Gepostet am 09. Oktober 2020 von in
Obwohl es stetig zunehmend mehr Cyberangriffe auf Banken gibt, sind diese glücklicherweise häufig nicht von Erfolg gekrönt. Derzeit scheinen die Banken auf Angriffe von außen gut gerüstet zu sein - auch wenn dies ein ständiger Wettlauf zwischen neuen Methoden von Hackern und der Cyberabwehr ist.
Soweit zu den guten Nachrichten. Dennoch rügt die Aufsicht, dass sie flächendeckend immer noch schwerwiegende Mängel in der IT bei Banken feststelle. So ist es sicherlich kein großes Geheimnis, dass im Bankenumfeld häufig veraltete Systeme eingesetzt werden, die eigentlich bereits das End-of-Life-Stadium erreicht haben. Alte Hardware ist fehleranfällig gegenüber Störungen und IT-Sicherheit ist dann nur mit größerem Aufwand zu erreichen.
Gravierende Mängel testiert die BaFin aber auch beim Berechtigungsmanagement und insbesondere bei der Steuerung der externen Dienstleister - dem Auslagerungsmanagement. Zwar ist es laut Aufsicht besser, die Daten in einer gesicherten Cloud zu halten, als "auf einem Server im Keller der Bank". Aber es geht hier vor allem um weitreichende Kontrollrechte gegenüber dem Dienstleister. Gerade vor dem Hintergrund der EBA Guidelines zum Outsourcing und den kommenden neuen BAIT- und MaRisk-Novellen werden die Anforderungen an die Dienstleistersteuerung nochmals steigen.
Aber der Aufsicht ist eben auch durchaus bewusst, dass sich etliche Dienstleister hier bereits jetzt sperren. "Warum soll ich meine Verträge ändern?" "Was soll das mit den Prüfungsrechten?" "Warum soll ich Reports liefern - ich erbringe doch meine Dienstleistung gut, das soll reichen!" Da tut sich eine einzelne Bank schwer, die neuen Anforderungen in Verhandlungen mit den Dienstleistern umzusetzen.
Die Aufsicht wiederum hat nur einen Verantwortlichen als Ansprechpartner: die Bank oder den Finanzdienstleister. Nur diesen kann sie Sanktionen androhen und diese schlimmstenfalls auch umsetzen. Ein direkter kontrollierender Zugriff auf die Dienstleister ist der BaFin nicht möglich. Und genau dies soll sich künftig möglichst ändern, wenn es nach dem Wunsch von Raimund Röseler geht. Ob das tatsächlich so gelingt, bleibt abzuwarten. Jedenfalls möchte die BaFin das Thema während der deutschen Ratspräsidentschaft auf europäischer Ebene adressieren.
Haben Sie Fragen zum Auslagerungsmanagement und den (neuen) Anforderungen an die Steuerung und Überwachung Ihrer Dienstleister? Dann sprechen Sie uns gerne an!
Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.