„IT-Aufsicht bei Banken“: Bericht über die BaFin-Konferenz

netzwerk-klettergerüst


Hintergrund:

Am 12. September 2019 fand im World Conference Center in Bonn die Fachkonferenz „IT-Aufsicht bei Banken“ statt, die von der BaFin zum mittlerweile sechsten Mal ausgerichtet wurde. Die Veranstaltung rückte aus dem breiten Themenspektrum der Digitalisierung und IT-Sicherheit insbesondere die neuen aufsichtlichen Anforderungen der zweiten Zahlungsdiensterichtlinie (PSD2) und das TIBER-DE-Rahmenwerk (Threat Intelligence-based Ethical Red Teaming) zur Erkennung von Schwachstellen im IT-System von Banken in den Fokus.

Referiert wurde ebenfalls zu den Anforderungen der Bundesbank in Bezug auf die Prüfung der Netzwerksicherheit, zu den Erkenntnissen der Europäischen Zentralbank (EZB) zum IT-Risiko-Management von Banken aus der Aufsicht im einheitlichen Bankenaufsichtsmechanismus (Single Supervisory Mechanism, SSM) sowie zu den Erfahrungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nach zwei Jahren KRITIS-Regulierung (Kritische Infrastrukturen) im Bankensektor. Prof. Dr. Key Pousttchi gab in seinem spannenden und dynamischen Vortrag einen Einblick in die Möglichkeiten der Banken zur Nutzung von Big Data und Künstlicher Intelligenz (KI).


IT-Infrastruktur und Big-Data-Analyse als entscheidende Wettbewerbsfaktoren:

Die Antwort auf die viel diskutierte Frage zur Wettbewerbsfähigkeit der etablierten Banken gegenüber FinTechs, Google & Co. könnte im Ergebnis der Veranstaltung lauten: „Es ist noch nicht zu spät, packen wir es (endlich) an.“ 

Prof. Dr. Pousttchi von der Universität Potsdam verwies vor diesem Hintergrund zunächst auf die erste und wichtigste Ebene der digitalen Transformation: das Leistungserbringungsmodell. Die Einführung moderner IT sei keine primär technische Frage, sondern eine prozessgetriebene. So könne eine Umsetzung schlanker, digitalisierter Prozesse nur dann stattfinden, wenn das Kernbankensystem die Basis dafür bilden kann. Folglich müsse die Erneuerung bei diesem beginnen, damit die Digitalisierung der Bankprozesse daran anschließen könne.

Gegenüber den etablierten Banken hätten junge Wettbewerber den Vorteil, gleich mit einem neu aufgesetzten Kernbankensystem starten zu können. Erst wenn dieser erste Schritt durchgeführt sei, könnten weitere Maßnahmen, wie neue Produkte und neue Geschäfts- und Erlösmodelle sowie eine intensive Kundeninteraktion, erfolgreich umgesetzt werden. Anderenfalls käme es lediglich zu einer „Fassadendigitalisierung“.    

In seinen Ausführungen zum Leistungsangebots- und Kundeninteraktionsmodell der Banken betonte der Digitalisierungsexperte die Notwendigkeit einer größeren Kundennähe beim Thema Digitalisierung. Insbesondere würden die Banken das tatsächliche, mitunter irrationale Kundenverhalten bei der Konzeption ihrer digitalen Produkte noch immer nicht im notwendigen Umfang berücksichtigen.

Anschaulich stellte er die Ergebnisse einer empirischen Untersuchung zur Erklärung des Kundenverhaltens bei der Nutzung von Mobile Services anhand eines Strukturgleichungsmodells dar. Demnach bestünde ein hoher korrelativer Zusammenhang von wahrgenommenem Nutzen und dem Spaß bei Nutzung der Dienstleistung: „Wenn der Dienst (z. B. eine App) keinen Spaß macht, ist er auch nicht nützlich.“ Als Handlungsauslöser für die Nutzung einer App stünden außerdem nicht das – nach rationalen Überlegungen zu erwartende – Bedürfnis, Geld oder Zeit zu sparen, im Vordergrund. Vielmehr wies den mit 0,7 höchsten Korrelationskoeffizienten das Verlangen nach „Überbrückung der Langeweile“ auf.

Während FinTechs das Bedürfnis der Kunden nach Unterhaltung schon länger erkannt hätten, müssten Banken kurzfristig lernen, dieses für sich zu nutzen. Ebenso überließen Händler sowie Banken das Potenzial, welches das Machine Learning, also die Künstliche Intelligenz (KI), beim maßgeschneiderten Angebot von Dienstleistungen bietet, noch immer den Big-Data-Analysten wie Apple und Google. Diese würden insofern in die Marktverhältnisse eingreifen, dass sie umfangreiche Daten über das Kundenverhalten für eine gezielte Kundenzuleitung an den Meistbietenden nutzen. Letztlich führe dies zu kontinuierlichen Marktaustritten bis hin zur Monopolisierung zugunsten des kapitalstärksten Händlers bzw. der eigenkapitalstärksten Bank.

Dieser Entwicklung könne entgegengetreten werden, wenn die Marktteilnehmer Kundendaten in einem Zusammenschluss gemeinschaftlich zusammentrügen und diesem selbst die Entscheidung über die Preisgabe und die Pflege zur Generierung passender Kauf- bzw. Anlagevorschläge überließen. Eine solche Kooperation sei in Deutschland aktuell aber wenig realistisch, sodass die Institute bei der Nutzung von Big Data auf ihnen selbst vorliegende Daten zurückgreifen müssten.

Letztlich seien erst etwa 10 Prozent der notwendigen Digitalisierungsmaßnahmen im Bankensektor umgesetzt. Seine Ausführungen schloss Prof. Dr. Pousttchi nicht ohne einen Seitenhieb auf die Regulatoren ab: Für die Banken bestünde die Schwierigkeit nämlich darin, dass sie sich – anders als die Masse der Händler – einer deutlich stärkeren Regulierung gegenübergestellt sähen, deren Angemessenheit und Praktikabilität nicht selten anzuzweifeln sei. Jüngstes Beispiel hierzu sei die PSD2.


Zu den notwendigen Veränderungen im Finanzsektor gehört auch ein angemessenes Krisenmanagement:

Mit den Chancen, welche die Digitalisierung den Banken bietet, muss zwangsläufig auch das IT-Risiko-Management wachsen. Neben den Indikationen, die sich aus den Prüfungen von Bundesbank, BaFin, EZB und BSI für die Institute ergeben, stellten Dr. Miriam Sinn von der Bundesbank und Christoph Ruckert von der BaFin das neue TIBER-DE-Rahmenwerk vor.

Es beschreibt, basierend auf dem in 2018 verabschiedeten Europäischen Rahmenwerk TIBER-EU, die Phasen eines simulierten Angriffs auf die IT-Systeme einer Bank durch externe Profihacker. Damit sollen vor allem systemrelevante Institute darin unterstützt werden, Schwachstellen in ihren Systemen aufzudecken, um Cyber-Angriffe effektiv abwehren zu können. Zudem ergäben sich im Ergebnis der Angriffe konkrete Handlungserfordernisse zur Schließung der aufgezeigten Lücken, sodass eine Kosten-Nutzen-Abwägung für Aufwendungen zum Thema IT-Sicherheit leichter vorzunehmen wäre.

Nationale Konkretisierungen des EU-Rahmenwerks wären bereits in Deutschland, den Niederlanden, Belgien und Dänemark erfolgt, wobei eine verpflichtende Anwendung für Deutschland derzeit nicht vorgesehen sei. Vielmehr setzten die Aufsichtsbehörden auf eine kooperative Zusammenarbeit der großen Institute in Europa, um das Finanzsystems vor Cyber-Attacken zu schützen.

Ein Testverfahren auf Basis eines simulierten Angriffs dauere in etwa ein halbes Jahr und gliedere sich in die Vorbereitungs-, Test- und Abschlussphase. Der Angriff durch ein externes sogenanntes Red Team basiere auf einer sektorbezogenen Bedrohungssituation (Generic Threat Landscape), die nach Abstimmung mit der Aufsicht und Auswahl eines Dienstleisters für das jeweilige Institut konkretisiert würde (Targeted Threat Intelligence). Über die durch den Hackerangriff aufgedeckten Schwachstellen würde ein Report erstellt und durch die intern Verantwortlichen (Blue Team) ein Abarbeitungsplan abgeleitet.

Krisenmanagementprozesse seien nach Ansicht der Referenten nicht nur im Ergebnis der TIBER-Tests erforderlich, sondern für alle Institute von Relevanz. Diese beinhalteten sowohl Cyber-Abwehrmaßnahmen als auch z. B. eine Kommunikationsstrategie der Banken zur Vermeidung von Falschinformationen über IT-Vorfälle in der Öffentlichkeit. Somit könnte Reputationsverlusten oder sogar Phishing-Angriffen auf fehlinformierte Kunden vorgebeugt werden.


Erfahrungen aus der Prüfung durch die (Aufsichts)Behörden:

Jörg Bretz von der Bundesbank fokussierte sich in seinem Vortrag auf den Umgang der Banken mit dem Thema Netzwerksicherheit. Vor dem Hintergrund der in Teilen bestehenden Defizite erläuterte er noch einmal zentrale, von den Instituten zu berücksichtigende Grundregeln. Insbesondere zählten dazu eine vollständige Dokumentation der Netzwerkstruktur und eine Absicherung externer Verbindungen durch zweistufige Firewalls. Auch das interne Netzwerk sei in jeweils abgesicherte Zonen zu untergliedern (Server/Administration/Clients/externe Verbindungen), wobei die zulässige Kommunikation zwischen diesen im Rahmen einer Kommunikationsmatrix zu definieren wäre. Eine Netzwerkszugangskontrolle, u. a. mittels technischer Access-Control-(NAC)-Mechanismen, und eine Device-Security-Kontrolle hinsichtlich der Zulässigkeit von Endgeräten seien zwingend erforderlich. Eine regelmäßige möglichst automatisierte Überprüfung der Firewall-Regeln, der Schutz interner Anwender durch Proxies, die Verschlüsselung und Authentifizierung von Verbindungen, die Sicherheit bei VPN und Fernzugriff sowie der Schutz gegen bösartige Überlastungen von außen (DDoS-Schutz) seien weitere notwendige Vorkehrungen. 

Als Aufsichtsmaßnahmen auf europäischer Ebene zum IT-Risiko-Management benannte Claus Sengler von der EZB insbesondere das Mittel der Horizontalen Analyse (Fragebögen und Telefoninterviews zur Selbstbewertung), das Cyber Incident Reporting (Meldung an die EZB, z. B. bei potenziellen Schäden oberhalb eines Schwellenwerts, bei einer Ad-hoc-Berichterstattung an den Chief Information Officer (CIO) oder einer Meldung an die Polizei) sowie Vor-Ort-Prüfungen (On-Site Inspections, OSIs). Die Selbsteinschätzung der Häuser hätte dabei vor allem ergeben, dass diese vermehrt das Datenqualitätsmanagement und das IT-Risiko-Management als Schwachstelle auswiesen. Zudem wäre ein allgemeiner Anstieg von IT-Auslagerungen zu beobachten. Da viele Banken für einen Großteil der Auslagerungen und andere Dienstleisterbeziehungen nur einen bzw. wenige Dienstleister nutzen, zeichne sich ein Konzentrationsrisiko ab. Des Weiteren hielten die Institute nicht immer genug erfahrenes Personal für das Auslagerungsmanagement der ausgelagerten Aktivitäten bereit.

In den letzten zwei Jahren seien im Rahmen des Cyber Incident Reportings nur wenige Vorfälle gemeldet und die meisten davon auch erst verspätet erkannt worden. Es wäre i. d. R. nur zu kurzen Störungen im Betriebsablauf gekommen. Als häufigste Ursachen hätten sich DDoS-Attacken, unerlaubte Zugriffsanfragen, Datenverlust, Phishing-Attacken sowie verlorene USB-Sticks mit Kundendaten herauskristallisiert.

Auch Marc Schober vom BSI, das seit zwei Jahren für die KRITIS-Regulierung im Bankensektor zuständig ist, berichtete von einer bislang überschaubaren Anzahl an Meldungen der Betreiber kritischer Infrastrukturen. Allerdings seien aktuell nur schätzungsweise 13 Banken meldepflichtig. Dabei betreffe die Meldepflicht Störungen, die zu einem Ausfall oder einer erheblichen Beeinträchtigung der KRITIS hätten führen können. Bei den Meldungen selbst sehe er noch Verbesserungspotenzial hinsichtlich der Qualität der Meldeinhalte, der Zeit bis zur Meldungsabgabe sowie der Meldekriterien. Der Hintergrund ist, dass die BaFin die BAIT am 14. September 2018 nach Abstimmung mit dem BSI um ein spezielles Modul ergänzt hatte, das sich ausschließlich an Betreiber kritischer Infrastrukturen richtet. Bis zum 30. Juni diesen Jahres seien von den Betreibern Nachweise gemäß § 8a Abs. 3 BSIG vorzulegen gewesen. Auch hier sehe das BSI hinsichtlich des neuen KRITIS-Fokus noch Nachbesserungsbedarf.


Welche regulatorischen Änderungen sind weiterhin zu erwarten?

Die Vertreter der BaFin, Dr. Markus Burkow und Dr. Felix Strassmair-Reinshagen, zogen eine erste Bilanz aus der bisherigen Aufsichtspraxis zur PSD2, die bis zum 14. September 2019 vollumfänglich von den Instituten umzusetzen ist. Die bislang eingereichten Zulassungsanträge führten nach Angabe der Referenten zu einer Verdreifachung der zu beaufsichtigenden Institute. Hierbei handele es sich zum einen um klassische Kreditinstitute und E-Geld-Institute sowie zum anderen um Zahlungsauslöse- und Kontoinformationsdienstleister.

Weiterhin gaben sie einen Überblick über die Anforderungen der Aufsicht an die Institute im Rahmen der Erlaubniserteilung, die sowohl organisatorische Aspekte – wie z. B. die Notwendigkeit von Sicherheitskonzepten, Arbeitsanweisungen und ggf. einer Berufshaftpflichtversicherung – als auch technische Voraussetzungen – wie Berechtigungs- und Rollenkonzepte oder die Verschlüsselung und Tokenisierung – beträfen.

Zur Umsetzung der Verpflichtung einer Starken Kundenauthentifizierung im Rahmen des Zugangs zum Zahlungskonto merkten die Referenten an, dass die meisten Institute von der Möglichkeit, diese nur alle 90 Tage zu verlangen, keinen Gebrauch machen würden. Bei der Einrichtung von Schnittstellen zur Schaffung eines Zugangs für dritte Zahlungsdienstleister würden sich dagegen noch funktionale und operative Mängel zeigen, sodass sich eine erfolgreiche Marktbewährung bei den meisten Schnittstellen aktuell (noch) nicht abzeichne. Vor-Ort-Prüfungen im Rahmen der laufenden Aufsicht würden später wie üblich je nach Risikoklassifizierung der Institute erfolgen.

Bis Ende des Jahres soll die Veröffentlichung der EBA Guidelines on ICT Risk Assessment erfolgen, woraus wiederum eine Aktualisierung der BAIT folgen wird. Jens Obermöller, Referatsleiter in der BaFin-Gruppe IT-Aufsicht, gab bereits einen Hinweis darauf, dass vor dem Hintergrund der Bedeutung eines angemessenen IT-Notfallmanagements hierzu ein gesondertes neues Modul geplant sei. Außerdem werde es mehr Vor-Ort-Prüfungen durch die zuständigen Behörden geben.

Veröffentlicht in Allgemein