Aktuelle Schwer­punkt­themen: Opera­tional Resilience und Cybersicherheit

Angriffe auf das Finanz­system können schwer­wie­gende Folgen haben – nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit. Auch Experten der Bundesbank, Sicher­heits­ex­perten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Wider­stands­fä­higkeit gegen ebensolche als größte Gefahr, die sich aus der zuneh­menden Digita­li­sierung im Finanz­sektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetz­liche und regula­to­rische Rahmen­be­din­gungen geschaffen, um im gesamten Finanz­sektor europaweit einheit­liche Standrads zu schaffen und die „Opera­tional Resilience“ zu erhöhen.

Sowohl für die EZB als auch für die BaFin stand das Jahr 2020  unter dem Schwer­punkt „Opera­tional Resilience“ und „Cyber­si­cherheit“. Zudem wurde auf europäi­scher Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröf­fent­lichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Opera­tional Resilience Act) ihre Anfor­de­rungen an Betriebs­sta­bi­lität und Cybersicherheit.

Für die Verant­wort­lichen stellt sich die Frage, wie diese verschie­denen Aktivi­täten zusam­men­spielen und – noch viel relevanter – wie effizient diese zur Zieler­rei­chung beitragen.

Novel­lierung MaRisk und BAIT – Operative IT-Sicherheit

Auf natio­naler Ebene veröf­fent­lichte die BaFin im Oktober letzten Jahres mit der  Novel­lierung von MaRisk und BAIT ihre Ansätze zur Adres­sierung von opera­tiven IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erwei­terung der BAIT-Anfor­de­rungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formu­lierten konkreten Anfor­de­rungen stellen kleinere und mittlere Institute wahrscheinlich vor große Heraus­for­de­rungen, da sie auf den Betrieb eines Security Infor­mation and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC) sowie regel­mäßige interne Abwei­chungs­ana­lysen, Schwach­stel­len­scans, Penetra­ti­ons­tests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer profes­sio­nellen Cyber-Security-Abteilung sowie unabhän­giger interner Infor­ma­ti­ons­si­cher­heits­struk­turen. Dies wird die betrof­fenen Institute schon allein aufgrund des erfor­der­lichen Know-hows und der begrenzten Ressourcen auf dem Arbeits­markt vor große Heraus­for­de­rungen stellen. Als weiterer Schwer­punkt wird das Notfall­ma­nagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.

Das TIBER-Programm von EZB und Bundesbank

Bereits im Jahr 2018 haben die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetra­ti­ons­tests, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetra­ti­ons­tests angestrebt. Die deutliche Zurück­haltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwän­digen Projekt­umfang, die nicht unwesent­lichen Risiken und zuletzt auch durch die „Freiwil­ligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte ander­weitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.

Digital Opera­tional Resilience Act (DORA) der EU

Die Veröf­fent­li­chung des Digital Finance Package enthält mit dem EU regulatory framework on digital opera­tional resilience  einen umfas­senden Legis­la­tiv­vor­schlag zur europa­weiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebs­sta­bi­lität, die aller­dings dem grenz­über­schrei­tenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmen­tierung auch die Gefahr der Inkon­sis­tenzen und ist zudem mit zusätz­lichen hohen Aufwänden für europaweit agierende Institute verbunden.

Hier ist es also sehr wünschenswert, mit DORA einheit­liche Regelungen, insbe­sondere zum Risiko­ma­nagement, Testen, Ausla­gerung Notfall- und Incident-Management, anzustreben. Neben der Verbes­serung und Optimierung der Wider­stands­fä­higkeit der einge­setzten IT-Systemen wird hier sicherlich auch ein signi­fikant vermin­derter Verwal­tungs­aufwand auf Seiten der Institute zu beobachten sein.

Gemeinsam die Cyber-Wider­stands­fä­higkeit erhöhen

Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswir­kungen auf gesetz­licher und regula­to­ri­scher Ebene aus. Gemeinsam analy­sieren wir Ihren Handlungs­bedarf und unter­stützen Sie bei der Umsetzung. Wir bewerten die Novel­lierung MaRisk und BAIT für Ihr Institut, unter­stützen bei der Vorbe­reitung, Durch­führung und Analyse von TIBER-Tests und analy­sieren die geplanten Anfor­de­rungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten zurückgreifen.

Am 12. Januar 2021 endete die öffent­liche Befragung der Europäi­schen Zentralbank (EZB) zum Digitalen Euro. Basie­rende auf einge­gangen Stellung­nahmen wird im Sommer 2021 eine grund­sätz­liche Weichen­stellung zur Weiter­führung dieses Großpro­jektes erwartet. In diesem Zusam­menhang werden auch die Entwick­lungen der privat­wirt­schaft­lichen Krypto­wäh­rungen Bitcoin und Diem (früher Libra) betrachtet. Aber auch die Aktivi­täten anderer Zentral­banken, z. B. in Schweden mit dem „E‑Krona“ sowie in China, werden hier sicherlich Einfluss nehmen.

Stellung­nahme der Deutschen Kreditwirtschaft

Die Deutsche Kredit­wirt­schaft hat in ihrer Stellung­nahme zum Digitalen Euro die Aktivi­täten der EZB begrüßt und Unter­stützung bei der Ausge­staltung und Projek­tierung zugesagt.

„Für die Deutsche Kredit­wirt­schaft (DK) hat die Einführung eines digitalen Euro durch das Eurosystem je nach Ausge­staltung das Potential, die Wettbe­werbs­fä­higkeit Europas zu stärken. Sie birgt aber auch die Gefahr, die Geometrie des europäi­schen Banken­systems grund­legend zu verändern. Die Banken in Deutschland und Europa haben eine zentrale Rolle im Wirtschafts­kreislauf und leisten einen unver­zicht­baren Beitrag bei der effizi­enten Versorgung von Unter­nehmen und Verbrau­chern mit Finanz­mitteln. Schon deswegen ist es wichtig, die Kredit­wirt­schaft frühzeitig in die Überle­gungen einer digitalen Währung einzubinden“

Karl-Peter Schackmann-Fallis, Geschäfts­füh­rendes Vorstands­mit­glied des Deutschen Sparkassen- und Girover­bandes (DSGV)

Überwiegend positiver Tenor

Der Tenor der Stellung­nahme der DK ist überwiegend positiv. Der Digitale Euro wird als zukunfts­wei­sendes Zahlungs­mittel in einer digitalen Wirtschaft bewertet, dass die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Angestrebt werden sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen, damit der Zugang zum digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann. Es besteht Einigkeit dahin­gehend, dass die Digita­li­sierung den Zahlungs­verkehr verändert und zur Gewähr­leistung der Finanz­sta­bi­lität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erfor­derlich ist. Zur Umsetzung der angestrebten Aktivi­täten sind hohe Inves­ti­tionen sowohl für die Institute als auch für die Wirtschaft unumgänglich. Aber die Nutzung moderner Tokeni­sie­rungs­lö­sungen, z. B. durch Distri­buted-Ledger-Techno­logie (DLT), ermög­licht die Umsetzung innova­tiver Zahlungs­ver­kehrs­lö­sungen. Denkbar sind in diesem Zusam­menhang die Nutzung von Smart Contracts und Micro­pay­ments, Angebot wie „Block­chain as a Service“, „Smart Contracts as a Service“ oder Payment­an­gebote im Internet-of-Things (IoT).

Klärungs­bedarf

Kritisch wird gesehen, dass das bewährte zweistufige Banken­system mit Zentralbank und Geschäfts­banken in Frage gestellt werden könnte. Diese Konstel­lation ist aus Sicht der DK essen­tiell wichtig für die Geldmarkt­sta­bi­lität, die Versorgung der Unter­nehmen und Privat­per­sonen mit Krediten sowie die Akzeptanz und das Vertrauen in die heraus­ge­ge­benen Zahlungs­mittel. Das etablierte Banken­system wird als entschei­dender Baustein für ein konti­nu­ier­liches Wirtschafts­wachstum angesehen.

Offen ist zudem die Frage, in wieweit ein Digitaler Euro als Krypto-Asset im Sinn der MiCA (Proposal for a regulation on Markets in Crypto-assets) anzusehen ist und welche Impli­ka­tionen sich daraus ergeben könnten. Zu diesem Verord­nungs­vor­schlag der EZB gibt es ebenfalls eine Stellung­nahme der DK.
Weiterer Klärungs­bedarf besteht bzgl. einiger Regulie­rungs­fragen. Hier schlägt die DK eine Orien­tierung an den bestehenden Standards vor. Alle Betei­ligten sollten mindestens die Anfor­de­rungen aus

• CRR (Capital Requi­re­ments Regulation),
• PSD2 (Payment Service Directive),
• AML5 (Geldwä­sche­richt­linie) und
• EMD2 (E‑Money Directive) erfüllen sowie über eine Vollbank­lizenz verfügen.

Offen bleibt auch, ob für die digitale Währung gleich­falls die Umsetzung von bestehenden IT-Standards der EBA gelten wird.

Aus Sicht der DK sind die Rechts­si­cherheit, einheit­liche Vorgaben für ein token­ba­siertes Giralgeld und ein angemes­sener Regulie­rungs­standard die Grund­vor­aus­set­zungen für die Akzeptanz und das Vertrauen der Verbraucher in den Digitalen Euro.

Handlungs­op­tionen für Zahlungsinstitute

Die Diskussion zum digitalen Euro muss im Zusam­menhang mit der generellen Bedeu­tungs­zu­nahme von Krypto­wäh­rungen gesehen werden. Längst haben viele Unter­nehmen erkannt, dass die Distri­buted Ledger-Techno­logie dabei helfen kann, komplexe Liefer­be­zie­hungen effizient zu digita­li­sieren. Es ist daher eine logische Folge, dass auch wachsendes Interesse daran besteht, diese neue Techno­logie auch zur Abwicklung von Zahlungen zu nutzen. Dabei werden in Zukunft sicher nicht nur Zentralbank-emittierte Krypto­wäh­rungen genutzt werden. Für Zahlungs­in­stitute ergibt sich mit dem generell wachsenden Interesse an Krypto­wäh­rungen mehr und mehr der Bedarf, den eigenen Kunden die Verwahrung und den Handel mit Krypto­wäh­rungen anzubieten. Darüber hinaus können sich mögli­cher­weise auch Chancen für Institute ergeben, die ihren Firmen­kunden selbst emittierte Krypto­wäh­rungen anbieten, um diese bei der Digita­li­sierung ihrer Geschäfts­pro­zesse zu unterstützen.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.