Bedrohung, Sicherheitsmaßnahme, Regulation
IT-Bedrohungen muss mittels geeigneter IT-Sicherheitsmaßnahmen begegnet werden, um die Restrisiken auf ein akzeptables Maß zu reduzieren – man spricht auch von Banken Compliance. Das gebietet nicht nur der gesunde Menschenverstand. Auch die Aufsichtsbehörden regulieren zunehmend Institute, IT-Dienstleister und FinTechs mit dem Ziel einheitliche IT-Sicherheitsstandards zu schaffen. Mit der BAIT (Bankenaufsicht IT) hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Anforderungen für die Informationssicherheit definiert. Damit werden die bereits seit langem geltenden Regeln der MaRisk für die Banken-IT konkretisiert.
Die europaweit gültige „Payment Service Directive 2“ (PSD2) kann durchaus als Weiterentwicklung der Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) verstanden werden. Sie macht zusätzliche Sicherheitsvorgaben für Zahlungsinstitute und ‑dienstleister verbindlich. Die PSD2 regelt z. B. erstmals den Kontozugang für Dritte und macht Vorgaben für die Authentifizierung („Starke Kundenauthentifizierung “).
Zudem legen die Aufsichtsbehörden den Banken Meldepflichten auf: IT-Sicherheitsvorfälle müssen nicht nur der BaFin, sondern ab 2018 auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, wenn eine kritische Infrastruktur im Finanzwesen betroffen ist. Zur nachhaltigen Stärkung der Cyberresilienz von Finanzmarktinfrastrukturen veröffentlichte das Euro Cyber Resilience Board der EZB im Jahr 2018 mit TIBER-EU ein Framework zur europaweiten Durchführung von akkreditierten Penetrationstests.
Konformität und Sicherheit vom anerkannten Gutachter
In unzähligen Projekten mit Aufsichtsbehörden, Instituten, IT-Dienstleistern und Verbandsvertretern haben die Berater von SRC umfangreiches Know-how aufgebaut. Dieses Wissen geben sie in Workshops, Webinaren, Schulungen, Umsetzungsplänen und ‑projekten an unsere Kunden weiter. SRC unterstützt Institute, IT-Dienstleister und FinTechs bei der Anwendung gängiger Standards zur Ausgestaltung ihrer IT-Systeme und Prozesse.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Payment Card Industry (PCI) und die deutschen Kreditwirtschaft haben SRC als Sicherheitsgutachter anerkannt. Auf dieser Grundlage erarbeiten die SRC Berater gemeinsam mit Ihnen Konformitätserklärungen und Sicherheitsgutachten, mit denen Sie die Einhaltung regulatorischer Anforderungen gegenüber Wirtschaftsprüfern und Aufsichtsbehörden nachweisen können.
Erfahrung, Auslegung, Beratung
Die Anforderungen sind oft nur prinzipienorientiert. Deshalb benötigen Institute, Zahlungsdienstleister und FinTechs eine Interpretation der regulatorischen Vorgaben. Die vielfältigen Erfahrungen in Kundenprojekten und der Informationsaustausch mit Aufsichtsbehörden und Interessenvertretern versetzt SRC in die Lage die Vorgaben auszulegen, redundante regulatorische Anforderungen zu erkennen und mit den Perspektiven anderer Marktteilnehmer zu konsolidieren.
Auf gemeinsam mit SRC erzielte Nachweise regulatorischer Vorgaben können Sie bauen: Sie genießen unter anderem aufgrund der Vielzahl an Akkreditierungen von SRC bei den Aufsichtsbehörden ein hohes Maß an Anerkennung und Vertrauen.
Ansprechpartner
Dagmar Schoppe
Bereichsleiterin Banken Compliance
SRC Security Research & Consulting GmbH
