16.02.2017

Unternehmenssicherheit 2018
§ 25a Abs. 1 KWG, MaRisk, BAIT, MaComp, IT-Sicherheitsgesetz

Bankgeschäft bedeutet heute nicht zuletzt auch Informationsverarbeitung. Ein Kreditinstitut bedarf einer effizienten IT-Struktur, um am Markt erfolg-reich zu sein.

Dies haben auch Gesetzgeber und Aufsichtsbehörden erkannt. Insbesondere schreiben schon heute § 25a Abs. 1 KWG und AT 7.2 MaRisk vor, dass Kreditinstitute über eine angemessene technisch-organisatorische Ausstattung und ein angemessenes Notfallkonzept verfügen müssen. Die Europäi-sche Zentralbank hat in ihrem Rundschreiben SSM Supervisory Priority 2017 gerade auch die Themen IT-Sicherheit und Cybercrime als wesentliche Risikofaktoren von Kreditinstituten benannt und mitgeteilt, dass Risiko-Management insgesamt eines der drei wesentlichen Aufsichtsfelder im Jahr 2017 sein wird (supervisory priority).
Entsprechend wird das novellierte Rundschreiben Mindestanforderungen an das Risikomanagement von Banken (MaRisk) in AT 4.3.2 dazu verpflichten „für IT-Risiken angemessene Risikosteuerungs- und -controllingprozesse einzurichten, die insbesondere die Feststellung des Schutzbedarfs, die Ableitung von Sicherheitsanforderungen sowie die Festlegung entsprechender Sicherheitsmaßnahmen umfassen". Kreditinstitute haben kurz gesagt dafür zu sorgen, dass ihre IT-System und IT-Prozesse die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sicherstellen.

Zwar stellt das neue IT-Sicherheitsgesetz Kreditinstitute aufgrund der bisherigen Regulierung nicht vor vollkommen neue Herausforderungen. Jedoch kommen wichtige Teilaspekte hinzu. Dazu gehören weitergehende Regelungen bezüglich der Melde- und Berichtspflichten.

Unter bestimmten Voraussetzungen muss sogar die Öffentlichkeit durch Behörden informiert werden. Die nicht mehr steuerbare Veröffentlichung von Risiken, Bedrohungen und Sicherheitsvorfällen kann zu Reputationsver-lust und zu finanziellen Einbußen führen.

Darüber hinaus müssen auch Kunden informiert werden, wenn Bedrohungen von ihren Geräten ausgehen (z.B. durch Trojaner oder Malware). Es reicht also nicht (mehr) aus, dass Kreditinstitute die Sicherheit der eigenen IT sicherzustellen, sie müssen sich zukünftig vielmehr auch mit bestimmten exter-nen Infrastrukturen auseinandersetzen.

Wie üblich obliegt die Gesamtverantwortung – zumindest aus aufsichtsrechtlicher Sicht – der Geschäftsleitung. Der von Gesetzgeber und Bankaufsichtsbehörden gewebte Pflichtenteppich alleine zum Themenkomplex IT-Sicherheit ist – übrigens auch aus Sicht der Aufsichtsbehörden – zu komplex und detailliert, um ihn intern schlicht der IT-Abteilung zu überantworten. Es bedarf vielmehr zunächst eines juristisch sicheren Konzepts, das sodann von IT-Spezialisten (intern oder auch extern) umgesetzt werden muss.

Sollten Sie im Zusammenhang mit Ihrer Unternehmenssicherheit – und/oder zu anderen bankaufsichtsrechtlichen – Themen Beratungsbedarf haben oder auch „nur" einen Sparringspartner suchen, mit dem Sie bereits bestehende Konzepte und Ideen besprechen wollen, nehmen Sie sehr gerne jederzeit Kontakt zu uns auf.

Sehr gerne laden wir Sie darüber hinaus zu unserer Abendveranstaltung zum Thema Unternehmenssicherheit 2018 ein, die am 16. Februar 2017 um 19:00 Uhr in unserem Frankfurter Büro stattfinden wird.

Die Einladung finden Sie hier.