Zum Hauptinhalt springen

Sicherheitslücken schließen – mit dem bankindividuellen SiMaKat

Die Digitalisierung in der deutschen Wirtschaft schreitet immer mehr voran. In diesem Zuge müssen vor allem Banken darauf aufpassen, keine Einfallstore für Hacker zu schaffen oder zu übersehen, denn diese werden immer kreativer, was ihre neuen Methoden angeht. Der bankindividuelle Sollmaßnahmenkatalog (SiMaKat) kann hier Abhilfe schaffen und Banken bei ihrer Absicherung unterstützen.

Die Gefahr von Cyberattacken hat in den vergangenen Jahren enorm zugenommen. Vor allem im Finanzsektor, da dieser zu den sogenannten kritischen Infrastrukturen gehört und über viele sensible Daten verfügt. Deswegen gilt Cybercrime derzeit als das größte operationelle Risiko im Bankenbereich. Dies rückte auch verstärkt in den Blick der Bankenaufsicht, die die Bankaufsichtlichen Anforderungen an die IT, kurz BAIT, im Jahr 2017 formuliert und im Jahr 2021 sogar noch einmal verschärft hat.

Aber auch im Finanzverbund wurde das Thema aufgegriffen und an einer Lösung gearbeitet. In der Zusammenarbeit mit diversen Einheiten wie der AWADO GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft, Grundsatz und weiteren Spezialisten/innen wurde der sogenannte bankindividuelle Sollmaßnahmenkatalog, auch SiMaKat genannt, entwickelt. Inwieweit das Produkt, das im AWADO Shop zum Kauf zur Verfügung steht, Banken bei der Absicherung von Cyberrisiken weiterhelfen kann und welche weiteren Unterstützungsangebote die AWADO anbietet, haben wir unsere IT-Spezialisten Alexander Beck, Lukas Hinxlage sowie Eike Hegemann im Interview gefragt:

 

Wieso ist in der heutigen Zeit eigentlich die Absicherung von Cyberrisiken so wichtig? Und vor allem für Banken, Herr Beck?

Beck: Die Digitalisierung ist längst kein neumodisches Schlagwort mehr und genauso wenig sind es die neuen Herausforderungen, die mit ihr einhergehen. So verfügen Banken über immense Datenbestände, welche vor schadhaften Einflüssen wie Hackerangriffen, Ransom- und Malware durch ein angemessenes Informationssicherheitsmanagementsystem zu schützen sind. Angesichts der zahlreichen Varianten solcher Angriffe ist es von entscheidender Relevanz, dass sich vor allem Banken mit entsprechenden Sicherheitsvorkehrungen in Form von Sicherheitsmaßnahmen gegen externe als auch interne Einflüsse mit negativen Folgen für die Informationstechnologie absichern.

Herr Hegemann, inwieweit hat die BAIT-Novelle der BaFin zu Recht noch einmal nachgeschärft? Welche Probleme sollten damit ausgeräumt werden?

Hegemann: Im Bezug zur Abwehr von Cyberrisiken wurde insbesondere das Thema zur operativen Informationssicherheit neu aufgenommen. Die Banken werden hiermit verpflichtet, regelbasierte und automatisierte Erkennungsmechanismen von sicherheitsrelevanten Ereignissen einzuführen und diese zu analysieren. Die Erkennungsrate von Cyberangriffen und die Schnelligkeit zur Umsetzung von Gegenmaßnahmen wird hiermit deutlich gesteigert. Demzufolge werden auch die Cyberrisiken in der Bank reduziert.

Vor welchen Schwierigkeiten stehen die Institute allerdings wiederum, wenn es um die Umsetzung der verschärften BAIT-Anforderungen geht? Was sagen Sie, Herr Hinxlage?

Hinxlage: Seit Veröffentlichung der BAIT sind die Adressaten des Rundschreibens mit Nachdruck damit beschäftigt, die weitreichenden Anforderungen der Aufsicht umzusetzen. Aufgrund der Regelungstiefe und der durch die BAIT erforderlich gewordenen Aufstockung von Ressourcen werden die Banken vor immense Herausforderungen gestellt, welche trotz der deutlich feststellbaren Bereitschaft voraussichtlich noch erhebliche personelle und zeitliche Ressourcen in Anspruch nehmen werden.

So zeigen sich trotz des seitens der Regulatorik mehrfach betonten Proportionalitätsprinzips zum Teil noch erhebliche Unterschiede zwischen dem tatsächlichen Umsetzungsstand und dem Zielbild der Aufsicht. Zwar zeigen die seitens der Genossenschaftlichen Finanzgruppe erarbeiteten Interpretationshilfen und die durchgeführten BAIT-Workshops der AWADO eine positive Wirkung und tragen zu einem erhöhten Erkenntnisgrad bei, die Herausforderungen bleiben durch den Umfang und die Detailtiefe der aufsichtlichen Anforderungen jedoch weiterhin konstant.

Inwieweit kann die AWADO hier helfen?

Hegemann: Die AWADO kann hier in vielerlei Hinsicht unterstützen. Dieses kann eine Analyse zum aktuellen Umsetzungsstand der BAIT sein, aber auch eine konkrete Unterstützung bei der Umsetzung von Themen aus der BAIT oder zur Informationssicherheit. Mit dem bankinividuellen SiMaKat besteht nun auch ein Angebot, bei der Umsetzung der Anforderungen aus den BAIT Kapiteln 3.6 und 3.7 zum Sollmaßnahmenkatalog zu unterstützen. Die ohnehin angespannte Ressourcensituation in den Banken wird hierdurch entlastet.

Hinxlage: Die AWADO trägt darüber hinaus mit Webinaren und Workshops in erheblichem Maße dazu bei, dass die Implementierung des Bankindividuellen SiMaKat im Sinne der Tz. 3.6 BAIT (Sollmaßnahmenkatalog) mit der zugrunde gelegten hocheffizienten Anwendungslogik die Anforderungen der Aufsicht vollumfänglich erfüllt werden und die erforderlichen Soll-/Ist- und Soll-/Soll-Abgleiche mit IT-Dienstleistern vorgenommen werden können.

Und wie gut werden diese Angebote und der SiMaKat angenommen?

Hinxlage: Ich bin begeistert! Der Bankindividuelle SiMaKat erfüllt mit seiner Ausrichtung an dem internationalen ISO-Standard sowie der verbauten Anwendungslogik sämtliche Anforderungen, welche die Aufsicht an den institutseigenen Sollmaßnahmenkatalog stellt. Und mit über 170 verkauften Exemplaren kann sich der Bankindividuelle SiMaKat durchaus sehen lassen. Durch den starken Einsatz des Genossenschaftsverbandes - Verband der Regionen e.V. besteht darüber hinaus die Möglichkeit, den Bankindividuellen SiMaKat direkt in den Tools der FORUM GmbH und der DZ CompliancePartner freizuschalten und mit der Bearbeitung starten zu können.

Beck: Aufgrund der implementierten Anwendungslogik mittels organisatorischer und objektbezogener Sollmaßnahmen ist der Bankindividuelle SiMaKat auch ein sehr wirksames Instrument, um die weitreichende Anforderung - Durchführung des Soll-/Soll-Abgleichs auf Dienstleister-Ebene - aufsichtskonform durchzuführen. Vor allem können die Banken mit dem Bankindividuellen SiMaKat folgerichtig den längst notwendigen Perspektivwechsel einleiten: Die Bank muss ihren IT-Dienstleister steuern, nicht umgekehrt.

Hegemann: Das Thema einer ordnungsmäßigen Implementierung eines Sollmaßnahmenkatalogs inkl. der Verknüpfung zum Informationsrisikomanagement wurde in vielen Banken bislang nicht oder nur rudimentär umgesetzt, obwohl es die Anforderungen hieran schon in den BAIT vom November 2017 gab. Gleichwohl hat die Bankenaufsicht zu diesem Thema eine sehr hohe Erwartungshaltung gegenüber den Banken. Unser Angebot zielt genau auf diese Lücke ab. Nach anfänglichen zögern von Banken erwarte ich eine hohe Nachfrage nach dem Produkt. Und die Seminare waren bislang durch die Banken gut gebucht.

Ihr Ansprechpartner

Alexander Beck

Alexander Beck

Wirtschaftsprüfer

+49 170 9556319

AWADO GmbH WPG StBGAWADO GmbH