Informationssicherheit in der Finanzwirtschaft: Cloud-Dienstleister mit ISO/IEC 27001-Zertifikat sind die sichere Wahl Teil 3

von Das Team der aigner business solutions GmbH

Unternehmen aus der Finanzbranche müssen zum Schutz von Daten und IT-Systemen zahlreiche Regelungen einhalten. Neben der DSGVO sind hier vor allem die Anforderungen aus BAIT, VAIT und KAIT relevant.

Verwaltungsvorschriften der BaFin

Die Verwaltungsvorschriften der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) geben den Rahmen für die technisch-organisatorische Ausstattung der IT in den Unternehmen der Finanzwirtschaft in Deutschland vor. Die BaFin gibt dadurch auch Regelungen für Informationssicherheit und IT-Governance vor, um die IT-Sicherheit zu erhöhen und das Bewusstsein für die mit der IT verbundenen Risiken zu schärfen. Grundsätzlich orientieren sich die Anforderungen von BAIT, VAIT und KAIT am IT-Sicherheitsgesetz und der ISO 27001. Hier eine kurze Begriffsklärung dazu:

  • BAIT: Bankaufsichtliche Anforderungen an die IT (BAIT) für Banken und Kreditinstitute
  • VAIT: Versicherungsaufsichtliche Anforderungen an die IT (VAIT) für die Versicherungsunternehmen
  • KAIT: Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT) für Investment-Gesellschaften

Diese drei Verwaltungsvorschriften vertiefen und ergänzen teilweise bereits bestehende Anforderungen, etwa aus dem Kreditwesengesetz, dem Versicherungsaufsichtsgesetz sowie aus den BaFin-Verwaltungsanweisungen MaRisk (Mindestanforderungen für das Risikomanagement), MaGo (Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen) und KAMaRisk (Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften).

Die Anforderungen gliedern sich dabei in folgende acht Bereiche:

  • IT-Strategie
  • IT-Governance
  • Informationssicherheits-Management (inklusive Funktion eines Informationssicherheitsbeauftragten)
  • Informationsrisiko-Management
  • Benutzerrechtezugangs-Management
  • IT-Projekte und Anwendungsentwicklung
  • IT-Betrieb
  • Auslagerung von IT-Dienstleistungen

Optionaler neunter Anforderungsbereich

Dieser Anforderungsbereich betrifft Kritische Infrastrukturen für die Anbieter, die aufgrund ihrer Dienstleistungen und ihrer Größe der BSI-KRITIS-Verordnung unterliegen und besondere Anforderungen an die Informationssicherheit erfüllen müssen. Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall Versorgungsengpässe oder andere dramatische Folgen eintreten würden. Dazu gehören beispielsweise Krankenhäuser, Energie- und Wasserversorger oder Telekommunikations-Unternehmen.

BAIT, VAIT und KAIT stimmen dabei inhaltlich weitgehend überein, mit Ausnahme der Kritischen Infrastrukturen. In den KAIT ist dieser Aspekt nicht enthalten, da der Tätigkeitsbereich nicht als kritisch eingestuft ist. Die Bafin aktualisiert diese drei Vorschriften regelmäßig und reagiert damit auf die neuesten technologischen Entwicklungen und die sich verändernden Angriffsvektoren der Cyberkriminellen.

Ein Beispiel ist hier die Novelle der BAIT vom 16. August 2021 mit einigen Erweiterungen und Anpassungen. Neu dabei ist etwa das Kapitel „Operative Informationssicherheit“ mit Anforderungen an Wirksamkeitskontrollen für bereits umgesetzte Maßnahmen für eine höhere Informationssicherheit. Dazu gehören beispielsweise Schwachstellenscans, Penetrationstests oder Simulationen von Angriffen.

Neu ist außerdem das Kapitel „IT-Notfallmanagement“ mit der Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen für zeitkritische Prozesse und Aktivitäten. Laut BAIT müssen Banken jetzt jährlich auf Basis eines IT-Testkonzepts prüfen, ob diese drei Arten von IT-Notfallplänen wirksam sind. Hinzu kommen verschärfte Anforderungen an die Erkennung und Analyse von sicherheitsrelevanten Ereignissen, Security-Awareness-Schulungen, das Risikomanagement oder die physische Sicherheit.

Informationssicherheit in der Finanzwirtschaft: Empfehlungen für eine höhere Cloud-Security

  • Verschlüsselung der in der Cloud gespeicherten Daten und des Datentransports. Die Verschlüsselungs-Keys sollten beim Kunden bleiben und nicht in der Cloud liegen
  • Lösungen wie Cloud-Firewalls analysieren die Datenübertragungen und sichern sie ab
  • Geräte, die auf die Cloud zugreifen können, sollten ebenfalls sicher sind (insbesondere mobile Geräte)
  • Multi-Faktor-Authentifizierung mit Passwort, Smart Cards, Security-Tokens oder biometrischen Faktoren (Fingerabdruck, Iris-Scan, Stimmerkennung)
  • Rollenbasierte Zugriffskontrolle mit abgestimmten Nutzerrechten. Benutzer sollten nur auf Daten zugreifen können, die sie auch wirklich brauchen
  • Regelmäßig Backup der Cloud-Daten erstellen

Hier gelangen Sie zum ersten Teil und hier zum zweiten Teil der Blogartikelreihe.

Bei Fragen rund um Informationssicherheit oder Datenschutz wenden Sie sich gerne an Ihr Team der aigner business solutions GmbH. Verwenden Sie dafür einfach unser Kontaktformular. Außerdem sind wir für Sie telefonisch in unserer Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 erreichbar.

assets/images/b/datenschutzbeauftrag-443cfc9e.png
Das Team der aigner business solutions GmbH

Unser Team – Ihr Vorteil | Hier stellen wir uns vor.

Unser Team besteht aus erfahrenen Juristen, Webspezialisten, IT-Experten, zertifizierten Datenschutz- und Informationssicherheitsbeauftragten. Mit unserer Erfahrung, Expertise und erprobten Verfahren, helfen wir Unternehmen, praxisnahe Lösungen im Bereich Datenschutz und IT-Sicherheit zu finden. So helfen wir beispielsweise bei der Umsetzung der DSGVO oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS).