Prävention von Cyber-Fraud als Teil des (Compliance-) Risikomanagements

Cyber-Angriffe werden immer vielfältiger. Die Anzahl und die Qualität von Angriffen Unbefugter auf die IT-Systeme von Unternehmen des Finanz- und Versicherungswesens steigen. Angriffe auf die IT-Systeme werden durchgeführt, u. a. um Daten zu stehlen, zu manipulieren oder um die Geschäftsabläufe der Unternehmen zu schädigen. Die Angriffe führen zum Teil zu hohen Vermögensverlusten auf Seiten der Geschädigten (Finanzunternehmen und deren Kunden) sowie zu massiven Reputationsverlusten.

Wer steckt hinter Cyber-Angriffen? Wir sehen in der Praxis unterschiedliche Angreifer-Typen. Cyber-Angriffe werden aus unterschiedlichen Gründen und von unterschiedlichen Interessensgruppen durchgeführt. Hierzu gehören z. B. die organisierte Kriminalität (Cyber-Mafia), Personen mit politischen Motiven (Hacktivists), Personen mit destruktiven Intentionen (Cyber-Terroristen) oder auch Staaten bzw. staatlichen Institutionen (u. a. Nachrichtendienste).

Zu den Angriffspunkten der Institute zählen u. a.:

  • Office- und E-Mail-Systeme
  • Unternehmensnetzwerke
  • Datenbanken und Dateien
  • Buchführende IT-Systeme
  • Vorgelagerte Anwendungen
  • Middleware-Komponenten
  • Steuerungs- und Controlling-Anwendungen
  • Anwendungen für Risikomanagement und Risikoberichterstattung:
  • Zahlungsverkehrssysteme
  • Handelssysteme
  • Schnittstellen zu Kunden und Geschäftspartnern, beispielsweise Web-Anwendungen
  • Dienstleister des Instituts
  • Infrastruktur und sonstige Technik z. B. Videosysteme

Institute müssen sich der steigenden Bedrohungslage durch Cyber-Risiken bewusst sein. Gemäß § 25a Abs. 1 KWG sind diese Risiken in das Risikomanagement einzubeziehen und geeignete Sicherungsmaßnahmen zum Schutz vor Angriffen zu ergreifen. Sicherheitsstandards sind nicht nur von Instituten, sondern auch von ihren Dienstleistern konsequent einzuhalten. Die BaFin erwartet, dass Banken die Einhaltung von Anforderungen auch bei ihren IT-Dienstleistern konsequent überwachen, so Felix Hufeld, Präsident der BaFin am 8. Juli 2015 auf dem Bundesbank Symposium „Bankenaufsicht im Dialog“, Frankfurt am Main.

Konkret fordert die BaFin von den Instituten folgende Schutzmaßnahmen gegen Cyber-Angriffe (Quelle: BaFin Journal, Februar 2015):

  • IT-Sicherheitsmanagement, ausgerichtet an den Standards der Internationalen Organisation für Normung (International Organization for Standardization ISO, insbesondere ISO 27000) beziehungsweise des Bundesamts für Sicherheit in der Informationstechnik (BSI, insbesondere BSI 100-1 bis 100-4)
  • Sorgfältige Planung, Absicherung und Überwachung der IT-Systeme und der Netzwerke
  • Überprüfung der IT-Systeme und -Prozesse auf Sicherheitslücken, zum Beispiel durch Audits, Verwundbarkeitsscans oder Penetrationstests
  • Wirksames Patch-Management, das insbesondere sicherstellt, dass sicherheitsrelevante Software- Updates und notwendige Konfigurationsänderungen rechtzeitig und sicher vorgenommen werden
  • Sicherheitsmaßnahmen in der Software-Entwicklung
  • Berücksichtigung der IT-Sicherheit bei Auslagerung von Aktivitäten und Beschaffung von IT-Systemen

Die EZB sieht die zunehmenden Cyber-Risiken an oberster Stelle der IT-Risiken der Banken und verlangt entsprechende Vorkehrungen. Die EBA hat eine Task Force zu IT-Risiken gegründet. Sie stellt neue IT-Anforderungen an Banken in Europa auf. Hiermit wurde die Basis für eine einheitliche IT-Aufsicht gelegt.

Am 12. Juni 2015 wurde das IT-Sicherheitsgesetz zur Cyber-Sicherheit in Deutschland verabschiedet. Mit der Umsetzung dieses Gesetzes soll in Deutschland die Cyber-Sicherheit sogenannter kritischer Infrastrukturen (z. B. Unternehmen von Finanz- und Versicherungswesen) auf einem hohen Niveau gehalten werden.

Der Schutz vor Cyber-Risiken ist und wird auch in Zukunft eine große Herausforderung für Institute und ihre IT-Dienstleister sein und sollte im Risikomanagement der Institute einen entsprechend hohen Stellenwert einnehmen.

Für Rückfragen steht Ihnen Herr Achim Schäfer (069 9585 1022) gerne zur Verfügung.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */