Schlagwortarchiv für: BaFin

Homepage Admin

Opera­tional Resilience – Anfor­de­rungen an die Cyber-Wider­stands­fä­higkeit von Instituten

Aktuelle Schwer­punkt­themen: Opera­tional Resilience und Cybersicherheit

Angriffe auf das Finanz­system können schwer­wie­gende Folgen haben – nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit. Auch Experten der Bundesbank, Sicher­heits­experten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Wider­stands­fä­higkeit gegen ebensolche als größte Gefahr, die sich aus der zuneh­menden Digita­li­sierung im Finanz­sektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetz­liche und regula­to­rische Rahmen­be­din­gungen geschaffen, um im gesamten Finanz­sektor europaweit einheit­liche Standrads zu schaffen und die „Opera­tional Resilience“ zu erhöhen.

Sowohl für die EZB als auch für die BaFin stand das Jahr 2020  unter dem Schwer­punkt „Opera­tional Resilience“ und „Cyber­si­cherheit“. Zudem wurde auf europäi­scher Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröf­fent­lichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Opera­tional Resilience Act) ihre Anfor­de­rungen an Betriebs­sta­bi­lität und Cybersicherheit.

Für die Verant­wort­lichen stellt sich die Frage, wie diese verschie­denen Aktivi­täten zusam­men­spielen und – noch viel relevanter – wie effizient diese zur Zieler­rei­chung beitragen.

Novel­lierung MaRisk und BAIT – Operative IT-Sicherheit

Auf natio­naler Ebene veröf­fent­lichte die BaFin im Oktober letzten Jahres mit der  Novel­lierung von MaRisk und BAIT ihre Ansätze zur Adres­sierung von opera­tiven IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erwei­terung der BAIT-Anfor­de­rungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formu­lierten konkreten Anfor­de­rungen stellen kleinere und mittlere Institute wahrscheinlich vor große Heraus­for­de­rungen, da sie auf den Betrieb eines Security Infor­mation and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC) sowie regel­mäßige interne Abwei­chungs­ana­lysen, Schwach­stel­len­scans, Penetra­ti­ons­tests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer profes­sio­nellen Cyber-Security-Abteilung sowie unabhän­giger interner Infor­ma­ti­ons­si­cher­heits­struk­turen. Dies wird die betrof­fenen Institute schon allein aufgrund des erfor­der­lichen Know-hows und der begrenzten Ressourcen auf dem Arbeits­markt vor große Heraus­for­de­rungen stellen. Als weiterer Schwer­punkt wird das Notfall­ma­nagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.

Das TIBER-Programm von EZB und Bundesbank

Bereits im Jahr 2018 haben die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetra­ti­ons­tests, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetra­ti­ons­tests angestrebt. Die deutliche Zurück­haltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwän­digen Projekt­umfang, die nicht unwesent­lichen Risiken und zuletzt auch durch die „Freiwil­ligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte ander­weitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.

Digital Opera­tional Resilience Act (DORA) der EU

Die Veröf­fent­li­chung des Digital Finance Package enthält mit dem EU regulatory framework on digital opera­tional resilience  einen umfas­senden Legis­la­tiv­vor­schlag zur europa­weiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebs­sta­bi­lität, die aller­dings dem grenz­über­schrei­tenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmen­tierung auch die Gefahr der Inkon­sis­tenzen und ist zudem mit zusätz­lichen hohen Aufwänden für europaweit agierende Institute verbunden.

Hier ist es also sehr wünschenswert, mit DORA einheit­liche Regelungen, insbe­sondere zum Risiko­ma­nagement, Testen, Ausla­gerung Notfall- und Incident-Management, anzustreben. Neben der Verbes­serung und Optimierung der Wider­stands­fä­higkeit der einge­setzten IT-Systemen wird hier sicherlich auch ein signi­fikant vermin­derter Verwal­tungs­aufwand auf Seiten der Institute zu beobachten sein.

Gemeinsam die Cyber-Wider­stands­fä­higkeit erhöhen

Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswir­kungen auf gesetz­licher und regula­to­ri­scher Ebene aus. Gemeinsam analy­sieren wir Ihren Handlungs­bedarf und unter­stützen Sie bei der Umsetzung. Wir bewerten die Novel­lierung MaRisk und BAIT für Ihr Institut, unter­stützen bei der Vorbe­reitung, Durch­führung und Analyse von TIBER-Tests und analy­sieren die geplanten Anfor­de­rungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten zurückgreifen.

TIBER-DE
Homepage Admin

TIBER-DE | Stärkung der Cyber­wi­der­stands­fä­higkeit des Finanzsystems?

Digita­li­sierung des Finanz­sektors | Chancen & Cyber­ri­siken | TIBER-DE

Die zuneh­mende Digita­li­sierung des Finanz­sektors sorgt nicht nur für neue Möglich­keiten, sondern bringt auch erhöhte Cyber­ri­siken mit sich. Insbe­sondere können Angriffe auf das Finanz­system schwer­wie­gende Folgen nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit haben. Bereits im Jahr 2018 haben daher die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetrationstests.

Im Sommer 2019 beschlossen die Deutsche Bundesbank und das Bundes­mi­nis­terium der Finanzen (BMF) mit TIBER-DE die nationale Umsetzung dieses Rahmen­werkes, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Diese Umsetzung ist nunmehr erfolgt.

An wen richtet sich TIBER-DE?

TIBER-DE richtet sich insbe­sondere an kritische Unter­nehmen des Finanz­sektors, wie z.B. große Banken und Versi­cherer sowie deren IT-Dienst­leister und Zahlungs­dienst­leister. Die Deutsche Bundesbank stellt in ihrer TIBER-Imple­men­tierung heraus, dass die Durch­führung von TIBER-DE Tests dazu dient, „ein Netzwerk der natio­nalen, zur Zielgruppe gehörenden Unter­nehmen zu etablieren, um gemeinsam und mithilfe der Durch­führung von TIBER-DE-Tests die Cyber­wi­der­stands­fä­higkeit des Finanz­sektors nachhaltig und auf koope­ra­tiver Basis zu verbessern“.

Was passiert in einem Test?

In einem TIBER-DE Test überprüfen beauf­tragte Hacker („Red Team“) basierend auf Infor­ma­tionen eines Threat Intel­li­gence Providers („Spion“) die Cyber­wi­der­stands­fä­higkeit eines Unter­nehmens. Primäres Ziel hierbei ist die Identi­fi­kation von Sicher­heits­lücken in den Produk­tiv­sys­temen („critical functions“) im Rahmen eines möglichst realen Angriffs­sze­narios. Der TIBER-DE Test besteht aus drei Phasen, welche hier verkürzt darge­stellt werden:

  • In der Vorbe­rei­tungs­phase erfolgt die Initi­ierung, der Kick-Off, die Bestimmung des Testum­fangs und die Beschaffung. Insbe­sondere werden hier die entspre­chenden Verträge mit allen Betei­ligten geschlossen, der Testumfang festgelegt und die Finanz­auf­sicht über den beabsich­tigten TIBER-DE Test informiert.
  • In der Testphase werden Infor­ma­tionen zur Bedro­hungslage gesammelt und der Red Team Penetra­ti­onstest auf der Grundlage des zuvor festge­legten Testum­fangs durchgeführt.
  • Schließlich umfasst die Abschluss­phase die Erstellung der Testbe­richte, ein Replay und Feedback, einen Behebungsplan für gefundene Schwach­stellen sowie einen Abschluss­be­richt und die Attes­tierung inklusive Ergebnisweitergabe.

Risiken des Tests

Der TIBER-DE Test zielt auf die Produk­tiv­systeme mit den „critical functions“ eines Instituts, um deren Cyber­wi­der­stands­fä­higkeit realis­tisch bewerten zu können. Damit einher gehen jedoch auch Risiken, z.B. bezüglich der Vertrau­lichkeit, Integrität oder Verfüg­barkeit der Daten bzw. Systeme. In jedem Falle muss das Institut vor der Durch­führung eines Tests eine detail­lierte Risiko­analyse durch­führen und angemessene Maßnahmen zur Risiko­mi­ni­mierung treffen.

Darüber hinaus werden die Unter­nehmen vor organi­sa­to­rische, technische und daten­schutz­be­dingte Heraus­for­de­rungen gestellt. Kritische Geschäfts­pro­zesse müssen identi­fi­ziert werden, Abwehr­maß­nahmen müssen etabliert und dokumen­tiert. Zudem müssen TIBER-DE Tests mit den verschie­denen betrof­fenen Stake­holdern, z. B. Dienst­leistern, koordi­niert werden. Darüber hinaus muss eine Geheim­hal­tungs­pflicht auf allen Seiten einge­halten werden.

Derzeit beruht die Teilnahme an diesen Tests auf freiwil­liger Basis. Zusammen mit den nicht unbeacht­lichen Risiken scheint dies der Grund für die Zurück­haltung bei der Bereit­schaft zur Durch­führung eines TIBER-DE Tests zu sein.

Gemeinsam zum erfolg­reichen TIBER-DE Test

Die Experten von SRC können gemeinsam mit Ihnen einen TIBER-Test vorbe­reiten. Dazu gehört das unter­neh­mens­weite Scoping der zu testenden kriti­schen Geschäfts­pro­zesse und Unter­stützung bei der Etablierung von konformen Melde­wegen und ‑Prozessen zur Steuerung und Durch­führung von TIBER-Tests. Damit sind die internen Vorbe­rei­tungen getroffen, um einen TIBER-konformen Penetra­ti­onstest über einen Dienst­leister durch­führen zu lassen. Mit der Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten unter­stützen wir Sie gerne durch den gesamten Verfah­rens­ablauf eines TIBER-Tests.

Novellierung der BAIT 2021
Homepage Admin

Novel­lierung der BAIT 2021– Die neuen Anfor­de­rungen an Kreditinstitute

Die Novel­lierung der BAIT für 2021 bedeutet neue Anfor­de­rungen für Kredit­in­stitute. Dagegen steht die BaFin vor der Heraus­for­derung, die Guide­lines on security measures for opera­tional and security risks under the PSD2 und die Guide­lines on ICT and security risk management der EBA in Deutschland umzusetzen. Das soll mit einer Novel­lierung der BAIT (Bankauf­sicht­liche Anfor­de­rungen an die IT) bis zum 31. Dezember 2020 abgeschlossen sein. Erste Entwürfe wurden bereits in den Insti­tuten und Verbänden disku­tiert und kommentiert.

BAIT 2021 rückt IT-Sicherheit in den Mittelpunkt

Mit einem eigenen und neuen Kapitel rückt die operative IT-Sicherheit weiter in den Mittel­punkt. Die dort formu­lierten Anfor­de­rungen sind nur mit einem Security Infor­mation and Event Management Systems (SIEM) zu erfüllen. Das umfasst auch die Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC). Operativ sind regel­mäßige Überprü­fungen gefordert. Dazu gehören:

  • interne Abwei­chungs­ana­lysen
  • Schwach­stel­len­scans
  • Penetra­ti­ons­tests
  • die Simulation von Angriffen („Red Teaming“)

Die neuen Anfor­de­rungen der BAIT 2021 münden im Aufbau einer profes­sio­nellen Cyber-Security-Infra­struktur. Das bedeutet umfang­reiche und von einander unabhängige interne Informationssicherheitsstrukturen.

Die Geschäfts­leitung übernimmt die Gesamtverantwortung

Es fällt auf, dass schon der Entwurf nicht nur auf die Verant­wort­lichkeit der Geschäfts­leitung verweist. Der Geschäfts­leitung wird sogar die explizite Anerkenntnis der Gesamt­ver­ant­wortung für die Infor­ma­ti­ons­si­cherheit abver­langt. Dazu gehören auch die regel­mäßige Infor­mation über deren Belange und die Entscheidung zum angemes­senen Umgang mit Sicherheitsrisiken.

Anfor­de­rungen an das IT-Notfall­ma­nagement werden konsolidiert

Weitere Änderungen erwarten wir im Bereich IT-Notfall­ma­nagement. Die Anfor­de­rungen aus der BAIT werden mit denen aus Abschnitt AT7.3 der MaRisk konso­li­diert. So entstehen einheit­liche nationale Vorgaben. Außerdem rechnen wir mit einer Verschärfung und Präzi­sierung der Vorgaben hinsichtlich der Notfall­planung und –vorsorge, BCM, Desaster Recovery sowie die Backup­stra­tegien. Auch das Outsourcing an Dienst­leister wird aus unserer Sicht Gegen­stand der Neufassung sein.

Kredit­in­stitute stehen vor großen Herausforderungen

Nach Einschätzung der SRC-Experten für Banken Compliance werden die zu erwar­tenden Änderungen die betrof­fenen Institute vor große Heraus­for­de­rungen stellen. Das betrifft insbe­sondere das erfor­der­liche Know-how und die begrenzten Ressourcen auf dem Arbeitsmarkt.

Janine Wolff

BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ – 19. September 2019

In Koope­ration mit der SRC Security Research & Consulting GmbH richtet die Bank-Verlag GmbH ein BarCamp zum Thema „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ aus. Die Veran­staltung findet am 19. September 2019 in den Räumen des Bank-Verlags in Köln statt.

Mit den „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (kurz BAIT) hat die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht (BaFin) auch die neue Funktion des Infor­ma­ti­ons­si­cher­heits­be­auf­tragten definiert. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäfts­leitung. Wie diese Theorie in der Praxis aussieht, wird am 19. September im BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ näher beleuchtet.

Das BarCamp-Prinzip

Ein BarCamp ist eine offene Tagung mit praxis­nahen Workshops. Die Workshops dienen dem inhal­tichen Austausch und der Diskussion unter den Teilneh­menden. Dabei werden die Inhalte und der Ablauf von den Teilneh­menden zu Beginn selbst entwi­ckelt und im weiteren Verlauf gestaltet. Feste Redner oder vorde­fi­nierte Abläufe sind in einem BarCamp nicht zu finden. Statt­dessen setzt dieses Prinzip auf den (moderierten) Erfahrungsaustausch.

BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kreditinstituten“

Das BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kreditinstituten“gibt Infor­ma­ti­ons­si­cher­heits­be­auf­tragten sowie allen Verant­wort­lichen im Infor­ma­tions- und IT-Sicher­heits­ma­nagement von Kredit­in­sti­tuten die Gelegenheit, sich zu Themen wie z.B. BAIT-Prüfungen, Dienst­leis­ter­steuerung oder Risiko­ma­nagement auszu­tau­schen. Darüber hinaus können Kontakte geknüpft und Fachkunde ausgebaut werden. Die Pausen können für indivi­duelle Gespräche genutzt werden. Am Ende der Veran­staltung sorgt ein  „Get-together“ für einen vertie­fenden Austausch unter den Teilnehmenden.

Referenten der SRC

Gleich vier Experten aus verschie­denen Bereichen der SRC werden ihr Wissen und ihre Expertise im Rahmen des Barcamps mit den Teilneh­menden teilen.

Sandro Amendola, stell­ver­tre­tender Prüfstel­len­leiter bei der SRC, verant­wortet das Thema „IT-Compliance in der Kredit­wirt­schaft“. Darüber hinaus entwi­ckelt er, unter anderem im Auftrag der Deutschen Kredit­wirt­schaft, Sicher­heits­kon­zepte und Sicher­heits­an­for­de­rungen für Zahlungsverkehrsverfahren.

Jochen Schumacher ist bei SRC für den Bereich Kommu­ni­kation verant­wortlich. Er konzen­triert sich auf das Produkt­ma­nagement, die technische und redak­tio­nelle Betreuung des Webauf­tritts sowie die Planung, Durch­führung und Moderation von Veranstaltungen.

Florian Schumann ist Leiter der IT bei SRC. Darüber hinaus ist er Berater für Infor­ma­ti­ons­si­cherheit und quali­fi­zierter Prüfer gem. § 8 (a) BSIG für kritische Infrastrukturen.

Dr. Deniz Ulucay ist bei SRC als Berater für Infor­ma­ti­ons­si­cherheit tätig. Seine Schwer­punkte liegen im Aufbau von ISMSen, insbe­sondere bei Betreibern von kriti­schen Infra­struk­turen. Außerdem ist er für die Erstellung sowie Umsetzung von Sicher­heits­kon­zepten verantwortlich.

Anmeldung & Ablauf

Weitere Infor­ma­tionen zur Anmeldung und zum Ablauf des BarCamps zum Thema „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ können diesem Flyer entnommen werden und auf der Webseite des Bank-Verlags gefunden werden. Hier können Sie sich für die Veran­staltung direkt online anmelden und die für Sie wichtigen und inter­es­santen Themen einbringen und so Ablauf und Ergebnis des BarCamps „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ mitbestimmen.

Für weitere Fragen steht Ihnen Frau van Kessel gerne zur Verfügung (Tel. 0221/5490–161, andrea.vankessel(at)bank-verlag.de).

Informationssicherheitsbeauftragte/r für Kreditinstitute
Homepage Admin

Zerti­fikats-Lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 6. bis 9. November 2018

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in  ihren IT-Systeme und ‑Prozessen . Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erfor­derlich. Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in Ihrer Richt­linie die neu einzu­rich­tende Funktion “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte”. Diese steuern den Infor­ma­ti­ons­si­cher­heits­prozess und berichten direkt an die Geschäftsleitung.

In Koope­ration mit dem Bank-Verlag hat SRC bereits drei Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 6. bis zum 9. November 2018 haben Sie erneut die Möglichkeit sich in Köln zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Trinkaus & Burkhardt AG) referieren die SRC-Experten Sandro Amendola, Florian Schumann und Randolf Skerka und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management eingegangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kreditinstitute“.

Optional haben Sie die Möglichkeit sich am 5. November 2018 in Köln das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Informationstechnik.

Web-Seite zum Lehrgang
Online-Anmeldung
Flyer zum Lehrgang

Schlagwortarchiv für: BaFin