Schlagwortarchiv für: EU

Homepage Admin

Opera­tional Resilience – Anfor­de­rungen an die Cyber-Wider­stands­fä­higkeit von Instituten

Aktuelle Schwer­punkt­themen: Opera­tional Resilience und Cybersicherheit

Angriffe auf das Finanz­system können schwer­wie­gende Folgen haben – nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit. Auch Experten der Bundesbank, Sicher­heits­experten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Wider­stands­fä­higkeit gegen ebensolche als größte Gefahr, die sich aus der zuneh­menden Digita­li­sierung im Finanz­sektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetz­liche und regula­to­rische Rahmen­be­din­gungen geschaffen, um im gesamten Finanz­sektor europaweit einheit­liche Standrads zu schaffen und die „Opera­tional Resilience“ zu erhöhen.

Sowohl für die EZB als auch für die BaFin stand das Jahr 2020  unter dem Schwer­punkt „Opera­tional Resilience“ und „Cyber­si­cherheit“. Zudem wurde auf europäi­scher Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröf­fent­lichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Opera­tional Resilience Act) ihre Anfor­de­rungen an Betriebs­sta­bi­lität und Cybersicherheit.

Für die Verant­wort­lichen stellt sich die Frage, wie diese verschie­denen Aktivi­täten zusam­men­spielen und – noch viel relevanter – wie effizient diese zur Zieler­rei­chung beitragen.

Novel­lierung MaRisk und BAIT – Operative IT-Sicherheit

Auf natio­naler Ebene veröf­fent­lichte die BaFin im Oktober letzten Jahres mit der  Novel­lierung von MaRisk und BAIT ihre Ansätze zur Adres­sierung von opera­tiven IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erwei­terung der BAIT-Anfor­de­rungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formu­lierten konkreten Anfor­de­rungen stellen kleinere und mittlere Institute wahrscheinlich vor große Heraus­for­de­rungen, da sie auf den Betrieb eines Security Infor­mation and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC) sowie regel­mäßige interne Abwei­chungs­ana­lysen, Schwach­stel­len­scans, Penetra­ti­ons­tests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer profes­sio­nellen Cyber-Security-Abteilung sowie unabhän­giger interner Infor­ma­ti­ons­si­cher­heits­struk­turen. Dies wird die betrof­fenen Institute schon allein aufgrund des erfor­der­lichen Know-hows und der begrenzten Ressourcen auf dem Arbeits­markt vor große Heraus­for­de­rungen stellen. Als weiterer Schwer­punkt wird das Notfall­ma­nagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.

Das TIBER-Programm von EZB und Bundesbank

Bereits im Jahr 2018 haben die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetra­ti­ons­tests, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetra­ti­ons­tests angestrebt. Die deutliche Zurück­haltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwän­digen Projekt­umfang, die nicht unwesent­lichen Risiken und zuletzt auch durch die „Freiwil­ligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte ander­weitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.

Digital Opera­tional Resilience Act (DORA) der EU

Die Veröf­fent­li­chung des Digital Finance Package enthält mit dem EU regulatory framework on digital opera­tional resilience  einen umfas­senden Legis­la­tiv­vor­schlag zur europa­weiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebs­sta­bi­lität, die aller­dings dem grenz­über­schrei­tenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmen­tierung auch die Gefahr der Inkon­sis­tenzen und ist zudem mit zusätz­lichen hohen Aufwänden für europaweit agierende Institute verbunden.

Hier ist es also sehr wünschenswert, mit DORA einheit­liche Regelungen, insbe­sondere zum Risiko­ma­nagement, Testen, Ausla­gerung Notfall- und Incident-Management, anzustreben. Neben der Verbes­serung und Optimierung der Wider­stands­fä­higkeit der einge­setzten IT-Systemen wird hier sicherlich auch ein signi­fikant vermin­derter Verwal­tungs­aufwand auf Seiten der Institute zu beobachten sein.

Gemeinsam die Cyber-Wider­stands­fä­higkeit erhöhen

Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswir­kungen auf gesetz­licher und regula­to­ri­scher Ebene aus. Gemeinsam analy­sieren wir Ihren Handlungs­bedarf und unter­stützen Sie bei der Umsetzung. Wir bewerten die Novel­lierung MaRisk und BAIT für Ihr Institut, unter­stützen bei der Vorbe­reitung, Durch­führung und Analyse von TIBER-Tests und analy­sieren die geplanten Anfor­de­rungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten zurückgreifen.

PSD2
Janine Wolff

SRC-Experte Sandro Amendola leistet Beitrag zum PSD2-Tischgespräch

Inkraft­treten der zweiten EU-Zahlungs­dienste­richt­linie PSD2

„Banken+Partner“ Exper­ten­runde zur PSD2

Die zweite EU-Zahlungs­dienste­richt­linie PSD2 tritt im Januar in Kraft. Der geschäfts­po­li­tische, technische und regula­to­rische Handlungs­bedarf für Kredit­in­stitute ist vielfältig und gleich­zeitig bankin­di­vi­duell. Unter anderem müssen dann die Institute strengere Sicher­heits­an­for­de­rungen für die Authen­ti­fi­zierung ihrer Kunden beachten, umsetzen und gegenüber der natio­nalen Aufsichts­be­hörde nachweisen. Für Banken und Sparkassen als Dienst­leister und für Kunden als Nutzer besteht die Gefahr, dass Login und Zahlungs­freigabe unbequemer werden. Gleich­zeitig muss die Schnitt­stelle für den Zugriff berech­tigter Dritt­an­bieter imple­men­tiert werden.

SRC-Experte erörtert die komplexen PSD2 Heraus­for­de­rungen und evaluiert Lösungsansätze

SRC-Experte Sandro Amendola

Sandro Amendola, Division Manager bei der SRC Security Research & Consulting GmbH, war einer der Experten beim Tisch­ge­spräch von „Banken+Partner“. Herr Amendola erörterte In hochka­rä­tiger Runde Chancen und Heraus­for­de­rungen der PSD2 und umriss mögliche Lösungs­an­sätze für Banken und Sparkassen.

Die konkreten Heraus­for­de­rungen für Banken und Sparkassen

Ein Beispiel für diese Heraus­for­de­rungen sind die Schnitt­stellen für berech­tigte Dritt­an­bieter, deren Bereit­stellung für Banken mit der PSD2 zur Pflicht wird. Ein weiteres Beispiel ist die Zwei-Faktor-Authen­ti­fi­zierung, die Sicherheit beim Konto­zu­griff noch weiter in den Vorder­grund rückt. Gestei­gerte Sicherheit auf der einen Seite ist häufig nicht ohne zu große Abstriche in Punkto Bequem­lichkeit und Kunden­freund­lichkeit auf der anderen Seite zu machen. Wie diese Sicherheit möglichst ohne Komfort- und Kunden­verlust bewerk­stelligt werden kann, wurde ebenfalls von den anwesenden Experten erläutert. Abschließend ging es noch um die Chancen, die durch Koope­ra­tionen mit den agilen FinTechs genutzt werden können.

Die möglichen Lösungs­an­sätze für Banken und Sparkassen

Mögliche Lösungs­an­sätze bietet Sandro Amendola in indivi­duelle Workshops und Beratungen zu PSD2.

Bildquelle: Banken+Partner/Fotografie Schepp