschreitende Digitalisierung der Geschäfts- und IT-Prozesse neben den allgegenwärtigen und weiter zunehmenden Informationssicherheitsrisiken auch Risiken strategischer Natur für die Banken und ihre IT-Dienstleister mit sich.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat daher ihre bislang eher allgemein gehaltenen Bankaufsichtlichen Anforderungen an die IT (BAIT) und die Anforderungen der Versicherungswirtschaft an die IT (VAIT) konkretisiert.

Die BAIT geben auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement – vor. Die Anforderungen des § 25b KWG (Auslagerung von Aktivitäten und Prozessen) werden damit weiter präzisiert. Dazu gehören zum Beispiel die IT-Strategie und die IT-Governance, die Informationssicherheit, das Berechtigungsmanagement und die Anwendungsentwicklung sowie der Bezug von IT-Dienstleistungen von Dritten im Sinne von IT-Auslagerungen beziehungsweise der Fremdbezug von IT-Dienstleistungen.

Die Institute und ihre IT-Dienstleister müssen gemäß Mindestanforderungen an das Risikomanagement, kurz MaRisk, bei der Umsetzung der BAIT-Anforderungen auf gängige Standards abstellen um diese wirksam zu implementieren.

Stellen Sie Ihr Unternehmen IT-sicher auf! Gern begleiten wir Sie dabei von der Sicherheitsanalyse bis hin zur zielführenden und effektiven Umsetzung aller erforderlichen Maßnahmen.

Welche Anforderungen ergeben sich aus dem IT-Sicherheitsgesetz?

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSiG) definiert für Organisationen aus dem Bereich der Kritischen Infrastrukturen (KRITIS) Anforderungen an die Informationssicherheit. Das ITSiG verpflichtet Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber) zur Einhaltung eines definierten Mindestmaßes an IT-Sicherheit. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen und nachzuweisen. Zudem muss der geforderten Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgekommen werden.

Zudem haben KRITIS-Betreiber mindestens alle zwei Jahre nachzuweisen, dass sie angemessene organisatorische und technische Vorkehrungen getroffen haben, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden, die für die Funktionsfähigkeit der Kritischen Infrastrukturen maßgeblich sind. Die entsprechenden Auditanforderungen definiert grundsätzlich das BSI – für den Finanzsektor jedoch in Abstimmung mit der BaFin.

Welche Anforderungen ergeben sich aus den MaRisk?

Die MaRisk – Mindestanforderungen an das Risikomanagement – geben auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikomanagements der Institute vor. Ein angemessenes und wirksames Risikomanagement umfasst unter Berücksichtigung der Risikotragfähigkeit insbesondere die Festlegung von Strategien sowie die Einrichtung interner Kontrollverfahren.

Die MaRisk beinhalten auch Vorgaben zur Informationssicherheit. So wird in AT 7.2 Technisch-organisatorische Ausstattung klar definiert, dass die IT-Systeme und IT-Prozesse die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen müssen. Dabei wird zur Umsetzung auf gängige Standards verwiesen. Ebenso wird im weiteren Verlauf der MaRisk auf die operationellen Risiken eingegangen. Nach BTR 4 Ziffer 1 hat das Institut angemessene Maßnahmen für diese Risiken zu treffen.

Die offizielle Konsultation zur 6. MaRisk-Novelle wird abermals Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) in nationales Recht überführen. Nachdem die Anforderungen an Auslagerungen schon im Zuge der 5. MaRisk Novelle konkretisiert und verschärft worden sind, werden diese nun auf Basis der überarbeiteten EBA-Leitlinien (EBA/GL/2019/02) nochmals erweitert. Im Modul AT 9 werden unter anderem zusätzliche Anforderungen an Risikoanalysen und Auslagerungsverträge aufgenommen. Ziel der verschärften Regelungen bei Auslagerungen es, eine sorgfältige Bewertung und Steuerung der mit der Einbindung von externen Dienstleistern entstehenden Risiken sicherzustellen.

So unterstützen wir Sie:

Risikoanalyse und ISMS-Einführung

Als Experten für Informationssicherheit führen wir für Sie Sicherheitsanalysen durch und unterstützen Sie bei der Einführung und beim Betrieb eines Informationssicherheits-Managementsystems (ISMS). Wir begleiten Sie in allen Phasen des ISMS-Prozesses – von der Definition des Geltungsbereiches über die Etablierung einer angemessenen Organisationsstruktur und der Durchführung einer Risikoanalyse bis hin zur Umsetzung der Maßnahmen.

Gerne unterstützen wir Sie auch bei der Schulung von Mitarbeitenden oder führen für Sie interne Audits durch.

Auditierung und Zertifizierung für Finanzdienstleister

Nachdem Ihr Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 eingeführt ist, kann dies durch eine unabhängige Stelle überprüft und anschließend zertifiziert werden. Die Auditierung und Zertifizierung erfolgen vollkommen unabhängig von der vorhergehenden Beratungsdienstleistung.


Ihr Ansprechpartner

Vereinbaren Sie einen Beratungstermin. Wir freuen uns auf Ihre Anfrage!

Thomas Wennemann

Thomas Wennemann

Leiter Informationssicherheit | Beratung

E-Mail: twennemann@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-346

Kennen Sie schon unseren Blog?

Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests: