Cybersicherheit & IT-Steuerung

Cloud-Lösungen und Cybersicherheit im Fokus: Cloud-Lösungen und Cybersicherheit im Fokus: Regulierung kann Konzentrationsrisiken verschärfen

Der weltweite IT-Vorfall, verursacht mutmaßlich durch ein fehlerhaftes Update des IT-Sicherheitsdienstleisters Crowdstrike bei Microsoft-Systemen am 19. Juli 2024 rückte zuletzt das Thema Cybersicherheit wieder in den Fokus der Öffentlichkeit und nicht zuletzt auch der Aufsicht.

Obwohl die öffentlichen Banken insgesamt nicht von kritischen Auswirkungen betroffen waren, steht das Thema Konzentrationsrisiken und die Bewertung dieser auch für Banken und Sparkassen auf der Tagesordnung – insbesondere auch bei Weiterverlagerungsdienstleistern. Hierbei ist allerdings insbesondere zu berücksichtigen, dass mit der Anwendung des Digital Operational Resilience Acts (DORA) in der gesamten EU ab 17. Januar 2025 die Konzentration auf wenige große Dienstleister weiter steigen dürfte. Nur größere und sehr große Dienstleister sind bei einer bedeutenden Anwendungsbreite in der Lage die Regulierungsanforderungen zu erfüllen, welche mit DORA durch Banken und Sparkassen an diese gestellt werden. Dazu kommt noch die Prüfung / Auditierung von IT- bzw. Cloud-Dienstleistern bei wesentlichen Auslagerungen durch Banken und Sparkassen, die Einbindung bei bedrohungsorientierten Tests (Threat-led Penetration Testing -. TLPT) sowie der benötigte umfassende Support. Wir erwarten, dass sich mit DORA zwar der Kreis der unter die Aufsicht fallenden Finanzunternehmen deutlich erhöhen wird, aber gleichzeitig den Umfang der regulatorischen Anforderungen nicht mehr leisten können und ggf. auch keine Dienste ggü. Finanzunternehmen anbieten könnten. Dies verschärft auch Konzentrationsrisiken besonders auf wenige große Anbieter weiter.

Teilweise wird im Zusammenhang der öffentlichen Diskussion über den letzten großen IT-Vorfall auch Kritik an der Nutzung von Cloud-Lösungen geäußert. Das häufig in diesem Zusammenhang geäußerte Konzentrationsproblem auf wenige große Dienstleister dürfte sich mit DORA nochmals verschärfen, da für kleinere Dienstleister der Umfang der Überwachung und Steuerung durch Finanzunternehmen als zu aufwändig betrachtet wird.

Gerade durch die Nutzung von Cloud-Lösungen können Finanzunternehmen verschiedene Resilienzstrategien und Maßnahmen zur Risikominderung umsetzen.  Diese Strategien umfassen die Implementierung von Redundanz- und Backup-Systemen sowie sorgfältig ausgearbeitete Verträge mit IT-Dienstleistern, die Bedingungen für Service Level Agreements (SLAs), Sicherheitsanforderungen und Notfallwiederherstellungsmaßnahmen festlegen. Das Risiko von fehlerhaften Sicherheitspatches – die auch aus aufsichtlicher Sicht immer Vorrang vor anderen Maßnahmen haben sollen – liegt zudem nicht in der Nutzung einer Cloud-Lösung anstelle einer On-Premise-Lösung, sondern in einem stufenweisen Update-Vorgehen bzw. der Anwendung eines umfassenden Testframeworks auch bei agilen Softwareentwicklungs- und Implementierungsmehoden. On-Premise-Lösungen bieten per se zudem hierbei keine Sicherheitsvorteile.

Perspektivisch werden Cloud-Systeme und ein dezentraler Betrieb weiter an Bedeutung gewinnen! Somit wird auch die Cybersicherheit eine Top-Priorität für die Finanzindustrie bleiben, insbesondere auch in Bezug auf die Prozesse bei Dienstleistern und die Reaktionsgeschwindigkeit bei Vorfällen.

EZB schließt Konsultation zur Auslagerung von Cloud-Diensten ab – was Banken von der Aufsicht erwarten dürfen

Am 17. Januar tritt die DORA (Digital Operational Resilience Act) -Verordnung in Kraft und verpflichtet Banken unter anderem auch zur effektiven Steuerung von Auslagerungsrisiken im Rahmen des Managements von Drittparteienrisiken, besonders das Cloud-Outsourcing.

Vor dem Hintergrund muss auch die Anpassung nachgelagerter Cloud-Rechtsakte erfolgen. Der EZB-Leitfaden will daher die rechtlichen Anforderungen und Erwartungen der EZB an beaufsichtigte Banken klären. Dabei steht das Management von Drittparteien als eine zentrale Aufsichtspriorität im Mittelpunkt der EZB.

Wesentliche Inhalte betreffen die folgenden Schwerpunkte:

  • Risikomanagement

Die Finanzinstitute müssen regelmäßige Risikoanalysen, insbesondere hinsichtlich Konzentrationsrisiken und Abhängigkeiten von einzelnen Dienstleistern vornehmen. Dazu gehören die Bewertung der Abhängigkeit von spezifischen Anbietern, geografischen Standorten und Funktionalitäten und die Schwierigkeiten beim Wechsel des Dienstleisters.

  • Geschäftsfortführung und Notfallwiederherstellung

Es werden regelmäßige Tests der Notfallwiederherstellungspläne der Cloud Service Provider (CSP) verlangt inklusive unangekündigter Spot-Checks. Es sind Mitarbeiterschulungen des Personals vorgesehen, das in Notfallwiederherstellungsverfahren involviert ist. Identifizierte Mängel müssen dokumentiert und analysiert werden, um daraus einen Sanierungsplan zu entwickeln.

  • IT-Sicherheit und Datenintegrität

Es werden hohe Verschlüsselungsstandards für Daten bei der Übertragung („in transit“), Speicherung („at rest“) und wenn möglich auch bei der Verwendung („in use“) gesetzt. Die Speicherung und Verarbeitung von Daten soll unter Berücksichtigung rechtlicher und politischer Risiken in akzeptablen Ländern erfolgen.

  • Vertragsgestaltung

Es sollen Standardvertragsklauseln für Cloud-Computing-Dienstleistungen genutzt werden, die von Behörden entwickelt werden (wo vorhanden und wenn möglich): Vertragliche Bestimmungen zur Überwachung und Verbesserung der Dienstleistungsqualität werden verlangt. Aus den Verträgen solle klare und transparente Darstellungen der Kosten für Vor-Ort-Audits hervorgehen.

  • Compliance und Regulierung

Regelmäßig ist die Einhaltung von regulatorischen Anforderungen und internen Sicherheitsrichtlinien zu überprüfen, alle relevanten Prozesse und Sicherheitsmaßnahmen sind zu dokumentieren. Eine enge Zusammenarbeit mit den zuständigen nationalen und europäischen Aufsichtsbehörden wir erwartet.

Wir haben uns in die Konsultation direkt und auch über die Deutsche Kreditwirtschaft, die European Banking Federation und die European Association of Public Banks mit folgenden Petita eingebracht:

Harmonisierter Ansatz: Der EZB-Leitfaden sollte klar auf DORA abgestimmt sein und keine zusätzlichen Anforderungen einführen, die in der Verordnung nicht enthalten sind. Konsistenz und Kohärenz zwischen DORA und dem EZB-Leitfaden sind notwendig, um eine reibungslose Umsetzung und eine verbesserte digitale Resilienz sicherzustellen.

Umsetzbarkeit: Die Umsetzung verschiedener Anforderungen, wie z.B. der Analyse und Tests vor der Auslagerung oder die Vertragsanpassungen, ist im Entwurf herausfordernd, da die Einhaltung von der Bereitschaft der Anbieter abhängt, die relevanten Daten bereitzustellen. Hier wäre die Nutzung der von DORA bereitgestellten Aufsicht über IKT-Drittanbieter hilfreich.

Risikobasierter Ansatz, Proportionalität: Die DORA und die ergänzenden Standards der ESAs stellen umfangreiche und strenge Anforderungen an alle Finanzunternehmen. Es ist wichtig, dass der EZB-Leitfaden eine risikoorientierte Umsetzung und die Geltung der Verhältnismäßigkeit klar betont.

Verfügbarkeit und Resilienz von Cloud-Leistungen: Die EZB empfiehlt, für die Datensicherung nicht denselben Cloud-Anbieter zu nutzen und fordert Sicherungs- und Wiederherstellungsverfahren. Ein risikobasierter Ansatz sollte holistisch alle relevanten Aspekte berücksichtigen, zudem es auch andere Sicherheitsmaßnahmen jenseits der Einschaltung eines weiteren Cloud-Anbieters gibt.

Rückführung von Daten „on premise“: Gemäß DORA identifizieren Finanzinstitute bereits alternative Lösungen und entwickeln Übergangspläne. Eine Klausel, die die Rückführung von Daten „on premise“ vorschreibt, würde die Vorteile der Cloud in Frage stellen und finanziell nicht tragbar machen.

Exit-Strategie: Die EZB-Leitlinie beschreibt Veränderungen, die zu einem Kündigungsgrund führen könnten, wie der Umzug eines Datenzentrums oder veränderte nationale gesetzliche Regelungen. Vielmehr sollte mit solchen Klauseln dem CSP die Möglichkeit geben, den Vertrag ordnungsgemäß zu erfüllen.

Bei allen Banken laufen die Vorbereitungen für die DORA-Umsetzung auf Hochtouren – die zeitlichen Vorgaben sind kaum zu schaffen. Vor dem Hintergrund wünschen wir uns für unsere Mitgliedsinstitute klare Vorgaben, damit DORA effizient und wirkungsvoll seine Ziele erreichen kann.

NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz: Was Banken wissen müssen

Das neue NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befindet sich in einer fortgeschrittenen Gesetzgebungsphase. Die Europäische Kommission adressiert damit verschiedene Kritikpunkte:

Das neue NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befindet sich in einer fortgeschrittenen Gesetzgebungsphase. Die Europäische Kommission adressiert damit verschiedene Kritikpunkte:

• Unzureichende Cyberresilienz von Unternehmen in der EU.

• Inkonsistente Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren.

• Unzureichendes gemeinsames Verständnis der Bedrohungen und Herausforderungen.

• Fehlende gemeinsame Krisenreaktion.

Bedeutung für die Finanzindustrie

Die Finanzindustrie wird durch das NIS2UmsuCG in mehrfacher Hinsicht beeinflusst:

1. DORA als spezialisierte Regulierung: Der Digital Operational Resilience Act (DORA) regelt Cybersicherheit, IKT-Risiken und digitale Resilienz speziell für den Finanzsektor als lex specialis gegenüber dem NIS2UmsuCG.

2. Anwendungsbereich des NIS2UmsuCG: Finanzunternehmen sind aber zusätzlich wichtige bzw. besonders wichtige Einrichtungen im Sinne des NIS2UmsuCG. Daher fallen aufgrund niedriger Schwellenwerte (50 Mitarbeiter und mindestens 10 Mio. EUR Umsatz oder Bilanzsumme) alle Banken und Sparkassen unter die NIS2UmsuCG-Regulierung.

3. Registrierung beim BSI: Daher müssen sie sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und eine Kontaktstelle benennen - unabhängig von der BaFin. Dies gilt auch unabhängig von festgestellten KRITIS-Diensten.

4. Keine Betreiberstatus: Finanzunternehmen werden durch die Registrierung und Nennung der Kontaktstelle aber keine Betreiber, da es ihnen aufgrund einer bisher ausschließlich für den Sektor Finanzwirtschaft genutzten Definition im Gegensatz zu anderen Betreibern an der tatsächlichen Sachherrschaft fehlt. Vielmehr liegt die tatsächliche Sachherrschaft oft bei IT-Dienstleistern, an die die IT ausgelagert ist. Diese IT-Dienstleister sind gemäß der BSI-KRITIS-Verordnung zuständig für Vorfallsmeldungen.

5. Meldepflichten nach DORA: Finanzunternehmen müssen vielmehr gemäß DORA schwerwiegende IKT-bezogene und Zahlungssicherheitsvorfälle an die BaFin oder die EZB melden. Die BaFin leitet diese Informationen künftig auch an das BSI weiter.

Wir setzen uns für folgende Punkte ein:

• Befreiung von Doppelmeldungen: IT-Dienstleister, die für Finanzunternehmen tätig sind, sollen von direkten Meldepflichten ans BSI befreit werden, um Doppelmeldungen und Doppelregulierung zu vermeiden. Diese Meldungen erfolgen ausschließlich durch die Finanzunternehmen über DORA an die EZB oder BaFin.

• Vereinfachung der Registrierung: Informationen zur Registrierung und Nennung einer Kontaktstelle beim BSI sollen über die BaFin als „single point of contact“ hinterlegt werden können, um parallele Meldungen zu vermeiden.

Durch diese Maßnahmen wollen wir die Komplexität und den bürokratischen Aufwand für Finanzunternehmen minimieren und gleichzeitig den gestiegenen Anforderungen an wirkungsvolle Cyberresilienz gerecht werden.

Digital Operational Resilience Act (DORA), Informationssicherheit und IT-Compliance

Die Widerstandsfähigkeit von IT-Infrastrukturen rückt nicht erst mit der seit Januar 2023 veröffentlichten, neuen europäischen DORA-Gesetzgebung immer mehr in den Mittelpunkt der Banken. Aufgrund der zunehmenden Digitalisierung, zusätzlicher Angriffsrisiken und generell einer komplexeren IT-Systemlandschaft rückt die Cyber-Resilienz auch unabhängig von der Regulatorik weiter in den Fokus. Die EZB plant aufsichtlich für 2024 zudem spezifische Stresstests zur Cyberresilienz für die von ihr direkt beaufsichtigten Institute.

Um den Anforderungen gerecht zu werden, rücken neben den nationalen insbesondere auch weltweiten, allgemeinen Standards (bspw. ISO/IEC 270xx für ein ISMS) sowie spezifische Industriestandards bzw. solche von übergreifenden Initiativen (wie bspw. das MITRE Framework zur Klassifizierung von Bedrohungen und Angriffserkennung) in den Fokus der Banken. So können diese darauf basierenden Systeme im Zusammenspiel mit einem Security Information and Event Management (SIEM), angedockt an ein Security Operations Center (SOC) zur Durchführung gezielter Maßnahmen, eine ganzheitliche Betrachtung und einen wichtigen Teilbereich bspw. der IT-Systembezogenen Informationssicherheit abdecken. 

Auf regulatorischer Ebene soll das erste Paket der delegierten DORA-Rechtsakte Mitte Juni 2023 von den europäischen Aufsichtsbehörden EIOPA, EBA, ESMA und den ESAs zur Konsultation gestellt werden. Diese Konsultation läuft bis zum 11. September 2023. Das zweite Paket ist für November/Dezember 2023 angekündigt. Die zeitlichen Eckpunkte stehen bereits fest. So sollen die Rechtsakte des 1. Pakets am 17. Januar 2024 und die des 2. Pakets am 17. Juli 2024 final vorliegen. Alle Anforderungen sind bis zum 17. Januar 2025 umzusetzen bzw. anzuwenden.

Der deutsche Gesetzgeber plant für die DORA-Anwendung ein nationales Begleitgesetz für die den Mitgliedstaaten eingeräumten Optionen und für spezifische Aspekte zur Klarstellung. Dieses soll in Kürze auf den formalen Weg des Gesetzgebungsverfahrens gebracht werden. Neben DORA sollen in diesem Gesetz auch spezifische Aspekte der EU-Regulierung zu Markets in Crypto Assets (MiCA) für Deutschland geregelt werden. 

Wie in DORA generell vorgesehen, ist es für die Mitglieder ganz entscheidend, Handlungsspielräume für die Umsetzung in Abhängigkeit vom jeweiligen Geschäft zu erhalten. Dabei ist die Berücksichtigung von Proportionalität und Verhältnismäßigkeit, u. a. durch die Berücksichtigung von risikobasierten Ansätzen des jeweiligen Instituts, sehr wichtig.