„Cyberangriffe sind nicht nur Stoff für Science-Fiction-Filme. Sie sind sehr ernst zu nehmender Alltag.“ Mit diesen Worten begrüßte BaFin-Chef Felix Hufeld rund 400 Vertreter der Finanzbranche und IT-Sicherheitsexperten, die sich in Bonn getroffen haben, um sich über die zunehmenden Bedrohung für die Bank-IT zu informieren. Die Banken selbst haben die Problematik „IT-Sicherheit“ ebenfalls erkannt. Denn während die Branche die Bedrohung für mehr oder weniger händelbar hielt, sehen Banken in möglichen Angriffen von Kriminellen inzwischen die zweitgrößte Gefahr für das Geschäftsmodell überhaupt – weit vor „klassischen“ Branchenproblemen wie dem Zugang zu Kapital oder Liquidität. Das geht aus der Umfrage „Banking Banana Skins 2015“ von PwC und dem Centre for the Study of Financial Innovation (CSFI) hervorgeht.
Auch der Gesetzgeber ist aktiv geworden: Mit dem IT-Sicherheitsgesetz (IT-SiG) schreibt der Gesetzgeber den Betreibern kritischer Infrastrukturen, wozu unter anderem Transport- und Logistikunternehmen, Energieversorger und Finanzdienstleister gehören, vor, sich gegen IT-Angriffe besser zu wappnen. Die betroffenen Unternehmen müssen die Vorgaben formal bis zum 13. Juni 2017 umgesetzt haben. Dafür müssen sie ein Informationssicherheits-Managementsystem (ISMS) aufbauen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Ansprechpartner nennen sowie eine Meldestelle einrichten, über die sie das BSI über Cyberangriffe informieren.
Und nun reagiert auch die Aufsicht: Die Veranstaltung in Bonn, an der sowohl Vertreter der BaFin als auch der deutschen Bundesbank auftraten, dienste in erster Linie dazu, über die geplanten Bankaufsichtlichen Anforderungen an die IT (BAIT) auf Interesse. Mit diesem Rundschreiben werden BaFin und Bundesbank die IT-relevanten Passagen der Mindestanforderungen an das Risikomanagement (MaRisk) konkretisieren. „Die BAIT werden dazu beitragen, in den Banken das unternehmensweite Bewusstsein für das IT-Risiko und die IT-Sicherheit zu erhöhen“, sagte Raimund Röseler, Exekutivdirektor Bankenaufsicht der BaFin. Er wies darauf hin, dass die Geschäftsleitung für die Umsetzung und Einhaltung der BAIT verantwortlich sei. Der Entwurf der BAIT wird in Kürze zur Konsultation gestellt. Auf der Tagesordnung standen auch die Zahlungsdiensterichtlinie II (PSD II) und deren Anforderungen an die starke Kundenauthentifizierung und sichere Kommunikation. Vorgestellt wurden zudem die für den Finanzsektor wesentlichen Aspekte der Anwendung der neuen BSI-Kritisverordnung.