Cybersicherheit und KRITIS im Finanzsektor

Ihr Experte für Fragen

Karsten Wilop
Partner Financial Services – Technology Trust bei PwC Deutschland
E-Mail

Neue Herausforderungen in der Cybersicherheit für Finanzdienstleister

Der Finanzsektor ist seit langem ein allgemein beliebtes Ziel von Cyberangriffen. Neben gewinnbringenden Aussichten von erfolgreich durchgeführten Attacken steht dabei auch zunehmend die Auswirkung im Vordergrund, die ein instabiler Finanzsektor haben kann. So kann der flächendeckende Ausfall von Geldautomaten eines Kreditinstituts bereits schnell zu Panik in der Bevölkerung führen. Das resultierende Risiko ist daher auch Anlass für Aufsichtsbehörden, die Cybersicherheit in diesem Sektor in den Fokus zu nehmen und strenge regulatorische Anforderungen zu erlassen, welche sich stetig weiterentwickeln. 

Insbesondere Dienstleister und Betreiber Kritischer Infrastrukturen unterliegen einer besonderen staatlichen Aufsicht, die darauf abzielt, die Versorgungssicherheit unentbehrlicher Güter zu wahren. 

Auch der Finanzsektor zählt mit einigen Dienstleistungen dazu. Zu den als kritisch erachteten Dienstleistungen – aufgrund ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens – zählen dabei insbesondere

• die Bargeldversorgung, 
• der Zahlungsverkehr (kartengestützt und konventionell), 
• Wertpapier- und Derivatgeschäfte und 
• Versicherungsdienstleistungen.

Cyber Resilience und Business Continuity im Fokus der Aufsichtsbehörden

Die Digitalisierung birgt neue Risiken für Finanzinstitute

Die Digitalisierung von Unternehmen in der Finanzindustrie schreitet stetig voran und hat insbesondere durch die Corona-Pandemie enormen Schub erhalten. Geschäfts- und IT-Landschaften der Finanzdienstleister ändert sich, unter anderem durch neue und flexible Arbeitsmodelle wie Remote Working und eine Zunahme an Cloud-basierten Geschäftsprozessen.  

Als Folge bietet die kontinuierlich wachsende Vernetzung und kritische Abhängigkeit von digitalen Infrastrukturen im Finanzsektor Angreifern immer neue Möglichkeiten, Schwachstellen auszunutzen und damit auch weitreichende wirtschaftliche und gesellschaftliche Konsequenzen zu bewirken. So könnte beispielsweise ein erfolgreicher Cyberangriff auf die IT-Systeme einer Bank einen Ausfall der Kommunikationswege und der normalen Abläufe im Bargeldkreislauf verursachen. Weitreichende Auswirkungen auf die Funktionsfähigkeit des Wirtschaftskreislaufes wären die Folge sowie ein möglicher Einbruch des öffentlichen Vertrauens in die Sicherheit und Beständigkeit der Finanzmärkte. Ähnliche Szenarien können in anderen Bereichen, wie dem kartengestützten Zahlungsverkehr, auftreten.

Auf die wachsenden Cyberrisiken geht auch der Gesetzgeber verstärkt ein. Dabei wurde mit dem zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0) der erhöhten Bedrohungslage Rechnung getragen. Insbesondere das Schutzziel der Verfügbarkeit und die einhergehende Aufrechterhaltung zentraler Geschäftsprozesse rücken weiter in den Fokus.

Änderungen in der neuen BSI-Kritisverordnung

Mit dem neuen IT-SiG 2.0 und der einhergehenden Änderung der BSI-Kritisverordnung (KritisV) hat der Gesetzgeber die Kriterien zur Qualifizierung von Betreibern Kritischer Infrastrukturen weiter konkretisiert. Neben den bisherigen 90 Unternehmen und 390 Anlagen fällt zukünftig eine Vielzahl an weiteren Unternehmen des Finanzsektors unter den Geltungsbereich der KritisV. Anlagen beschreiben einzelne Betriebsteile für die konkrete Ausgestaltung Kritischer Infrastrukturen, wie beispielsweise Autorisierungs- und Clearingsysteme, Vertragsverwaltungssysteme, Anbindung an Interbanken-ZV-Systeme etc.

Für alle KRITIS-Betreiber gilt neu:

• Alle Betreiber Kritischer Infrastrukturen müssen sich mit der Gesetzesneuerung unmittelbar selbst gegenüber dem BSI als KRITIS-Betreiber identifizieren und den Anforderungen des BSI nachkommen.
• Neben der bisherigen Nachweispflicht gilt nun auch die Pflicht zur Einführung von Systemen zur Angriffserkennung, sowie 
• eine stärkere Reglementierung des Einsatzes kritischer Komponenten in KRITIS Anlagen und 
• eine erweiterte Meldepflicht von IT-Störungen an das BSI.

Handlungsbedarf: Darauf müssen sich Unternehmen gefasst machen

Hinsichtlich des adressierten Risikos und des erhöhten Bußgeldrahmens sollten sowohl bestehende, als auch neu hinzugekommene KRITIS-Betreiber eine Überprüfung ihrer IT-Landschaft gemäß den Anforderungen der KRITIS-Verordnung durchführen. Bei Mängeln gilt es, entsprechende Vorkehrungen unmittelbar umzusetzen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen maßgeblich sind, zu vermeiden.  

Gesetzliche Grundlagen für Digitalisierung und Informationssicherheit im Finanzsektor

Das IT-SiG 2.0 bildet nur einen Teil der für die Finanzindustrie geltenden Regulatorik ab. Insbesondere die aufsichtlichen Anforderungen an die IT von Banken, Versicherern und Zahlungsdienstleistern (BAIT/VAIT/ZAIT) stellen die Mindestanforderungen zur Sicherheit in der IT dar. Diese Verwaltungsanweisungen werden von der BaFin für die Sichere Ausgestaltung von IT-Systemen und Governance-Prozessen unter Berücksichtigung von europäischen Regularien veröffentlicht.

Die jüngste Überarbeitung der BAIT und VAIT beinhaltet Anpassungen an die von der European Banking Authority (EBA) veröffentlichten Guidelines zu ICT Security Risk Management. Darüber hinaus wird der neue Gesetzesakt der EU-Kommission zur Digital Operational Resilience (DORA) zusätzliche Anforderungen an die operationelle Sicherheit von Unternehmen des Finanzsektors stellen. Dabei fokussiert er sich auf die Bereiche IKT-Risikomanagement, Berichterstattung von IKT-bezogenen Vorfällen, Prüfung der digitalen Betriebsstabilität und die Steuerung der Risiken durch IKT-Drittanbieter. Auch hier bildet die Umsetzung von Schutzmaßnahmen zur Absicherung der Verfügbarkeit und Resilienz von wesentlichen Geschäftsprozessen den Fokus der gesetzlichen Vorgaben.