ISB

Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 21. bis 24. November 2023

Für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erfor­derlich. Kredit­in­stitute haben gemäß KWG und MaRisk dafür zu sorgen, dass ihre IT-Systeme und ‑Prozesse die Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten sicherstellen.

Mit den „Bankauf­sicht­lichen Anfor­de­rungen an die IT“, die zum 16. August 2021 novel­liert wurden, hat die BaFin ihre Anfor­de­rungen an die Funktion des Infor­ma­ti­ons­si­cher­heits­be­auf­tragten konkre­ti­siert: Diese steuern den Infor­ma­ti­ons­si­cher­heits­prozess, unter­stützen die Geschäfts­leitung bei der Festlegung der Infor­ma­ti­ons­si­cher­heits­leit­linie und erstellen Infor­ma­ti­ons­si­cher­heits­richt­linien. Darüber hinaus sind sie Ansprech­partner für alle Fragen der Infor­ma­ti­ons­si­cherheit – intern und für Dritte.

Nach der großen Resonanz und dem erfolg­reichen Abschluss von nunmehr elf Zerti­fi­kats­lehr­gängen seit 2017 freuen wir uns, Ihnen einen neuen Termin anbieten zu können:

Der viertägige Zertifikatslehrgang

Informationssicherheitsbeauftragte/r (ISB) für Kreditinstitute
vom 21. bis 24. November 2023 in Köln

unter­stützt Sie als (künftige) Informations­sicherheitsbeauftragte oder Stell­ver­treter bei der Erfüllung Ihrer Aufgaben. Sie erhalten einen umfas­senden Einblick in die Aufgaben und Kompe­tenzen des Informations­­sicherheitsbeauftragten, das Thema Informations­sicherheitsmanagement und die diesbe­züg­lichen Risiken sowie alle relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Weitere Schwer­punkte sind die Themen Incident- und Notfall­ma­nagement sowie die Standards ISO 27001 und BSI IT-Grund­schutz. Exkurse aus der Bankpraxis runden die Veran­staltung ab.

Es referieren:
Dr. Anna-Lisa Kofahl
| SRC Security Research & Consulting GmbH
Heinrich Lottmann | TARGOBANK AG
Alexandros Manakos | Apollon Security GmbH
Dagmar Schoppe | SRC Security Research & Consulting GmbH

Als Teilnehmer des Lehrgangs haben Sie die Möglichkeit, das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“ zu erwerben. Voraus­setzung ist die Teilnahme an allen Modulen sowie das Bestehen der webba­sierten Abschluss­prüfung (Multiple Choice) am 27. November. Es fallen keine zusätz­lichen Prüfungs­ge­bühren an.

Profi­tieren Sie bei einer Anmeldung bis spätestens 24. September 2023 von unserem Frühbu­cher­rabatt!

Der Lehrgang setzt Grund­la­gen­wissen zum Thema IT und IT-Sicher­heits­maß­nahmen voraus, welches jedoch im Vorfeld in einem eintä­gigen Seminar erworben werden kann:

Optional: Inten­siv­se­minar „Basis­wissen IT-Grund­lagen und ‑Sicher­heits­maß­nahmen für Nicht-Infor­ma­tiker“ am 20. November 2023

Es referieren:
Florian Schumann | SRC Security Research & Consulting GmbH
Vincent Becker | SRC Security Research & Consulting GmbH

Vermittelt werden hier IT-Begriffe und ‑Grund­lagen; vorge­stellt werden außerdem die grund­le­genden IT-Sicher­heits­maß­nahmen in Netzen / im Rechen­zentrum. Ein weiteres Modul widmet sich speziell den Themen Verschlüs­selung, Signatur, Authen­ti­kation und Integri­täts­si­cherung. Sie bekommen außerdem einen Überblick über neue Techno­logien und Trends (z. B. Big Data, Cloud, Künst­liche Intelligenz).

Feedbacks bishe­riger TeilnehmerInnen:

„Das Seminar war sehr gut! Es hat mir Spaß gemacht und sehr gefallen.“

„Danke für die Organi­sation und die indivi­duelle Ausge­staltung des Lehrgangs – eine profes­sio­nelle Durch­führung und gleich­zeitig viel Austausch und Eingehen auf indivi­duelle Anfor­de­rungen ist in virtu­ellen Zeiten eine große Herausforderung.“

„Sehr angenehmer Mix aus Theorie, Regula­torik und Praxis“

„Vielen Dank, sehr gut geleitete und begleitete Schulung“

Ihre Fragen zum Lehrgang und zum IT-Grund­lagen-Seminar beant­wortet gern Frau Andrea van Kessel (Tel. 0221/5490–161)

Wir freuen uns auf Ihre Teilnahme!

eWpG

Das elektro­nische Wertpapier: Ein zukunfts­wei­sender Schritt in Richtung digitaler Kapitalanlagen

Bislang konnten Wertpa­piere ausschließlich als physische Urkunde erworben werden. Seit Anfang Juni 2021 bietet sich nun mit Inkraft­treten des Gesetzes zur Einführung von elektro­ni­schen Wertpa­pieren (eWpG) eine papierlose, digitale Alter­native für Anleger und Emittenten.

Das Gesetz zur Einführung von elektro­ni­schen Wertpa­pieren (eWpG)

Das kürzlich in Kraft getretene Gesetz zur Einführung elektro­ni­scher Wertpa­piere (eWpG) soll insbe­sondere das deutsche Recht für elektro­nische Wertpa­piere öffnen. Anleger und Emittenten können nun frei zwischen der klassi­schen Papier­ur­kunde oder der digita­li­sierten Form wählen. Das Gesetz sieht darüber hinaus ein zentrales elektro­ni­sches Wertpa­pier­re­gister für die Eintragung der digita­li­sierten Wertpa­piere vor. Das derzeit stark in den Vorder­grund tretende Krypto­ver­wahr­ge­schäft blieb im eWpG keineswegs unberück­sichtigt. Dieses sieht die gesetz­liche Einführung von Kryptowert­pa­pieren, etwa z.B. auf Block­chain- oder allgemein auf DLT-Basis, ausdrücklich vor. Dafür wird ein eigenes Kryptowert­pa­pier­re­gister geschaffen, dessen Führung nun als weitere Finanz­dienst­leistung unter Aufsicht der BaFin im Sinne des Kredit­we­sen­ge­setzes (KWG) reguliert ist. Zur Schaffung von Rechts­si­cherheit soll das eWpG durch eine „Verordnung über Anfor­de­rungen an elektro­nische Wertpa­pier­re­gister (eWpRV)“ konkre­ti­siert werden. Ein Referen­ten­entwurf der eWpRV des Bundes­mi­nis­te­riums der Finanzen und des Bundes­mi­nis­te­riums der Justiz und für Verbrau­cher­schutz liegt bereits vor.

Neue Chancen durch das Zusam­men­spiel innova­tiver Technologien

Krypto­wäh­rungen und insbe­sondere Krypto­ver­wahr­ge­schäfte gehören nach wie vor zu den brand­heißen Digita­li­sie­rungs­themen. Durch das Gesetz zur Umsetzung der Änderungs­richt­linie zur vierten EU-Geldwä­sche­richt­linie wurde das Krypto­ver­wahr­ge­schäft Anfang 2020 als neue Finanz­dienst­leistung in das KWG aufge­nommen. Damit wurden neue Markt­chancen im Bereich der Dienst­leis­tungen rund um Krypto­wäh­rungen für Banken und Finanz­dienst­leister geschaffen. Die Emission von elektro­ni­schen Wertpa­pieren kann durch das neue eWpG auch durch Nutzung der Block­chain- oder DLT-Techno­logie erfolgen (Kryptowert­pa­piere). Damit verbunden sind neue (Finanz-)Dienstleistungen, für die einschlägige Fintechs schon bereit­stehen. Aller­dings bieten DLT-Anwen­dungen insbe­sondere IT-Dienst­leistern im Banken­umfeld neue Chancen, zukunfts­wei­sende Geschäfts­felder zu erschließen. Des Weiteren fiel im Sommer 2021 auch endgültig der Start­schuss für den Digitalen Euro, dessen Einführung als Ergänzung zu etablierten Zahlver­fahren dienen soll. Der Trend in Richtung einer weiteren Digita­li­sierung der Finanz­wirt­schaft wird durch die Einführung elektro­ni­scher Wertpa­piere nun fortgesetzt.

Darüber hinaus hat die EU-Kommission kürzlich ein digitales Finanz­paket auf den Weg gebracht, zu dessen Inhalt unter anderem ein eigener Regulie­rungs­vor­schlag für Krypto-Assets oder auch ein Pilot-Projekt für DLT-basierte Wertpa­piere gehört.

Markt­chancen erschließen und Heraus­for­de­rungen gemeinsam meistern

Nicht nur Anleger sollten sich schon jetzt intensiv mit dieser neuen Thematik befassen. Insbe­sondere bietet sich Banken und Finanz­dienst­leister nun erneut die Chance, dieses zukunfts­trächtige Markt­segment zu besetzen. Diese neuen Chancen führen jedoch auch zu neuen Heraus­for­de­rungen. Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der elektro­ni­schen Wertpa­piere, Krypto­wäh­rungen und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihrer Dienst­leis­tungen. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzu­bringen und die neuen Heraus­for­de­rungen gemeinsam zu meistern.

DLT für IT-Dienstleiter im Bankenumfeld

SRC-Experte Botermann | DLT für IT-Dienst­leiter im Bankenumfeld

Kryptowerte auf der Basis von Block­chains bewegen viele Staaten, Unter­nehmen und die Welt der Banken und deren IT-Dienstleister.

Als Distri­buted Ledger Techno­logie (kurz: DLT) bezeichnet man die Technik der „verteilten Kassen­bücher“. Der wichtigste Unter­schied: Trans­ak­tionen werden dezentral legiti­miert und bei den Teilnehmern gespei­chert. Als disruptive Techno­logie macht DLT zahlreiche Vermitt­lungs- und Clearing­punkte überflüssig. Banken droht der Verlust ihrer Stellung als Anker für vertrau­ens­würdige Transaktionen.

Genau darin liegt aber auch die Perspektive für zukünftige Geschäfts­mo­delle, sind es doch gerade die Banken, die tradi­tionell über Expertise bei der sicheren Verwahrung vertrau­licher Infor­ma­tionen verfügen. Der entschei­dende technische Vertrau­ens­anker jeder Trans­aktion über DLT ist nämlich der private Schlüssel des Kunden. Die vertrau­ens­würdige Verwaltung dieses privaten Schlüssels kann sich als Perspektive für die Evolution der Geschäfts­mo­delle der Banken erweisen.

Zusam­men­ge­fasst: DLT Anwen­dungen bieten IT-Dienst­leistern im Banken­umfeld gute Chancen, die eigenen Geschäfts­mo­delle anzupassen und sich auch für die Zukunft zu positio­nieren. Als geeig­neter Einstiegs­punkt sind Dienst­leis­tungen im Rahmen des Krypto­ver­wahr­ge­schäfts zu sehen, die künftig erweitert und ergänzt werden können.

Wie können Geschäfts­mo­delle im Banken­umfeld an diese Entwick­lungen angepasst werden? Welche Chancen bietet das Krypto­ver­wahr­ge­schäft? Welche techni­schen und regula­to­ri­schen Voraus­set­zungen müssen erfüllt sein?

In den in der gi GELDINSTITUTE, auf cash.online und auf it-daily.net erschie­nenen Beiträgen DLT für IT-Dienst­leiter im Banken­umfeld, Krypto­ver­wahr­ge­schäft: Start­punkt für die Geschäfts­feld­erwei­terung und Krypto­ver­wahr­ge­schäft als Geschäfts­feld­erwei­terung für Banken gibt der SRC-Experte Dr. Benjamin Botermann Ein- und Überblick über Heraus­for­de­rungen, Chancen und Stolper­steine des Krypto­ver­wahr­ge­schäfts mit der Distri­buted Ledger Techno­logie (DLT).

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

Startschuss für den Digitalen Euro

Start­schuss für den Digitalen Euro

Nach langer und inten­siver Diskussion auf europäi­scher Ebene erfolgte am 14. Juli 2021 der Start­schuss für den Digitalen Euro.  Zunächst werden im Rahmen einer zweijäh­rigen Unter­su­chungs­phase Kernfragen zu den Auswir­kungen auf die Finanz­sta­bi­lität und die Geldpo­litik sowie zu recht­lichen Rahmen­be­dingung und einer möglichen techni­schen Umsetzung geklärt. Ziel der Einführung des Digitalen Euros ist nach wie vor, den „Bedürf­nissen der Menschen in Europa“ gerecht zu werden und als Ergänzung zu bereits etablierten Zahlver­fahren zu dienen.

Eine finale Entscheidung über die Ausge­staltung des Digitalen Euros wird dann nach der Unter­su­chungs­phase Mitte 2023 erwartet.

„Wir werden mit dem Europäi­schen Parlament und anderen europäi­schen Entschei­dungs­trägern in einen Dialog treten und sie regel­mäßig über unsere Ergeb­nisse infor­mieren. Privat­per­sonen, Händler und der Zahlungs­ver­kehrs­sektor werden ebenfalls einbe­zogen“, sagte Fabio Panetta (Mitglied des EZB-Direk­to­riums und Vorsit­zender der Taskforce zum Digitalen Euro)

Ergeb­nisse der prakti­schen Erprobung

Vorbe­rei­tende Grundlage für die richtungs­wei­sende Entscheidung waren die Ergeb­nisse einer prakti­schen Erpro­bungs­phase über neun Monate, die u. a. technische Aspekte der Distri­buted-Ledger-Techno­logie (kurz DLT), Daten­schutz, Geldwä­sche­be­kämpfung sowie die Nutzung vorhan­dener Systeme (z. B. TARGET Instant Payment Settlement – kurz: TIPS) unter­suchten. Auch energe­tische Aspekte möglicher Archi­tek­tur­kon­zepte wurden mit dem Ziel unter­sucht, den Energie­ver­brauch deutlich unter den derzei­tigen Anfor­de­rungen bekannter Krypto­wäh­rungen, z. B. Bitcoin, zu limitieren.

Daten­schutz steht im Fokus

Der Verbrau­cher­schutz sowie Daten­schutz­aspekte sind neben der techni­schen Umsetzung zentrale Aspekte der Diskussion um den Digitalen Euro. Das Digitale Zentral­bankgeld stellt für Verbraucher eine direkte Forderung gegen die Notenbank dar, die unter Umständen durch eine Obergrenze in der „Wallet“ limitiert werden kann. Die Konkurrenz des Digitalen Euros zum Bargeld wird in der Diskussion um die Anony­mität von Zahlungen deutlich. Klar scheint, dass es – auch im Hinblick auf die Geldwä­sche­be­kämpfung – keinen vollkommen anonymen Digitalen Euro geben wird.

Einschätzung der Deutschen Kreditwirtschaft

Die „Deutsche Kredit­wirt­schaft“ hebt in einer Stellung­nahme den Digitalen Euro vor allem in seiner Wahrung der monetären Souve­rä­nität der Eurozone hervor. Der Digitale Euro wird als zukunfts­wei­sendes Zahlungs­mittel in einer Digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Angestrebt werden sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen, damit der Zugang zum Digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann. Es besteht Einigkeit dahin­gehend, dass die Digita­li­sierung den Zahlungs­verkehr verändert und zur Gewähr­leistung der Finanz­sta­bi­lität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erfor­derlich ist. Zur Umsetzung der angestrebten Aktivi­täten sind hohe Inves­ti­tionen sowohl für die Institute als auch für die Wirtschaft unumgänglich.

Werden Krypto­wäh­rungen mehr als Spekulationsobjekte?

Etablierte Krypto­wäh­rungen wie Bitcoin und Co. gewinnen zwar als Speku­la­ti­ons­ob­jekte in den Vermö­gens­ver­wal­tungen an Bedeutung, doch sind sie derzeit im Zahlungs­verkehr eher bedeu­tungslos. Trotzdem hat die anhal­tende Diskussion über private Krypto­wäh­rungen, z. B. Diem aus dem Facebook-Universum, die Diskussion um den Digitalen Euro sicherlich vorangetrieben.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

Werkstudenten Kundenmanagement

CASH.DIGITALWEEK 2021 // Webinar: Krypto­wäh­rungen schaffen Markt­chancen für Banken und Finanzdienstleister

Im Rahmen eines Webinars auf der CASH-DIGITALWEEK 2021 erläutert unsere Expertin Dagmar Schoppe, wie Krypto­wäh­rungen neue Markt­chancen für Banken und Finanz­dienst­leister schaffen können. Termin für das Webinar ist Donnerstag, der 9. September 2021 um 11:00.

Banken und Finanz­dienst­leister verfügen tradi­tionell neben den techni­schen Kompe­tenzen zur Abwicklung vertrau­ens­wür­diger Geschäfts­trans­ak­tionen auch über die nötige Expertise zur Umsetzung der regula­to­ri­schen Anfor­de­rungen. Dies kann gut als Einstieg in den Markt der Dienst­leis­tungen rund um Krypto­wäh­rungen genutzt werden, denn gerade das rasch wachsende Interesse an Krypto­wäh­rungen eröffnet den Kredit­in­sti­tuten wachsende Chancen, auf diesem Markt aktiv zu werden und die Kunden auch hier zu bedienen.

Dazu ist es notwendig, dass die Institute ihre Sicht­barkeit in diesem neuen Markt­segment erhöhen. Nur so können sie dann auf Anfragen von Kunden, Händlern sowie Dienst­leistern reagieren. Firmen­kunden haben so z. B. auch die Möglichkeit selbst emittierte Krypto­wäh­rungen anzubieten bzw. unter Nutzung der Block­chain-Techno­logie die digitalen Geschäfts­pro­zesse der Kunden optimal zu unter­stützen. Unter Begleitung der Banken und Finanz­dienst­leister können Firmen­kunden die Digita­li­sierung ihrer Geschäfts­pro­zesse weiter vorantreiben.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung. Im Rahmen des Webinars „CASH.DIGITALWEEK 2021 // Webinar: Krypto­wäh­rungen schaffen Markt­chancen für Banken und Finanz­dienst­leister“ erläutert Dagmar Schoppe, Bereichs­lei­terin Banken Compliance bei SRC, mögliche Strategien und steht den Teilnehmern Rede und Antwort.

Wie Kryptowährungen neue Marktchancen für Banken und Finanzdienstleister schaffen

Wie Krypto­wäh­rungen neue Markt­chancen für Banken und Finanz­dienst­leister schaffen

„Die Bedeutung von Krypto­wäh­rungen nimmt immer schneller zu. Banken können ihre Expertise bei der Umsetzung von Regulie­rungs­fragen nutzen, um sich eine gute Ausgangs­po­sition auf dem Markt der Dienst­leis­tungen für Krypto­wäh­rungen wie beispiels­weise Schlüs­sel­ver­wahrung zu verschaffen. Durch ihre bereits bestehenden Kompe­tenzen im Umgang mit krypto­gra­phi­schen Verfahren, z. B. in der Autori­sierung, im Online-Banking oder bei der PIN-Absicherung, bringen Banken schon einen Großteil der techni­schen Voraus­set­zungen für den Einstieg in dieses Geschäftsfeld mit“. SRC-Expertin Dagmar Schoppe erläutert im gerade auf der Fach-Plattform „it-daily.net“ erschie­nenen Artikel die Chancen für Banken und Finanz­dienst­leister hinsichtlich der Entwicklung von Kryptowährungen.

Gibt es Abhän­gig­keiten zum Digitalen Euro?

Das zuneh­mende Interesse an Krypto­wäh­rungen ist – neben dem in den letzten Tagen zu beobach­tenden rasanten Anstieg des Euro Gegen­wertes zu einem Bitcoin – auch in Zusam­menhang mit der Diskussion über die Einführung eines Digitalen Euros zu sehen. Der Digitale Euro – so die Wahrnehmung in der Deutschen Kredit­wirt­schaft (DK) – wird als zukunfts­wei­sendes Zahlungs­mittel in einer digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Dabei sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen angestrebt werden, damit der Zugang zum digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann.

Neue Chancen bei der Digita­li­sierung der Geschäftsprozesse

Institute stehen vor der Heraus­for­derung, ihre Sicht­barkeit in diesem neuen Markt­segment zu erhöhen, um dann auf Anfragen von Kunden, Händlern sowie Dienst­leistern reagieren zu können. Mittel­fristig kann das generell wachsenden Interesse an Krypto­wäh­rungen auch Chancen für Institute ergeben, die z. B. ihren Firmen­kunden selbst emittierte Krypto­wäh­rungen anbieten, um diese bei der Digita­li­sierung ihrer Geschäfts­pro­zesse zu unterstützen.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

Weitere Literatur

Opera­tional Resilience – Anfor­de­rungen an die Cyber-Wider­stands­fä­higkeit von Instituten

Aktuelle Schwer­punkt­themen: Opera­tional Resilience und Cybersicherheit

Angriffe auf das Finanz­system können schwer­wie­gende Folgen haben – nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit. Auch Experten der Bundesbank, Sicher­heits­experten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Wider­stands­fä­higkeit gegen ebensolche als größte Gefahr, die sich aus der zuneh­menden Digita­li­sierung im Finanz­sektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetz­liche und regula­to­rische Rahmen­be­din­gungen geschaffen, um im gesamten Finanz­sektor europaweit einheit­liche Standrads zu schaffen und die „Opera­tional Resilience“ zu erhöhen.

Sowohl für die EZB als auch für die BaFin stand das Jahr 2020  unter dem Schwer­punkt „Opera­tional Resilience“ und „Cyber­si­cherheit“. Zudem wurde auf europäi­scher Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröf­fent­lichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Opera­tional Resilience Act) ihre Anfor­de­rungen an Betriebs­sta­bi­lität und Cybersicherheit.

Für die Verant­wort­lichen stellt sich die Frage, wie diese verschie­denen Aktivi­täten zusam­men­spielen und – noch viel relevanter – wie effizient diese zur Zieler­rei­chung beitragen.

Novel­lierung MaRisk und BAIT – Operative IT-Sicherheit

Auf natio­naler Ebene veröf­fent­lichte die BaFin im Oktober letzten Jahres mit der  Novel­lierung von MaRisk und BAIT ihre Ansätze zur Adres­sierung von opera­tiven IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erwei­terung der BAIT-Anfor­de­rungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formu­lierten konkreten Anfor­de­rungen stellen kleinere und mittlere Institute wahrscheinlich vor große Heraus­for­de­rungen, da sie auf den Betrieb eines Security Infor­mation and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC) sowie regel­mäßige interne Abwei­chungs­ana­lysen, Schwach­stel­len­scans, Penetra­ti­ons­tests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer profes­sio­nellen Cyber-Security-Abteilung sowie unabhän­giger interner Infor­ma­ti­ons­si­cher­heits­struk­turen. Dies wird die betrof­fenen Institute schon allein aufgrund des erfor­der­lichen Know-hows und der begrenzten Ressourcen auf dem Arbeits­markt vor große Heraus­for­de­rungen stellen. Als weiterer Schwer­punkt wird das Notfall­ma­nagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.

Das TIBER-Programm von EZB und Bundesbank

Bereits im Jahr 2018 haben die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetra­ti­ons­tests, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetra­ti­ons­tests angestrebt. Die deutliche Zurück­haltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwän­digen Projekt­umfang, die nicht unwesent­lichen Risiken und zuletzt auch durch die „Freiwil­ligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte ander­weitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.

Digital Opera­tional Resilience Act (DORA) der EU

Die Veröf­fent­li­chung des Digital Finance Package enthält mit dem EU regulatory framework on digital opera­tional resilience  einen umfas­senden Legis­la­tiv­vor­schlag zur europa­weiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebs­sta­bi­lität, die aller­dings dem grenz­über­schrei­tenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmen­tierung auch die Gefahr der Inkon­sis­tenzen und ist zudem mit zusätz­lichen hohen Aufwänden für europaweit agierende Institute verbunden.

Hier ist es also sehr wünschenswert, mit DORA einheit­liche Regelungen, insbe­sondere zum Risiko­ma­nagement, Testen, Ausla­gerung Notfall- und Incident-Management, anzustreben. Neben der Verbes­serung und Optimierung der Wider­stands­fä­higkeit der einge­setzten IT-Systemen wird hier sicherlich auch ein signi­fikant vermin­derter Verwal­tungs­aufwand auf Seiten der Institute zu beobachten sein.

Gemeinsam die Cyber-Wider­stands­fä­higkeit erhöhen

Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswir­kungen auf gesetz­licher und regula­to­ri­scher Ebene aus. Gemeinsam analy­sieren wir Ihren Handlungs­bedarf und unter­stützen Sie bei der Umsetzung. Wir bewerten die Novel­lierung MaRisk und BAIT für Ihr Institut, unter­stützen bei der Vorbe­reitung, Durch­führung und Analyse von TIBER-Tests und analy­sieren die geplanten Anfor­de­rungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten zurückgreifen.

Kryptowährung EZB Digitaler Euro

Krypto­wäh­rungen – Wie und wann kommt ein Digitaler Euro?

Am 12. Januar 2021 endete die öffent­liche Befragung der Europäi­schen Zentralbank (EZB) zum Digitalen Euro. Basie­rende auf einge­gangen Stellung­nahmen wird im Sommer 2021 eine grund­sätz­liche Weichen­stellung zur Weiter­führung dieses Großpro­jektes erwartet. In diesem Zusam­menhang werden auch die Entwick­lungen der privat­wirt­schaft­lichen Krypto­wäh­rungen Bitcoin und Diem (früher Libra) betrachtet. Aber auch die Aktivi­täten anderer Zentral­banken, z. B. in Schweden mit dem „E‑Krona“ sowie in China, werden hier sicherlich Einfluss nehmen.

Stellung­nahme der Deutschen Kreditwirtschaft

Die Deutsche Kredit­wirt­schaft hat in ihrer Stellung­nahme zum Digitalen Euro die Aktivi­täten der EZB begrüßt und Unter­stützung bei der Ausge­staltung und Projek­tierung zugesagt.

„Für die Deutsche Kredit­wirt­schaft (DK) hat die Einführung eines digitalen Euro durch das Eurosystem je nach Ausge­staltung das Potential, die Wettbe­werbs­fä­higkeit Europas zu stärken. Sie birgt aber auch die Gefahr, die Geometrie des europäi­schen Banken­systems grund­legend zu verändern. Die Banken in Deutschland und Europa haben eine zentrale Rolle im Wirtschafts­kreislauf und leisten einen unver­zicht­baren Beitrag bei der effizi­enten Versorgung von Unter­nehmen und Verbrau­chern mit Finanz­mitteln. Schon deswegen ist es wichtig, die Kredit­wirt­schaft frühzeitig in die Überle­gungen einer digitalen Währung einzubinden“

Karl-Peter Schackmann-Fallis, Geschäfts­füh­rendes Vorstands­mit­glied des Deutschen Sparkassen- und Girover­bandes (DSGV)

Überwiegend positiver Tenor

Der Tenor der Stellung­nahme der DK ist überwiegend positiv. Der Digitale Euro wird als zukunfts­wei­sendes Zahlungs­mittel in einer digitalen Wirtschaft bewertet, dass die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Angestrebt werden sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen, damit der Zugang zum digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann. Es besteht Einigkeit dahin­gehend, dass die Digita­li­sierung den Zahlungs­verkehr verändert und zur Gewähr­leistung der Finanz­sta­bi­lität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erfor­derlich ist. Zur Umsetzung der angestrebten Aktivi­täten sind hohe Inves­ti­tionen sowohl für die Institute als auch für die Wirtschaft unumgänglich. Aber die Nutzung moderner Tokeni­sie­rungs­lö­sungen, z. B. durch Distri­buted-Ledger-Techno­logie (DLT), ermög­licht die Umsetzung innova­tiver Zahlungs­ver­kehrs­lö­sungen. Denkbar sind in diesem Zusam­menhang die Nutzung von Smart Contracts und Micro­pay­ments, Angebot wie „Block­chain as a Service“, „Smart Contracts as a Service“ oder Paymen­t­an­gebote im Internet-of-Things (IoT).

Klärungs­bedarf

Kritisch wird gesehen, dass das bewährte zweistufige Banken­system mit Zentralbank und Geschäfts­banken in Frage gestellt werden könnte. Diese Konstel­lation ist aus Sicht der DK essen­tiell wichtig für die Geldmarkt­sta­bi­lität, die Versorgung der Unter­nehmen und Privat­per­sonen mit Krediten sowie die Akzeptanz und das Vertrauen in die heraus­ge­ge­benen Zahlungs­mittel. Das etablierte Banken­system wird als entschei­dender Baustein für ein konti­nu­ier­liches Wirtschafts­wachstum angesehen.

Offen ist zudem die Frage, in wieweit ein Digitaler Euro als Krypto-Asset im Sinn der MiCA (Proposal for a regulation on Markets in Crypto-assets) anzusehen ist und welche Impli­ka­tionen sich daraus ergeben könnten. Zu diesem Verord­nungs­vor­schlag der EZB gibt es ebenfalls eine Stellung­nahme der DK.
Weiterer Klärungs­bedarf besteht bzgl. einiger Regulie­rungs­fragen. Hier schlägt die DK eine Orien­tierung an den bestehenden Standards vor. Alle Betei­ligten sollten mindestens die Anfor­de­rungen aus

Offen bleibt auch, ob für die digitale Währung gleich­falls die Umsetzung von bestehenden IT-Standards der EBA gelten wird.

Aus Sicht der DK sind die Rechts­si­cherheit, einheit­liche Vorgaben für ein token­ba­siertes Giralgeld und ein angemes­sener Regulie­rungs­standard die Grund­vor­aus­set­zungen für die Akzeptanz und das Vertrauen der Verbraucher in den Digitalen Euro.

Handlungs­op­tionen für Zahlungsinstitute

Die Diskussion zum digitalen Euro muss im Zusam­menhang mit der generellen Bedeu­tungs­zu­nahme von Krypto­wäh­rungen gesehen werden. Längst haben viele Unter­nehmen erkannt, dass die Distri­buted Ledger-Techno­logie dabei helfen kann, komplexe Liefer­be­zie­hungen effizient zu digita­li­sieren. Es ist daher eine logische Folge, dass auch wachsendes Interesse daran besteht, diese neue Techno­logie auch zur Abwicklung von Zahlungen zu nutzen. Dabei werden in Zukunft sicher nicht nur Zentralbank-emittierte Krypto­wäh­rungen genutzt werden. Für Zahlungs­in­stitute ergibt sich mit dem generell wachsenden Interesse an Krypto­wäh­rungen mehr und mehr der Bedarf, den eigenen Kunden die Verwahrung und den Handel mit Krypto­wäh­rungen anzubieten. Darüber hinaus können sich mögli­cher­weise auch Chancen für Institute ergeben, die ihren Firmen­kunden selbst emittierte Krypto­wäh­rungen anbieten, um diese bei der Digita­li­sierung ihrer Geschäfts­pro­zesse zu unterstützen.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

TIBER-DE

TIBER-DE | Stärkung der Cyber­wi­der­stands­fä­higkeit des Finanzsystems?

Digita­li­sierung des Finanz­sektors | Chancen & Cyber­ri­siken | TIBER-DE

Die zuneh­mende Digita­li­sierung des Finanz­sektors sorgt nicht nur für neue Möglich­keiten, sondern bringt auch erhöhte Cyber­ri­siken mit sich. Insbe­sondere können Angriffe auf das Finanz­system schwer­wie­gende Folgen nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit haben. Bereits im Jahr 2018 haben daher die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetrationstests.

Im Sommer 2019 beschlossen die Deutsche Bundesbank und das Bundes­mi­nis­terium der Finanzen (BMF) mit TIBER-DE die nationale Umsetzung dieses Rahmen­werkes, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Diese Umsetzung ist nunmehr erfolgt.

An wen richtet sich TIBER-DE?

TIBER-DE richtet sich insbe­sondere an kritische Unter­nehmen des Finanz­sektors, wie z.B. große Banken und Versi­cherer sowie deren IT-Dienst­leister und Zahlungs­dienst­leister. Die Deutsche Bundesbank stellt in ihrer TIBER-Imple­men­tierung heraus, dass die Durch­führung von TIBER-DE Tests dazu dient, „ein Netzwerk der natio­nalen, zur Zielgruppe gehörenden Unter­nehmen zu etablieren, um gemeinsam und mithilfe der Durch­führung von TIBER-DE-Tests die Cyber­wi­der­stands­fä­higkeit des Finanz­sektors nachhaltig und auf koope­ra­tiver Basis zu verbessern“.

Was passiert in einem Test?

In einem TIBER-DE Test überprüfen beauf­tragte Hacker („Red Team“) basierend auf Infor­ma­tionen eines Threat Intel­li­gence Providers („Spion“) die Cyber­wi­der­stands­fä­higkeit eines Unter­nehmens. Primäres Ziel hierbei ist die Identi­fi­kation von Sicher­heits­lücken in den Produk­tiv­sys­temen („critical functions“) im Rahmen eines möglichst realen Angriffs­sze­narios. Der TIBER-DE Test besteht aus drei Phasen, welche hier verkürzt darge­stellt werden:

  • In der Vorbe­rei­tungs­phase erfolgt die Initi­ierung, der Kick-Off, die Bestimmung des Testum­fangs und die Beschaffung. Insbe­sondere werden hier die entspre­chenden Verträge mit allen Betei­ligten geschlossen, der Testumfang festgelegt und die Finanz­auf­sicht über den beabsich­tigten TIBER-DE Test informiert.
  • In der Testphase werden Infor­ma­tionen zur Bedro­hungslage gesammelt und der Red Team Penetra­ti­onstest auf der Grundlage des zuvor festge­legten Testum­fangs durchgeführt.
  • Schließlich umfasst die Abschluss­phase die Erstellung der Testbe­richte, ein Replay und Feedback, einen Behebungsplan für gefundene Schwach­stellen sowie einen Abschluss­be­richt und die Attes­tierung inklusive Ergebnisweitergabe.

Risiken des Tests

Der TIBER-DE Test zielt auf die Produk­tiv­systeme mit den „critical functions“ eines Instituts, um deren Cyber­wi­der­stands­fä­higkeit realis­tisch bewerten zu können. Damit einher gehen jedoch auch Risiken, z.B. bezüglich der Vertrau­lichkeit, Integrität oder Verfüg­barkeit der Daten bzw. Systeme. In jedem Falle muss das Institut vor der Durch­führung eines Tests eine detail­lierte Risiko­analyse durch­führen und angemessene Maßnahmen zur Risiko­mi­ni­mierung treffen.

Darüber hinaus werden die Unter­nehmen vor organi­sa­to­rische, technische und daten­schutz­be­dingte Heraus­for­de­rungen gestellt. Kritische Geschäfts­pro­zesse müssen identi­fi­ziert werden, Abwehr­maß­nahmen müssen etabliert und dokumen­tiert. Zudem müssen TIBER-DE Tests mit den verschie­denen betrof­fenen Stake­holdern, z. B. Dienst­leistern, koordi­niert werden. Darüber hinaus muss eine Geheim­hal­tungs­pflicht auf allen Seiten einge­halten werden.

Derzeit beruht die Teilnahme an diesen Tests auf freiwil­liger Basis. Zusammen mit den nicht unbeacht­lichen Risiken scheint dies der Grund für die Zurück­haltung bei der Bereit­schaft zur Durch­führung eines TIBER-DE Tests zu sein.

Gemeinsam zum erfolg­reichen TIBER-DE Test

Die Experten von SRC können gemeinsam mit Ihnen einen TIBER-Test vorbe­reiten. Dazu gehört das unter­neh­mens­weite Scoping der zu testenden kriti­schen Geschäfts­pro­zesse und Unter­stützung bei der Etablierung von konformen Melde­wegen und ‑Prozessen zur Steuerung und Durch­führung von TIBER-Tests. Damit sind die internen Vorbe­rei­tungen getroffen, um einen TIBER-konformen Penetra­ti­onstest über einen Dienst­leister durch­führen zu lassen. Mit der Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten unter­stützen wir Sie gerne durch den gesamten Verfah­rens­ablauf eines TIBER-Tests.

IT-Compliance durch die Einführung eines ISMS

Compliance-Anfor­de­rungen steigen

„Die Abhän­gigkeit der Kern- und Wertschöp­fungs­pro­zesse von der IT-Infra­struktur und den dort betrie­benen IT-Systemen steigt bei Kredit­in­sti­tuten stetig an. Fast in gleichem Maße steigen damit auch die zugehö­rigen Compliance-Anfor­de­rungen“. SRC-Expertin Dagmar Schoppe erläutert im gerade auf der Fach-Plattform „Security Insider“ erschie­nenen Artikel die verschie­denen regula­to­ri­schen und gesetz­lichen Anfor­de­rungen, die das Tages­ge­schäft von Kredit­in­sti­tuten bestimmen und wie die IT-Compliance durch die Einführung eines ISMS verbessert wird.

Wertschöp­fungs­pro­zesse sind bedroht

Der Schutz dieser Wertschöp­fungs­pro­zesse durch Einhaltung der regula­to­ri­schen und gesetz­lichen Anfor­de­rungen, z. B. aus BAIT, MaRisk oder dem IT-Sicher­heits­gesetz, ist ein sehr aktuelles Thema. Schließlich ist die Gefahr von Hacker­an­griffen eine reale und aktuelle Gefahr. Auch deshalb ist IT-Sicherheit einer der zentralen Prüfungs­schwer­punkte der BaFin. In diese Richtung zielt auch das TIBER-EU-Programm, das die Resilienz der Finanzwelt gegen Cyber­an­griffe stärken soll.

Ganzheit­liches Infor­ma­ti­ons­si­cher­heits­ma­nagement-System schafft Sicherheit

Für einen ganzheit­lichen Ansatz zum Schutz der Unter­neh­mens­werte müssen die verschie­denen organis­to­ri­schen und techni­schen Aspekte zu einem ganzheit­lichen Konzept vereinigt werden. Das führt zur Einführung eines Infor­ma­ti­ons­si­cher­heits­ma­nagement-Systems, z. B. auf der Basis von ISO 27001.

Die Experten des SRC-Bereichs Banken-Compliance beraten Sie gerne zu regula­to­ri­schen und gesetz­lichen Anfor­de­rungen und deren Umsetzung, z. B. durch die Einführung eines Infor­ma­ti­ons­si­cher­heits­ma­nagement-Systems (ISMS) oder bei der Durch­führung von TIBER-Tests. SRC ist Mitglieder der Cyber-Alliance.