close
Share with your friends

Das neue Dokument der European Banking Authority (EBA) zu Cybersicherheit und IT Governance bringt Neuerungen: ein stärkerer Fokus auf konkrete Prozesse zur IT Governance sowie Vorbereitung auf stark disruptive Sicherheitsvorfälle. Die neuen „EBA Guidelines on ICT and security risk management” lösen die „Guidelines on security measures for operational and security risks of payment services” ab.

Die neuen EBA Guidelines treten am 30. Juni 2020 in Kraft und richten sich an Finanzdienstleister. Zu ihnen zählen Kreditinstitute, Zahlungsverkehrsdienstleister und Investmentfirmen. Die Guidelines beschreiben, wie diese Organisationen ihre IKT- und Sicherheitsrisiken managen sollen und sind im Kontext zunehmender Digitalisierung, globaler Vernetzung und damit einhergehender steigender Risiken von disruptiven Sicherheitsvorfällen zu sehen. In den letzten Jahren traten vermehrt Vorfälle dieser Art auf, die auch systemrelevante Auswirken auf den Finanzdienstleistungssektor haben können.

Wie es dazu kam

Die Vorgeschichte: Am 13. Dezember 2018 veröffentlichte die EBA ein Konsultationspapier zu Anforderungen zum Ma-nagement von IKT- und Security Risiken. Der Titel des Dokuments: „Draft Guidelines on ICT and security risk management“. Nach Beendigung der Konsultationsphase am 13. März 2019 begann die Fertigstellung. Der „Final Report on the EBA Guidelines on ICT and security risk management (EBA/GL/2019/04)“ wurde am 28. November 2019 veröffentlicht. Er ergänzt die „Guidelines on ICT Risk Assessment under the Supervisory Review and Evaluation process (SREP)”, welche sich an Aufsichtsbehörden richten. Dies erfolgt im Einklang mit der Capital Requirements Directive (CRD IV). Diese Richtlinie erteilt der EBA das Mandat, Governance Prozesse und Mechanismen von Finanzinstitutionen EU-weit zu harmonisieren.

Doppelter Umfang

In Zusammenhang mit steigenden Sicherheitsrisiken wurden bereits mehrere regulatorische Dokumente veröffentlicht: Eine Anleitung der EBA, welche beschreibt, wie Aufsichtsbehörden IKT- und Sicherheitsrisiken prüfen sollen (EBA/GL/2017/05). Eine weitere Leitlinie, die besagt, wie Finanzdienstleister Outsourcing managen sollen (EBA/GL/2019/02). Sowie eine Anleitung, welche Sicherheitsmaßnahmen Zahlungsverkehrsdienstleister einsetzen sollen (EBA/GL/2017/17), um ihre Anforderungen im Rahmen des Artikels 95(3) der Zahlungsverkehrsrichtlinie PSD2 (2015/2366/EU) zu erfüllen.

Letztgenannte EBA Guideline (EBA/GL/2017/17) wird durch die nun vorliegende neue Richtlinie mit Inkrafttreten am 30. Juni 2020 abgelöst. Die neue Guideline richtet sich einerseits an ein breiteres Adressatenfeld. Gleichzeitig erweitert und präzisiert sie die Anforderungen sowohl an Sicherheitsmaßnahmen als auch der IKT-Governance. Dies zeigt sich nicht zuletzt im annähernd verdoppelten Umfang des neuen Dokuments: von 62 Artikeln auf acht Seiten zu 98 Artikel auf 15 Seiten. Der gesteigerte Umfang lässt sich vor allem auf eine deutlich stärkere Betonung der IKT-Governance Anforderung zurückführen.

Neue Aufgabeverteilung

Zum Beispiel betont die Guideline, dass Finanzdienstleister über eine adäquate interne Governance und über ein passendes Control Framework für das Management der IKT und Sicherheitsrisiken verfügen soll. Dies inkludiert die formale Definition von Rollen und Aufgaben durch das Management. In historisch gewachsenen IKT-Abteilungen gibt es häufig Prozesse, die zwar gelebt werden, jedoch nicht formal definiert und mit Kontrollen hinterlegt sind. Um dies zu ermöglichen soll das Unternehmensmanagement sicherstellen, dass ausreichend Personal und Finanzmittel zur Verfügung stehen. Die Guideline nimmt das Management also eindeutig in die Pflicht, für die Umsetzung der geforderten Governance Mechanismen zu sorgen.

Als weiteren interessanten Aspekt nennt die Guideline die Notwendigkeit der Abstimmung zwischen Unternehmens- und IKT-Strategie. Dieser Hinweis hat direkte Auswirkungen auf die erweiterte Geschäftsführung: Sie muss nun nicht nur sicherstellen, dass Unternehmens- und IKT-Strategien existieren, sondern auch dafür sorgen, dass sie untereinander konsistent und schlüssig sind.  

Gerüstet für Angriffe

Zum Thema Informationssicherheit und Management von Sicherheitsrisiken findet sich eine stärkere Betonung der Vorbereitung auf „extreme“, aber mögliche Szenarien wie zB Cyberangriffe. Disruptive Angriffe wie NotPetya haben gezeigt, dass das Worst Case Szenario einer kompletten Systemzerstörung durch Cybereinwirkung real ist. So wurden etwa bei einem Logistikgiganten innerhalb weniger Minuten 55.000 Arbeitsplatzrechner und 6.500 Server unwiederbringlich vernichtet. Der Wiederaufbau war nur aufgrund eines glücklichen Zufalls möglich: Eine einzige Festplatte in einer Niederlassung in Ghana war aufgrund eines Stromausfalls nicht betroffen. Aus dieser konnte die gesamte IT-Infrastruktur wieder rekonstruiert werden. Ein solches Szenario ist auch in der Finanzbranche möglich. Ohne Vorbereitung auf einen sogenannten „Bare Metal Restore“ besteht das Risiko, nach einem solchen Vorfall den Betrieb nicht wieder aufnehmen zu können. In den meisten Disaster Recovery-Plänen sind jedoch solche Szenarien heute noch nicht enthalten.

Ebenfalls im Fokus steht die „Mitigierung von Ausfällen von Third Party Providern“: Eine stärkere Berücksichtigung der Supply Chain und Outsourcing im Sicherheitsmanagement wird zukünftig notwendig. Im Zeitalter von Cloud Computing und globaler Vernetzung kann das Management von Sicherheitsrisiken nicht mehr an der Unternehmensgrenze enden. Jedes Unternehmen muss sich künftig die Fragen stellen: Wie kann ich die Steuerung meiner Informationssicherheit in die Steuerung meiner Dienstleister integrieren? Welche Werkzeuge habe ich dafür zur Verfügung? Die Entwicklung einer nachhaltigen IT- und Security-Strategie stellt dafür die Grundlage dar: Mittels geeigneter Managementsysteme wie eines ISMS und eines IT-Governance-Frameworks müssen diese dann in die Unternehmenspraxis umgesetzt werden.

Autoren

Thomas Stubbings

Wolfgang Schramm

Weitere Artikel der Ausgabe "IT ist alles"

Verwandte Themen