Fokusthema: Regulatorik

SECURITY-AWARENESS: MAßNAHMEN ZUR ABWEHR VON CYBER-RISIKEN

Technologischer Wandel: Wettbewerbsvorteil oder Schwachstelle?

Die Digitalisierung ist auf dem Vormarsch. Viele Unternehmen, darunter auch Banken und Finanzdienstleister, gehen den Weg zum Paperless Office beziehungsweise zum Multi-Channel-Vertrieb via Internet, Mobile Apps etc. Auf der einen Seite wird durch größere Server- und Speicherkapazitäten, schnellere Rechner und Datenleitungen sowie damit einhergehend entsprechend schnellere Reaktionszeiten eine schnellere Kommunikation mit dem Kunden ermöglicht. Auf der anderen Seite bringt eine solche Umstellung aber auch fast täglich Angriffe von Hackern auf die Computersysteme, das heißt auf die Betriebs- und Anwendungssoftware der deutschen Banken mit sich.

Betrachtet man die IT-Sicherheit im Finanzsektor, sind insbesondere Banken und andere Finanzdienstleister ein sehr attraktives Ziel. Hacker haben es dabei nicht nur auf den Diebstahl des bankeigenen Geldes, sondern im Wesentlichen auch auf Kundendaten abgesehen. Ein typisches Finanzinstitut wird schätzungsweise 80 – 100 Mal im Jahr angegriffen, wobei die Anzahl der Cyber-Angriffe auf globaler und nationaler Ebene kontinuierlich steigt. Die Vielzahl der Angriffsmethoden über diverse Zugriffspunkte stellt ein hohes Risiko dar und kann erhebliche Störungen bei betrieblichen Vorgängen bewirken, wie beispielsweise Betriebsunterbrechungen, Datenverlust oder Datenschutzverletzungen, Reputationsschäden, Vermögensschäden bis hin zu sogenannten „Cyber-Liabilities“, den Haftungsansprüchen der betroffenen Kunden. Mittlerweile werden diese Hacker-Aktivitäten auch von den Aufsichtsbehörden (Europäische Zentralbank, Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und Deutsche Bundesbank) als sehr ernstzunehmende Gefahr wahrgenommen – vollkommen losgelöst von den zukünftigen Anforderungen an die Betreiber von kritischen Infrastrukturen, mit denen sich einige größere Banken darüber hinaus aktuell auseinandersetzen müssen. Diese Wahrnehmung wird umso präsenter, wenn zusätzlich der Eindruck entsteht, dass die IT-Sicherheitssysteme der Banken Mängel aufweisen. Zu diesem Ergebnis kamen die Aufseher der Europäischen Zentralbank, der Bundesbank und der BaFin bei Prüfungen der IT-Systeme, wie BaFin-Präsident Felix Hufeld in einem Interview im BaFin Journal berichtet. In der Konsequenz muss man bei derartigen Fällen durchaus mit höheren Kapitalanforderungen wegen bestehender IT-Mängel gerechnet werden. Das Cyber-Risiko kann daher mittlerweile als eines der wesentlichen Risiken für den deutschen Finanzsektor betrachtet werden. Auch wenn im bisherigen Kontext ausschließlich von Banken gesprochen wird, kann davon ausgegangen werden, dass auch für andere regulierte Unternehmen wie Finanzdienstleister oder Versicherungen zu gegebener Zeit entsprechende Prüfungen vorgenommen werden.

Was Cyber-Risiko konkret bedeutet

Grundsätzlich werden unter dem Begriff „Cyber“ computergesteuerte Prozesse beziehungsweise durch diese generierten „virtuellen Welten verstanden. Als Cyber-Risiko können dahingehend unter anderem folgende Übergriffe auftreten:

  • Sabotage-Attacken auf einem Web-Server
  • Hacken von Mobile Apps/ Webservices
  • Überlisten von Virenscanner durch Krypto-Trojaner
  • USB-Port-Angriffe
  • SQL-Injections (Datenbankangriffe), z. B. durch gefälschte Barcodes
  • Funktastaturen
  • Umgehen des Windows Passwortschutzes
  • Angriff auf LOCK-Codes der Smartphones
  • Angriffe auf Zahlungssysteme

Bei der Betrachtung dieser Beispiele wird schnell klar, dass bei den meisten Cyber-Attacken externe Hardwarekomponenten eingesetzt werden, zum Beispiel ein vorher modifizierter USB-Stick oder ein kleines Trojanerprogramm, welches beispielsweise mit Hilfe einer E-Mail in den unternehmensinternen IT-Kreislauf einschleust wird. Für eine derartige Beeinflussung der bankeigenen Technik benötigen externe Angreifer daher immer interne Zugänge. Insofern kann man davon ausgegangen werden, dass die Ursache für eine derartige Gefahr zu 70 % „im Inneren“ zu finden ist.

Maßnahmen gegen das Cyber-Risiko

Aus diesem Grund sollte ein wesentlicher Fokus auf der internen Gefahrenlage, der sogenannten Awareness, liegen. Beim Thema Awareness ist es notwendig, zum Beispiel die BSI Grundsätze auch wirklich zu leben. Wenn operative Fehler auftreten, sollte das keine persönlichen Konsequenzen für Mitarbeiter haben, da Fehler sonst womöglich nicht zur Sprache gebracht werden. Besser ist der folgende Grundsatz: Wenn etwas vorgefallen ist, sollte beispielsweise durch interne Schulungen daran gearbeitet werden, das erneute Entstehen von Fehlern zu vermeiden. Vorsätzliche Fehler sind von solch einem Grundsatz natürlich ausgenommen.

Die zu implementierenden Maßnahmen sind aber nicht nur auf das Unternehmen an sich beschränkt, sondern beziehen sich auch auf deren outgesourcte Dienstleistungen. Die Zugangsmöglichkeiten dahingehend vergrößern sich, weil Banken immer mehr IT-Bereiche auf spezialisierte Anbieter weiterverlagern. Das heißt die von Banken beauftragten externen Dienstleister übertragen spezielle Tätigkeiten wie zum Beispiel die Softwareentwicklung auf weitere externe Dienstleister, welche somit immer stärker in den Fokus der Bankenaufsicht rücken.

Lesen
Lesen Sie hierzu auch unseren Fokusthemenbeitrag „Auslagerung und Fremdbezug in der IT von Banken nach MaRisk und BAIT“.
Lesen

Regulatorische Anforderungen für mehr Sicherheit

Neben der bereits verankerten Veröffentlichung zu den Mindestanforderungen an das Risikomanagement (MaRisk) gibt es ein weiteres Rundschreiben der BaFin zu den Bankaufsichtlichen Anforderungen an die IT (BAIT). Damit soll das Bewusstsein für Cyber-Risiken auch auf Ebene der Geschäftsleitung erhöht werden, was neben der Festlegung einer IT-Strategie beispielsweise auch die Implementierung eines angemessenen Schadenmanagements beinhaltet.

Wie können wir Sie unterstützen?

Wie so häufig steckt der Teufel im Detail. Q_PERIOR steht Ihnen mit Fach- und IT-Experten als zuverlässiger Partner zur Seite und begleitet Sie beim Umsetzungsprozess Ihrer IT-Sicherheit. Es gibt vieles, was man in Bezug auf die Revision tun kann. Wir fokussieren uns dabei aufgrund der wesentlichen „internen“ Gefahrenlage auf Prüfungs- und Beratungshandlungen zum Thema Awareness. Dazu gehören:

Prüfungs-/ Beratungshandlungen zur Strategie:

  • Verfügt Ihr Institut über eine auf die Geschäfts- und Risikostrategie abgestimmte IT-Strategie?

  • Beinhaltet Ihre Unternehmensstrategie neben der Profitabilität eines potentiellen Strategiefeldes auch angemessen die entsprechenden Sicherheitsaspekte?

  • Behandeln Sie Ihre IT- und Cyber-Risiken genauso sorgsam wie Ihre bisherigen traditionellen Risiken, um eine ganzheitliche – auch gruppenübergreifende – Cyber-Abwehr zu gewährleisten?

  • Existieren aussagekräftige Übersichten über die IT-Landschaft inklusive sämtlicher Bestandteile einer eventuell heterogenen IT-Architektur (Front-End, Middleware, Host-Anwendungen)?

  • Gibt es darauf abgestellte, gegebenenfalls mehrstufige Sicherheitsbereiche, angemessene Notfallpläne sowie Sicherheits-Updates?

  • Beinhaltet Ihre strategische Entwicklung der IT neben der Informationssicherheitsorganisation auch die individuelle Datenverarbeitung in den Fachbereichen?

Prüfungs-/ Beratungshandlungen zu Auslagerungen

  • Sind in Ihrem Institut Verträge für den Fremdbezug von IT-Dienstleistungen (das sind zum Beispiel einmalig erbrachte Leistungen) analog zu den Verträgen für Auslagerungen ausgestaltet?

  • Wie spiegeln sich bei Auslagerungen/ bzw. Teilauslagerungen der IT-Prozesse an gruppeninterne oder sogar externe Service-Provider die Anforderungen wider?

  • Haben Sie bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse die grundsätzliche Verpflichtung zur Abstellung auf gängige Standards (z.B. ISO 2700X, Grundschutzkataloge des BSI) sichergestellt?

Prüfungs-/ Beratungshandlungen zur IT-Sicherheit

  • Prüfung der IT-Infrastruktur, zugehöriger Geschäftsprozesse und des IT-Sicherheitskonzepts/ IT-Sicherheitsmanagements

  • Wird Verschlüsselungssoftware (BSafeguard, Bitlocker etc.) individuell angepasst beziehungsweise konfiguriert (sogenannte Härtung)?

  • Wird ein Patchmanagement betrieben und überwacht (Grundregel: NIE weglassen)?

  • Bestehen für Antivirus-Software und Firewall Wartungsverträge?

  • Gibt es in Ihrem Institut im Rahmen der Anwendungsentwicklung (inkl. für in Fachbereichen entwickelte und betrieben Anwendungen)

    –  eine übersichtliche und für Dritte nachvollziehbare Dokumentation?

    –  einen für sachkundige Dritte lesbaren Code?

    –  ein zentrales Register dieser Anwendungen?

    –  eine Verwaltung und angemessene Steuerung des Bestands der IT-Systeme (inkl. ihrer Bestandteile und Beziehungen)?

    –  Prozesse zur Änderung der IT-Systeme, welche in Abhängigkeit von der Komplexität der Systeme angemessen ausgestaltet sind (inkl. Aufnahme und Verarbeitung von Änderungsbedarfen)?

    –  eine Überwachung und Steuerung von Abweichungen vom Regelbetrieb?

Coaching und Beratung

  • IT-Governance Schulungen von Revisionsabteilungen

  • Begleitung von Revisionsprüfungen unter Federführung der Prüfleiter

Lesen
Mehr zu den Auswirkungen möglicher Cyber-Angriffe auf IT-Systeme und wie Sie diesen mit einem Informationssicherheitsmanagementsystem (ISMS) vorbeugen können, erfahren Sie in unserem Fokusthemenbeitrag.
Lesen
Lesen
In unserem Fachbeitrag erläutern unsere Compliance-Experten, wie Sie mit Hilfe eines Fragenkatalogs der BaFin die Cyber-Sicherheit im eigenen Unternehmen kritisch beleuchten können.
Lesen

Weitere Fokusthemen

WIR SIND FÜR SIE DA!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!

28. Februar 2018|