Kritische Infrastruktur:

Neue Anforderungen für Kreditinstitute - Nur Pflicht oder Chance?

Die BSI-Kritisverordnung (BSI-KritisV) fordert eine branchenspezifische Informationssicherheit von Kreditinstituten, deren Größe eine Kritische Infrastruktur darstellt. Die Anforderungen und Schwellenwerte wurden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert. Der Nachweis hat erstmals bis Ende Juni 2019 und in der Folge in zweijährigem Turnus zu erfolgen.

Als Folge auf zahlreiche, gezielte Angriffe auf die Wirtschaft wurden nach den Sektoren Energie, Wasser, Informationstechnik, Telekommunikation und Ernährung in der zweiten Stufe u.a. auch der Sektor Finanz- und Versicherungswesen als kritische Infrastruktur eingestuft. Nach der Datenschutz-Grundverordnung (DS-GVO) und den Bankaufsichtlichen Anforderungen an die IT (BAIT) ist das die nächste Anforderung an die Informationssysteme, die große Institute zu bewältigen haben. Alles in einem Umfeld, in dem die Ertragslage bereits eine Herausforderung darstellt! Die konforme Umsetzung der Regularien sowie die Umsetzung digitaler Anforderungen der Kunden prägen aktuell Projekte in Kreditinstituten. Daher stellt sich die Frage, wer die Kriterien zu erfüllen hat, wie die Anforderungen umzusetzen sind und ob es auch Chancen gibt.

Wer hat die Meldepflicht? Mit welchen Anforderungen?

Kriterien für Organisationen, die bedeutsam für das staatliche Gemeinwesen sind, betreffen die Bargeldversorgung, den kartengestützten und konventionellen Zahlungsverkehr sowie die Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften. Als Schwellenwerte gelten beispielsweise 21,5 Mio. Transkationen für spezifische Kriterien im kartengestützten Zahlungsverkehr und im konventionellen Zahlungsverkehr 100 Mio. Transaktionen. Damit greift die BSI-KritisV für Kreditinstitute mit hohen Transaktionsvolumina oder deren Dienstleistungszentren, wie z.B. die Rechenzentren der Sparkassen- und genossenschaftlichen Organisation. Mit der Überschreitung der Schwellenwerte sind sie verpflichtet, eine Kontaktstelle gegenüber dem BSI zu benennen und Sicherheitsmaßnahmen für ihre Infrastruktur umzusetzen.

Zudem sind in der Folge Sicherheitsvorfälle (IT-Störungen) zu melden. Organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse sind nachzuweisen, deren gesetzliche Grundlagen auf § 8a BSI zurückzuführen sind. Der Nachweis zur Einhaltung kann über Begutachtungen bzw. Auditierungen des Informationssicherheits-Managementsystems (ISMS). Die reine Zertifizierung nach ISO/IEC 27001 reicht als Nachweis gegenüber dem BSI jedoch nicht aus, stellt aber eine gute Ausgangsbasis dar. Ergänzend sind auch branchenspezifische Anforderungen zu erfüllen.

 

Nur Pflicht oder auch Chance?

Diejenigen, die die Schwellenwerte erreichen, bringen in aller Regel eine gute Infrastruktur durch eine vorliegende Zertifizierung nach ISO/IEC 27001 mit. Hier bedarf es des Aufbaus entsprechender Compliance-Strukturen. Damit sollte die Chance genutzt werden, Cyberattacken konsequent bewältigen zu können. Anderenfalls können aufgedeckte Sicherheitslücken nachhaltige Reputationsschäden nach sich ziehen. Für alle anderen Institute führt die signalisierte Nichtrelevanz zu einer geringen Auseinandersetzung mit der KritisV. Durchaus verständlich bei der Vielzahl regulatorischer Anforderungen. Hier werden jedoch Chancen nicht ergriffen. Denn die Abwehrkraft gegen Cyberangriffe zu stärken und sich auf einen Vorfall vorzubereiten, liegt im ureigenen Interesse der Unternehmen. Der Nutzen, digitales Vertrauen von Kunden durch einen extern bestätigten Nachweis zurück zu gewinnen, übertrifft die formale Pflicht bei weitem. Dies kann in einem anspruchsvollen Marktumfeld und kritischen Medienberichten über die Branche einen klaren Wettbewerbsvorteil bedeuten. In jedem Fall trägt dieses Abheben vom „Mainstream“ mit einem systematischen Lösungsansatz für risikoadäquate Kommunikation zur konsequenten Umsetzung der Mindestanforderungen an das Risikomanagement der Banken (MaRisk) und der BAIT bei. Die Transparenz für operationelle Risikobewertungen zu schaffen, sollte die künftigen Anforderungen der Europäischen Bankenaufsichtsbehörde zu operationellen Risiken erleichtern.

 

Ursula Schwedler
Geschäftsführerin der Schwedler management quality GmbH
DQS-Auditorin