So helfen die BAIT Banken Cyberangriffen vorzubeugen

Die BAIT definieren die Anforderungen der Aufsicht an die Informationssicherheit in Banken. Graue Theorie oder effektiver Leitfaden zum Schutz vor Cyberangriffen?

Mit der im August 2021 veröffentlichten Novelle der “Bankaufsichtlichen Anforderungen an die IT“ (BAIT) führte die BaFin verschärfte Regelungen für die Informationssicherheit in Finanzinstituten ein. Hintergrund ist, dass die Gefahr von Cyberangriffen auf Banken wächst.

So hat nicht zuletzt die Corona-Pandemie die Digitalisierung beschleunigt: Kundinnen und Kunden nutzen digitale Angebote und Beschäftigte arbeiten aus dem Homeoffice. Hinzu kommt die vermehrte Kooperation mit Drittanbietern. Kurzum, die potenziellen Angriffspunkte nehmen zu. So klassifiziert die BaFin Cyberrisiken konsequenterweise als einen der zentralen Risikotreiber für den deutschen Finanzmarkt. Zum gleichen Ergebnis kommt auch der Allianz Global Corporate & Specialty Report.

Gefahr von Cyberangriffen steigt weiter

Eine weitere Verschärfung erfuhr die Lage im Zuge des Krieges in der Ukraine. Bereits Anfang Februar warnte die EZB im Kontext der zunehmenden geopolitischen Spannungen vor verstärkten Cyberangriffen auf Finanzinstitute. Zur gleichen Einschätzung kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI), das in Anbetracht des russischen Angriffskrieges eine erhöhte Bedrohungslage für die Informationssicherheit konstatiert. Ende Mai vermeldete die BaFin, dass es wiederholt zu Angriffen auf IT-Infrastrukturen gekommen sei.

Hohes Risiko durch Phishing- und DDoS-Attacken

In einer Lünendonk-Studie geben 97 Prozent der befragten Banken, Versicherungen und Vermögensverwaltungen an, dass sie im Falle eines Cyberangriffs von schwerwiegenden Schäden ausgehen. Gleichzeitig rechnen sieben von zehn Befragten damit, in den kommenden zwei Jahren infolge von Phishing-Attacken zum Opfer eines solchen Angriffs zu werden. 55 Prozent beurteilen das Risiko von DDoS-Angriffen (Distributed Denial of Service) als hoch.

Diesen Einschätzungen decken sich mit einer aktuellen Bitkom-Studie, die zu dem Ergebnis kommt, dass ein Großteil der Cyberangriffe mit Social Engineering (Phishing Mails und CEO Fraud) beginnt. Darüber hinaus lauern Gefahren durch DDoS-Attacken und Ransomware. Im Falle von Banken kommen verschärfend oft noch technische Schwachstellen der veralteten Legacy Systeme hinzu.

Ein weiterer kritischer Punkt betrifft das Thema Lieferketten, wie u.a. das Handelsblatt schreibt. Demnach hat sich gerade in der Pandemie deren Verwundbarkeit gezeigt und es wird eine Zunahme von Betrugsfällen innerhalb der Lieferkette befürchtet. Im Fall von Banken fällt darunter auch die Zusammenarbeit mit Dritten, wie z.B. FinTechs. Die Herausforderung besteht also darin, zuverlässig zu prüfen, ob und wie sich diese gegen Cyberangriffe schützen.

BAIT: Diese Maßnahmen lassen sich ableiten

Die neue Version der BAIT aus August 2021 weist zwar keine grundlegenden Änderungen auf, ist allerdings an einigen Stellen detailreicher geworden, was durch die daraus resultierenden Auslegungen bei Prüfungen faktisch eine Verschärfung nach sich zieht. Außerdem enthält sie drei zusätzliche Kapitel zu den Themen “Operative Informationssicherheit”, “IT-Notfallmanagement” sowie zum “Management der Beziehungen mit Zahlungsdienstnutzern”. Im Folgenden soll es nun darum gehen, welche Maßnahmen zum Schutz vor Cyberangriffen sich aus der aktuellen Novelle der BAIT ableiten lassen.

1. IT-Strategie

Definition einer IT-Strategie, die sowohl Ziele als auch Maßnahmen enthält (IT-Architektur, Abläufe, Zuständigkeiten, Notfallmanagement etc.).

2. IT-Governance

Umsetzung und Einhaltung der IT-Strategie. Weitere Anforderungen der BAIT sind die qualitativ und quantitativ angemessene Ausstattung der IT-Organisation mit Personal.

3. Informationsrisikomanagement

Einrichtung angemessener Überwachungs- und Steuerungsprozesse zur Gewährleistung von Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität. Das umfasst die laufende Beobachtung, Prüfung und Bewertung von Schwachstellen.

4. Informationssicherheitsmanagement

Protokollierung von Ereignissen, Überwachung in Echtzeit, Erkennung und Analyse von sicherheitsrelevanten Ereignissen. Dazu gehört in der neuen Version der BAIT auch die Etablierung eines Sensibilisierungs- und Schulungsprogramms für die Beschäftigten.

Eine erste Einführung in das Thema Informationssicherheitsmanagement bietet das Bundesamt für Sicherheit in der Informationstechnik in seinem Leitfaden zur Basis Absicherung nach IT-Grundschutz.

5. Operative Informationssicherheit

Regelmäßige Wirksamkeitskontrollen für bereits umgesetzte Maßnahmen durch Tests und Übungen: Abweichungsanalysen, Schwachstellenscans, Penetrationstests und Simulationen von Angriffen.

6. Identitäts- und Rechtemanagement

Etablierung von Verfahren und Prozessen zur Genehmigung, Protokollierung und Kontrolle von Einrichtung, Änderung, Deaktivierung oder Löschung von IT-Berechtigungen. Zu berücksichtigen sind hier u.a. die Themen Privileged Access Management sowie Schlüsselverwaltung:

Privileged Access Management

Aktuell betreiben rund 50 Banken Softwarelösungen in einem der drei PASS-eigenen in Deutschland ansässigen Rechenzentren, d.h., auch für uns gelten alle Anforderungen, die aus der Regulatorik resultieren. Wie mein Kollege Thomas Dudaczy, Verantwortlicher für den Betrieb der PASS Rechenzentren, mir berichtet hat, rückten mit der 2021 veröffentlichten BAIT-Novelle aufgrund des neuen Kapitels „Operative Informationssicherheit“ die Ausgestaltung von Wirksamkeitskontrollen für bereits umgesetzte Informationssicherheitsmaßnahmen zunehmend in den Fokus. Diese Wirksamkeitskontrollen wie etwa Abweichungsanalysen (Gapanalysen), Schwachstellenscans, Penetrationstests und Simulationen von Angriffen sind ein wesentlicher Bestandteil eines nachhaltigen Informationssicherheitsmanagementsystems. Damit verbunden spielt auch der Umgang mit privilegierten Usern eine große Rolle. Hierbei geht es um Accounts mit erhöhter Sicherheitsfreigabe, die zur Verwaltung und Kontrolle von Systemen und Netzwerken dienen und die dementsprechend Zugriff auf kritische Informationen erlauben. Die Ergänzungen der neuen Novelle zielen darauf ab, vor vorsätzlichem, aber auch unbewusstem Missbrauch privilegierter Zugänge zu schützen. Dies ist mit einem Privileged Access Management (PAM) abbildbar, das die Zugänge der privilegierten User/innen verwaltet und deren Zugriffe protokolliert.

Schlüsselverwaltung

Ein großer Bestand an physischen und elektronischen Schlüsseln lässt sich auf Dauer nicht effizient mit Karteikarten, Schlüsselbüchern oder Excel-Tabellen verwalten. Der agentes Key Store Manager ist eine webbasierte Schlüsselverwaltung zur Dokumentation und Steuerung von Zutrittsberechtigungen. Anwender der Lösung profitieren u.a. von einer vollständigen Bestandsverwaltung für ausgegebene sowie verwahrte Schlüssel, rechte- und rollenbasierten Plausibilitätsprüfungen und von einer integrierten Mailkomponente. Für Revisionen und Prüfungen sowie das Risikomanagement stehen neben einer historisierenden Dokumentation umfangreiche Analysen und Reportings bereit.
Tipp!

7. IT-Projekte und Anwendungsentwicklung

Tests vor Produktivsetzung von neuer und geänderter Software. Hierbei müssen neben der Funktionalität auch die Parameter Sicherheit und Systemleistung berücksichtigt werden. Außerdem sind laut der BAIT Lasttests durchzuführen. Bei vielen Banken ist in diesem Kontext die Verwaltung von IDV-Anwendungen ein Thema:

Verwaltung von IDV-Anwendungen

Nach wie vor werden in vielen Banken Tabellenkalkulationsprogramme eingesetzt. Diese bergen jedoch enorm hohe Risiken in sich. Im Zuge manueller Eingaben kommt es häufig zu Fehleintragungen, zudem wird oft nicht dokumentiert, woher die Autoren von Dateien ihre Informationen beziehen – immer mehr Dateien werden daher in den Instituten als risikorelevant eingestuft. Eine revisions- und prüfungssichere Bewertung und Dokumentation von Tabellenkalkulationsdateien ermöglicht z.B. der agentes Office Process Manager.
Tipp!

8. IT-Betrieb

Erfassung und Verwaltung aller IT-Systeme inkl. deren Komponenten und Beziehungen untereinander. Sicherung von Daten, die Planung des Leistungsbedarfs von Systemen sowie die Dokumentation von Änderungen und Störungen. Ein Baustein ist hierbei die IT-Inventarisierung, die softwaregestützt schnell, einfach und übersichtlich organisiert werden kann:

IT-Inventarisierung

Häufig werden Hard- und Software sowie Verträge in Excel-Listen verwaltet. Diese werden mit steigendem Umfang jedoch sehr komplex und unübersichtlich. Zudem sind Verknüpfungen zwischen den Assets und den Benutzern in Excel nur begrenzt darstellbar. Es besteht daher erheblicher Bedarf für eine umfassende IT-Inventarsoftware zur zentralen Organisation, Verwaltung und Überwachung der IT. Das PASS System Inventory sorgt für eine einfache und übersichtliche Bestandsverwaltung.
Tipp!

9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Etablierung einer aktiven Providersteuerung nicht nur für Auslagerungen, sondern auch für den Bezug von sonstigen IT-Fremdleistungen. Dieses Thema wird immer wichtiger, da Finanzinstitute nicht auf allen Gebieten technisches Expertenwissen und Kompetenz besitzen und weiterentwickeln. Die Konsequenz ist eine zunehmende Zahl ausgelagerter Dienstleistungen und Zulieferungen. Dadurch wird jedoch der Erfolg eines Instituts abhängig vom Funktionieren einer Kette interner und externer Prozesse und der Beherrschung aller damit verbundenen Risiken:

Die IT – und damit auch das Auslagerungsmanagement – sind mehr denn je kritische Erfolgsfaktoren für die Finanzbranche. Mehr dazu erfahren Sie im Beitrag Auslagerungsmanagement leicht gemacht: Banken & Regulatorik.

10. IT-Notfallmanagement

Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen für zeitkritische Prozesse & Aktivitäten. Dazu gehört laut BAIT auch eine jährliche Prüfung der IT-Notfallpläne auf der Grundlage eines IT-Testkonzepts.

Mit dem BSI-Standard 100-4 des Bundesamtes für Sicherheit in der Informationstechnik wird ein systematischer Weg aufgezeigt, ein Notfallmanagement aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen. Hier geht es zum Leitfaden.

11. Management der Beziehungen mit Zahlungsdienstnutzern

Information über Risiken und Bereitstellung von Möglichkeiten zur Anpassung. Benachrichtigungen für getätigte und fehlgeschlagene Transaktionen. Einrichtung angemessener Kommunikationskanäle.

12. Kritische Infrastrukturen

Dieses Kapitel der BAIT richtet sich nur an Institute, die als kritische Infrastrukturen eingestuft werden und wird hier nicht näher beleuchtet.

BAIT – graue Theorie oder effektiver Leitfaden?

Betrachtet man die obenstehende Zusammenfassung, wird schnell deutlich, dass die BAIT keine praktischen Handlungsempfehlungen bereithalten. Vielmehr legen sie einen Rahmen für die technisch-organisatorische Ausstattung der Institute fest: Sie helfen dabei Bedarfe zu erkennen, Schutzmaßnahmen zu definieren und das Thema kontinuierlich zu bearbeiten. Damit tragen sie dazu bei, die potenziellen Angriffsflächen für Cyberangriffe zu verringern. Konsequenterweise fokussieren die BAIT in ihrer neuen Version auch verstärkt die Themen Früherkennung und Notfallmanagement. Unter dem Strich sind sie ein effektiver Leitfaden für die Ausgestaltung der IT-Sicherheit in Kreditinstituten.

IT-Governance, IT-Risikomanagement und IT-Compliance

Mit seiner GRC Suite hat PASS eine gute Grundlage für das integrierte Management von Steuerungsvorgaben, Risiken, internen wie externen Prüfungen sowie die Überwachung von KPIs geschaffen. Dabei können die Module der GRC Suite an jede Institutsgröße angepasst werden und sind erweiterbar, beispielsweise um ein Auslagerungs- und ein Vertragsregister.
Tipp!

Konkrete Handlungsempfehlungen für den Schutz vor Cyberangriffen hält unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereit. Hier sei z.B. auf  das IT-Grundschutz-Kompendium verwiesen.


Bildquelle: Shutterstock

Schreibe einen Kommentar

Ähnliche Artikel