Im Regulierungsdschungel: BAIT, MaRisk & DORA und was das alles mit DDoS-Schutz zu tun hat

  • Lisa Fröhlich
  • August 19, 2022

Inhaltsverzeichnis

    Im Regulierungsdschungel: BAIT, MaRisk & DORA und was das alles mit DDoS-Schutz zu tun hat

    Erst Anfang August 2022 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die erhöhte Bedrohungslage für Deutschland im Kontext des Krieges in der Ukraine hingewiesen. Neben dem Aufruf, dass Unternehmen, Organisationen und Behörden ihre IT-Sicherheitsmaßnahmen überprüfen und der Gefahrenlage anpassen sollen, weist das BSI auf wiederholte Distributed Denial of Service (DDoS)-Angriffe in Deutschland und international hin.

    Besonders gefährdet sind nicht nur Betreiber kritischer Infrastrukturen (KRITIS), sondern auch der Finanzsektor, das zeigt auch der Bericht zur Finanzstabilität an den Deutschen Bundestag, der Ende Juni 2022 vorgelegt wurde.  

    Auch Mark Branson, Präsident der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), hat in seiner Rede auf der Jahrespressekonferenz am 3. Mai 2022 auf die sehr große und präsente Gefahr von Cyberangriffen hingewiesen.

    Er betonte, dass es nicht sicher sei, ob der deutsche Finanzsektor auf einen schwerwiegenden Sicherheitsvorfall wirklich vorbereitet ist.  

    Bereits vor der Corona-Pandemie gehörten die Themen Digitalisierung, IT- und Cyberrisiken zu den Aufsichtsschwerpunkten beziehungsweise den Fokusrisiken der BaFin, wenngleich besonders das Thema Cyberrisken durch die COVID-19-Pandemie deutlich an Fahrt zugenommen hat.  

    Aufgrund der vergrößerten Angriffsfläche für Cyberangriffe und die zunehmende Digitalisierung des Finanzmarktes hat sich die BaFin für das Jahr 2022 vorgenommen, sich intensiv mit Cyberrisiken zu befassen und dazu verstärkt dezidierte IT-Prüfungen bei den Instituten und Unternehmen vorzunehmen.

    Dabei geht es insbesondere auch um die Einhaltung aufsichtlicher IT-Anforderungen.

    Was für Regelwerke gibt es für die IT-Sicherheitsstandards?

    Es gibt verschiedene Regulationsrahmen, die alle verschiedenen Aspekte der IT-Sicherheit beinhalten. Die deutschen Rahmenbedingungen für Finanzunternehmen sind in den Mindestanforderungen an das Risikomanagement (MaRisk) und die sektorspezifischen aufsichtlichen Anforderungen wie etwa die Bankaufsichtliche Anforderungen an die IT (BAIT) zu finden.  

    Ein geographisch größerer Rechtsrahmen wird auf den Digital Operational Resilience Act (DORA) der europäischen Union folgen. Nach der vorläufigen Einigung über den Gesetzentwurf zur digitalen Betriebsstabilität sollte die neue Verordnung demnächst verabschiedet werden. 

    Die wichtigsten deutschen IT-Anforderungen

    Basis für die wichtigsten deutschen Regularien für Finanzdienstleister sind die beiden Rundschreiben der BaFin, MaRisk und BAIT, die das Kreditwesengesetz (KWG) konkretisieren. Grundlage für die Verwaltungsvorschriften und konkreten Anforderungen sind die Paragrafen 25a und 25b des Kreditwesengesetzes (KWG).  

    Mindestanforderungen an das Risikomanagement – MaRisk

    Da der Gesetzestext im KWG für ein komplexes und umfangreiches Thema wie das Risikomanagement zu ungenau war und zu viel Spielraum für Interpretation zugelassen hat, wurden in den MaRisk die Details festgelegt.  

    Für deutsche Finanzinstitute wird darin die Ausgestaltung des Risikomanagements und die internen Kontrollen vorgegeben. Bei den MaRisk handelt es sich um eine bindende Verwaltungsvorschrift, an die sich die Banken und Finanzdienstleister halten müssen. Die MaRisk wurden 2005 erstmals veröffentlicht und im August 2021 das letzte Mal aktualisiert.  

    Die MaRisk sind in zwei große Bereiche aufgeteilt. Es gibt einen allgemeinen Teil (AT), der festschreibt, wie das Risikomanagement einer Bank organisiert sein muss. Dazu gehören: Anforderungen an das Risikomanagement, Organisationsrichtlinien, Dokumentation, Personalwesen, Notfallvorsorge und Rahmenbedingungen für das Outsourcing. 

    Der zweite Teil ist der Besondere Teil (BT), der Regelungen für Institute beinhaltet, die ein Kredit- oder Handelsgeschäft betreiben. Darin stehen Anweisungen für das Verwalten und Controlling von Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken. 

    Darüber hinaus sieht das MaRisk vor, dass die Finanzdienstleister regelmäßig alle Risiken erfassen und bewerten müssen. Zu weiteren wichtigen Aspekten gehört unter anderem, dass die Verantwortung für das Risikomanagement bei der Geschäftsführung liegt, dass die Risikotragfähigkeit sichergestellt sein muss und dass ein umfassendes Risikomanagement-System etabliert ist.  

    Die MaRisk schreiben zwar vor, wie Banken und Finanzdienstleister ihr Risikomanagement organisieren müssen. Gleichzeitig sind nur wenige technische Vorgaben im Hinblick auf die IT-Sicherheit formuliert.

    Welche konkreten technischen Anforderungen für Finanzdienstleister erfüllt sein müssen, gibt das zweite Rundschreiben der BaFin – die Bankaufsichtlichen Anforderungen an die IT (BAIT) – vor.  

    Bankaufsichtliche Anforderungen an die IT (BAIT)

    Das Rundschreiben Bankaufsichtlichen Anforderungen an die IT (BAIT) wurde im November 2017 das erste Mal von der BaFin versendet und umfasst nach mehreren Aktualisierungen und Erweiterungen inzwischen zwölf Kapitel. Die gesetzlichen Pflichten beziehen sich auf die technisch-organisatorische Ausstattung der Kreditinstitute – vor allem für das Management der IT-Ressourcen und für das IT-Risikomanagement.  

    Dazu gehören unter anderem eine nachhaltige IT-Strategie, ein Informationssicherheitsmanagement, das IT-Sicherheit dauerhaft im Unternehmen verankert oder die operative Informationssicherheit sowie das Outsourcing von IT-Dienstleistungen und das IT-Notfallmanagement 

    Nach eigener Definition ist das Rundschreiben inhaltlich nicht abschließend. Deshalb sind Finanzdienstleister zudem verpflichtet, Sicherheitsmaßnahmen an aktuelle Technik und gängige Standards wie die Norm ISO 27001 oder den BSI-IT-Grundschutz anzupassen. 

    Außerdem gibt es für jede unterschiedliche Sparte innerhalb des Finanzbereichs eigene Anforderungen:

    Für Versicherungen sind das die Versicherungsaufsichtliche Anforderungen an die IT (VAIT), für Kapitalverwaltungsgesellschaften die Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT) und für Zahlungsdienste und E-Geld-Institute die Zahlungsdienstaufsichtliche Anforderungen an die IT (ZAIT).  

    Was auf Finanzinstitute noch zukommt – Neue EU-Regelungen

    Die zunehmende Digitalisierung des Finanzsektors, wachsende Kryptowährungsmärkte und die damit verbundenen Technologien haben Folgen, für die es ein passendes Rahmenwerk braucht.

    Um die Lücken in den bestehenden EU-Rechtsvorschriften zu schließen, hat die EU-Kommission im September 2020 den Vorschlag für neue Verordnungen im Rahmen des Digital Operational Resilience Acts (DORA) gemacht.

    Damit wird ein europäischer Rechtsrahmen für die digitale Betriebsstabilität geschaffen, der in allen EU-Mitgliedsstaaten einheitlich ist.  

    Durch dieses neue Regelwerk soll die IT-Sicherheit im Finanzsektor erhöht sowie Cyberbedrohungen gemindert und verhindert werden. Diesen Vorschriften werden nahezu alle Finanzunternehmen unterliegen. Indirekt sind neben Finanzunternehmen auch Drittanbieter, die digitale Dienste und Datendienste erbringen, von der DORA-Verordnung betroffen.  

    Digital Operational Resilience Act (DORA)

    DORA ist ein Gesetzentwurf der EU-Kommission für den Finanzbereich, in dem einheitliche, sektorübergreifende Regelungen für das Management und die Minderung der Informations- und Kommunikationstechnologie-Risiken (ITK-Risiken) bei Unternehmen des Finanzsektors geplant sind.  

    Die Europäische Union will mit dieser Verordnung die bisherigen nationalen Regelungen konsolidieren, da sich die nationalen Regelwerke zum Umgang mit IKT-Risiken sowie die Befugnisse der Aufsichtsbehörden unterscheiden.

    Das Ziel ist, bestehende Regeln im Bereich Betriebsstabilität digitaler Systeme im Finanzsektor im EU-Raum transparenter zu gestalten und zu vereinheitlichen.  

    Die wichtigsten Punkte der DORAVerordnung sind:  

    • Stärkung des Informationsrisiko- und Informationssicherheitsmanagements, 
    • verstärktes Testen der operationellen Resilienz durch die Unternehmen, 
    • Ausweitung der verstärkten Anforderungen and 3rd & 4th Party Risk Management sowie 
    • Meldepflichten bezüglich Incidents. 

    Als EU-Verordnung ist DORA am 16. Januar 2023 in Kraft getreten und sämtliche Finanzunternehmen haben nunmehr 24 Monate Zeit, um alle aufsichtlichen Anforderungen umzusetzen.

    Einige Anforderungen der DORA-Verordnung sind in Deutschland bereits im Einsatz

    Vieles von dem, was die DORA-Verordnung beinhaltet, wird in Deutschland aufgrund verschiedener Gesetzesnovellen und Aktualisierungen der entsprechenden Richtlinien bereits umgesetzt. So wurde im Rahmen des IT-Sicherheitsgesetzes 2.0 die Definition von KRITIS und die Anforderungen an deren IT-Sicherheit erweitert.

    Mit der Aktualisierung der BAIT im Jahr 2021 sind neue Vorschriften für den Bankensektor eingeführt worden, die viele Elemente der DORA wie etwa die erforderlichen Penetrationstests vorab aufgegriffen haben. Zudem gab es mit der MaRisk-Novelle detaillierte Erweiterungen für das IT-Notfallmanagement.  

    Was hat das mit DDoS-Schutz zu tun?

    Von den beschriebenen Anforderungen sind neben den deutschen Finanzunternehmen auch deren Dienstleister oder Leistungserbringer von ausgelagerten Aktivitäten und Prozessen betroffen.

    Sowohl in BAIT als auch den MaRisk und zukünftig auch in DORA werden die Anforderungen definiert, die mit der Auslagerung von Services wie zum Beispiel Cloud-Dienste oder DDoS-Schutzlösungen in Zusammenhang stehen.  

    Ein besonderes Augenmerk beim Outsourcing liegt auf der Risikoanalyse und auf der Einhaltung des Risikomanagements, obwohl die Verantwortung hierfür immer beim auslagernden Institut bleibt. Umso wichtiger ist die sorgfältige Auswahl der Leistungserbringer sowie ein umfassendes Auslagerungskonzept 

    Bei der Risikoanalyse sind alle relevanten Aspekte im Rahmen der Auslagerung zu prüfen. Dazu gehören etwa die Fragen nach der Eignung des Outsourcing-Partners, dessen Expertise für die angebotene Dienstleistung sowie das technische Know-how. Kommt es nach Abschluss der Risikobewertung zu einer Zusammenarbeit werden entsprechende Vereinbarungen in den Verträgen festgehalten.  

    Im vertraglichen Rahmenwerk werden neben den einzuhaltenden Qualitätsstandards, die zugesicherten Leistungseigenschaften, Informationspflichten, datenschutzrechtliche Bestimmungen und sonstige Regelungen genau beschrieben.  

    Warum DDoS-Schutz „Made in Germany“ vieles vereinfacht

    In Deutschland und der europäischen Union spielt vor allem das Thema Datenschutz eine wesentliche Rolle im Hinblick auf die Auslagerung verschiedener Web-Services/IT-Services. Den datenschutzrechtlichen Rahmen bildet in der EU die DSGVO.

    Die Daten deutscher beziehungsweise europäischer Kunden dürfen nur dann außerhalb der EU übermittelt werden, wenn sie verschlüsselt sind. Das gilt sowohl für Cloud-Dienste, deren Server nicht in der Europäischen Union stehen als auch für CDN-Netzwerke großer amerikanischer Anbieter.  

    Die Enthüllungen von Edward Snowden haben gezeigt, dass sich das Datenschutzniveau in den USA deutlich von den EU-Regeln unterscheidet. Snowden deckte 2013 auf, dass US-Geheimdienste mit Hilfe von Überwachungsprogrammen Zugang zu persönlichen Daten von Internet-Usern hatten.  

    Den Enthüllungen folgten die beiden Schrems-Urteile (Schrems I und Schrems II) des europäischen Gerichtshofes, die das „Safe Harbor“-Abkommen für ungültig erklärten und feststellten, dass amerikanische Behörden trotz des Privacy Shields-Abkommens weitreichende Überwachungsbefugnisse haben. 

    Eine Lösung, mit der viele Probleme auf einmal gelöst werden

    Banken und Kreditinstitute sowie Vermögensverwalter und Versicherungen arbeiten mit vielen sensiblen Kundendaten, die einen besonders starken Schutz benötigen. Gerade im Windschatten von DDoS-Angriffen kommt es häufig zu Datendiebstählen und anderen Cybervorfällen. Deshalb sollten Finanzdienstleister ein besonderes Augenmerk auf ihre DDoS-Schutzlösung legen.   

    Link11 ist ein, durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannter, qualifizierter Anbieter eines DSGVO-konformen Web-DDoS-Schutzes aus Deutschland. Die Schutzlösung umfasst die CDN-Netzwerke und kann individuell, auf den notwendigen Funktionsumfang abgestimmt und konfiguriert werden.

    Die Link11-Lösung entspricht zudem auch den Verwaltungsvorschriften des MaRisk und erfüllt die BAIT. Dadurch wird sichergestellt, dass das Outsourcing und die damit verbundenen Prozesse dem institutseigenen Risikomanagementkonzept entsprechen.

    Jetzt Kontakt aufnehmen

    Weg frei für NIS2 – warum die neue Richtlinie ein besserer Schutz vor Hackerangriffen ist
    Warum eine zeitgemäße TLS-Konfiguration wichtig ist
    X