Banken 4.0

TARGET2 – eine Riesenumstellung wird vorbereitet

TARGET2 ist ein europäisches Zahlungsverkehrssystem der Banken, nationalen Zentralbanken des Eurosystems und der EZB. Es beherbergt unter anderem die Mindestreserve der Banken und ist eine zentrale Drehscheibe für den Individualzahlungsverkehr in Europa.

Dieses komplexe System wird nun im November 2021 in großen Teilen konsolidiert. Die Umstellung erfolgt zum Stichtag und betrifft die Konten, technische Formate und Prozesse.

Letztlich hat die Umstellung in den Banken eine erhebliche Bedeutung für alle Kernfunktionen der Bank (Zahlungsverkehr, Kredite und Wertpapiergeschäft). Insofern handelt es sich um eine Operation am offenen Herzen.

Die Bundesbank verfolgt die TARGET2-Projekte in den Instituten sehr genau. Regelmäßig wird der Projektstatus abgefragt, was die Bedeutung des Umstellungsprojektes unterstreicht. Jedes Institut ist dabei von der Umstellung betroffen. Zudem müssen Banken bei der Bundesbank neue Konten beantragen. Neue Netzdienstleister müssen für den Zugang zum TARGET2-System ausgewählt werden.

Mit dem Erkennen der Bedeutung des Umstellungsprojekts mit Stichtagsumstellung wird dieses Thema zunehmend hohe Priorität in den Banken erlangen, obwohl es bei reibungsloser Umstellung keine großen Auswirkungen auf die Kunden haben dürfte.

Wir sehen, dass dieses kritische Projekt Banken erhebliche Ressourcen kosten wird und es bei einer nahtlosen Umstellung – trotz der Bedeutung für die Funktion der Banken – kein Öffentlichkeitsthema werden wird. Nach der Umstellung wird unter anderem ein zentrales TARGET-Liquiditätsmanagement ermöglicht.

Novellierung des IT-Sicherheitsgesetzes (IT-SiG 2.0) noch in 2019 zu erwarten

Das Bundesministerium des Innern, für Bau und Heimat (BMI) hat Ende März 2019 seinen ersten Referentenentwurf zur Weiterentwicklung des IT-Sicherheitsgesetzes (IT-SiG) vorgelegt. Momentan erfolgt in einem ersten Schritt die Abstimmung unter den beteiligten Ministerien.

Der Gesetzesentwurf beinhaltet einen deutlichen Ausbau des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit bis zu 850 weiteren Planstellen und sieht umfangreiche neue Aufgaben und Befugnisse der Behörde vor. So soll das BSI zukünftig im Speziellen auch Sicherheitslücken und -risiken erkennen und bewerten.

Die größten Auswirkungen auf Banken und IT-Dienstleister dürften sich nach dem Gesetzesentwurf durch eine im konkreten Störfall mögliche Ausdehnung von Pflichten der Betreiber kritischer Infrastrukturen auf „Nicht-KRITIS-Betreiber“ und die vorgesehene Beschränkung auf die Verwendung von Kernkomponenten im KRITIS-Betrieb von Herstellern ergeben, die zuvor ihre „Vertrau-
enswürdigkeit“ erklärt haben müssen.

Auch die geplante Einführung eines „freiwilligen IT-Sicherheitskennzeichens“ für IT-Hersteller kann Einfluss auf die Beschaffung und den Einsatz von IT-Produkten und -Dienstleistungen nehmen. Aufgrund der hohen Bedeutung der Cybersicherheit ist von einem Abschluss des Gesetzgebungsvorhabens noch bis Ende des Jahres 2019 auszugehen.

Wir halten die Vereinbarung und Koordination eines gemeinsamen Vorgehens mit Blick auf die Umsetzung des IT-SiG für den Finanzsektor durch das BSI und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für unverzichtbar.

EZB-Aktivitäten für ein Open Banking in Europa

Mit der im September 2019 zu vollendenden Umsetzung der Zahlungsdiensterichtlinie (PSD2) wird eine neue Ära für Banken und Sparkassen in Europa angestoßen.

Erstmals werden Institute gesetzlich verpflichtet, ihre Kundenzugänge für Drittdiensteanbieter zu öffnen beziehungsweise über eine technische Schnittstelle (API) – nach Einwilligung der betroffenen Firmen- und Privatkunden – Zugriff auf Kontoinformationen zu gewähren, Zahlungen auszulösen und die Verfügbarkeit von Mitteln auf onlinefähigen Zahlungskonten abzufragen. Dies zunächst für bestimmte Zahlungsdienste.

Insbesondere für die Europäische Zentralbank (EZB) und das von ihr initiierte und geleitete Euro Retail Payments Board (ERPB) ist die Fortführung der Arbeiten auf Basis der PSD2-Schnittstelle im E- und M-Commerce auch ein politisches Thema. Das ERPB hat im November 2018 die Gründung einer Arbeitsgruppe beschlossen, die die Entwicklung einer Schnittstellenlösung unter Beteiligung verschiedener Marktakteure vorbereiten soll (Working Group on API Access Scheme). Hier steht die Beschreibung von Bankdiensten („Use Cases“ bzw. „Customer Journeys“) im Mittelpunkt.

Weitere Aktivitäten zur Gründung eines oder mehrerer spezifischer Systeme für einen optionalen Beitritt werden in den nächsten Monaten aufgesetzt. So sollen unter anderem Dienste für die Bezahlung für Waren und Dienstleistungen, später Kredit-
anträge, Kontowechsel/ Produkttransfers, Kauf von Bankprodukten, Dienste mit wiederkehrender Nutzung von Personenbezogenen Daten sowie horizontale Anwendungen (zum Beispiel für die Identifizierung, Betrugsbekämpfung, Nutzung der starken Kundenauthentifizierung für Drittdienste) beschrieben werden.

Wir engagieren uns bei der Definition und Weiterentwicklung der Open-Banking-Standards.

Standardisierung des „request to pay“ (Zahlungsaufforderung) für SEPA

Im April 2019 hat das European Payments Council (EPC), das für die Regelwerke der SEPA-Zahlverfahren zuständig ist, die Arbeiten an der Standardisierung der Nachrichtenformate für den „request to pay“ (Zahlungsaufforderung) gestartet.

Dabei soll eine volle Harmonisierung mit den SEPA-Regelwerken des EPC und hier insbesondere der Über-
weisung und der Echtzeitüberweisung (Instant Payments) sichergestellt werden. Das EPC berücksichtigt auch bereits existierende Standardisierungen. So sind beispielsweise Länder und Kommunen in Deutschland schon heute verpflichtet, elektronische Rechnungen im Geschäftsbetrieb mit Nichtverbrauchern zu nutzen beziehungsweise bei Ausschreibungen zu fordern.

Die Unterstützung der bestehenden Standards ist für die europäische Kreditwirtschaft jedoch bisher nicht verpflichtend, weder für die Bank des Rechnungsstellers noch für die des Zahlers. Die Forderung von Rechnungsstellern nach einheitlichen Verfahren für „request to pay“ kann bisher weder von den Softwareherstellern noch von den Banken erfüllt werden. Hier könnte eine zunächst optionale, später auch verpflichtende Umsetzung in den EPC-Regelwerken Abhilfe schaffen.

Einheitliche europäische Standards des EPC für elektronische Rechnungen und insbesondere den „request to pay“ helfen den Banken, dem Zahler oder dem Rechnungssteller ergänzende Services zu ermöglichen. Neben Krediten, Skonto und Bonussystemen wären auch Innovationen für das Debitorenmanagement für Unternehmen und die öffentliche Hand denkbar.

Cybersicherheit-Tests mittels Red-Teaming für ausgewählte Institute ab 2020 wahrscheinlich

Die Europäische Zentralbank (EZB) hatte bereits im Mai 2018 das Rahmenwerk „Threat Intelligence-based Ethical Red Teaming“, kurz TIBER-EU, veröffentlicht. Institutionen und Behörden im Finanzsektor soll damit europaweit ein gemeinsamer Rahmen gegeben werden, um die bestehenden (IT-)Infrastrukturen auf Schwachstellen zu testen und die Widerstandsfähigkeit gegen komplexe Cyberangriffe zu verbessern.

Nachdem zunächst nur „Finanzmarktinfrastrukturen“ (FMI) im Fokus der Aufseher standen, ist mittlerweile klar, dass Red-Team-Tests – also tatsächliche Hackerangriffe zu Testzwecken – auch bei „größeren Kreditinstituten mit Relevanz für den Finanzsektor“ durchgeführt beziehungsweise von diesen beauftragt werden sollen. Ob und in welchem Umfang „Red Teaming“ für Institute verpflichtend wird und wie die operative Umsetzung in Deutschland im Einzelnen erfolgen soll, ist aktuell bei der BaFin unter Einbeziehung des BSI noch in Planung.

Hierbei sind unbedingt zentrale und noch unbeantwortete Fragen und Punkte zu klären. Zum Beispiel die Frage nach eindeutigen und aufsichtlich belastbaren Auswahlkritieren für die Beauftragung von Red-Team-Dienstleistern und nach grundlegenden Vorgaben für den Umgang mit den sicherheitsrelevanten Testergebnissen oder auch die Auswirkung auf das Risikomanagement der Institute.

Wir setzen uns weiterhin für eine risikoadjustierte Umsetzung nach dem Grundsatz der Proportionalität ein. Wir fordern in diesem speziellen Fall, dass eine Umsetzung erst nach vollständiger Klärung offener Umsetzungsfragen und eingehender Betrachtung und Bewertung potenzieller Risiken erfolgt.​​​​​​

EU-Preisverordnung bringt neue Informationspflichten

Das Europäische Parlament und der Rat haben Ende 2018 eine Einigung über den Vorschlag der EU-Kommission zur Anpassung der EU-Preisverordnung für grenzüberschreitende Zahlungen erzielt.

Schwerpunkt der Kompromissfindung im Trilog waren die zusätzlichen Informations- und Transparenzanforderungen bei Währungsumrechnungen, sowohl beim Einsatz von Zahlkarten am Point of Sale (POS) und Geldautomaten (GAA) als auch bei Überweisungen.

Über die erweiterten Regelungen zur gleichen Bepreisung von Zahlungsdiensten in Euro und EU-Landeswährungen für Institute in Nicht-Euro-Ländern bestand schon vorab Einigkeit. Die neuen Informationen bei Währungsumrechnungen für (elektronische) Überweisungen in EU-Landeswährungen außer Euro sollen innerhalb von zwölf Monaten nach Inkrafttreten der neuen Preisverordnung umgesetzt werden.

Für die Umsetzung der elektronischen Mitteilung bei Währungsumrechnungen bei Einsatz der Zahlkarte an POS und GAA gilt eine 24-Monats-Frist. Nach der Verabschiedung der geänderten EU-Preisverordnung durch das EU-Parlament Mitte Februar 2019 ist mit der Veröffentlichung der Verordnung im EU-Amtsblatt bis Ende des ersten Quartals 2019 zu rechnen.

Die Regelungen zur Gleichstellung der Bepreisung von Euro-Zahlungen und Zahlungen in anderen EU-Landeswährungen müssen aus unserer Sicht von den Instituten in den Nicht-Euro-Mitgliedstaaten bereits ab dem 19. Dezember 2019 beachtet werden.

Weiterentwicklung der Bankfachlichen Anforderungen an die IT

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank haben mit der Konkretisierung ihrer Anforderungen aus AT 7.3 (Notfallkonzept) der MaRisk für ein zukünftiges zehntes Kapitel „IT-Notfallmanagement“ in den Bankfachlichen Anforderungen an die IT (BAIT) begonnen.

Dabei stehen der gesicherte Wiederanlauf und die Wiederherstellung (zeit-)kritischer IT-Systeme nach erheblichen Störungen, Krisen oder Notfällen im Fokus.

Aus unserer Sicht ist davon auszugehen, dass die Aufsicht dazu unter anderem konkrete Anforderungen an die Verzeichnisführung der IT-Systeme und -Prozesse, die Identifikation und Priorisierung der IT-Systeme, die Notfallplanung und deren regelmäßiges Testen formulieren wird. Mit der Veröffentlichung eines Konsultationsentwurfs und gegebenenfalls auch einer weitergehenden Betrachtung im BaFin-Fachgremium IT ist voraussichtlich im zweiten Quartal 2019 zu rechnen.

Mit Blick auf die bei der BaFin diskutierte Implementierung zahlungsverkehrsspezifischer Anforderungen an die IT aus den PSD2 in die BAIT ist wahrscheinlich, dass diese nicht ausschließlich als eigenes Kapitel veröffentlicht, sondern auch punktuell in die bestehenden Kapitel der BAIT eingearbeitet werden. Diese Anpassungen sollen zusammen mit möglichen Ergänzungen infolge der in Vorbereitung befindlichen EBA-Leitlinien zum IKT-Risikomanagement (IKT – Informations- und Kommunikationstechnik) realisiert werden.

Darüber hinaus bleibt unsererseits noch abzuwarten, welcher Anpassungsbedarf sich für die BAIT aus der neuen „EBA-Guideline on Outsourcing“ ergeben wird, deren Veröffentlichung ebenfalls für das zweite Quartal 2019 avisiert ist.