Wie Versicherungen und Banken IT-Security zukunftsfähig auslagern

Ein Artikel von Paul Kaffsack, Mitgründer und Geschäftsführer von Myra Security | 26.08.2020 - 13:29

Die Finanzindustrie zählt seit Jahren zu den Hauptzielen von Cyberkriminellen. Im Darknet erzielen gestohlene Login-Daten für Banking- und Payment-Dienste Höchstpreise, und DDoS-Attacken sorgen regelmäßig für massive Ausfälle digitaler Anwendungen. Für Versicherungen birgt besonders der Diebstahl von hochsensiblen Kundendaten, z.B. für Erpressungszwecke, massive Risiken. Speziell seit Anfang 2020 haben die Angriffe auf die Finanz- und Versicherungsbranche nochmals deutlich zugenommen. Diese Entwicklung zwingt die Industrie zur Anpassung ihrer IT-Sicherheitskonzepte.

iStock-1159401925_mit_Myra_Filter.jpg

Auslagerung: IT-Sicherheitsdienstleister müssen die Anforderungen der BaFin erfüllen

Trend geht zu externer IT-Sicherheitsexpertise

Während Angreifer immer professioneller operieren, wächst parallel dazu die digitale Angriffsfläche durch immer neue Applikationen und Schnittstellen. Das erfordert professionelle Sicherheitslösungen, die ein hohes Maß an Expertise und Ressourcen benötigen. Nur wenige Unternehmen können diese Ansprüche komplett inhouse erfüllen.

Das Outsourcing an spezialisierte Sicherheitsdienstleister nimmt also auch in der Finanz – und Versicherungsbranche zu. Hier ist jedoch nicht nur hohe technische Expertise gefragt, sondern Dienstleister müssen auch die regulatorischen Anforderungen der Aufsicht erfüllen. Denn BaFin und EZB schauen bei dem Thema inzwischen viel genauer hin – immer öfter werden daher Dienstleistungen im Bereich IT-Sicherheit als „wesentliche Auslagerung“ nach KWG und MaRisk beurteilt.

Compliance-Herausforderung IT-Outsourcing

In den MaRisk werden solche Auslagerungen als „Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen
oder sonstigen institutstypischen Dienstleistungen“ definiert, die ansonsten vom
jeweiligen Institut selbst bereitgestellt werden. Institute müssen gemäß § 25b KWG
unabhängig von der Art der jeweiligen Auslagerung angemessene Vorkehrungen
zur Risikovermeidung treffen. „Eine Auslagerung darf weder die Ordnungsmäßigkeit
dieser Geschäfte und Dienstleistungen noch die Geschäftsorganisation im Sinne des § 25a Abs. 1 beeinträchtigen.“ Somit müssen Qualität, Sicherheit und Stabilität von extern bezogenen Dienstleistungen mindestens auf Augenhöhe mit der Inhouse-Lösung sein.

Compliance-Spielraum ist zweischneidig

Welche Dienstleistungen bei Banken konkret als wesentliche Auslagerung mit den damit verbundenen Anforderungen eingeordnet werden, entscheidet das jeweilige Institut selbst - zwingende Vorschriften gibt es nicht. Das gilt analog für die Definition der „Ausgliederung wichtiger Funktionen und Versicherungstätigkeiten“ nach MaGo bei den Versicherungen. Grundlage für die Einordnung bildet in beiden Fällen eine umfassende Risikoanalyse, die regelmäßig zu erneuern ist.

In der Praxis ergeben sich daher zum Teil deutliche Unterschiede bei der Definition
von wesentlichen Auslagerungen bei den einzelnen Instituten. Tendenziell sollte in
diesem Bereich eine defensive Interpretation überwiegen. Natürlich geht es vor allem
darum, in Sachen Compliance auf der sicheren Seite zu sein. Das Thema Cybersicherheit im Finanzbereich hat jedoch auch einen hohen Stellenwert in der Öffentlichkeit. Hier kann sich allein der Eindruck einer laxen Bewertung von Auslagerungen massiv rufschädigend auswirken. Es kommt in der Praxis immer wieder zu Fehleinschätzungen bei der Definition wesentlicher Auslagerungen und die BaFin kritisiert regelmäßig die mangelhafte Umsetzung der regulatorischen Vorgaben.

Wer auch bei komplexen Outsourcing-Strukturen mit diversen Dienstleistern, Subunternehmen und Abhängigkeiten die Kontrolle behält, kann strategische Anpassungen agil vornehmen, um auf Marktveränderungen zu reagieren.

Paul Kaffsack, Mitgründer und Geschäftsführer von Myra Security

Dienstleister müssen regulatorische Anforderungen erfüllen

Die regulatorische Messlatte für IT-Dienstleister ist bei der wesentlichen Auslagerung bzw. wichtigen Ausgliederung hoch. Denn einzelne Prozesse, selbst wenn sie zentrale Elemente des operativen Geschäfts betreffen, lassen sich zwar auslagern, die Gesamtverantwortung verbleibt aber in allen Fällen bei der Versicherung oder der Bank. Im Zweifel müssen die auftraggebenden Unternehmen also für die Fehler des Dienstleisters geradestehen.

Welche Auswahlkriterien zur Wahl des richtigen Anbieters in der Praxis zum Tragen kommen, erfahren wir regelmäßig im Austausch mit Unternehmen und Aufsichtsbehörden. Im Fokus stehen dabei auf der technischen Seite die Themen Sicherheit, Zuverlässigkeit, Performance, Skalierbarkeit, Effizienz, hochqualifiziertes Personal sowie messbare KPIs auf Basis von Service Level Agreements (SLAs).

Auf der Compliance Seite steht die Erfüllung aufsichtsrechtlicher Vorgaben im Vordergrund, so zum Beispiel Zutritt, Weisungsbefugnis, Risk-Management und Reportingpflichten, Exit Management und BCM. Die damit verbundenen Zertifizierungen, Audits und Reporting-Pflichten sind aufwendig und ressourcenintensiv. Daher können nur zertifizierte Spezialanbieter dem Auftraggeber hier volle Compliance garantieren.

Weiterverlagerung muss geregelt sein

Ein Auslagerungsvertrag sollte unter anderem Prüf- und Weisungsrechte definieren, auch im Hinblick auf Weiterverlagerungen („Sub-Delegationen“). Diese liegen vor, wenn der Dienstleister seinerseits zur Erfüllung der Services ein Subunternehmen engagiert. Besonderes Augenmerk gilt dabei möglichen Zustimmungsvorbehalten und einer vertraglich zugesicherten Informationspflicht über die gesamte Lieferkette hinweg. Es zeigt sich in der Praxis, dass ein Partner, der alle Dienste selbständig erbringen kann, den Auslagerungsprozess vereinfacht und mögliche Lücken vermeidet.

Auslagerungsmanagement für komplexes Outsourcing

Speziell größere Institute, die viele Auslagerungen zu verwalten haben, kommen um ein zentrales Auslagerungsmanagement kaum herum. Hier müssen für die Aufsicht jährlich Berichte erstellt werden, die alle wesentlichen Auslagerungen festhalten. Ferner sind sie zu entsprechenden Kontroll- und Überwachungsprozessen verpflichtet. Eine kontinuierliche Dokumentation sowie die Koordination und Überprüfung der durchgeführten Risikoanalysen sind ebenso sicherzustellen.

Das zentrale Auslagerungsmanagement bringt vor allem bei der Weiterverlagerung, mit der in der Praxis viele Unternehmen konfrontiert sind, Vorteile. Wer auch bei komplexen Outsourcing-Strukturen mit diversen Dienstleistern, Subunternehmen und Abhängigkeiten die Kontrolle behält, kann strategische Anpassungen agil vornehmen, um auf Marktveränderungen zu reagieren. So können Unternehmen auch in Krisensituationen, wie etwa der aktuellen Corona-Pandemie, sicherstellen, dass ihre Partner im Stande sind, die zugesicherten Leistungen zu erbringen.

Striktere Regeln und schärfere Kontrollen

Das Beispiel Wirecard zeigt, dass trotz der umfangreichen Gesetzgebung immer noch regulatorische Lücken bestehen. Es ist davon auszugehen, dass der Wirecard-Skandal nicht nur im Hinblick auf die Bilanzprüfung ein regulatorisches Nachspiel haben wird. Die Ankündigungen der Bundesregierung lassen vermuten, dass in naher Zukunft straffere Kontrollen bei Compliance, IT-Sicherheit und Datenschutz auf die Finanzbranche zukommen. Die Versicherungsbranche sollte diese Entwicklung genau verfolgen, denn es ist zu erwarten, dass die Anforderungen an die regelkonforme Auslagerung von IT-Dienstleitungen - sowie die Kontrolle dieser Auslagerungen – gesamtheitlich gesehen noch einmal zunehmen werden.

30298-5484.jpg

Der Autor: Paul Kaffsack, Mitgründer und Geschäftsführer von Myra Security