Wie Banken in der IT Sicherheit konform sind

Die IT-Sicherheit von Banken ist heute ein wichtiges Thema. Es müssen bestimmte Richtlinien und Standards eingehalten werden, um eine sichere und zuverlässige Datenspeicherung, -Übertragung und -Verarbeitung zu gewährleisten. Die IT-Strategie hat die Anforderungen nach AT 4.2 der MaRisk zu erfüllen. Dies beinhaltet insbesondere, dass die Geschäftsleitung eine nachhaltige IT-Strategie festlegt, in der die Ziele sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden.

In diesem Blog werden wir uns anschauen, wie Banken sich dieser Herausforderung stellen und wie sie konform sind.

1. Warum IT Sicherheit für Banken wichtig ist

IT-Sicherheit ist für Banken von enormer Bedeutung. Banken sind zuständig für die Aufbewahrung und Verwaltung von enormen Mengen an vertraulichen Finanzdaten und Geldern ihrer Kunden. Ein Datenleck oder ein Hackerangriff kann zu schwerwiegenden Folgen für Bankkunden sowie für das Ansehen und die Integrität der Bank selbst führen.

Ein Hackerangriff auf eine Bank kann dazu führen, dass sensible Kundendaten wie Kontonummern, Passwörter und Kreditkartendaten gestohlen werden. Diese Informationen können dann für illegalen Online-Betrug oder Identitätsdiebstahl verwendet werden. Darüber hinaus können Hacker auch auf die Bankkonten der Kunden zugreifen und das Geld stehlen.

Um solche Bedrohungen abzuwehren, müssen Banken robuste IT-Sicherheitsmaßnahmen implementieren, die es Hackern erschweren, auf ihre Systeme und Daten zuzugreifen. Diese Maßnahmen können beispielsweise Firewalls, Verschlüsselung, Zwei-Faktor-Authentifizierung und regelmäßige Sicherheitsüberprüfungen beinhalten.

Eine weitere wichtige Überlegung für Banken ist das Risiko einer Datenpanne. Dies kann durch menschliche Fehler, technische Ausfälle oder Naturkatastrophen verursacht werden. Eine Datenpanne kann dazu führen, dass vertrauliche Kundendaten offengelegt werden, was ein enormes Risiko für die Privatsphäre der Kunden darstellt. Um solche Datenpannen zu vermeiden, müssen Banken regelmäßig Datensicherungen durchführen und ihre IT-Systeme und Prozesse überwachen, um sicherzustellen, dass sie jederzeit einsatzbereit sind.

Zusammenfassend kann gesagt werden, dass IT-Sicherheit für Banken unverzichtbar ist. Ein sicheres IT-System schützt die sensiblen Kundendaten und Finanzen vor Hackerangriffen und Datenpannen. Darüber hinaus trägt es zur Integrität und dem guten Ruf der Bank bei, was wiederum dazu beiträgt, das Vertrauen der Kunden in die Bank aufrechtzuerhalten.


2. Mit den BAIT hat die BaFin einen Best Practices Standard veröffentlicht

Der Einsatz von Informationstechnik (IT) in den Instituten, auch unter Einbeziehung von IT-Services, die durch IT-Dienstleister bereitgestellt werden, hat eine zentrale Bedeutung für die Finanzwirtschaft und wird weiter an Bedeutung gewinnen.

Die BAIT (Bankaufsichtliche Anforderungen an die IT) geben auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen, das Informationsrisikomanagement und das Informationssicherheitsmanagement – vor. Der BAIT-Standard präzisiert ferner die Anforderungen des § 25b KWG (Auslagerung von Aktivitäten und Prozessen). 

Mit den BAIT erhalten die Finanzunternehmen Best Practices zu folgenden Bereichen der Informationssicherheit:

  • IT-Strategie
  • IT-Governance
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • Operative Informationssicherheit
  • Identitäts- und Rechtemanagement
  • IT-Projekte und Anwendungsentwicklung
  • IT-Betrieb
  • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
  • IT-Notfallmanagement
  • Management der Beziehungen mit Zahlungsdienstnutzern
  • Kritische Infrastrukturen


3. Wie Banken ihre IT-Sicherheit gewährleisten

Banken sind in einer äußerst herausfordernden Situation, wenn es darum geht, die IT-Sicherheit zu gewährleisten. Wie jedes Unternehmen hängt ihr Erfolg davon ab, dass sie vertrauliche Kundendaten und Informationen schützen. Daher müssen Banken einige grundlegende Schritte unternehmen, um sicherzustellen, dass sie den strengen Informationssicherheits-Vorschriften entsprechen und auch vor Cyberangriffen geschützt sind. Hier sind 10 Punkte, wie Banken ihre IT-Sicherheit gewährleisten:

1. Erstellen und Implementieren eines Security-Awareness-Programms, um Mitarbeiter zu schulen und zu sensibilisieren.

2. Erstellen und Implementieren eines Richtlinien- und Verfahrensrahmens, um die Einhaltung von Sicherheitsstandards zu gewährleisten.

3. Einsatz von Firewalls und anderen Netzwerksicherheitslösungen.

4. Erstellen und Implementieren einer Datenklassifizierungsrichtlinie, um den Zugriff auf sensible Daten zu schützen.

5. Einrichtung von Benutzerkonten mit benutzerdefinierten Zugriffsrechten.

6. Einrichtung von Kontrollen zur Identitätsüberprüfung und zur Verhinderung von unerlaubtem Zugriff auf ITSysteme.

7. Implementierung eines Sicherheits-Auditsystems, um Sicherheitslücken aufzudecken und zu beheben.

8. Einsatz von Verschlüsselungstechnologien, um Daten vor unbefugtem Zugriff zu schützen.

9. Erstellen und Implementieren eines SicherheitsBackupProgramms, um die Sicherheit und Verfügbarkeit von Daten zu gewährleisten.

10. Implementierung eines proaktiven Ansatzes zur Beseitigung von potenziellen Sicherheitsbedrohungen.


4. Risikobasierter Ansatz zur Steuerung der Informationssicherheit bei Cloud Diensten

Eine weitere wichtige Komponente der ITSicherheit in einer Bank ist die Einhaltung der nationalen und internationalen Gesetze und Vorschriften bei Cloud-Lösungen. Die neuesten Anforderungen an die Steuerung der Informationssicherheit bei Cloud-Diensten werden von der ESMA mit den Leitlinien zur Auslagerung an Cloud-Anbieter beschrieben.

Gemäß Leitlinie 4. Informationssicherheit haben Finanzunternehmen folgendes zu beachten:

Tz 29. Eine Firma sollte in ihren internen Richtlinien und Verfahren sowie in der schriftlichen
Auslagerungsvereinbarung mit dem Cloud-Anbieter Anforderungen an die Informationssicherheit festlegen und die Einhaltung dieser Anforderungen fortlaufend überwachen, einschließlich des Schutzes vertraulicher, personenbezogener oder anderweitig sensibler Daten. Diese Anforderungen sollten in einem angemessenen Verhältnis zu Art, Umfang und Komplexität der Funktion, die die Firma an den CloudAnbieter auslagert, und zu den mit dieser Funktion verbundenen Risiken stehen.

Tz 30. Zu diesem Zweck sollte eine Firma bei der Auslagerung von kritischen oder wesentlichen Funktionen auf der Grundlage eines risikobasierten Ansatzes und unbeschadet der anwendbaren Anforderungen nach der DSGVO zumindest Folgendes tun:

  • Organisation der Informationssicherheit: Sie sollte sicherstellen, dass eine klare
    Aufteilung der Aufgaben und Zuständigkeiten in Bezug auf die Informationssicherheit zwischen der Firma und dem Cloud-Anbieter erfolgt, die
    unter anderem die Erkennung von Bedrohungen, Störfallmanagement und PatchManagement betreffen, und dass der Cloud-Anbieter seine Aufgaben und Zuständigkeiten wirksam wahrnehmen kann.

  • Identitäts- und Zugriffsverwaltung: Sie sollte sicherstellen, dass wirksame
    Authentifizierungssysteme (z. B. Multifaktor-Authentifizierung) und Zugangskontrollen eingerichtet sind, um den unbefugten Zugang zu Daten und Backend-Cloudressourcen der Firma zu verhindern.

  • Verschlüsselung und Schlüsselverwaltung: Sie sollte sicherstellen, dass erforderlichenfalls entsprechende Verschlüsselungstechnologien für Daten bei der
    Übertragung, für gespeicherte Daten, Daten bei der Speicherung und Datensicherungen in Verbindung mit geeigneten Lösungen für das Schlüsselmanagement verwendet werden, um das Risiko eines unbefugten Zugangs zu den Verschlüsselungsschlüsseln einzugrenzen; insbesondere sollte die Firma bei der Wahl ihrer Schlüsselmanagementlösung auf dem neuesten
    Stand der Technik beruhende Technologie und entsprechende Verfahren in Betracht ziehen.

  • Betriebs- und Netzwerksicherheit: Sie sollte angemessene Ebenen der Netzwerkverfügbarkeit, Netzwerktrennung (z. B. Isolation von Mandanten in der gemeinsamen Umgebung der Cloud, operative Trennung in Bezug auf das Web, Anwendungslogik, Betriebssystem, Netzwerk, Datenbankmanagementsystem (DBMS) und Speicherebenen) und Verarbeitungsumgebungen (z. B. Erprobung, Erprobung der Nutzerakzeptanz, Entwicklung, Produktion) berücksichtigen.

  • Anwendungsprogrammierschnittstellen (API): Bei der Integration der CloudDienste in die Systeme der Firma sind Mechanismen zu berücksichtigen, welche die Sicherheit der Anwendungsprogrammierschnittstellen (API) gewährleisten (z. B. Festlegung und Aufrechterhaltung von Richtlinien und Verfahren zur Informationssicherheit für APIs über mehrere Systemschnittstellen, Gerichtsbarkeiten und Geschäftsfunktionen hinweg, um eine unbefugte Offenlegung, Änderung oder Zerstörung von Daten zu verhindern).

  • Geschäftskontinuität und Notfallsanierungsplan: Sie sollte sicherstellen, dass wirksame Kontrollen hinsichtlich der Fortführung des Geschäftsbetriebs und des Notfallsanierungsplans vorhanden sind (z. B. Festlegung von Mindestkapazitätsanforderungen, Auswahl geografisch verteilter Hosting-Optionen mit der Möglichkeit, von einer zur anderen zu wechseln, oder die Anforderung und Überprüfung der Dokumentation, aus der der Übermittlungsweg der Daten der Firma zwischen den Systemen des Cloud-Anbieters hervorgeht, sowie die Berücksichtigung der Möglichkeit Machine Images an einen unabhängigen Speicherort zu kopieren, welcher vom Netzwerk ausreichend isoliert oder offline geschalten ist).

  • Standort der Daten: Sie sollte einen risikobasierten Ansatz für den Standort bzw. die Standorte (d. h. Regionen oder Länder) verfolgen, an dem/denen die Daten gespeichert und verarbeitet werden.

  • Einhaltung und Überwachung der Vorschriften: Sie sollte überprüfen, dass der Cloud-Anbieter international anerkannte Standards zur Informationssicherheit erfüllt und angemessene Kontrollen der Informationssicherheit eingerichtet hat (z. B. durch die Aufforderung an den Cloud-Anbieter, nachzuweisen, dass er entsprechende Überprüfungen der Informationssicherheit und regelmäßige Prüfungen und Tests der Informationssicherheitsmaßnahmen des Cloud Anbieters durchführt).

Durch die Implementierung verschiedener Sicherheitsstandards und -richtlinien können Banken einen effektiven Schutz vor böswilligen Akteuren schaffen und das Vertrauen ihrer Kunden stärken.  Durch die Einhaltung dieser Maßnahmen können Banken sicherstellen, dass sie den Anforderungen in Bezug auf IT-Sicherheit gerecht werden und ihre Kunden vor Cyber-Bedrohungen schützen.


Lehrgang Resilience Officer

5. Karriere machen als Resilience Officer

Informationssicherheit und Notfall-Management sind wichtige Themen in unserer heutigen vernetzten Welt. Der Lehrgang Resilience Officer vermittelt Dir die notwendigen Kenntnisse und Fähigkeiten, um ein erfolgreiches Informationssicherheits- und Notfallmanagement-Programm aufzubauen.

Durch den Lehrgang wist Du in die Lage versetzt, effektive Maßnahmen zur Informationssicherheit und Notfallvorsorge zu ergreifen und so Deiner Organisation einen wertvollen Beitrag zu leisten. Der Lehrgang ist der nächste Schritt auf Deiner Karriereleiter.

S+P Lehrgang: Der smarte Weg zum erfolgreichen Resilience Officer!

Chaticon