IT-Compliance für Banken leichter bewältigen
Bedeutung von einem angemessenen Schutz vor IT-Sicherheitsrisiken nimmt zu
Eine große und reale Bedrohung für Finanzdienstleister stellen Cryptotrojaner wie Loki und Wannacry dar, die Daten verschlüsseln und ihre Entschlüsselung erpressen wollen
Von Dagmar Schoppe, Bereichsleiterin Banken-Compliance bei der SRC GmbH
Für Banken gibt es eine wachsende Anzahl von Rechtsgrundlagen, d. h. Gesetze, Verordnungen, Direktiven und Rundschreiben, die sie im Tagesgeschäft beachten müssen. Gerade die Bedeutung von einem angemessenen Schutz vor IT-Sicherheitsrisiken nimmt zu. EU-weite Programme wie beispielsweise TIBER-EU oder der Nachweis der KRITIS-Anforderungen sollen das bestehende Sicherheitsniveau weiter verbessern. Als ganzheitlichen Ansatz für eine kontinuierliche Evaluierung der Sicherheit von Technologie wie Organisation gleichermaßen empfehlen sich die Einführung und der Betrieb eines Informationssicherheitsmanagement-Systems.
Für Banken gilt eine Vielzahl von Regularien und Gesetzen: Sie müssen sich unter anderem gegen Bedrohungen wie Geldwäsche und Terrorismus schützen, aber auch das Wertpapierhandelsgesetz und den Datenschutz beachten. Daneben sind eine Vielzahl von Instituten und Dienstleistern zudem Betreiber einer kritischer Infrastruktur gemäß IT-Sicherheitsgesetz.
Grundlegende Anforderungen für Institute und ihre Dienstleister ergeben sich aus dem Kreditwesengesetz (Paragraph 25 a und b). Dieses schreibt eine ordnungsgemäße Geschäftsorganisation und ein angemessenes Risikomanagement vor, welches eine entsprechende technische wie personelle Ausstattung sowie ein Notfallkonzept umfasst. Natürlich müssen die Systeme dem aktuellem Stand der Technik und dem Branchenstandard entsprechen.
Mit einer steigender Abhängigkeit der Kern- und Wertschöpfungsprozesse von IT-Infrastruktur in den Instituten, ist die Angemessenheit der Schutzmaßnahmen und deren Nachweis für Institute und ihre Dienstleister immer schwieriger zu definieren. Mit dem Crash 2009 verschärften sich die Vorgaben.
Große Institute unterhalten ganze Abteilungen für das Management von Compliance-Anforderungen. Die Herausforderung besteht in der Vielzahl der Regularien. Banken müssen sich an nationalen und internationalen Gesetzgebern orientieren, an der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), dem Bundesamt für Sicherheit in der Informationstechnik (BSI), der Europäischen Zentralbank (EZB) und der Europäische Bankenaufsicht (EBA). Darüber hinaus verabschiedet die Europäischen Union (EU) Verordnungen und Direktiven. Letztere werden in nationale Gesetze übergeführt, wie zum Beispiel die Payment Service Directive 2 im Zahlungsdiensteaufsichtsgesetz (ZAG). Sie definiert unter anderem Mindestanforderungen für die Sicherheit von Zahlungsdiensten. Seit 2015 gelten die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI). Relevant sind zudem die Mindestanforderungen an das Risikomanagement (MaRisk), die durch die bankaufsichtsrechtlichen Anforderungen an die IT (BAIT) konkretisiert werden. Sie erfordern den Einsatz von Best Practices und standardisierten Verfahren. Außerdem gilt die Guideline für Informations- und Kommunikationstechnik (ICT).
Zu der Flut an Gesetzen und Verordnungen kommt, dass diese stetigen Anpassungen unterworfen sind. Banken müssen alle Anforderungen nachhalten, die Entwicklung verfolgen und auch auf Widersprüche reagieren. Dazu kommen die regelmäßigen Prüfungen von aufsichtsrechtlichen Nachweisen durch die jährlich stattfindende Wirtschaftsprüfung und durch BaFin-Prüfungen. Auch wird alle zwei Jahre für Betreiber einer kritischen Infrastruktur der KRITIS-Nachweis gefordert.
Insbesondere weil Neuerungen in immer kürzeren Abständen eingeführt werden, müssen Banken immer wieder die Änderungen in ihre Prozesse aufnehmen und Vor- und Nachbereitung leisten. Dafür ist gerade in kleinen Instituten viel Manpower erforderlich. Compliance ist teuer – für innovative Projekte bleiben kaum Ressourcen übrig.
Wo früher ein gewisser Interpretationsspielraum war, werden heute die Anforderungen an ein angemessenes Risikomanagement immer präziser formuliert, um einheitlichere Standards und mehr Führung für Institute zu schaffen. Das schafft zwar Klarheit, doch die konkreten Anforderungen stellen viele Institute auch vor große Herausforderungen. Sie betreiben häufig historisch gewachsene Systeme, die nicht von heute auf morgen migriert werden können. Gerade das vielfach praktizierte Outsourcing an Dienstleister stellt eine große Herausforderung dar: Kreditinstitute lagern beispielsweise Rechenzentrum und Netzbetrieb oder die Produktion und Ausgabe von Kreditkartendaten aus. Auch in der Zusammenarbeit müssen definierte Sicherheitsziele vereinbart, umgesetzt und deren Einhaltung von den Instituten überprüft werden.
Cybertrojaner sind eine reale Bedrohung
Eine große und reale Bedrohung für Finanzdienstleister stellen Crypto-Trojaner wie Loki und Wannacry dar, die Daten verschlüsseln und ihre Entschlüsselung erpressen wollen.
Neben monetären Interessen sind Banken ein interessantes Ziel, um Informationen auszuspionieren oder Kurse, Daten oder Kaufoptionen zu manipulieren. Es ist zu beobachten, dass gezielte Angriffe zunehmen. Um hier eine Resilienz zu schaffen, wurde von der EU das TIBER-EU-Programm ins Leben gerufen. Die Abkürzung steht für "Threat Intelligence-based Ethical Red Teaming " und stellt das Rahmenwerk der Notenbanken des Europäischen Systems der Zentralbanken zu bedrohungsgeleiteten Penetrationstests dar. Institute können auf freiwilliger Basis diese Tests durchführen lassen, um Einblicke in die Funktionsfähigkeit ihrer Sicherheitsmaßnahmen zu kommen. Sie umfassen mehr als Penetrationstests für Produktivsysteme. TIBER-Testes gehen durch den Einsatz von Threat Intelligence ( "Spionage ") weit über die gewohnten Penetrationstests hinaus.
Die Globalisierung sowie der Wunsch nach Verschlankung und Synergien, hat zudem dazu geführt, dass Rechenzentren fusioniert sind und Spezialanwendungen branchenweit zum Einsatz kommen. Dabei reicht bereits das Wissen um die Technologien von Banken und die Kenntnis über etwaige Patch-Lücken in Branchensoftware, um Angriffsversuche auszulösen. Sind in den Systemen Schwachstellen bekannt, trifft das in der Folge ganze Branchen. Zudem entstehen Bottlenecks bei den Angriffen, da Knotenpunkte, große Player und Rechenzentrumsbetriebe ins Visier genommen werden.
Auch gezielte Spionage mit Methoden wie Social Engineering, Sniffer oder Piggy Bagging sind denkbare Szenarien.
Der Weg zur Compliance
Banken müssen dem technischen Fortschritt Rechnung tragen und ihre Standards kontinuierlich anpassen. Bei der Prüfung der Angemessenheit von Maßnahmen müssen sie neben den Risiken aus dem operativem Geschäft und auch IT-Risiken mitbetrachten.
SRC hat ISMS in Banken mit Erfolg eingeführt. Mit der Implementierung eines ISMS mit Begleitung von SRC kann die Sicherheitsfrage ganzheitlich betrachtet werden. Ein ISMS ist prozessual angelegt und ermöglicht die kontinuierliche Verbesserung von technischer Infrastruktur sowie organisatorischen Prozessen. Schwachstellen können identifiziert, Maßnahmenpläne erstellt und Sicherheitsprozesse strukturiert gesteuert werden. Dazu gehören zum Beispiel der Incident Management Prozess, die Schaffung von Bewusstsein sowie die Dokumentenlenkung.
Wichtig ist der Blick auf die Gesamtorganisation. Denn technische Maßnahmen erhöhen zwar das Sicherheitsniveau, doch auch der Mensch stellt eine oft unterschätzte Angriffsfläche dar. Betrugsversuche wie CEO-Fraud oder Malware, die als Bewerbung ankommt, lassen sich leichter verhindern, wenn die Belegschaft geschult ist und vor dem Anklicken die entsprechende Datei erst von der IT prüfen lässt. Auch Spionage-Strategien wie Piggy Bagging, um Zutritt in die Räumlichkeiten zu erhalten, lassen sich so vereiteln.
Eine kontinuierliche Weiterbildung und Schulung der Mitarbeiter kann also Löcher in der Sicherheit stopfen. Ein Bewusstsein für Sicherheit zu schaffen, ist oft leichter zu bewerkstelligen und effizienter als ein technisches Aufrüsten.
Strukturierte, durch ein ISMS eingeführte Prozesse, schützen zwar nicht vor den Bedrohungen, aber viele Probleme fallen dadurch früher auf. Durch Eskalations- und Meldeprozesse kann mit Angriffen effizienter umgegangen werden. Eine gute Alarmfunktion spürt den veränderten Traffic durch einen Trojaner schneller auf und verhindert die Ausbreitung eines Computer-Virus. Wichtig sind außerdem regelmäßige Backups mit einer guten Netzwerksegmentierung, so dass der Zugriff zum Beispiel auf Kontoführungssysteme limitiert ist. Sicherheits-Patches müssen zwingend gefahren werden, damit die Infrastruktur keine Lücken aufweist und der Angriff über technische Einfallstore erschwert wird. Auch eine angemessene Personaldecke ist wichtig.
Banken können außerdem den KRITIS-Nachweis erbringen und über den TIBER-Test ein adäquates Sicherheitsniveau nachweisen.
Fazit
Für Banken ist Compliance, das Handeln im Einklang mit dem geltenden Recht, ein zentrales Thema. Die Vielzahl der Verordnungen und Gesetze regeln die internen Prozesse von Instituten immer stärker und sind zudem steten Anpassungen unterworfen, die es abzubilden gilt. Mit einem ISMS können Banken die Compliance-Frage in der immer bedeutender werdenden IT-Sicherheit nachhaltig lösen. Dabei werden sowohl die technische Infrastruktur als auch die Organisation der Institute in einem kontinuierlichen Prozess stetig verbessert. (SRC: ra)
eingetragen: 30.04.20
Newsletterlauf: 13.08.20
SRC: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.