Österreich: FMA veröffentlicht Leitfaden zu IT-Sicherheit in Kreditinstituten

11 May 2018 | knowledge newsletters

Am 8.5.2018 veröffentlichte die FMA einen Leitfaden, der die Risiken in Zusammenhang mit Informations- und Kommunikationstechnologien (IKT) in Kreditinstituten adressiert (der "Leitfaden"). Der Leitfaden ist auf der Homepage der FMA abrufbar.

Hintergrund

Die zunehmende Digitalisierung birgt auch im bankbetrieblichen Geschäftsablauf neue Risiken und Gefahren, denen Kreditinstitute ausgesetzt sind. In der Veröffentlichung ihrer Aufsichts- und Prüfungsschwerpunkte für 2018 hat die FMA angekündigt, einen ihrer Prüfungsschwerpunkte im Bereich IT-Sicherheit zu setzen.

Der Leitfaden soll Kreditinstituten eine Orientierungshilfe zu Ausgestaltung, Anforderungen und Vorkehrungen betreffend die IKT-Sicherheit (synonym für: IT-Sicherheit) bieten.

Addressaten sind österreichische Kreditinstitute, der Leitfaden kann nach Ansicht der FMA jedoch auch von Zahlungsinstituten, E-Geldinstituten sowie Auslagerungsdienstleistern zur Orientierung herangezogen werden.

Inhaltlich stellt dieser eine aufsichtsbehördliche Konkretisierung von § 39 Abs 2b Z 5 und Abs 4 BWG iVm § 11 KI-RMV (operationelles Risiko) dar. Die gesetzlichen Grundlagen bleiben unberührt.

Die im Leitfaden beschriebenen Ausgestaltungen, Anforderungen und Vorkehrungen unterliegen dem Grundsatz der Proportionalität, sodass diese nach Art, Umfang und Komplexität der betriebenen Geschäfte angemessen Anwendung finden sollen. Kreditinstituten wird also abhängig von ihrem Geschäftsmodell und dem Umfang ihrer Tätigkeit Spielraum bei der Intensität der Umsetzungsmaßnahmen eingeräumt.

Wesentliche Inhalte

IKT Strategie, IKT-Governance und Sicherheitsrichtlinien

Geschäftsleiter von Kreditinstituten sind für die Erstellung einer IKT-Strategie, die die strategische Entwicklung der IKT-Aufbau- und Ablauforganisation inklusive der dazugehörigen Prozesse festgelegt, verantwortlich. Dadurch soll ein unternehmensweites Bewusstsein für IT-Sicherheit geschaffen werden.

Inhaltlich soll die IKT-Strategie die IKT-Zielarchitektur, Zuständigkeiten für einen systemischen Informationssicherheitsprozess, Auslagerungsaspekte oder Notfallmanagement beinhalten.

Aufbauend auf der IKT-Strategie soll die IKT-Governance Regelungen zur Umsetzung einer IKT-Aufbau und –Ablauforganisation festlegen (zB mittels IKT-Risikomanagementrichtlinien). Die FMA erwähnt ausdrücklich, dass Geschäftsleiter das IKT-Risikomanagement entsprechend Art, Umfang und Komplexität ihrer betriebenen Geschäfte mit ausreichend Ressourcen und Personal auszustatten haben.

Als wesentliche Instrumente zum Schutz von Informationen sind entsprechende IKT-Sicherheitsrichtlinien vorzubereiten und umzusetzen.

Informationsrisiko-, Benutzerberechtigungs- und Schwachstellenmanagement

Der Leitfaden der FMA sieht weiters die Einrichtung entsprechender Prozesse im Bereich Informationsrisikomanagement vor. Die Informationsverarbeitung und -weitergabe im Institut soll durch adäquate IKT-Systeme und Prozesse unterstützt werden, um die Integrität, die Verfügbarkeit, die Authentizität und die Vertraulichkeit der Daten jederzeit zu gewährleisten. In diesem Zusammenhang soll eine entsprechende Risikoanalyse und -bewertung durchgeführt werden. Sofern unter Proportionalitätsgesichtspunkten geboten, soll zudem die Funktion eines organisatorisch und prozessual unabhängigen Informationssicherheitsbeauftragten eingerichtet werden.

Ein Benutzerberechtigungsmanagement soll eingerichtet werden, welches entsprechende Benutzerberechtigungsprozesse definiert, die die Einräumung, Änderung, Deaktivierung und Löschung von Berechtigungen nachvollziehbar, zuordenbar und auswertbar festhalten. All dies ist entsprechend zu dokumentieren.

Schwachstellen sollen durch ein ebenfalls nachvollziehbar dokumentiertes Schwachstellenmanagement identifiziert werden. Ferner sind Maßnahmen zur effizienten Schwachstellenbeseitigung zu ergreifen, welche zB regelmäßige Überprüfungen des Netzwerks und des Firewall-Logging durch Penetrationstests oder Virenscanner einschliessen.

Sorgfaltspflichten in Zusammenhang mit IKT-Projekten und Anwendungsentwicklung

Vor Beginn von IKT-(Entwicklungs-)Projekten sollen Kreditinstitute die damit einhergehenden Auswirkungen auf und Risiken für die IKT-Aufbau- und Ablauforganisation erheben, schriftlich dokumentieren und entsprechend adressieren. Damit sollen Risiken bei Veränderungen im IKT-Bereich bereits vorab möglichst weitgehend vermieden werden.

Planen Kreditinstitute Software-Eigenentwicklungen, sollen gemäß dem Leitfaden zuvor angemessene Prozesse festgelegt werden, die nachvollziehbare Vorgaben hinsichtlich Anforderungen, Zielen, Umsetzung, Qualitätssicherung, Test, Abnahme und Freigabe enthalten.

Die nach dem Leitfaden bestehenden Sorgfaltspflichten in Zusammenhang mit IKT-(Entwicklungs-)Projekten sollen sinngemäß auch bei zugekaufter Software berücksichtigt werden. Insbesondere ist zB ein entsprechendes Testing vor dem Einsatz neuer Software mit Echtdaten vorzusehen.

Notfallmanagement

Der Leitfaden konkretisiert Anforderungen an ein adäquates Notfallmanagement, das die Wahrscheinlichkeit eines Zwischenfalls möglichst weitgehend minimieren und im Fall eines Notfalls zeitnahe Ersatzlösungen gewährleisten soll, um den Normalbetrieb raschestmöglich wieder aufzunehmen.

Im Zug des Notfallmanagement ist insbesondere eine Analyse der Bedrohungsanfälligkeiten vorzunehmen und eine Festlegung von präventiven Maßnahmen sowie Sicherungs- und Wiederherstellungsverfahren zu treffen.

Auslagerung

Werden im Bereich IKT Aufgaben an Dienstleister ausgelagert, sind bei wesentlichen IKT-Auslagerungen die am 3.1.2018 in Kraft getretenen Voraussetzungen gemäß § 25 BWG zu beachten. Neben entsprechend vertraglicher Umsetzung der gesetzlichen Anforderungen und Aufsetzen der internen Prozesse ist  das Auslagerungsvorhaben der FMA vorab anzuzeigen ist. Dies betrifft neue Auslagerungen ebenso wie Änderungen bereits bestehender Auslagerungen.

Bei Auslagerungen an cloud-Dienstleister sind zukünftig (ab 1.7.2018) auch die EBA recommendations on outsourcing to cloud service providers (Link) zu beachten.

Inkraftreten und Ausblick

Der FMA-Leitfaden zur IKT-Sicherheit in Kreditinstituten ist seit seiner Veröffentlichung am 8.5.2018 anwendbar.

In der Veröffentlichung ihrer Aufsichts- und Prüfungsschwerpunkte für 2018 hat die  FMA angekündigt, Prüfungsschwerpunkte ua auf IT-Risiken, IT-Governance sowie Cyber Security zu legen. Eine Evaluierung der bestehenden IKT Strategie, Prozesse, Richtlinien und Notallpläne anhand des Leitfadens ist daher anzuraten.

Gerne unterstützen wir Sie dabei.