Besuchen Sie uns auf der it-sa 2024!
Home>
BaFin-Fokusrisiken 2022: Aufsicht will verstärkt dedizierte IT-Prüfungen vornehmen
SECURITY INSIGHTS | 21 März 2022
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat ihre Fokusrisiken für das Jahr 2022 veröffentlicht. Einen zentralen Punkt darin nehmen, wie schon im vergangenen Jahr, Cyberrisiken ein. Um der Bedrohung durch Attacken und schwerwiegende IT-Ausfälle entgegenzuwirken, kündigte die BaFin verschärfte IT-Prüfungen für beaufsichtigte Institute und Unternehmen an.
In ihrer Veröffentlichung betont die BaFin, dass Cyberrisiken zu den stark anwachsenden Bedrohungen im Finanzsektor zählen. Wesentliche Prozesse der beaufsichtigten Unternehmen seien beinahe durchgängig von einer funktionierenden IT abhängig. In der Vergangenheit hatte die BaFin bereits mehrfach auf die zentrale Bedeutung der Cybersicherheit in der Finanzindustrie hingewiesen. Etwa in den Fokusrisiken 2021 (damals unter der Bezeichnung „Aufsichtsschwerpunkte“) oder den Mittelfristzielen für die Jahre 2022 bis 2025.
Cybervorfälle durch Angriffe von außen oder innen sowie technische Ausfälle ziehen schwerwiegende Folgen nach sich. Die Auswirkungen erstrecken sich je nach Ausmaß von konkret bezifferbaren Umsatzeinbußen, über schwere Imageschäden, bis hin zu einer Gefährdung der Finanzstabilität per se, was sogar die Realwirtschaft in Mitleidenschaft ziehen könnte. Wie die BaFin berichtet, überwiegen derzeit aus quantitativer Sicht interne Vorfälle. Das Schadenspotenzial durch konzentrierte Angriffe von außen sei jedoch extrem hoch einzuschätzen.
In Zukunft rechnet die BaFin mit einer weiteren Verschärfung der Bedrohungslage. Hierzu trage mitunter die fortlaufende Digitalisierung bei, durch die sich die virtuelle Angriffsfläche der beaufsichtigten Unternehmen beständig vergrößert. Weitere Faktoren sind das seit Beginn der COVID-19-Pandemie vermehrte Arbeiten im Homeoffice sowie der Trend zum Einsatz von Drittanbietern. Und während die Angriffsfläche wächst, intensivieren Cyberkriminelle parallel ihre Attacken auf die Finanzindustrie – auch von staatlicher Seite.
Die BaFin will auf die verschärfte Bedrohungslage mit einer Intensivierung von dedizierten IT-Prüfungen reagieren. Abhängig von den daraus resultierenden Ergebnissen wolle man den weiteren Handlungsbedarf ableiten. Darüber hinaus soll die Einhaltung aufsichtlicher IT-Anforderungen und Standards verstärkt überprüft und durchgesetzt werden.
Für die beaufsichtigten Unternehmen bedeutet diese Entwicklung, dass Compliance-konforme IT-Sicherheit mehr denn je gefragt ist. Besonders für wesentliche Auslagerungen kommen daher nur Dienstleister in Betracht, die alle regulatorischen Anforderungen erfüllen und auch eine direkte Prüfung durch die BaFin nicht scheuen.