Startschuss für den Digitalen Euro

Start­schuss für den Digitalen Euro

Nach langer und inten­siver Diskussion auf europäi­scher Ebene erfolgte am 14. Juli 2021 der Start­schuss für den Digitalen Euro.  Zunächst werden im Rahmen einer zweijäh­rigen Unter­su­chungs­phase Kernfragen zu den Auswir­kungen auf die Finanz­sta­bi­lität und die Geldpo­litik sowie zu recht­lichen Rahmen­be­dingung und einer möglichen techni­schen Umsetzung geklärt. Ziel der Einführung des Digitalen Euros ist nach wie vor, den „Bedürf­nissen der Menschen in Europa“ gerecht zu werden und als Ergänzung zu bereits etablierten Zahlver­fahren zu dienen.

Eine finale Entscheidung über die Ausge­staltung des Digitalen Euros wird dann nach der Unter­su­chungs­phase Mitte 2023 erwartet.

„Wir werden mit dem Europäi­schen Parlament und anderen europäi­schen Entschei­dungs­trägern in einen Dialog treten und sie regel­mäßig über unsere Ergeb­nisse infor­mieren. Privat­per­sonen, Händler und der Zahlungs­ver­kehrs­sektor werden ebenfalls einbe­zogen“, sagte Fabio Panetta (Mitglied des EZB-Direk­to­riums und Vorsit­zender der Taskforce zum Digitalen Euro)

Ergeb­nisse der prakti­schen Erprobung

Vorbe­rei­tende Grundlage für die richtungs­wei­sende Entscheidung waren die Ergeb­nisse einer prakti­schen Erpro­bungs­phase über neun Monate, die u. a. technische Aspekte der Distri­buted-Ledger-Techno­logie (kurz DLT), Daten­schutz, Geldwä­sche­be­kämpfung sowie die Nutzung vorhan­dener Systeme (z. B. TARGET Instant Payment Settlement – kurz: TIPS) unter­suchten. Auch energe­tische Aspekte möglicher Archi­tek­tur­kon­zepte wurden mit dem Ziel unter­sucht, den Energie­ver­brauch deutlich unter den derzei­tigen Anfor­de­rungen bekannter Krypto­wäh­rungen, z. B. Bitcoin, zu limitieren.

Daten­schutz steht im Fokus

Der Verbrau­cher­schutz sowie Daten­schutz­aspekte sind neben der techni­schen Umsetzung zentrale Aspekte der Diskussion um den Digitalen Euro. Das Digitale Zentral­bankgeld stellt für Verbraucher eine direkte Forderung gegen die Notenbank dar, die unter Umständen durch eine Obergrenze in der „Wallet“ limitiert werden kann. Die Konkurrenz des Digitalen Euros zum Bargeld wird in der Diskussion um die Anony­mität von Zahlungen deutlich. Klar scheint, dass es – auch im Hinblick auf die Geldwä­sche­be­kämpfung – keinen vollkommen anonymen Digitalen Euro geben wird.

Einschätzung der Deutschen Kreditwirtschaft

Die „Deutsche Kredit­wirt­schaft“ hebt in einer Stellung­nahme den Digitalen Euro vor allem in seiner Wahrung der monetären Souve­rä­nität der Eurozone hervor. Der Digitale Euro wird als zukunfts­wei­sendes Zahlungs­mittel in einer Digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Angestrebt werden sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen, damit der Zugang zum Digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann. Es besteht Einigkeit dahin­gehend, dass die Digita­li­sierung den Zahlungs­verkehr verändert und zur Gewähr­leistung der Finanz­sta­bi­lität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erfor­derlich ist. Zur Umsetzung der angestrebten Aktivi­täten sind hohe Inves­ti­tionen sowohl für die Institute als auch für die Wirtschaft unumgänglich.

Werden Krypto­wäh­rungen mehr als Spekulationsobjekte?

Etablierte Krypto­wäh­rungen wie Bitcoin und Co. gewinnen zwar als Speku­la­ti­ons­ob­jekte in den Vermö­gens­ver­wal­tungen an Bedeutung, doch sind sie derzeit im Zahlungs­verkehr eher bedeu­tungslos. Trotzdem hat die anhal­tende Diskussion über private Krypto­wäh­rungen, z. B. Diem aus dem Facebook-Universum, die Diskussion um den Digitalen Euro sicherlich vorangetrieben.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

CASH.DIGITALWEEK 2021 // Webinar: Kryptowährungen schaffen Marktchancen für Banken und Finanzdienstleister

CASH.DIGITALWEEK 2021 // Webinar: Krypto­wäh­rungen schaffen Markt­chancen für Banken und Finanzdienstleister

Im Rahmen eines Webinars auf der CASH-DIGITALWEEK 2021 erläutert unsere Expertin Dagmar Schoppe, wie Krypto­wäh­rungen neue Markt­chancen für Banken und Finanz­dienst­leister schaffen können. Termin für das Webinar ist Donnerstag, der 9. September 2021 um 11:00.

Banken und Finanz­dienst­leister verfügen tradi­tionell neben den techni­schen Kompe­tenzen zur Abwicklung vertrau­ens­wür­diger Geschäfts­trans­ak­tionen auch über die nötige Expertise zur Umsetzung der regula­to­ri­schen Anfor­de­rungen. Dies kann gut als Einstieg in den Markt der Dienst­leis­tungen rund um Krypto­wäh­rungen genutzt werden, denn gerade das rasch wachsende Interesse an Krypto­wäh­rungen eröffnet den Kredit­in­sti­tuten wachsende Chancen, auf diesem Markt aktiv zu werden und die Kunden auch hier zu bedienen.

Dazu ist es notwendig, dass die Institute ihre Sicht­barkeit in diesem neuen Markt­segment erhöhen. Nur so können sie dann auf Anfragen von Kunden, Händlern sowie Dienst­leistern reagieren. Firmen­kunden haben so z. B. auch die Möglichkeit selbst emittierte Krypto­wäh­rungen anzubieten bzw. unter Nutzung der Block­chain-Techno­logie die digitalen Geschäfts­pro­zesse der Kunden optimal zu unter­stützen. Unter Begleitung der Banken und Finanz­dienst­leister können Firmen­kunden die Digita­li­sierung ihrer Geschäfts­pro­zesse weiter vorantreiben.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung. Im Rahmen des Webinars „CASH.DIGITALWEEK 2021 // Webinar: Krypto­wäh­rungen schaffen Markt­chancen für Banken und Finanz­dienst­leister“ erläutert Dagmar Schoppe, Bereichs­lei­terin Banken Compliance bei SRC, mögliche Strategien und steht den Teilnehmern Rede und Antwort.

ISB

Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 16. bis 19. November 2021

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erforderlich.

Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in ihrer Richt­linie die neu einzu­rich­tende Funktion des “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten”. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäftsleitung.

In Koope­ration mit dem Bank-Verlag hat SRC seit 2016 schon viele Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 16. bis zum 19. November 2021 haben Sie erneut die Möglichkeit sich zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Achtung! Online-Seminar

Unter Berück­sich­tigung der aktuellen Covid-19 Situation führen wir sowohl den Zerti­fi­kats­lehrgang Informationssicherheitsbeauftragte/r (ISB) für Kredit­in­stitute, als auch das optionale IT-Grund­lagen-Seminar als Online-Veran­staltung durch.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Dagmar Schoppe, Florian Schumann und Ansgar Tessmer und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management eingegangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 15. November 2021 das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Informationstechnik.

Wie Kryptowährungen neue Marktchancen für Banken und Finanzdienstleister schaffen

Wie Krypto­wäh­rungen neue Markt­chancen für Banken und Finanz­dienst­leister schaffen

„Die Bedeutung von Krypto­wäh­rungen nimmt immer schneller zu. Banken können ihre Expertise bei der Umsetzung von Regulie­rungs­fragen nutzen, um sich eine gute Ausgangs­po­sition auf dem Markt der Dienst­leis­tungen für Krypto­wäh­rungen wie beispiels­weise Schlüs­sel­ver­wahrung zu verschaffen. Durch ihre bereits bestehenden Kompe­tenzen im Umgang mit krypto­gra­phi­schen Verfahren, z. B. in der Autori­sierung, im Online-Banking oder bei der PIN-Absicherung, bringen Banken schon einen Großteil der techni­schen Voraus­set­zungen für den Einstieg in dieses Geschäftsfeld mit“. SRC-Expertin Dagmar Schoppe erläutert im gerade auf der Fach-Plattform „it-daily.net“ erschie­nenen Artikel die Chancen für Banken und Finanz­dienst­leister hinsichtlich der Entwicklung von Kryptowährungen.

Gibt es Abhän­gig­keiten zum Digitalen Euro?

Das zuneh­mende Interesse an Krypto­wäh­rungen ist – neben dem in den letzten Tagen zu beobach­tenden rasanten Anstieg des Euro Gegen­wertes zu einem Bitcoin – auch in Zusam­menhang mit der Diskussion über die Einführung eines Digitalen Euros zu sehen. Der Digitale Euro – so die Wahrnehmung in der Deutschen Kredit­wirt­schaft (DK) – wird als zukunfts­wei­sendes Zahlungs­mittel in einer digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Dabei sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen angestrebt werden, damit der Zugang zum digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann.

Neue Chancen bei der Digita­li­sierung der Geschäftsprozesse

Institute stehen vor der Heraus­for­derung, ihre Sicht­barkeit in diesem neuen Markt­segment zu erhöhen, um dann auf Anfragen von Kunden, Händlern sowie Dienst­leistern reagieren zu können. Mittel­fristig kann das generell wachsenden Interesse an Krypto­wäh­rungen auch Chancen für Institute ergeben, die z. B. ihren Firmen­kunden selbst emittierte Krypto­wäh­rungen anbieten, um diese bei der Digita­li­sierung ihrer Geschäfts­pro­zesse zu unterstützen.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

Weitere Literatur

Cyber Resilience

Opera­tional Resilience – Anfor­de­rungen an die Cyber-Wider­stands­fä­higkeit von Instituten

Aktuelle Schwer­punkt­themen: Opera­tional Resilience und Cybersicherheit

Angriffe auf das Finanz­system können schwer­wie­gende Folgen haben – nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit. Auch Experten der Bundesbank, Sicher­heits­ex­perten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Wider­stands­fä­higkeit gegen ebensolche als größte Gefahr, die sich aus der zuneh­menden Digita­li­sierung im Finanz­sektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetz­liche und regula­to­rische Rahmen­be­din­gungen geschaffen, um im gesamten Finanz­sektor europaweit einheit­liche Standrads zu schaffen und die „Opera­tional Resilience“ zu erhöhen.

Sowohl für die EZB als auch für die BaFin stand das Jahr 2020  unter dem Schwer­punkt „Opera­tional Resilience“ und „Cyber­si­cherheit“. Zudem wurde auf europäi­scher Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröf­fent­lichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Opera­tional Resilience Act) ihre Anfor­de­rungen an Betriebs­sta­bi­lität und Cybersicherheit.

Für die Verant­wort­lichen stellt sich die Frage, wie diese verschie­denen Aktivi­täten zusam­men­spielen und – noch viel relevanter – wie effizient diese zur Zieler­rei­chung beitragen.

Novel­lierung MaRisk und BAIT – Operative IT-Sicherheit

Auf natio­naler Ebene veröf­fent­lichte die BaFin im Oktober letzten Jahres mit der  Novel­lierung von MaRisk und BAIT ihre Ansätze zur Adres­sierung von opera­tiven IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erwei­terung der BAIT-Anfor­de­rungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formu­lierten konkreten Anfor­de­rungen stellen kleinere und mittlere Institute wahrscheinlich vor große Heraus­for­de­rungen, da sie auf den Betrieb eines Security Infor­mation and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC) sowie regel­mäßige interne Abwei­chungs­ana­lysen, Schwach­stel­len­scans, Penetra­ti­ons­tests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer profes­sio­nellen Cyber-Security-Abteilung sowie unabhän­giger interner Infor­ma­ti­ons­si­cher­heits­struk­turen. Dies wird die betrof­fenen Institute schon allein aufgrund des erfor­der­lichen Know-hows und der begrenzten Ressourcen auf dem Arbeits­markt vor große Heraus­for­de­rungen stellen. Als weiterer Schwer­punkt wird das Notfall­ma­nagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.

Das TIBER-Programm von EZB und Bundesbank

Bereits im Jahr 2018 haben die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetra­ti­ons­tests, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetra­ti­ons­tests angestrebt. Die deutliche Zurück­haltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwän­digen Projekt­umfang, die nicht unwesent­lichen Risiken und zuletzt auch durch die „Freiwil­ligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte ander­weitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.

Digital Opera­tional Resilience Act (DORA) der EU

Die Veröf­fent­li­chung des Digital Finance Package enthält mit dem EU regulatory framework on digital opera­tional resilience  einen umfas­senden Legis­la­tiv­vor­schlag zur europa­weiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebs­sta­bi­lität, die aller­dings dem grenz­über­schrei­tenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmen­tierung auch die Gefahr der Inkon­sis­tenzen und ist zudem mit zusätz­lichen hohen Aufwänden für europaweit agierende Institute verbunden.

Hier ist es also sehr wünschenswert, mit DORA einheit­liche Regelungen, insbe­sondere zum Risiko­ma­nagement, Testen, Ausla­gerung Notfall- und Incident-Management, anzustreben. Neben der Verbes­serung und Optimierung der Wider­stands­fä­higkeit der einge­setzten IT-Systemen wird hier sicherlich auch ein signi­fikant vermin­derter Verwal­tungs­aufwand auf Seiten der Institute zu beobachten sein.

Gemeinsam die Cyber-Wider­stands­fä­higkeit erhöhen

Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswir­kungen auf gesetz­licher und regula­to­ri­scher Ebene aus. Gemeinsam analy­sieren wir Ihren Handlungs­bedarf und unter­stützen Sie bei der Umsetzung. Wir bewerten die Novel­lierung MaRisk und BAIT für Ihr Institut, unter­stützen bei der Vorbe­reitung, Durch­führung und Analyse von TIBER-Tests und analy­sieren die geplanten Anfor­de­rungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten zurückgreifen.

Kryptowährung EZB Digitaler Euro

Krypto­wäh­rungen – Wie und wann kommt ein Digitaler Euro?

Am 12. Januar 2021 endete die öffent­liche Befragung der Europäi­schen Zentralbank (EZB) zum Digitalen Euro. Basie­rende auf einge­gangen Stellung­nahmen wird im Sommer 2021 eine grund­sätz­liche Weichen­stellung zur Weiter­führung dieses Großpro­jektes erwartet. In diesem Zusam­menhang werden auch die Entwick­lungen der privat­wirt­schaft­lichen Krypto­wäh­rungen Bitcoin und Diem (früher Libra) betrachtet. Aber auch die Aktivi­täten anderer Zentral­banken, z. B. in Schweden mit dem „E‑Krona“ sowie in China, werden hier sicherlich Einfluss nehmen.

Stellung­nahme der Deutschen Kreditwirtschaft

Die Deutsche Kredit­wirt­schaft hat in ihrer Stellung­nahme zum Digitalen Euro die Aktivi­täten der EZB begrüßt und Unter­stützung bei der Ausge­staltung und Projek­tierung zugesagt.

„Für die Deutsche Kredit­wirt­schaft (DK) hat die Einführung eines digitalen Euro durch das Eurosystem je nach Ausge­staltung das Potential, die Wettbe­werbs­fä­higkeit Europas zu stärken. Sie birgt aber auch die Gefahr, die Geometrie des europäi­schen Banken­systems grund­legend zu verändern. Die Banken in Deutschland und Europa haben eine zentrale Rolle im Wirtschafts­kreislauf und leisten einen unver­zicht­baren Beitrag bei der effizi­enten Versorgung von Unter­nehmen und Verbrau­chern mit Finanz­mitteln. Schon deswegen ist es wichtig, die Kredit­wirt­schaft frühzeitig in die Überle­gungen einer digitalen Währung einzubinden“

Karl-Peter Schackmann-Fallis, Geschäfts­füh­rendes Vorstands­mit­glied des Deutschen Sparkassen- und Girover­bandes (DSGV)

Überwiegend positiver Tenor

Der Tenor der Stellung­nahme der DK ist überwiegend positiv. Der Digitale Euro wird als zukunfts­wei­sendes Zahlungs­mittel in einer digitalen Wirtschaft bewertet, dass die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Angestrebt werden sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen, damit der Zugang zum digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann. Es besteht Einigkeit dahin­gehend, dass die Digita­li­sierung den Zahlungs­verkehr verändert und zur Gewähr­leistung der Finanz­sta­bi­lität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erfor­derlich ist. Zur Umsetzung der angestrebten Aktivi­täten sind hohe Inves­ti­tionen sowohl für die Institute als auch für die Wirtschaft unumgänglich. Aber die Nutzung moderner Tokeni­sie­rungs­lö­sungen, z. B. durch Distri­buted-Ledger-Techno­logie (DLT), ermög­licht die Umsetzung innova­tiver Zahlungs­ver­kehrs­lö­sungen. Denkbar sind in diesem Zusam­menhang die Nutzung von Smart Contracts und Micro­pay­ments, Angebot wie „Block­chain as a Service“, „Smart Contracts as a Service“ oder Payment­an­gebote im Internet-of-Things (IoT).

Klärungs­bedarf

Kritisch wird gesehen, dass das bewährte zweistufige Banken­system mit Zentralbank und Geschäfts­banken in Frage gestellt werden könnte. Diese Konstel­lation ist aus Sicht der DK essen­tiell wichtig für die Geldmarkt­sta­bi­lität, die Versorgung der Unter­nehmen und Privat­per­sonen mit Krediten sowie die Akzeptanz und das Vertrauen in die heraus­ge­ge­benen Zahlungs­mittel. Das etablierte Banken­system wird als entschei­dender Baustein für ein konti­nu­ier­liches Wirtschafts­wachstum angesehen.

Offen ist zudem die Frage, in wieweit ein Digitaler Euro als Krypto-Asset im Sinn der MiCA (Proposal for a regulation on Markets in Crypto-assets) anzusehen ist und welche Impli­ka­tionen sich daraus ergeben könnten. Zu diesem Verord­nungs­vor­schlag der EZB gibt es ebenfalls eine Stellung­nahme der DK.
Weiterer Klärungs­bedarf besteht bzgl. einiger Regulie­rungs­fragen. Hier schlägt die DK eine Orien­tierung an den bestehenden Standards vor. Alle Betei­ligten sollten mindestens die Anfor­de­rungen aus

Offen bleibt auch, ob für die digitale Währung gleich­falls die Umsetzung von bestehenden IT-Standards der EBA gelten wird.

Aus Sicht der DK sind die Rechts­si­cherheit, einheit­liche Vorgaben für ein token­ba­siertes Giralgeld und ein angemes­sener Regulie­rungs­standard die Grund­vor­aus­set­zungen für die Akzeptanz und das Vertrauen der Verbraucher in den Digitalen Euro.

Handlungs­op­tionen für Zahlungsinstitute

Die Diskussion zum digitalen Euro muss im Zusam­menhang mit der generellen Bedeu­tungs­zu­nahme von Krypto­wäh­rungen gesehen werden. Längst haben viele Unter­nehmen erkannt, dass die Distri­buted Ledger-Techno­logie dabei helfen kann, komplexe Liefer­be­zie­hungen effizient zu digita­li­sieren. Es ist daher eine logische Folge, dass auch wachsendes Interesse daran besteht, diese neue Techno­logie auch zur Abwicklung von Zahlungen zu nutzen. Dabei werden in Zukunft sicher nicht nur Zentralbank-emittierte Krypto­wäh­rungen genutzt werden. Für Zahlungs­in­stitute ergibt sich mit dem generell wachsenden Interesse an Krypto­wäh­rungen mehr und mehr der Bedarf, den eigenen Kunden die Verwahrung und den Handel mit Krypto­wäh­rungen anzubieten. Darüber hinaus können sich mögli­cher­weise auch Chancen für Institute ergeben, die ihren Firmen­kunden selbst emittierte Krypto­wäh­rungen anbieten, um diese bei der Digita­li­sierung ihrer Geschäfts­pro­zesse zu unterstützen.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

TIBER-DE

TIBER-DE | Stärkung der Cyber­wi­der­stands­fä­higkeit des Finanzsystems?

Digita­li­sierung des Finanz­sektors | Chancen & Cyber­ri­siken | TIBER-DE

Die zuneh­mende Digita­li­sierung des Finanz­sektors sorgt nicht nur für neue Möglich­keiten, sondern bringt auch erhöhte Cyber­ri­siken mit sich. Insbe­sondere können Angriffe auf das Finanz­system schwer­wie­gende Folgen nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit haben. Bereits im Jahr 2018 haben daher die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetrationstests.

Im Sommer 2019 beschlossen die Deutsche Bundesbank und das Bundes­mi­nis­terium der Finanzen (BMF) mit TIBER-DE die nationale Umsetzung dieses Rahmen­werkes, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Diese Umsetzung ist nunmehr erfolgt.

An wen richtet sich TIBER-DE?

TIBER-DE richtet sich insbe­sondere an kritische Unter­nehmen des Finanz­sektors, wie z.B. große Banken und Versi­cherer sowie deren IT-Dienst­leister und Zahlungs­dienst­leister. Die Deutsche Bundesbank stellt in ihrer TIBER-Imple­men­tierung heraus, dass die Durch­führung von TIBER-DE Tests dazu dient, „ein Netzwerk der natio­nalen, zur Zielgruppe gehörenden Unter­nehmen zu etablieren, um gemeinsam und mithilfe der Durch­führung von TIBER-DE-Tests die Cyber­wi­der­stands­fä­higkeit des Finanz­sektors nachhaltig und auf koope­ra­tiver Basis zu verbessern“.

Was passiert in einem Test?

In einem TIBER-DE Test überprüfen beauf­tragte Hacker („Red Team“) basierend auf Infor­ma­tionen eines Threat Intel­li­gence Providers („Spion“) die Cyber­wi­der­stands­fä­higkeit eines Unter­nehmens. Primäres Ziel hierbei ist die Identi­fi­kation von Sicher­heits­lücken in den Produk­tiv­sys­temen („critical functions“) im Rahmen eines möglichst realen Angriffs­sze­narios. Der TIBER-DE Test besteht aus drei Phasen, welche hier verkürzt darge­stellt werden:

  • In der Vorbe­rei­tungs­phase erfolgt die Initi­ierung, der Kick-Off, die Bestimmung des Testum­fangs und die Beschaffung. Insbe­sondere werden hier die entspre­chenden Verträge mit allen Betei­ligten geschlossen, der Testumfang festgelegt und die Finanz­auf­sicht über den beabsich­tigten TIBER-DE Test informiert.
  • In der Testphase werden Infor­ma­tionen zur Bedro­hungslage gesammelt und der Red Team Penetra­ti­onstest auf der Grundlage des zuvor festge­legten Testum­fangs durchgeführt.
  • Schließlich umfasst die Abschluss­phase die Erstellung der Testbe­richte, ein Replay und Feedback, einen Behebungsplan für gefundene Schwach­stellen sowie einen Abschluss­be­richt und die Attes­tierung inklusive Ergebnisweitergabe.

Risiken des Tests

Der TIBER-DE Test zielt auf die Produk­tiv­systeme mit den „critical functions“ eines Instituts, um deren Cyber­wi­der­stands­fä­higkeit realis­tisch bewerten zu können. Damit einher gehen jedoch auch Risiken, z.B. bezüglich der Vertrau­lichkeit, Integrität oder Verfüg­barkeit der Daten bzw. Systeme. In jedem Falle muss das Institut vor der Durch­führung eines Tests eine detail­lierte Risiko­analyse durch­führen und angemessene Maßnahmen zur Risiko­mi­ni­mierung treffen.

Darüber hinaus werden die Unter­nehmen vor organi­sa­to­rische, technische und daten­schutz­be­dingte Heraus­for­de­rungen gestellt. Kritische Geschäfts­pro­zesse müssen identi­fi­ziert werden, Abwehr­maß­nahmen müssen etabliert und dokumen­tiert. Zudem müssen TIBER-DE Tests mit den verschie­denen betrof­fenen Stake­holdern, z. B. Dienst­leistern, koordi­niert werden. Darüber hinaus muss eine Geheim­hal­tungs­pflicht auf allen Seiten einge­halten werden.

Derzeit beruht die Teilnahme an diesen Tests auf freiwil­liger Basis. Zusammen mit den nicht unbeacht­lichen Risiken scheint dies der Grund für die Zurück­haltung bei der Bereit­schaft zur Durch­führung eines TIBER-DE Tests zu sein.

Gemeinsam zum erfolg­reichen TIBER-DE Test

Die Experten von SRC können gemeinsam mit Ihnen einen TIBER-Test vorbe­reiten. Dazu gehört das unter­neh­mens­weite Scoping der zu testenden kriti­schen Geschäfts­pro­zesse und Unter­stützung bei der Etablierung von konformen Melde­wegen und ‑Prozessen zur Steuerung und Durch­führung von TIBER-Tests. Damit sind die internen Vorbe­rei­tungen getroffen, um einen TIBER-konformen Penetra­ti­onstest über einen Dienst­leister durch­führen zu lassen. Mit der Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten unter­stützen wir Sie gerne durch den gesamten Verfah­rens­ablauf eines TIBER-Tests.

IT-Compliance durch die Einführung eines ISMS

Compliance-Anfor­de­rungen steigen

„Die Abhän­gigkeit der Kern- und Wertschöp­fungs­pro­zesse von der IT-Infra­struktur und den dort betrie­benen IT-Systemen steigt bei Kredit­in­sti­tuten stetig an. Fast in gleichem Maße steigen damit auch die zugehö­rigen Compliance-Anfor­de­rungen“. SRC-Expertin Dagmar Schoppe erläutert im gerade auf der Fach-Plattform „Security Insider“ erschie­nenen Artikel die verschie­denen regula­to­ri­schen und gesetz­lichen Anfor­de­rungen, die das Tages­ge­schäft von Kredit­in­sti­tuten bestimmen und wie die IT-Compliance durch die Einführung eines ISMS verbessert wird.

Wertschöp­fungs­pro­zesse sind bedroht

Der Schutz dieser Wertschöp­fungs­pro­zesse durch Einhaltung der regula­to­ri­schen und gesetz­lichen Anfor­de­rungen, z. B. aus BAIT, MaRisk oder dem IT-Sicher­heits­gesetz, ist ein sehr aktuelles Thema. Schließlich ist die Gefahr von Hacker­an­griffen eine reale und aktuelle Gefahr. Auch deshalb ist IT-Sicherheit einer der zentralen Prüfungs­schwer­punkte der BaFin. In diese Richtung zielt auch das TIBER-EU-Programm, das die Resilienz der Finanzwelt gegen Cyber­an­griffe stärken soll.

Ganzheit­liches Infor­ma­ti­ons­si­cher­heits­ma­nagement-System schafft Sicherheit

Für einen ganzheit­lichen Ansatz zum Schutz der Unter­neh­mens­werte müssen die verschie­denen organis­to­ri­schen und techni­schen Aspekte zu einem ganzheit­lichen Konzept vereinigt werden. Das führt zur Einführung eines Infor­ma­ti­ons­si­cher­heits­ma­nagement-Systems, z. B. auf der Basis von ISO 27001.

Die Experten des SRC-Bereichs Banken-Compliance beraten Sie gerne zu regula­to­ri­schen und gesetz­lichen Anfor­de­rungen und deren Umsetzung, z. B. durch die Einführung eines Infor­ma­ti­ons­si­cher­heits­ma­nagement-Systems (ISMS) oder bei der Durch­führung von TIBER-Tests. SRC ist Mitglieder der Cyber-Alliance.

Novellierung der BAIT 2021

Novel­lierung der BAIT 2021– Die neuen Anfor­de­rungen an Kreditinstitute

Die Novel­lierung der BAIT für 2021 bedeutet neue Anfor­de­rungen für Kredit­in­stitute. Dagegen steht die BaFin vor der Heraus­for­derung, die Guide­lines on security measures for opera­tional and security risks under the PSD2 und die Guide­lines on ICT and security risk management der EBA in Deutschland umzusetzen. Das soll mit einer Novel­lierung der BAIT (Bankauf­sicht­liche Anfor­de­rungen an die IT) bis zum 31. Dezember 2020 abgeschlossen sein. Erste Entwürfe wurden bereits in den Insti­tuten und Verbänden disku­tiert und kommentiert.

BAIT 2021 rückt IT-Sicherheit in den Mittelpunkt

Mit einem eigenen und neuen Kapitel rückt die operative IT-Sicherheit weiter in den Mittel­punkt. Die dort formu­lierten Anfor­de­rungen sind nur mit einem Security Infor­mation and Event Management Systems (SIEM) zu erfüllen. Das umfasst auch die Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC). Operativ sind regel­mäßige Überprü­fungen gefordert. Dazu gehören:

  • interne Abwei­chungs­ana­lysen
  • Schwach­stel­len­scans
  • Penetra­ti­ons­tests
  • die Simulation von Angriffen („Red Teaming“)

Die neuen Anfor­de­rungen der BAIT 2021 münden im Aufbau einer profes­sio­nellen Cyber-Security-Infra­struktur. Das bedeutet umfang­reiche und von einander unabhängige interne Informationssicherheitsstrukturen.

Die Geschäfts­leitung übernimmt die Gesamtverantwortung

Es fällt auf, dass schon der Entwurf nicht nur auf die Verant­wort­lichkeit der Geschäfts­leitung verweist. Der Geschäfts­leitung wird sogar die explizite Anerkenntnis der Gesamt­ver­ant­wortung für die Infor­ma­ti­ons­si­cherheit abver­langt. Dazu gehören auch die regel­mäßige Infor­mation über deren Belange und die Entscheidung zum angemes­senen Umgang mit Sicherheitsrisiken.

Anfor­de­rungen an das IT-Notfall­ma­nagement werden konsolidiert

Weitere Änderungen erwarten wir im Bereich IT-Notfall­ma­nagement. Die Anfor­de­rungen aus der BAIT werden mit denen aus Abschnitt AT7.3 der MaRisk konso­li­diert. So entstehen einheit­liche nationale Vorgaben. Außerdem rechnen wir mit einer Verschärfung und Präzi­sierung der Vorgaben hinsichtlich der Notfall­planung und –vorsorge, BCM, Desaster Recovery sowie die Backupstra­tegien. Auch das Outsourcing an Dienst­leister wird aus unserer Sicht Gegen­stand der Neufassung sein.

Kredit­in­stitute stehen vor großen Herausforderungen

Nach Einschätzung der SRC-Experten für Banken Compliance werden die zu erwar­tenden Änderungen die betrof­fenen Institute vor große Heraus­for­de­rungen stellen. Das betrifft insbe­sondere das erfor­der­liche Know-how und die begrenzten Ressourcen auf dem Arbeitsmarkt.

BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ – 19. September 2019

In Koope­ration mit der SRC Security Research & Consulting GmbH richtet die Bank-Verlag GmbH ein BarCamp zum Thema „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ aus. Die Veran­staltung findet am 19. September 2019 in den Räumen des Bank-Verlags in Köln statt.

Mit den „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (kurz BAIT) hat die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht (BaFin) auch die neue Funktion des Infor­ma­ti­ons­si­cher­heits­be­auf­tragten definiert. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäfts­leitung. Wie diese Theorie in der Praxis aussieht, wird am 19. September im BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ näher beleuchtet.

Das BarCamp-Prinzip

Ein BarCamp ist eine offene Tagung mit praxis­nahen Workshops. Die Workshops dienen dem inhal­tichen Austausch und der Diskussion unter den Teilneh­menden. Dabei werden die Inhalte und der Ablauf von den Teilneh­menden zu Beginn selbst entwi­ckelt und im weiteren Verlauf gestaltet. Feste Redner oder vorde­fi­nierte Abläufe sind in einem BarCamp nicht zu finden. Statt­dessen setzt dieses Prinzip auf den (moderierten) Erfahrungsaustausch.

BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kreditinstituten“

Das BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kreditinstituten“gibt Infor­ma­ti­ons­si­cher­heits­be­auf­tragten sowie allen Verant­wort­lichen im Infor­ma­tions- und IT-Sicher­heits­ma­nagement von Kredit­in­sti­tuten die Gelegenheit, sich zu Themen wie z.B. BAIT-Prüfungen, Dienst­leis­ter­steuerung oder Risiko­ma­nagement auszu­tau­schen. Darüber hinaus können Kontakte geknüpft und Fachkunde ausgebaut werden. Die Pausen können für indivi­duelle Gespräche genutzt werden. Am Ende der Veran­staltung sorgt ein  „Get-together“ für einen vertie­fenden Austausch unter den Teilnehmenden.

Referenten der SRC

Gleich vier Experten aus verschie­denen Bereichen der SRC werden ihr Wissen und ihre Expertise im Rahmen des Barcamps mit den Teilneh­menden teilen.

Sandro Amendola, stell­ver­tre­tender Prüfstel­len­leiter bei der SRC, verant­wortet das Thema „IT-Compliance in der Kredit­wirt­schaft“. Darüber hinaus entwi­ckelt er, unter anderem im Auftrag der Deutschen Kredit­wirt­schaft, Sicher­heits­kon­zepte und Sicher­heits­an­for­de­rungen für Zahlungsverkehrsverfahren.

Jochen Schumacher ist bei SRC für den Bereich Kommu­ni­kation verant­wortlich. Er konzen­triert sich auf das Produkt­ma­nagement, die technische und redak­tio­nelle Betreuung des Webauf­tritts sowie die Planung, Durch­führung und Moderation von Veranstaltungen.

Florian Schumann ist Leiter der IT bei SRC. Darüber hinaus ist er Berater für Infor­ma­ti­ons­si­cherheit und quali­fi­zierter Prüfer gem. § 8 (a) BSIG für kritische Infrastrukturen.

Dr. Deniz Ulucay ist bei SRC als Berater für Infor­ma­ti­ons­si­cherheit tätig. Seine Schwer­punkte liegen im Aufbau von ISMSen, insbe­sondere bei Betreibern von kriti­schen Infra­struk­turen. Außerdem ist er für die Erstellung sowie Umsetzung von Sicher­heits­kon­zepten verantwortlich.

Anmeldung & Ablauf

Weitere Infor­ma­tionen zur Anmeldung und zum Ablauf des BarCamps zum Thema „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ können diesem Flyer entnommen werden und auf der Webseite des Bank-Verlags gefunden werden. Hier können Sie sich für die Veran­staltung direkt online anmelden und die für Sie wichtigen und inter­es­santen Themen einbringen und so Ablauf und Ergebnis des BarCamps „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ mitbestimmen.

Für weitere Fragen steht Ihnen Frau van Kessel gerne zur Verfügung (Tel. 0221/5490–161, andrea.vankessel(at)bank-verlag.de).