Vermehrte IT- und Prozessprüfungen der BaFin bei Kreditinstituten
19.11.2014 von Rüdiger Giebichenstein
Die technischen und regulatorischen Anforderungen an Kreditinstitute wachsen - ohne IT geht nichts mehr, weder im Filialbetrieb noch beim Online-Banking, noch im vollautomatisierten algorithmischen Handel auf elektronischen Handelsplätzen.
Vorgaben in den Bereichen Risikomanagement, Datenschutz oder Steuerberichterstattung fordern einen sicheren Betrieb der IT-Systeme - und das nicht nur in Kreditinstituten, wenngleich die Anforderungen hier besonders hoch sind. Exemplarisch zu nennen ist die MaRisk (Mindestanforderungen an das Risikomanagement), eine gemäß §1a KWG verbindliche Verwaltungsanweisung der BaFin.
Fehlende Sicherheitsvorkehrungen führen nicht nur zu finanziellen Schäden. Foto: Klaus Eppele/Fotolia.com
Laut MaRisk müssen Prozesse etabliert und technische sowie organisatorische Maßnahmen umgesetzt werden, um einen sicheren und Compliance-konformen Betrieb von IT Systemen in Kreditinstituten sicherzustellen. Thematische Schwerpunkte sind vor allem IT-Sicherheit, IT-Risikomanagement, die zugehörigen IT-Prozesse und ein effektives Notfallkonzept.
Die gleichen Regeln gelten übrigens auch für alle beauftragten Dienstleister - abhängig von der Art der ausgelagerten Aufgabe sind alle Zulieferer vertraglich auf die MaRisk festzulegen und regelmäßigen Kontrollen zu unterziehen.
Die spektakulärsten Fälle von Datenverlust 2013 laut Kroll Ontrack
Lange Reise mit kaputter Festplatte (Hong Kong) Als ein weltbekannter Radfahrer und Fotograf im Mai 2013 Hong Kong erreichte, entdeckte er, dass seine Festplatte nicht mehr funktionierte. Dies war umso ärgerlicher, als dass er auf ihr Fotos und Videos seiner 40.000 km langen Benefiz-Radtour gespeichert hatte.
Katastrophenfilm (Polen) Während ein Filmteam einen Film für ein Festival produzierte, verursachten sie am Set den absoluten Super-GAU. Als sie ein Backup ihres Laptops auf eine externe Festplatte zogen, stolperte ein Crew-Mitglied zufälligerweise über den Tisch. Sowohl der Laptop als auch die externe Festplatte krachten zu Boden - und alle Daten waren verloren. 18 Monate Filmproduktion und die zugehörigen Investitionen schienen zwei Monate vor dem Filmfestival verloren.
Vorsicht mit dem Alkohol (USA) Ein Mann erwachte nach einer langen Party mitten in der Nacht und benutzte das, von dem er ausging, dass es eine Toilette war. Am folgenden Morgen musste er feststellen, dass es sich dabei leider um seinen Laptop handelte.
Die Wut der Spieler (Frankreich) Eines Tages versuchte eine Mutter von drei Kindern, den Familien-Computer zu starten - sie bekam jedoch nur eine Fehlermeldung. Sie fragte ihre Kinder, ob bei der letzten Benutzung etwas vorgefallen war, denn sie wusste, dass diese ihn zuletzt verwendet hatten. Sie bekam jedoch keine Antwort. Sie fragte nochmals nach, denn sie hatte einen leisen Verdacht. Die älteste Schwester verriet der Mutter schließlich, dass ihr Bruder, als er ein Videospiel verlor, so wütend war, dass er mit seinen Fäusten auf die Tastatur einschlug.
Vereitelter Diebstahl (Italien) Ein Dieb schleppte nach einem Einbruch zusammen mit anderem Diebesgut auch einen Laptop aus dem Haus - als er floh, geriet er jedoch vermutlich in Panik. Denn den Laptop überließ er im Garten seinem Schicksal. Der Besitzer fand ihn somit am nächsten Tag - allerdings erst, nachdem er die ganze Nacht in Regen gelegen hatte.
Sabotage (Großbritannien) In Großbritannien bekam Kroll Ontrack ein mysteriöses Paket - darin befand sich nämlich keine Festplatte, sondern nur noch Einzelteile. Als die Ontrack-Ingenieure bei dem Unternehmen anriefen, um der Sache auf den Grund zu gehen, bekamen sie zu hören, dass die Festplatte wohl wiederholt von einem Hammer getroffen wurde. Daher beauftragte das Unternehmen Kroll Ontrack mit der Datenrettung - immerhin eine Datei konnte aus den Bruchstücken wiederhergestellt werden. Was das Unternehmen aus dieser einen Datei lernte, war, dass ein Mitarbeiter versuchte, die Daten zu zerstören, um so Beweise zu vernichten. Diese eine wiederhergestellte Datei war also genug, um den Saboteur zu überführen.
Naturkatastrophen (USA) Leider sind Naturkatastrophen häufige Ursachen der größten Daten-Desaster. Als ein Anwender hörte, dass Hurricane Sandy auf dem Weg in Richtung des amerikanischen Festlands war, wurde er schnell aktiv und machte ein Backup aller Server. Jedoch konnte er nicht ahnen, dass der Pegel des eine halbe Meile vom Haus entfernten Flusses durch das Unwetter extrem anstieg: So standen sowohl die Server als auch die Backup-Bänder unter mehr als 70 cm tiefem Wasser.
Spinnen (Italien) Nach dem plötzlichen Zusammenbruch eines fünf Jahre alten Servers zog ein Unternehmen die Datenretter hinzu. Als ein Ingenieur das Laufwerk öffnete, fand er ein Nest von Spinnen vor. Die Spinnen hatten sich ein kleines Feriendomizil im Inneren der Festplatte eingerichtet.
Noch mehr gefällig? Wer die kuriosesten Datenpannen der vergangenen Jahre Revue passieren lassen möchte, wird in der "Hall of Fame" von Kroll Ontrack fündig.
Werden die Spielregeln der MaRisk - Prozesse, Organisationsstrukturen und Technik - eingehalten, senken die Banken ihre Risiken ungemein - es kommt zu weniger Ausfällen von IT-Anwendungen, es schützt vor Datenverlusten und der ungewollten Veröffentlichung vertraulicher Daten.
Erkennen, wenn's zu spät ist
Im Alltag ist es indes meist so, dass auch die Kreditinstitute erst im Schadensfall wirklich erkennen, was sie nicht umgesetzte Sicherheitsmaßnahmen kosten - egal, ob es um die Veröffentlichung von "Steuer-CDs" oder Hacker-Angriffe auf Online-Banking-Plattformen geht.
Die BaFin überprüft die Umsetzung der MaRisk regelmäßig im Rahmen der Jahresabschlussprüfung, in den vergangenen Jahren auch vermehrt in Form von Sonderprüfungen (§44 Abs. 1 KWG). Ergänzend hierzu bietet die BaFin Informationsveranstaltungen an, um das Bewusstsein der verantwortlichen Mitarbeiter in den Kreditinstituten für dieses Thema zu schärfen.
Für die kommenden Jahre steht eine Ausweitung der gesetzliche Anforderungen an die Kreditinstitute an, was besonders auch die Berichtspflichten betrifft. Beispiele hierfür sind das geplante IT-Sicherheitsgesetz und die EU-Richtlinie zur Cyber-Sicherheit, die neben den Kreditinstituen beispielsweise auch weitere systemrelevante Unternehmen wie Energieversorger oder Verkehrsunternehmen betreffen werden. (bw/sh)