Hackern keine Chance: Die drei Europäischen Aufsichtsbehörden (European Supervisory Authorities – ESAs) schlagen der Europäischen Kommission Anfang April in zwei Stellungnahmen Maßnahmen vor, wie Unternehmen aus dem Finanzsektor ihre Cyber-Resilienz (siehe Infokasten) stärken und verbessern können.

Damit beantworten die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung EIOPA, die Europäische Bankenaufsichtsbehörde EBA und die Europäische Wertpapier- und Marktaufsichtsbehörde ESMA zwei Anfragen der Europäische Kommission aus dem FinTech Aktionsplan (siehe Infokasten).

Auf einen Blick:FinTech Aktionsplan

Die Europäische Kommission hat im März 2018 ihren Aktionsplan für einen wettbewerbsfähigen und innovativen europäischen Finanzsektor veröffentlicht. Er soll dazu beitragen, die Möglichkeiten, die durch technologisch getriebene Innovationen im Finanzsektor entstehen, besser zu nutzen. Die Kommission will mit den im Aktionsplan beschriebenen Maßnahmen innovative Geschäftsmodelle fördern und Finanzunternehmen darin bestärken, neue Möglichkeiten wie Distributed-Ledger-Technologien und Cloud-Dienste zu nutzen. Als dritte Maßnahme und primäres Ziel des Aktionsplans steht die Verbesserung der Cyber-Resilienz der Finanzunternehmen im Fokus des Aktionsplans.

Auf einen Blick:Cyber-Resilienz

Cyber-Resilienz bezeichnet die Widerstandsfähigkeit von Unternehmen gegen Angriffe auf die Sicherheit ihrer Informations- und Kommunikationstechnik (IKT). Im Fokus der Angreifer stehen die Systeme der Unternehmen oder auch die Daten von Kunden.

Harmonisierung und Konvergenz

Die ESAs sehen Harmonisierungs- und Ergänzungsbedarf hinsichtlich konkreter Anforderungen an die Sicherheit der Informations- und Kommunikationstechnik (IKT) der Finanzunternehmen. Zu diesem Schluss kommen EIOPA, EBA und ESMA in ihrer gemeinsamen Stellungnahme zu rechtlichem Anpassungsbedarf in Bezug auf IKT-Risikomanagementanforderungen. Eine sektorübergreifende Harmonisierung der entsprechenden Anforderungen an die Geschäftsorganisation trägt nach Ansicht der ESAs zu einem insgesamt höheren Sicherheitsniveau, zu angemessenen Aufsichtspraktiken auf dem Gebiet der IKT-Sicherheit und auch zu einer Verbesserung der Cybersicherheit bei.

Konkret schlagen die ESAs der Kommission vor, die einschlägigen europäischen Richtlinien1 um Aspekte der IKT-Sicherheit zu ergänzen, um in allen Finanzsektoren ein gleiches Ausgangsniveau herzustellen. Auf Level 3 will EIOPA Leitlinien zu IKT Sicherheits- und Governance-Anforderungen entwickeln, damit die nationalen Aufsichtsbehörden auf einer gemeinsamen Grundlage handeln, Stichwort „Aufsichtskonvergenz“.

Die BaFin hat sich in den vergangenen Jahren in ihren Bankaufsichtlichen Anforderungen an die IT (BAIT) und in ihren Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) bereits dazu geäußert, wie Unternehmen ihre ITRessourcen, ihre Informationsrisiken und ihre Informationssicherheit organisieren und überwachen sollen. Derzeit konsultiert sie ihre Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT). Auf europäischer Ebene wird sie sich weiterhin intensiv einbringen, wenn es darum geht, die Anforderungen an die IKT Sicherheit zu harmonisieren und weiterzuentwickeln.

Rahmenwerk zu Cyber-Resilienz-Tests

Definition:Threat-Lead-Penetration-Test

Threat-Lead-Penetration-Tests (TLPTs), auch Ethical Red Teaming genannt, tragen als fortschrittlichste Form von Penetrationstests dazu bei, dass Unternehmen ihre Cyber-Resilienz umfassender beurteilen und verbessern können. Die „G-7 Fundamental Elements for Threat-Led Penetration Testing“, an denen die BaFin intensiv mitgearbeitet hat, definieren TLPT als den kontrollierten Versuch, die Cyber-Resilienz eines Unternehmens durch einen simulierten Angriff eines ethischen Hackers zu kompromittieren.

In ihrer zweiten Stellungnahme befürworten die ESAs, dass ein kohärentes Rahmenwerk zu Threat-Lead-Penetration-Tests (TLPTs) für signifikante Marktteilnehmer und Infrastrukturen im Finanzsektor entwickelt und implementiert wird (siehe Infokasten). Langfristig sollen ESAs und nationale Aufsichtsbehörden dann gemeinsam TLPTs für signifikante Marktteilnehmer und Infrastrukturen organisieren.

Auf kurze Sicht avisieren die ESAs erste Schritte, um eine solide Grundlage für eine höhere Cyber-Resilienz zu schaffen. Dies soll durch die in der erstgenannten Stellungnahme vorgeschlagenen rechtlichen Anpassungen erreicht werden. Die EBA ist mit ihrem Entwurf für Leitlinien zu Informations- und Kommunikationstechnik (IKT) und zum Sicherheitsrisikomanagement, den sie bis zum 13. März 2019 konsultiert hatte, bereits einen wesentlichen Schritt in diese Richtung gegangen. Auf Basis dieser Harmonisierungs- und Konvergenzbestrebungen und unter Berücksichtigung bereits existierender Rahmenwerke wie der „G-7 Fundamental Elements for Threat-Led Penetration Testing“ und des Rahmenwerks für kontrollierte und individuell abgestimmte Cyber-Hackingangriffe (Threat Intelligence-based Ethical Red Teaming – TIBER-EU) schlagen die ESAs der Kommission vor, eine entsprechende rechtliche Grundlage für die Erstellung eines Rahmenwerks zu schaffen.

Die BaFin begrüßt den Vorschlag, ein TLPT-Rahmenwerk für signifikante Marktteilnehmer und Infrastrukturen zu entwickeln und zu implementieren. Das gilt umso mehr, als eine Arbeitsgruppe von BaFin und Deutscher Bundesbank derzeit einen deutschen Implementierungsvorschlag für derartige Penetrationstests erarbeitet. Er basiert auf dem im Mai 2018 veröffentlichten Rahmenwerk TIBER-EU der Europäischen Zentralbank. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt beratend an den Sitzungen der Arbeitsgruppe teil.

Fazit

Die von EIOPA, EBA und ESMA vorgeschlagenen regulatorischen Anpassungen und der Vorschlag für ein Rahmenwerk zu Cyber-Resilienz-Tests sollen zu einem effektiven Management der IKT-Risiken im Rahmen der ordnungsgemäßen Geschäftsorganisation und damit einer angemessenen Cyber-Resilienz bei den regulierten Unternehmen beitragen.

Autorin

Silke Brüggemann
BaFin-Referat Grundsatz IT-Aufsicht und Prüfungswesen

Hinweis

Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.

Fußnote: