Stresstests für Digital Finance

März 2019 | Capital | Finance 4.0

Stresstests für Digital Finance

Eine sichere und nachhaltige Digitalisierung der Finanzbranche kann nur in enger Zusammenarbeit und mit verbindlichen Verordnungen gelingen.

Illustration: Wyn Tiedmers
Julia Thiem / Redaktion

Digitalisierung ist kein fernes Zukunftsszenario, sondern passiert jetzt. Und es liegt an uns, diesen Übergang mitzugestalten“, bringt es Professor Dr. Joachim Wuermeling, Mitglied des Vorstands der Deutschen Bundesbank, in einer Rede im Februar in Brüssel auf den Punkt. Gleichzeitig warnt er in der Ansprache aber auch vor den Risiken: „Solange sich digitale Angebote, Hard- und Software, ständig weiterentwickeln und die Komplexität von Prozessen zunimmt, wird es Menschen geben, die diese Schwachstellen ausnutzen, und Technik, die störanfällig ist. IT-Risiken werden daher ein Dauerthema bleiben.“

Wie also steht es um die IT-Sicherheit in der Finanzbranche? Gar nicht so schlecht, meint Jens Obermöller, Leiter des Grundsatzreferats Cybersicherheit und Zahlungsverkehr der BaFin: „Der Finanzsektor zählt neben anderen Bereichen wie Energie, Wasser oder Ernährung zur kritischen Infrastruktur in Deutschland und unterliegt daher neben der Aufsicht durch BaFin und Bundesbank auch der Kritisverordnung des Bundesamt für Sicherheit in der Informationstechnik. Die vielen Standards und die jahrzehntelange Regulierung haben dafür gesorgt, dass die IT-Sicherheit im deutschen Finanzwesen im Vergleich zu anderen Sektoren schon sehr weit ist.“ Ausruhen könne man sich auf dieser Basis jedoch nicht, glaubt Obermöller: „Es wird bei der IT- und Informationssicherheit immer Anpassungsbedarf geben – allein schon deshalb, weil Cyber-Kriminelle unheimlich professionell und dynamisch vorgehen.“

Mit den bankaufsichtlichen Anforderungen an die IT habe die BaFin 2017 aber bereits eine wichtige Grundlage für mehr Sicherheit gelegt. Künftig können die großen Institute zusätzlich mittels Cyberstresstests überprüft werden, wie es in anderen europäischen Ländern wie Großbritannien oder den Niederlanden bereits der Fall ist. „Wichtig ist bei den Cyberstresstests, zu betonen, dass man hier weder bestehen noch durchfallen kann. Denn eine hundertprozentige Sicherheit wird es nie geben. Es geht vielmehr darum, mögliche Einfallstore und Schwachstellen zu ermitteln, um ein insgesamt solides Bollwerk zu schaffen“, sagt Obermüller.

Der Faktor Mensch spielt dabei eine wichtige Rolle, wie sowohl Wuermling als auch Obermüller betonen. Systeme arbeiten nur so zuverlässig, wie die Menschen, die sie bedienen, weshalb IT- und Informationssicherheit unbedingt zu Managementthemen erhoben werden sollten. Wichtig sei darüber hinaus auch ein ständiger Dialog, wie Obermüller bestätigt – zwischen Aufsicht und Finanzbranche, aber auch auf politischer sowie europäischer Ebene: „IT- und Informationssicherheit sind nur in einem gemeinschaftlichen Kraftakt zu erreichen.“

Beispiele hierfür sind die überarbeitete europäische Zahlungsdienstrichtlinie PSD2 und die damit verbundene eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste. Beide sollen durch einheitliche Standards das Sicherheitsniveau heben. Auch hier unterstreicht Obermüller, wie weit die Finanzbranche schon in der Umsetzung ist. Denn die eIDAS-Verordnung sei hier beispielsweise durch die Nutzung eIDAS-konformer Zertifikate für die Identifizierung von dritten Zahlungsdienstleistern im Rahmen der PSD2 bereits marktgängig berücksichtigt. Die IT und die Finanzwelt sind wohl doch kein so inkompatibles Paar, wie einem manche Meldungen mitunter weiß machen wollen.