Effective Practices for Cyber Incident Response and Recovery – der Finanzstabilitätsrat veröffentlicht Empfehlungen zur Absicherung gegen Cybervorfälle in Zeiten von Corona

Das Financial Stability Board (Finanzstabilitätsrat – kurz: FSB) hat am 19. Oktober den Bericht „Effective Practices for Cyber Incident Response and Recovery” (abrufbar über: https://www.fsb.org/wp-content/uploads/P191020-1.pdf) über den Umgang mit Cybervorfällen veröffentlicht. Der Bericht wurde in Anbetracht der Corona-Pandemie und den damit verbundenen Cyberrisiken veröffentlicht, um die Bedeutung der Cyber-Resilience im Kontext des hohen Anspruchs auf IT-basierten Lösungen (z.B. Remote-Arbeit) im Finanzdienstleistungssektor zu unterstreichen.

Der Bericht beinhaltet beispielhafte Handlungsmaßnahmen und ist als Toolkit zu werten, allen Unternehmen des Finanzdienstleistungssektors werden notwendige Schritte zur Wiederherstellung der Handlungsfähigkeit bei Cybervorfällen aufgezeigt. Der FSB Bericht bezieht sich hierbei auch auf das FSB Cyber-Lexikon von 2018 (abrufbar über https://www.fsb.org/wp-content/uploads/P121118-1.pdf) und deckt folgende Themenbereiche ab:

  • Governance,
  • Planung und Vorbereitung (Planning and Preparation),
  • Analyse,
  • Begrenzung und Eindämmung (Mitigation),
  • Wiederherstellung (Restoration and Recovery),
  • Koordinierung und Kommunikation (Coordination and Communication) und
  • Verbesserung (Improvement).

Dabei gilt zu beachten, dass der FSB Bericht keinen Anspruch auf Vollständigkeit erhebt und als ergänzendes Werkzeug zu internationalen Standards, wie der ISO 27000er Reihe, zu verwenden ist. Der Bericht – und die darin enthaltenen Anforderungen – unterstützen Versicherungen und andere Vertreter des Finanzdienstleistungssektors, branchentypische Herausforderungen bei der Absicherung gegen Cyberrisiken und -angriffe effektiv zu adressieren.

Das Zwischenfazit der Aufsicht zu den Ergebnissen der VAIT Prüfungen (siehe BaFin Journal Oktober 2020) hat unter anderem folgende Punkte als Herausforderungen bei Versicherungen identifiziert, die im aktuellen Kontext zu einer erhöhten Risikoexposition führen:

  • Erkennung von IT-Sicherheitsvorfällen dauert aufgrund mangelnder automatisierter Erkennungsmechanismus länger als notwendig, und
  • Rezertifizierung von vergebenen Benutzerberechtigungen erfolgt i.d.R. verzögert oder nicht.

Der Bericht bietet Anhaltspunkte für die Bewertung bestehender Maßnahmen, um Versicherungen und anderen Vertretern der Finanzdienstleistungsbranche einen risikoorientierten Blick auf die eigenen Prozesse zu ermöglichen. Dieser Schritt ist insbesondere in der aktuellen pandemischen Ausnahmesituation notwendig, um Cyber-Risiken für Heimarbeits-/Remote Arbeitsplätze entsprechend frühzeitig zu evaluieren und zu mitigieren.

Dahingehend wird ein Mix von präventiven und reaktiven Handlungsmaßnahmen empfohlen, um einerseits Risiken frühzeitig zu erkennen, und andererseits effektive Maßnahmen für den Ernstfall einzuplanen und umzusetzen.

Angesichts der anhaltenden Corona-bedingten Einschränkungen für Arbeitsnehmer und den kurzfristig notwendigen Änderungen des Arbeitsablaufs, ermöglichen die Werkzeuge der FSB einen pragmatischen Ansatz zur Behandlung aktueller Herausforderungen bei Versicherungen. Wir bei PwC haben die FSB-Empfehlungen bereits in unsere VAIT-Werkzeuge integriert, um die Versicherungsbranche proaktiv bei der Absicherung gegen Cyberrisiken – und der Erreichung einer VAIT-Compliance – zu unterstützen.

Auf Basis unserer bisherigen Erfahrungen bei der Durchführung von VAIT-Prüfungen im Auftrag der BaFin werden die Empfehlungen der FSB wahrscheinlich in den nächsten VAIT-Prüfungen einfließen, sodass eine frühzeitige Umsetzung empfehlenswert ist. Gerne steht Ihnen unser Risk Assurance Team um Rüdiger Giebichenstein und Christian Oberdörfer jederzeit für einen Austausch zur Verfügung.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */