Aufrufe
vor 5 Jahren

RISIKO MANAGER 01.2019

  • Text
  • Unternehmen
  • Risiken
  • Risikomanagement
  • Bewertung
  • Risiko
  • Banken
  • Basel
  • Risikoanalyse
  • Heft
  • Unternehmens
  • Risikomanager
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

24

24 RISIKO MANAGER 01|2019 2. BAIT & potenzielle EZB-Vorgaben Wesentliche Impulse zur Fortentwicklung der bankinternen IT-Risikosteuerung werden durch die neuen EBA-Leitlinien und die anhaltenden Prüfungen durch die Aufsicht kommen. Auch die BaFin und Bundesbank haben bereits weitere Schritte zur Fortentwicklung der BAIT angekündigt (vgl. z. B. Paust/Essler, 2018). Hier ist zunächst über eine kommende BAIT-Novelle die Konkretisierung der Vorgaben des AT 7.3 MaRisk zum Notfallkonzept vorgesehen, wobei insbesondere die Test- und Wiederherstellungsverfahren für IT-Systeme und die dazugehörigen IT-Prozesse konkretisiert werden sollen. Dabei ist davon auszugehen, dass mit der kommenden BAIT-Novelle auch neue EBA-Anforderungen in das BaFin-Rundschreiben übernommen werden. Dies kann die neuen Leitlinien zu IT und Auslagerungen betreffen, aber auch Aspekte aus den EBA-Leitlinien zu Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten gemäß PSD2 (EBA/GL/2017/17) (vgl. EBA 2017h). Inwiefern die EZB die weiterhin auf ihrer Homepage angekündigten „Guidelines on IT Risk Management for Significant Institutions“ 3 in 2019 veröffentlichen wird, ist offen. Interessant zu lesen, v. a. für die größeren Institute unter direkter EZB-Aufsicht, die unter AT 4.3.4 MaRisk fallen und die Baseler Vorgaben umsetzen müssen, ist der von der EZB bereits im Mai 2018 veröffentlichte Report zum „Thematic Review“ bezüglich Risikodatenaggregation und Risikoreporting (vgl. EZB 2018c). Dieser listet detailliert neben den Schwachstellen der Umsetzung der BCBS-239-Vorgaben auch Best Practices auf. Abb. 02 stellt wesentliche Ergebnisse des EZB-Reports dar und kann als Checkliste für die Prüfungsvorbereitung genutzt werden. Die EZB hat bei den Instituten unter ihrer direkten Aufsicht zum Teil schwerwiegende Schwachstellen bei allen Baseler BCBS-239-Prinzipien beobachtet. Der Umsetzungsdruck hierzu dürfte für die großen Institute unverändert hoch bleiben, zumal der Baseler Ausschuss zu vergleichbaren Schlussfolgerungen kam (vgl. Abschnitt III.3, Basel Committe, 2018a). Kleinere Institute unterliegen nicht AT 4.3.4 MaRisk. Die Aussagen der EZB zum Risikoreporting erscheinen aber dennoch bezüglich der Erfüllung der Anforderungen zur Risikoberichterstattung in BT 3 MaRisk interessant, da sie für alle Institute gleichermaßen gültig sind. 3. Arbeiten auf globaler Ebene zum Thema IT-Risiko Die Bedeutung des Themas IT-Risiko wurde von den Staats- und Regierungschefs auf Ebene der G20 zuletzt im Rahmen des Treffens in Buenos Aires im Dezember 2018 betont. Der Ausschuss für Finanzstabilität (Financial Stability Board, FSB) wurde hierzu mit Umsetzungsarbeiten betraut. Dies kann mittelfristig, ebenso wie zuvor im Bereich Sanierungs- & Abwicklungsplanung, dazu führen, dass auf dieser Ebene Standards ausgearbeitet werden, die für global systemrelevante Institute sehr schnell direkt umsetzungsrelevant werden. Bisheriger FSB-Output ist ein im November 2018 veröffentlichtes Cyber Lexicon (vgl. FSB 2018). Dieses knapp 20-seitige Dokument ist insbesondere für Institute interessant, die Teil global operierender Bankengruppen sind, da neben der Definition grundlegender IT-Begrifflichkeiten auch die unterschiedlichen internationalen IT-Risikosteuerungsnormen genannt und unter Nennung aktueller Bedrohungspotenziale eingeordnet werden. Damit kann dieses Dokument ggf. für internationale Bankengruppen bei der Ausarbeitung der internen Handbücher hilfreich sein. Ansonsten hat sich das FSB im zweiten Halbjahr 2018 vermehrt mit dem Thema Conduct Risk beschäftigt. Auch diese Ausarbeitungen sollten die größten deutschen Institute zur Kenntnis nehmen und bei der Fortentwicklung ihres Instrumentariums zur Steuerung von operationellen Risiken berücksichtigen. Ein ähnliches Dokument wie das FSB Cyber Lexicon ist das vom Baseler Ausschuss im Dezember 2018 veröffentlichte Range-of-Practice-Dokument zum Thema „Cyber-Resilience“ (vgl. Basel Committee 2018b). Hier werden unterschiedliche Regulierungsansätze auf nationaler Ebene vorgestellt (u. a. die deutschen BAIT). Ak-

ERM 25 Abb. 03 Regulatorische Agenda 2019 – Umsetzungsfahrplan Instrument Q1/Q2 2019 Abarbeitung der neuen EBA-Vorgaben zu Zinsänderungsrisiko und Stresstesting sowie Anpassung des Risikotragfähigkeitskonzeptes an die neuen Vorgaben von BaFin / Bundesbank bzw. EBA & EZB. Zentral sind hier die bessere Verknüpfung des ICAAP mit dem ILAAP sowie die Konzeption aussagekräftiger Stresstests zu den aktuellen spezifischen Risiken (zur Durchführung in Q2 oder Q3, ggf. auch in Vorbereitung auf den von der EZB angekündigten Liquiditätsstresstest bzw. den aufsichtlichen Stresstest von BaFin und Bundesbank) und die Festlegung klarer Frühwarnkriterien, ab denen Planungsanpassungen mit konkreten Risikosenkungsmaßnahmen erfolgen müssen. Q3/Q4 2019 Beginn der Umsetzungsarbeiten zu Basel III durch Sichtung des EBA-Ergebnisdokumentes zum Call for Advice der EU-Kommission sowie ergänzend der Regelungstexte des Baseler Ausschusses (z. B. zur Offenlegung) sowie weiterer EBA-Papiere mit Meldewesenbezug (z. B. Outsourcing Guidelines). Ganzjährig Verbesserung der IT-(Risiko-)Steuerung mit Überprüfung der IT-Governance (insbesondere Berichterstattung an den Vorstand und und an spezifische IT-Gremien) und des Anweisungswesens (Abarbeitung von BAIT-Moniten zusammen mit der Umsetzung der EBA-Leitlinien) Durchführung gesonderter Risikoanalysen (z. B. Sichtung der jüngsten Schadensfälle bzw. Beauftragung von Penetrationstests sowie v.a. Intensivierung der gemäß BAIT geforderten Schutzbedarfsanalysen) Möglichweiser Verstärkung der Vernetzung mit der Fach-Community, z.B. durch Beitritt zur Allianz für Cyber-Sicherheit bzw. sonstigen Austausch mit BSI und weiteren Sicherheitsbehörden Quelle: Buchmüller/Rambock, www.marisk.academy. tuell stehen über die bereits 2017 veröffentlichten Vorgaben zum Thema Step-in Risk (vgl. Basel Committee 2017a) hinaus keine weiteren bindenden Regelungen des Baseler Ausschusses mit Bezug zum IT-Risiko kurzfristig vor der Implementierung. Deshalb empfehlen wir kleineren Instituten, sich auf die BAIT- & EBA-Vorgaben sowie die Fortentwicklung von DSGVO und Informationssicherheitsgesetz in 2019 zu konzentrieren (s. folgender Abschnitt). Größere Institute sollten allerdings durchaus im Sinne der gemäß MaRisk geforderten Proportionalität die Veröffentlichungen von FSB und Baseler Ausschuss weiter beobachten. Hierbei scheint weiterhin die BCBS-239-Umsetzung am dringendsten, wie dem Progress Report des Baseler Ausschusses vom Juni 2018 (vgl. Basel Committee 2018a) zu entnehmen ist. Für mittlere und große Institute, die noch keine IT-Prüfung durchlaufen haben, können die in diesem Bericht enthaltenen Mängelbeschreibungen ebenso wie der bereits genannte EZB-Bericht bei der Prüfungsvorbereitung zum Thema helfen. 4. Informationssicherheitsgesetz und weitere branchenübergreifende IT-Rechtsnormen In Deutschland ist das seit Juli 2015 gültige Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-Sicherheitsgesetz“) die zentrale Rechtsnorm zur IT-Sicherheit. Das Bundesinnenministerium (BMI) hatte bereits im Sommer 2018 angekündigt, in 2019 mit einer Novelle des IT-Sicherheitsgesetzes („IT-Sicherheitsgesetz 2.0“) die Meldepflicht von Unternehmen bei Angriffen auf ihre IT-Infrastruktur zu verschärfen. Damit würde die Meldepflicht von bisher sehr eng definierten Betreibern sogenannter „kritischer Infrastrukturen“ potenziell auf mittelständische Unternehmen ausgeweitet. Dies könnte dann möglicherweise auch kleinere Banken treffen. Infolge des Anfang Januar aufgetretenen Falls der massenhaften Entwendung und Veröffentlichung perso nenbezogener Daten von Politikern und anderer Personen des öffentlichen Lebens, ist nun mit verstärkten gesetzgeberischen Aktivitäten zu rechnen. Diese dürften auch die Kreditinstitute treffen. Neben der Novelle des IT-Sicherheitsgesetzes, zu der das BMI noch in der ersten Jahreshälfte 2019 einen Entwurf vorlegen möchte, werden weitere Gesetzesänderungen diskutiert, wie z. B. die Erhöhung der Strafmaße für Datendiebstahl und andere Cybercrime-Delikte. Ein wichtiges regulatorisches Umsetzungsthema im vergangenen Jahr war das Inkrafttreten der Datenschutzgrundverordnung (DSGVO) zum 25. Mai 2018. Über die daraus folgenden Umsetzungspflichten herrscht weiterhin große Rechtsunsicherheit. Aus diesem Grund empfiehlt sich hierzu das regelmäßige Verfolgen der Auslegungen des Bundesdatenschutzbeauftragten und der Datenschutzkonferenz zur DSGVO bzw. der nachgelagerten Regulierungsinitiativen auf EU-Ebene. 4 Nach den Europawahlen 2019 ist hier wahrscheinlich mit weiteren Initiativen auf EU-Ebene zu rechnen. Wichtigstes Thema der EU-Datenschutzregulierung in 2019 dürfte die geplante ePrivacy-Verordnung sein, die auch das Online-Marketing der Banken betreffen dürfte.

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.