Informationssicherheit - Rechtlicher Hintergrund

Sie umfassen unter anderem das Kreditwesengesetz (KWG), das KonTraG, das Bundesdatenschutzgesetz (BDSG) sowie die Mindestanforderungen an das Risikomanagement (MaRisk) und die Bankenaufsichtlichen Anforderungen an die IT (BAIT) der BaFin. Diese Vorschriften fordern von den Instituten ein angemessenes Risikomanagement sowie Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken.

Zusätzlich zu den nationalen Regelungen haben auch internationale Vorgaben wie die Baseler Eigenkapitalübereinkunft (Basel III) und das IT-Sicherheitsgesetz für Betreiber kritischer Infrastrukturen (KRITIS) sowie die EU-Richtlinie 2016/1148 zur Informations- und Netzsicherheit (Cybersicherheits-Richtlinie / NIS-Richtlinie) erheblichen Einfluss auf die Gestaltung der IT-Sicherheit in Kreditinstituten. Diese Regelungen zielen darauf ab, ein hohes Maß an Sicherheit informationstechnischer Systeme zu gewährleisten und fordern von den betroffenen Einrichtungen, erhebliche Sicherheitsvorfälle unverzüglich zu melden.

Es fordert von Unternehmen ein Risikomanagement-System, um Risiken frühzeitig zu erkennen, die den Fortbestand der Gesellschaft gefährden.

§ 25a Abs. 1 KWG verlangt von den Instituten ein angemessenes Risikomanagement, das Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der Risiken umfasst.

Regelt den Schutz personenbezogener Daten und die Verpflichtungen der Unternehmen, diese Daten zu sichern.

Die Cyber-Sicherheitsstrategie der Bundesregierung aus dem Jahr 2011 markiert einen bedeutenden Schritt in der nationalen Sicherheitspolitik Deutschlands im Bereich der Informationstechnologie. Sie zielt darauf ab, die Resilienz und Sicherheit digitaler Infrastrukturen zu stärken, um den wachsenden Herausforderungen und Gefahren im Cyberspace entgegenzuwirken. Kernstück dieser Strategie ist das IT-Sicherheitsgesetz (IT-SiG), das eine rechtliche Grundlage für die Verbesserung der Sicherheit informationstechnischer Systeme schafft.

Hauptziele des IT-Sicherheitsgesetzes:

• Erhöhung der Sicherheit informationstechnischer Systeme
  Durch das IT-SiG sollen kritische Infrastrukturen besser vor Cyberangriffen geschützt werden. Dies umfasst Sektoren wie Energie, Wasser, Verkehr, Gesundheit und Finanzen.
  
  
• Regulierung von Telekommunikationsunternehmen und digitalen Dienstleistern
  'Diese sind verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit und Integrität ihrer Systeme und Dienste zu gewährleisten.
  
  
• Einrichtung eines nationalen Cyber-Abwehrzentrums
  Das Zentrum dient als Koordinationsstelle für die Prävention, Erkennung und Reaktion auf Cyberangriffe.
  
  
• Gründung eines Cyber-Sicherheitsrates
  Dieses Gremium berät die Bundesregierung in Fragen der Cyber-Sicherheit und unterstützt die strategische Ausrichtung der nationalen Sicherheitspolitik in diesem Bereich.
  
  
• Erweiterte Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI)
  Das BSI erhält durch das IT-SiG umfassende Aufsichts- und Durchsetzungsbefugnisse, um die Einhaltung der Sicherheitsvorschriften bei Betreibern kritischer Infrastrukturen zu überwachen.

Das IT-SiG hat auch Auswirkungen auf Unternehmen, die als Partner, Dienstleister oder Lieferanten mit den identifizierten kritischen Infrastrukturen zusammenarbeiten. Sie müssen ebenfalls geeignete Sicherheitsmaßnahmen treffen, um die Anforderungen des Gesetzes zu erfüllen und die Sicherheitskette nicht zu unterbrechen

• Ziel
  Die NIS-Richtlinie zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau in Netz- und Informationssystemen in der EU zu gewährleisten. Sie konzentriert sich dabei insbesondere auf kritische Infrastrukturen in Sektoren wie Energie, Verkehr, Bankwesen, Gesundheit und digitale Dienste.
  
  
• Vorgaben
  Die Richtlinie stellt Anforderungen an die Mitgliedstaaten, nationale Strategien für die Cybersicherheit zu entwickeln, nationale Kompetenzzentren einzurichten und eine effektive grenzüberschreitende Zusammenarbeit zu fördern. Zudem müssen Betreiber wesentlicher Dienste und Anbieter digitaler Dienste angemessene technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten.
  
  
• Meldung von Sicherheitsvorfällen
  Ein weiterer wichtiger Aspekt der Richtlinie ist die Einführung von Meldepflichten für Sicherheitsvorfälle, die das Potenzial haben, die Bereitstellung kritischer Dienste zu beeinträchtigen.

In Deutschland wurde die NIS-Richtlinie unter anderem durch Anpassungen des IT-Sicherheitsgesetzes umgesetzt. Dieses Gesetz legt spezifische Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen und bestimmte Anbieter digitaler Dienste fest und stärkt die Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als zuständige nationale Behörde für die IT-Sicherheit.

• Schutz kritischer Infrastrukturen
  Die Erweiterungen zum IT-Sicherheitsgesetz beinhalten neue Aufsichts- und Durchsetzungsbefugnisse des BSI, um den Schutz kritischer Infrastrukturen weiter zu verstärken. Dazu gehören beispielsweise die Überprüfung der Einhaltung der Sicherheitsanforderungen und die Möglichkeit, bei festgestellten Mängeln einzugreifen.

Diese Vorgaben der BaFin präzisieren die gesetzlichen Anforderungen an die IT von Banken und erhöhen das IT-Risikobewusstsein der Institute. Sie beinhalten spezifische Anforderungen an die IT-Systeme und an die IT-Prozesse sowie die IT-Sicherheit.

Dieses Rahmenwerk gibt die Struktur vor, innerhalb derer Banken ihr Risikomanagement aufstellen sollen. Die Anforderungen an Ressourcen und technische Ausstattung für den IT-Bereich finden sich insbesondere in AT 7 der MaRisk.

Die BAIT (Bankenaufsichtliche Anforderungen an die IT) und die MaRisk (Mindestanforderungen an das Risikomanagement) legen fest, dass Kreditinstitute bei der Ausgestaltung ihrer IT-Systeme und der damit verbundenen Prozesse anerkannte Standards berücksichtigen müssen. Diese Standards dienen dazu, ein einheitliches und hohes Niveau der IT-Sicherheit und des Risikomanagements in der Finanzbranche zu gewährleisten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Standards und Methoden, um die Informationssicherheit in Organisationen zu verbessern. Dazu gehört das IT-Grundschutz-Kompendium, das praxisorientierte Sicherheitsmaßnahmen und -verfahren enthält.

Die internationale Reihe der ISO/IEC 2700X Standards stellt einen weltweit anerkannten Rahmen für das Management von Informationssicherheit dar. ISO/IEC 27001 ist dabei der Kernstandard für die Einrichtung und Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS).

Die Geschäftsleitung eines Kreditinstituts ist verantwortlich dafür, zu entscheiden, welche dieser Standards für das Unternehmen gelten und wie sie implementiert werden sollen. Die Auswahl der Standards sollte auf einer Risikoanalyse basieren, die die spezifischen Bedürfnisse und Anforderungen des Instituts berücksichtigt.

Darüber hinaus betonen BAIT und MaRisk die Wichtigkeit der kontinuierlichen Schulung und Sensibilisierung der Mitarbeiter hinsichtlich der Informationssicherheit. Diese Schulungen sollten auf den aktuellen Leitlinien und besten Praktiken basieren und sicherstellen, dass alle Mitarbeitenden über die notwendigen Kenntnisse verfügen, um die Informationssicherheit im täglichen Betrieb zu gewährleisten.