Feedback

Gepostet am 09. Oktober 2020 von  Verena Siemes, Geschäftsführerin der ORO Services GmbH in Compliance/Riskmanagement

Aufsicht verlangt Kontroll- und Sanktionsmöglichkeiten gegenüber Outsourcing-Dienstleistern

In einem Artikel der BaFin vom August 2020 nimmt Raimund Röseler, Exekutivdirektor Bankenaufsicht, Stellung zur aktuellen Lage der IT-Sicherheit im Finanzdienstleistungssektor.

Obwohl es stetig zunehmend mehr Cyberangriffe auf Banken gibt, sind diese glücklicherweise häufig nicht von Erfolg gekrönt. Derzeit scheinen die Banken auf Angriffe von außen gut gerüstet zu sein - auch wenn dies ein ständiger Wettlauf zwischen neuen Methoden von Hackern und der Cyberabwehr ist.

BaFin kritisiert mangelnde Steuerung von Dienstleistern

Soweit zu den guten Nachrichten. Dennoch rügt die Aufsicht, dass sie flächendeckend immer noch schwerwiegende Mängel in der IT bei Banken feststelle. So ist es sicherlich kein großes Geheimnis, dass im Bankenumfeld häufig veraltete Systeme eingesetzt werden, die eigentlich bereits das End-of-Life-Stadium erreicht haben. Alte Hardware ist fehleranfällig gegenüber Störungen und IT-Sicherheit ist dann nur mit größerem Aufwand zu erreichen.

Gravierende Mängel testiert die BaFin aber auch beim Berechtigungsmanagement und insbesondere bei der Steuerung der externen Dienstleister - dem Auslagerungsmanagement. Zwar ist es laut Aufsicht besser, die Daten in einer gesicherten Cloud zu halten, als "auf einem Server im Keller der Bank". Aber es geht hier vor allem um weitreichende Kontrollrechte gegenüber dem Dienstleister. Gerade vor dem Hintergrund der EBA Guidelines zum Outsourcing und den kommenden neuen BAIT- und MaRisk-Novellen werden die Anforderungen an die Dienstleistersteuerung nochmals steigen.

Verantwortlich ist allein der Auftraggeber

Aber der Aufsicht ist eben auch durchaus bewusst, dass sich etliche Dienstleister hier bereits jetzt sperren. "Warum soll ich meine Verträge ändern?" "Was soll das mit den Prüfungsrechten?" "Warum soll ich Reports liefern - ich erbringe doch meine Dienstleistung gut, das soll reichen!" Da tut sich eine einzelne Bank schwer, die neuen Anforderungen in Verhandlungen mit den Dienstleistern umzusetzen.

Die Aufsicht wiederum hat nur einen Verantwortlichen als Ansprechpartner: die Bank oder den Finanzdienstleister. Nur diesen kann sie Sanktionen androhen und diese schlimmstenfalls auch umsetzen. Ein direkter kontrollierender Zugriff auf die Dienstleister ist der BaFin nicht möglich. Und genau dies soll sich künftig möglichst ändern, wenn es nach dem Wunsch von Raimund Röseler geht. Ob das tatsächlich so gelingt, bleibt abzuwarten. Jedenfalls möchte die BaFin das Thema während der deutschen Ratspräsidentschaft auf europäischer Ebene adressieren.

Haben Sie Fragen zum Auslagerungsmanagement und den (neuen) Anforderungen an die Steuerung und Überwachung Ihrer Dienstleister? Dann sprechen Sie uns gerne an!


Zum Kontaktformular


 ESG: Der Omnibus rollt

 AI-Act: Anwendungsfrist 02. Februar 2025

 Vom Entwurf zur Verordnung: Die Dynamik der saisonalen Regulierung

 Jahresausblick von Regupedia auf 2025

 DORA-Verordnung: Ein neues Kapitel für die digitale Resilienz in der Finanzindustrie

Passwort zurücksetzen

Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.


Abbrechen

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.