Neue Anforderungen zu Cybersecurity bei deutschen Banken
Einführung in die Cybersicherheitsanforderungen für deutsche Banken
Deutsche Banken sehen sich aufgrund der jüngsten Änderungen der Vorschriften[1] mit neuen Anforderungen an die Cybersicherheit konfrontiert. Der Digital Operational Resilience Act (DORA) ist am 16. Januar 2023 in Kraft getreten und soll den wachsenden Cyberrisiken entgegenwirken[2]. Die neuen Vorschriften verpflichten Banken dazu, die Widerstandsfähigkeit ihrer IT-Systeme sicherzustellen, einschließlich der Fähigkeit, Cyberangriffen standzuhalten, und wirksame Pläne zur Reaktion auf Vorfälle zu erstellen[3]. Diese Änderungen der Vorschriften spiegeln die zunehmende Bedeutung der Cybersicherheit für Banken wider, da sie einer wachsenden Zahl von Risiken im Zusammenhang mit Cyberangriffen ausgesetzt sind.
Die Bedeutung der Cybersicherheit für Banken kann nicht genug betont werden. Cyberangriffe können zu erheblichen finanziellen Verlusten, Reputationsschäden und sogar zum Verlust sensibler Kundendaten führen[4]. Die mit Cyberangriffen verbundenen Risiken sind zahlreich und umfassen: – Phishing-Angriffe – Malware-Infektionen – Ransomware – Distributed-Denial-of-Service-Angriffe (DDoS). Zusätzlich zu diesen Risiken stehen Banken auch vor der Herausforderung, mit der Geschwindigkeit und dem Ausmaß der Digitalisierung Schritt zu halten, die die Komplexität ihrer IT-Systeme erhöht hat[5]. Daher müssen Banken einen proaktiven Ansatz zur Cybersicherheit verfolgen, um sich und ihre Kunden zu schützen.
Die mit Cyberangriffen verbundenen Risiken beschränken sich nicht nur auf finanzielle Verluste und Reputationsschäden. Auch Cyberangriffe können schwerwiegende Folgen für die Stabilität des Finanzsystems haben[6]. Die neuen regulatorischen Anforderungen an die Cybersicherheit deutscher Banken spiegeln die Notwendigkeit wider, diesen Risiken zu begegnen und die Widerstandsfähigkeit des Finanzsystems sicherzustellen[7]. Banken müssen ein umfassendes Regelwerk und technische Anforderungen umsetzen, um neuen Risiken für Datenschutz, Informationen und Cybersicherheit zu begegnen[8]. Dazu gehört auch der Schutz vor Risiken wie Phishing-Angriffen, die das wichtigste Einfallstor für Cyberkriminelle darstellen[9]. Letztendlich sind wirksame Cybersicherheitsmaßnahmen für Banken von entscheidender Bedeutung, um sich gegen Risiken abzusichern, ihre Kunden zu schützen und die Stabilität des Finanzsystems aufrechtzuerhalten[10][11].
Neue Anforderungen an das IT-Management
Deutsche Kreditinstitute und Finanzdienstleister stehen vor neuen Anforderungen an das IT-Management, um ein effektives und angemessenes Risikomanagement sicherzustellen[12]. Das IT-Risikomanagement ist ein entscheidender Bestandteil dieses Rahmenwerks, und von den Banken wird erwartet, dass sie über solide IT-Sicherheits- und Cyber-Resilienzmaßnahmen verfügen[13]. Die neuen Anforderungen unterstreichen die Notwendigkeit eines umfassenden Ansatzes für das IT-Risikomanagement, der die Identifizierung, Bewertung und Minderung von Risiken umfasst. Trotz der Bedeutung der IT-Sicherheit mangelt es vielen Institutionen noch immer an den notwendigen Maßnahmen zum Schutz vor Cyber-Bedrohungen[13]. Ziel der neuen Regelungen ist es daher sicherzustellen, dass Banken über die notwendigen Ressourcen und Fachkenntnisse verfügen, um IT-Risiken effektiv zu managen.
Cybersicherheitsrichtlinien für das IT-Management sind ein zentraler Aspekt der neuen Anforderungen an deutsche Banken[14]. Die Verordnungen formulieren feste Anforderungen an die IT-Sicherheit und die technische und organisatorische Ausstattung mit Schwerpunkt auf IT-Ressourcen. Eine zentrale Anforderung ist, dass IT-Sicherheit Teil der Unternehmensführung wird[15]. Banken müssen sicherstellen, dass ihre IT-Sicherheitsmaßnahmen mit ihrer gesamten Geschäftsstrategie im Einklang stehen und dass sie über die notwendigen Ressourcen und Fachkenntnisse verfügen, um Cyber-Risiken effektiv zu managen. Die neuen Vorschriften verpflichten Banken außerdem dazu, technische Maßnahmen zum Schutz vor Cyber-Bedrohungen zu implementieren, wie etwa Firewalls, Intrusion-Detection-Systeme und Verschlüsselungstechnologien[14].
Datenschutzbestimmungen sind ein weiterer kritischer Aspekt der neuen Anforderungen an deutsche Banken[16]. Für den Datenschutz von Banken gelten vielfältige regulatorische Anforderungen, deren Einhaltung unerlässlich ist, um Rechts- und Reputationsrisiken zu vermeiden. Banken müssen sicherstellen, dass sie über angemessene Datenschutzrichtlinien und -verfahren verfügen und diese regelmäßig überprüft und aktualisiert werden. Darüber hinaus müssen Banken technische und organisatorische Maßnahmen ergreifen, um sich vor Datenschutzverletzungen zu schützen und die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten sicherzustellen[17]. Die neuen Vorschriften verpflichten Banken außerdem dazu, Sicherheitsvorfälle zeitnah und transparent an die zuständigen Behörden zu melden[18]. Angesichts der zunehmenden Bedrohung durch Cyber-Angriffe müssen insbesondere Finanzdienstleister proaktive Maßnahmen ergreifen, um sich vor solchen Angriffen zu schützen[19].
Neue Anforderungen an das Incident Management
Deutsche Banken sind nun verpflichtet, über einen Incident-Response-Plan zur Bewältigung von Cybersicherheitsvorfällen und -bedrohungen zu verfügen[20]. Die Planung der Reaktion auf Vorfälle ist ein entscheidender Aspekt des Cybersicherheitsrisikomanagements, da sie es Unternehmen ermöglicht, sich effektiv auf Sicherheitsvorfälle vorzubereiten und darauf zu reagieren[21]. Der Vorfallreaktionsplan sollte die Verfahren darlegen, die die Organisation befolgen wird, um Sicherheitsvorfälle zu erkennen, zu untersuchen, einzudämmen und zu beheben. Dieser Plan sollte regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass er bei der Bewältigung neu auftretender Bedrohungen relevant und wirksam bleibt.
Zusätzlich zur Incident-Response-Planung müssen deutsche Banken ein Incident-Response-Team einrichten, um die Reaktion der Organisation auf Sicherheitsvorfälle zu koordinieren[22][23]. Das Incident-Response-Team sollte aus Personen bestehen, die über das erforderliche technische Fachwissen und die Entscheidungsbefugnis verfügen, um Sicherheitsvorfälle effektiv zu bewältigen. Das Team sollte für die Umsetzung des Vorfallreaktionsplans, die Koordination mit den relevanten Interessengruppen und die Kommunikation der Reaktion der Organisation auf den Vorfall verantwortlich sein.
Meldepflichten sind ein weiterer kritischer Aspekt der neuen Cybersicherheitsvorschriften für deutsche Banken[24][25]. Unternehmen müssen erhebliche Störungen, Vorfälle und Cyber-Bedrohungen unverzüglich ihrer nationalen Cybersicherheitsbehörde melden. Ab dem 1. Januar 2024 gelten für Banken und Zahlungsdienstleister neue Aufzeichnungs- und Meldepflichten mit dem Ziel, die Informationen zentral zu speichern und den Behörden zur Verfügung zu stellen[25]. Durch die Verschärfung der Meldepflicht soll die Reaktion auf Vorfälle verbessert und die Behörden in die Lage versetzt werden, effektiver auf Cybersicherheitsvorfälle zu reagieren[26]. Durch die Umsetzung dieser neuen Anforderungen an das Incident Management können sich deutsche Banken und ihre Kunden besser vor der wachsenden Bedrohung durch Cyberangriffe schützen.
Neue Anforderungen an das IT-Outsourcing
Deutsche Banken stehen vor neuen Anforderungen an die Cybersicherheit, insbesondere im Zusammenhang mit dem IT-Outsourcing[27]. Die deutsche Aufsichtsbehörde BaFin hat Richtlinien zum IT-Outsourcing erlassen, die Banken dazu verpflichten, sicherzustellen, dass Drittanbieter die Vorschriften einhalten und ihre Aktivitäten genau überwacht werden[28]. Die Richtlinien enthalten spezifische Anforderungen, die Banken bei der Auslagerung von IT-Dienstleistungen befolgen müssen, darunter: – Durchführung einer Risikobewertung potenzieller Drittanbieter – Sicherstellen, dass Drittanbieter über angemessene Sicherheitsmaßnahmen verfügen – Erstellen klarer vertraglicher Vereinbarungen mit Drittanbietern, in denen deren Verantwortlichkeiten und Verbindlichkeiten dargelegt werden Durch die Einhaltung dieser Richtlinien können sich deutsche Banken besser vor Cyber-Bedrohungen schützen und dafür sorgen, dass die Daten ihrer Kunden sicher bleiben.
Zusätzlich zu den Richtlinien für IT-Outsourcing müssen deutsche Banken auch sicherstellen, dass ihre Drittanbieter die Vorschriften einhalten[29]. Dazu gehört die Einhaltung von Datenschutzstandards und Sicherheitsvorschriften sowie eine strikte Kontrolle und Überwachung der Aktivitäten Dritter[30]. Banken müssen außerdem die neuesten Software-Updates nutzen und alle Mitarbeiter im sicheren Umgang mit Kundendaten schulen[31]. Durch die Sicherstellung der Einhaltung dieser Vorschriften können Banken das Risiko von Cyberangriffen verringern und die sensiblen Daten ihrer Kunden schützen.
Um die Cybersicherheit im Finanzsektor weiter zu stärken, werden auf EU-Ebene neue Regelungen eingeführt[32]. Die neue Cybersicherheitsstrategie der EU umfasst Regeln zur Erhöhung der Widerstandsfähigkeit kritischer physischer und digitaler Vermögenswerte sowie der Website-Sicherheit. Darüber hinaus erweitert das deutsche NIS2-Umsetzungsgesetz ab 2023 die KRITIS-Verordnung und stärkt die Cybersicherheit für Betreiber und Einrichtungen[33]. Diese Vorschriften erfordern umfassende ISG-Anforderungen, einschließlich der Überwachung von Aktivitäten sowie der regelmäßigen Überprüfung und Aktualisierung von Sicherheitssystemen[30]. Durch die Einhaltung dieser Vorschriften und die Umsetzung starker Cybersicherheitsmaßnahmen können deutsche Banken die digitalen Chancen nutzen und sich und ihre Kunden gleichzeitig vor Cyberbedrohungen schützen[34].
Neue Anforderungen an die Mitarbeiterschulung
Die Schulung der Mitarbeiter spielt eine entscheidende Rolle bei der Gewährleistung einer wirksamen Cybersicherheit in jedem Unternehmen[33]. Mitarbeiter sind oft die erste Verteidigungslinie gegen Cyber-Bedrohungen und ihr Handeln kann erhebliche Auswirkungen auf die Sicherheit des Unternehmens haben. Daher ist es wichtig, den Mitarbeitern eine angemessene Schulung zu bieten, um sie mit den Kenntnissen und Fähigkeiten auszustatten, die zur Erkennung und Eindämmung potenzieller Cyber-Bedrohungen erforderlich sind. Eine effektive Mitarbeiterschulung kann das Risiko von Sicherheitsvorfällen durch menschliches Versagen, wie zum Beispiel Phishing-Angriffe oder unbeabsichtigte Datenschutzverletzungen, deutlich reduzieren.
Um sicherzustellen, dass die Mitarbeiter für den Umgang mit potenziellen Cyber-Bedrohungen gut gerüstet sind, sollten klare Richtlinien für die Schulung der Mitarbeiter festgelegt werden[27]. Diese Richtlinien sollten wesentliche Themen wie Passwortverwaltung, Identifizierung und Meldung verdächtiger Aktivitäten sowie sichere Internetnutzung abdecken. Schulungen sollten für alle Mitarbeiter bereitgestellt werden, unabhängig von ihrer Rolle oder dem Grad des Zugriffs auf vertrauliche Informationen. Darüber hinaus sollten die Schulungen regelmäßig aktualisiert werden, um sicherzustellen, dass die Mitarbeiter über die neuesten Bedrohungen und Eindämmungsstrategien auf dem Laufenden sind.
Auch die regelmäßige Prüfung und Bewertung des Mitarbeiterwissens ist ein wesentlicher Aspekt effektiver Cybersicherheit[26]. Dies kann durch simulierte Phishing-Angriffe, Tests zum Sicherheitsbewusstsein oder andere Testformen erreicht werden. Die Bewertung des Mitarbeiterwissens kann dabei helfen, Bereiche zu identifizieren, in denen möglicherweise zusätzliche Schulungen erforderlich sind, und sicherzustellen, dass alle Mitarbeiter angemessen auf den Umgang mit potenziellen Cyber-Bedrohungen vorbereitet sind. Darüber hinaus können regelmäßige Tests und Bewertungen dazu beitragen, eine Kultur des Cybersicherheitsbewusstseins zu fördern und Mitarbeiter zu ermutigen, eine aktive Rolle beim Schutz der Informationen und Vermögenswerte des Unternehmens zu übernehmen.
Fazit: Die Auswirkungen neuer Cybersicherheitsanforderungen auf deutsche Banken
Von der Umsetzung neuer Cybersicherheitsanforderungen in deutschen Banken werden erhebliche Vorteile sowohl für Finanzinstitute als auch für deren Kunden erwartet[13]. Der verstärkte Fokus auf Cybersicherheit wird dazu beitragen, sensible Finanzdaten zu schützen und Cyberangriffe zu verhindern und letztendlich das Vertrauen der Kunden in ihre Banken zu stärken. Es wird erwartet, dass die Investitionen in die Cybersicherheit erheblich zunehmen und die Budgets voraussichtlich um mindestens 5 % erhöht werden[35]. Diese erhöhten Investitionen werden es den Banken ermöglichen, robustere Sicherheitsmaßnahmen zu implementieren und aufkommenden Bedrohungen einen Schritt voraus zu sein.
Trotz der Vorteile einer erhöhten Cybersicherheit kann die Umsetzung neuer Anforderungen Banken vor große Herausforderungen stellen. Cybersicherheit ist eine der größten Herausforderungen der digitalen Transformation für Banken und andere Finanzdienstleister[36]. Um Nutzer vor Bedrohungen zu schützen, müssen Cybersicherheitsexperten kontinuierlich neue und innovative Strategien entwickeln[37]. Die neue Richtlinie mit dem Namen „NIS 2“ soll die Sicherheitsanforderungen stärken, Lieferketten sicherer machen, Meldepflichten verschärfen und die Cybersicherheit insgesamt verbessern[38]. Die Erfüllung dieser neuen Anforderungen kann jedoch erhebliche Ressourcen erfordern, darunter Zeit, Geld und Fachwissen[39].
Mit Blick auf die Zukunft wird die Bankenbranche weiterhin vor neuen Herausforderungen und Chancen im Bereich der Cybersicherheit stehen[40]. Da sich Cyber-Bedrohungen ständig weiterentwickeln, müssen Banken wachsam bleiben und sich an neue Technologien und Strategien anpassen[31]. Geschwindigkeit und Umfang der Digitalisierung sowie zunehmende Regulierung im Bereich Cybersicherheit und Datenschutz sind drei wichtige Aspekte der Cybersicherheit[5]. Schweizer Banken erfüllen traditionell hohe Anforderungen an die Cybersicherheit und unternehmen bereits große Anstrengungen für ihre jeweiligen Institute[41]. Darüber hinaus revolutionieren neue Technologien wie Voice Banking und Big Data den Bankensektor, stellen aber auch neue Anforderungen an die IT-Sicherheit[42][43]. Indem sie über neue Bedrohungen auf dem Laufenden bleiben und robuste Cybersicherheitsmaßnahmen implementieren, können Banken ihren Kunden weiterhin sichere Finanzdienstleistungen anbieten.
Zusammenfassend sind die neuen Cybersicherheitsanforderungen für deutsche Banken ein notwendiger Schritt, um die Sicherheit und den Schutz sensibler Daten und Finanzinformationen zu gewährleisten. Die jüngsten Änderungen der Vorschriften verdeutlichen die Bedeutung der Cybersicherheit im Bankensektor und die mit Cyberangriffen verbundenen Risiken. Die neuen Anforderungen an das IT-Management, das Incident Management, das IT-Outsourcing und die Mitarbeiterschulung geben den Banken klare Richtlinien vor, an denen sie sich orientieren können, um ihre Cybersicherheitsmaßnahmen zu verbessern. Auch wenn die Umsetzung dieser Anforderungen eine Herausforderung darstellen kann, überwiegen die Vorteile einer erhöhten Cybersicherheit alle potenziellen Schwierigkeiten. Die Zukunftsaussichten für die Cybersicherheit im Bankensektor sind positiv, da sich diese neuen Anforderungen weiterentwickeln und an die sich ständig verändernde Landschaft der Cyberbedrohungen anpassen werden. Letztendlich werden diese Anforderungen dazu beitragen, die Integrität des Bankensektors zu wahren und die Interessen von Kunden und Stakeholdern zu schützen.1. Digital Operational Resilience Act (DORA). (n.d.) Retrieved December 11, 2023, from www2.deloitte.com
Autor: Annika Henrieke Sill
Quellen:
- EU Digital Operational Resilience Act (DORA) in Kraft. (n.d.) Retrieved December 11, 2023, from www.haufe.de
- Bankaufsichtliche Anforderungen an die IT. (n.d.) Retrieved December 11, 2023, from www.bundesbank.de
- Cybersicherheit und KRITIS im Finanzsektor. (n.d.) Retrieved December 11, 2023, from www.pwc.de
- 3 Cyber Security Aspekte, über die Banken nachdenken …. (n.d.) Retrieved December 11, 2023, from www.der-bank-blog.de
- EU-Geldwäschegesetz: Datenmanagement wird für …. (n.d.) Retrieved December 11, 2023, from klardenker.kpmg.de
- Wie sich Deutschlands Banken gegen Cyberkriminalität …. (n.d.) Retrieved December 11, 2023, from www.bafin.de
- Cybersicherheit: Wie die EU Cyberbedrohungen begegnet. (n.d.) Retrieved December 11, 2023, from www.consilium.europa.eu/de/policies/cybersecurity/
- Was ist Cybersicherheit?. (n.d.) Retrieved December 11, 2023, from www.dataguard.de/blog/was-ist-cybersicherheit/
- IT-Sicherheit im Fokus der Bankenaufsicht. (n.d.) Retrieved December 11, 2023, from www.akademie-heidelberg.de
- Schutz vor Cyber-Angriffen. (n.d.) Retrieved December 11, 2023, from www.deutsche-bank.de
- IT-Risikomanagement – steigende Anforderungen für …. (n.d.) Retrieved December 11, 2023, from www.matrix.ag/blog/it-risikomanagement-anforderungen
- Cyber-Stresstest: Sind die deutschen Banken bereit?. (n.d.) Retrieved December 11, 2023, from background.tagesspiegel.de
- MaRisk, BAIT & ZAIT: BaFin veröffentlicht neue …. (n.d.) Retrieved December 11, 2023, from www.usd.de/news-marisk-bait-zait-veroeffentlichung/
- EU-Richtlinie für Cybersicherheit setzt Unternehmen unter …. (n.d.) Retrieved December 11, 2023, from www.handelsblatt.com
- Wenn Digitalisierung und Innovation auf Datenschutz trifft. (n.d.) Retrieved December 11, 2023, from bankinghub.de/innovation-digital/datenschutz-digitalisierung
- Datenschutz und Datensicherheit. (n.d.) Retrieved December 11, 2023, from www.pwc.de
- NIS2: Wie die neue EU-Richtlinie die Cybersicherheit stärkt. (n.d.) Retrieved December 11, 2023, from www.dataguard.de
- Cyber-Security-Anforderungen an Finanzdienstleister. (n.d.) Retrieved December 11, 2023, from www.kreditwesen.de
- Blog. (n.d.) Retrieved December 11, 2023, from grc-factory.com/blog
- Aktuelle IT-Security News. (n.d.) Retrieved December 11, 2023, from www.infopoint-security.de/news/
- What Is An Incident Response Team? (With Examples). (n.d.) Retrieved December 11, 2023, from www.zerodaylaw.com/blog/what-is-an-incident-response-team
- Was ist Incident Response? | Rapid7. (n.d.) Retrieved December 11, 2023, from www.rapid7.com
- NIS 2: Verschärfung der Cybersicherheitsanforderungen. (n.d.) Retrieved December 11, 2023, from www.ecovis.com/unternehmensberater/eu-richtlinie-nis-2/
- CESOP – neue Reporting-Pflichten für Banken ab 2024. (n.d.) Retrieved December 11, 2023, from www.ey.com
- NIS-2-Richtlinie muss bis Oktober 2024 umgesetzt werden. (n.d.) Retrieved December 11, 2023, from www.haufe.de
- Neue EU-Vorgabe zur IT-Sicherheit fordert Finanzbranche. (n.d.) Retrieved December 11, 2023, from www.springerprofessional.de
- BaFin konkretisiert Anforderungen an IT-Dienstleister. (n.d.) Retrieved December 11, 2023, from www.taylorwessing.com
- Cyber-Security: Finanzdienstleister verstärkt im Visier von …. (n.d.) Retrieved December 11, 2023, from navax-software.com
- Das neue Informationssicherheitsgesetz. (n.d.) Retrieved December 11, 2023, from www.mme.ch
- Cybersicherheit im Bankwesen: Vorschriften, Bedrohungen …. (n.d.) Retrieved December 11, 2023, from innowise-group.com/de/blog/cybersecurity-in-banking/
- EU NIS 2 Direktive: Cybersecurity in Kritischen Infrastrukturen. (n.d.) Retrieved December 11, 2023, from www.openkritis.de/eu/eu-nis-2-direktive-kritis.html
- Das NIS2-Umsetzungsgesetz NIS2UmsuCG. (n.d.) Retrieved December 11, 2023, from www.openkritis.de
- Banken und Sicherheit. (n.d.) Retrieved December 11, 2023, from www.cgi.com/de/de/banken-kapitalmaerkte/banken-sicherheit
- Digital Trust Insights 2024. (n.d.) Retrieved December 11, 2023, from www.pwc.de
- Cyber Security überlebenswichtig für Banken und …. (n.d.) Retrieved December 11, 2023, from www.der-bank-blog.de
- Warum ist Cybersecurity so wichtig?. (n.d.) Retrieved December 11, 2023, from www.ironhack.com/de/blog/warum-ist-cybersecurity-so-wichtig
- EU stärkt Cybersicherheit durch Verabschiedung der NIS 2 …. (n.d.) Retrieved December 11, 2023, from www.shc.eu
- Die Anforderungen an ein spezielles Cybersecurity …. (n.d.) Retrieved December 11, 2023, from www.deutscheranwaltspiegel.de
- Deutsche Cybersicherheitsstrategie im Diskurs. (n.d.) Retrieved December 11, 2023, from www.vditz.de
- Cyber Security. (n.d.) Retrieved December 11, 2023, from www.swissbanking.ch
- Cybersicherheit Open Banking. (n.d.) Retrieved December 11, 2023, from ndgit.com/cybersicherheit-open-banking/
- Big Data Im Bankwesen: Chancen, Herausforderungen, …. (n.d.) Retrieved December 11, 2023, from www.avenga.com