Operational Resilience – Anforderungen an die Cyber-Widerstandsfähigkeit von Instituten
Aktuelle Schwerpunktthemen: Operational Resilience und Cybersicherheit
Angriffe auf das Finanzsystem können schwerwiegende Folgen haben – nicht nur für das betroffene Unternehmen, sondern auch für die gesamte Öffentlichkeit. Auch Experten der Bundesbank, Sicherheitsexperten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Widerstandsfähigkeit gegen ebensolche als größte Gefahr, die sich aus der zunehmenden Digitalisierung im Finanzsektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetzliche und regulatorische Rahmenbedingungen geschaffen, um im gesamten Finanzsektor europaweit einheitliche Standrads zu schaffen und die „Operational Resilience“ zu erhöhen.
Sowohl für die EZB als auch für die BaFin stand das Jahr 2020 unter dem Schwerpunkt „Operational Resilience“ und „Cybersicherheit“. Zudem wurde auf europäischer Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröffentlichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Operational Resilience Act) ihre Anforderungen an Betriebsstabilität und Cybersicherheit.
Für die Verantwortlichen stellt sich die Frage, wie diese verschiedenen Aktivitäten zusammenspielen und – noch viel relevanter – wie effizient diese zur Zielerreichung beitragen.
Novellierung MaRisk und BAIT – Operative IT-Sicherheit
Auf nationaler Ebene veröffentlichte die BaFin im Oktober letzten Jahres mit der Novellierung von MaRisk und BAIT ihre Ansätze zur Adressierung von operativen IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erweiterung der BAIT-Anforderungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formulierten konkreten Anforderungen stellen kleinere und mittlere Institute wahrscheinlich vor große Herausforderungen, da sie auf den Betrieb eines Security Information and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Operations Centers (SOC) sowie regelmäßige interne Abweichungsanalysen, Schwachstellenscans, Penetrationstests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer professionellen Cyber-Security-Abteilung sowie unabhängiger interner Informationssicherheitsstrukturen. Dies wird die betroffenen Institute schon allein aufgrund des erforderlichen Know-hows und der begrenzten Ressourcen auf dem Arbeitsmarkt vor große Herausforderungen stellen. Als weiterer Schwerpunkt wird das Notfallmanagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.
Das TIBER-Programm von EZB und Bundesbank
Bereits im Jahr 2018 haben die Notenbanken des Europäischen Systems der Zentralbanken das Programm TIBER-EU (Threat Intelligence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedrohungsgeleiteten Penetrationstests, mit dem die Finanzunternehmen die eigene Widerstandsfähigkeit gegen Cyberattacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetrationstests angestrebt. Die deutliche Zurückhaltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwändigen Projektumfang, die nicht unwesentlichen Risiken und zuletzt auch durch die „Freiwilligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte anderweitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.
Digital Operational Resilience Act (DORA) der EU
Die Veröffentlichung des Digital Finance Package enthält mit dem EU regulatory framework on digital operational resilience einen umfassenden Legislativvorschlag zur europaweiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebsstabilität, die allerdings dem grenzüberschreitenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmentierung auch die Gefahr der Inkonsistenzen und ist zudem mit zusätzlichen hohen Aufwänden für europaweit agierende Institute verbunden.
Hier ist es also sehr wünschenswert, mit DORA einheitliche Regelungen, insbesondere zum Risikomanagement, Testen, Auslagerung Notfall- und Incident-Management, anzustreben. Neben der Verbesserung und Optimierung der Widerstandsfähigkeit der eingesetzten IT-Systemen wird hier sicherlich auch ein signifikant verminderter Verwaltungsaufwand auf Seiten der Institute zu beobachten sein.
Gemeinsam die Cyber-Widerstandsfähigkeit erhöhen
Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswirkungen auf gesetzlicher und regulatorischer Ebene aus. Gemeinsam analysieren wir Ihren Handlungsbedarf und unterstützen Sie bei der Umsetzung. Wir bewerten die Novellierung MaRisk und BAIT für Ihr Institut, unterstützen bei der Vorbereitung, Durchführung und Analyse von TIBER-Tests und analysieren die geplanten Anforderungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzähligen Penetrationstests, Banken-Compliance- und Informationssicherheitsmanagement-Projekten zurückgreifen.