Fachbeiträge
Projektprüfung/-begleitung der EU-Taxonomie-Einführung durch die Interne Revision
Einführung in die EU-Taxonomie-Verordnung, Projektprüfung/-begleitungen durch die Interne Revision, mögliche Vorgehensweisen im Rahmen einer Projektprüfung / -begleitung
von Katrin Andriani, CIA, Revisorin, Betriebsrevision, L-Bank
Sie können den Artikel hier als PDF-Datei herunterladen.
Geldwäscheprävention in der Automobil-Branche
Seit vielen Jahren wird die Automobil-Branche (Kfz-Handel & -Finanzierung), unter anderem auch in der Nationalen Risikoanalyse, als Hochrisiko eingestuft. Die umfangreichen geldwäscherelevanten Aspekte und Herausforderungen begründen sich in dem weiten Spektrum an Teilnehmern, wie Automobil-Herstellern, Händlern, Banken und Kunden. Auch die Interaktion mit den verschiedenen Behörden (FIU, BaFin, BAFA etc.) erhöht die Komplexität. Nun liegen die ersten Ergebnisse der FATF-Deutschland-Prüfung vor und insbesondere der Nichtfinanzsektor wird weiter als verbesserungsfähig eingestuft.
Betrug und Geldwäsche mit Luxusgütern wie Fahrzeugen und Yachten haben in den letzten 12-18 Monaten stark zugenommen und geben weiterhin Anlass zur Sorge. Sanktionen sind angesichts der anhaltenden geopolitischen Unruhen in Osteuropa und aufgrund von Datenlecks von besonderem Interesse. Finanzdienstleister in der Automobil-Branche und die mit ihnen verbundenen Händler an der Front stehen mehr denn je unter Druck.
Hier das Whitepaper zum ersten RoundTable Geldwäscheprävention in der Automobil-Branche vom 31. März 2022 in Kooperation mit Ankura & BAE Systems downloaden.
Hier das Whitepaper zum zweiten RoundTable Geldwäscheprävention in der Automobil-Branche vom 22. Juni 2022 in Kooperation mit Ankura & BAE Systems downloaden.
Profitieren Sie vom branchenspezifischen Austausch.
Damit Sie zukünftig keinen RoundTable mehr verpassen, hier für den Newsletter registrieren!
Quo vadis nachhaltiges Finanzwesen?
Wie EU-Taxonomie und Corporate Sustainability Reporting Directive den Finanzsektor verändern werden…
Kevin D. Bröde, Nachhaltigkeitsmanager, Vorstandsstab, Förde Sparkasse
Wo liegen die aktuellen und künftigen Herausforderungen bei der Implementierung von Nachhaltigkeitsaspekten in Finanzinstituten? Im Wesentlichen werden zwei regulatorische Instrumente kurz und mittelfristig für die Weiterentwicklung von Sustainable Finance sorgen:
EU-Taxonomieverordnung
Um die Klimaziele der EU erreichen zu können, besteht vor dem Hintergrund des erforderlichen Transformationsprozesses unseres Lebens ein erheblicher Investitionsbedarf. Die Lenkung von Kapital hin zu nachhaltigen Investitionen im Binnenmarkt ist dafür unerlässlich. Mit der Taxonomie möchte die EU ökologisch nachhaltige Wirtschaftstätigkeiten klassifizieren und so Anreize für private und institutionelle Anleger schaffen.
Fernab aller aktuellen (berechtigten) Kritik daran, Erdgas und Kernenergie unter bestimmten Voraussetzungen als taxonomiekonform zu klassifizieren, wird die Taxonomie den Finanzsektor wesentlich beeinflussen. Die Taxonomie besteht aus zwei Ebenen. Die eine klassifiziert Wirtschaftstätigkeiten auf Projektebene. Die andere befasst sich mit der Frage, welche taxonomiekonforme Wirtschaftstätigkeiten ein Unternehmen durchführt.
Nach Art. 8 Abs. 1 der EU-Taxonomie-Verordnung müssen berichtspflichtige Unternehmen (Finanz- wie Nichtfinanzunternehmen) in ihrer nichtfinanziellen Berichterstattung Angaben darüber machen, wie und in welchem Umfang die Tätigkeiten des Unternehmens mit Wirtschaftstätigkeiten verbunden sind, die als ökologisch nachhaltige Wirtschaftstätigkeiten gemäß EU-Taxonomie-Verordnung einzustufen sind. Kreditinstitute werden demnach in nahezu allen Unternehmensbereichen Transparenz darüber schaffen (müssen), wie "grün" sie wirklich sind.
Beeinflussen diese Ergebnisse die Kaufentscheidungen Ihrer Kund*innen? Was bedeuten diese Veröffentlichungen für Ihre Reputation? Wie werden die Reaktionen über diese Ergebnisse in der (Regional-) Politik sein? Wie reagiert Ihr Aufsichts- oder Verwaltungsrat? Was haben diese Werte für eine Auswirkung auf Ihre Geschäfts- und Risikostrategie? Müssen Sie Ihr Nachhaltigkeitsmanagement anpassen? Handlungsbedarf dürfte garantiert sein.
Corporate Sustainability Reporting Directive (CSRD)
Am 21. April 2021 wurde die überarbeitete Version der Non-Financial Reporting Directive (NFRD) in Form der CSRD veröffentlicht. Diese regelt die Anforderungen für die nichtfinanzielle (Nachhaltigkeits-) Berichterstattung. Was wird sich ändern?
Die CSRD wird die bisherigen Berichtspflichten der NFRD konkretisieren und erweitern. Die Berichterstattung zu Geschäftsstrategie und deren Verbindung mit den Nachhaltigkeitszielen wird stärker betont. Es wird ein ausdrücklicher Zukunftsbezug von Nachhaltigkeitsangaben durch Double Materiality (gegenseitiger Einfluss zwischen Unternehmen und Umwelt) gefordert. Der neue Berichtsumfang wird zu einer deutlich höheren Komplexität führen.
Es kommt zu einer Ausweitung der Berichtspflicht auf alle großen Unternehmen mit der Schwelle von 250 Mitarbeiter*innen. Es werden einheitliche Berichtstandards erarbeitet, um Vergleichbarkeit, Belastbarkeit, Relevanz und Zuverlässigkeit der Berichterstattung zu erhöhen. Berichtspflichtige Unternehmen müssen den Jahresabschluss und den Lagebericht in einem einheitlichen elektronischen Format erstellen. Dies soll der besseren Auffindbarkeit und Auswertbarkeit von Informationen dienen.
Die Nachhaltigkeitsberichterstattung ist künftig zwingend innerhalb des (Konzern-)Lageberichts vorzunehmen. Gesonderte Berichtsformen sind nicht mehr möglich. Die Nachhaltigkeitsberichterstattung soll künftig durch den Abschlussprüfer mit begrenzter Prüfungssicherheit ("limited assurance") geprüft werden. In absehbarer Zeit soll die Prüfungsintensität zudem auf eine Prüfung mit hinreichender Sicherheit ("reasonable assurance") angehoben werden. Die Erstanwendung der neuen Anforderungen wird voraussichtlich für den Jahresabschluss zum 31. Dezember 2023 erfolgen.
Es ist bereits jetzt abzusehen, dass die nichtfinanzielle zeitnah gleichwertig neben der finanziellen Berichterstattung stehen wird.
.
Benötigen Sie nach alledem viel Phantasie dafür, dass insbesondere bei Verfehlen der Klimaziele Anforderungen auf die Institute zukommen, die eine Mindestquote an nachhaltigen Wirtschaftstätigkeiten vorsehen? Ich nicht…
SEMINARTIPPS
Die neue Nachhaltigkeit nach MiFID II
Montag, 12.09.2022, 09:30 - 17:00 Uhr, Online-Webinar
Nachhaltigkeitsrisiken und ESG-Prozesse im Fokus der Aufsicht
Freitag, 16.09.2022, 14:00 - 17:15 Uhr, Online-Webinar
ESG & Geldwäscheprävention
Mittwoch, 28.09.2022, 09:00 - 13:00, Uhr Online-Webinar
Nachhaltigkeit & ESG-Compliance
Donnerstag, 06.10.2022, 09:30 - 17:00, Uhr Online-Webinar
PRAXISTIPPS
- Installieren Sie ein Nachhaltigkeitsmanagement, das vorstandsnah für eine strukturierte Umsetzung der strategischen Vorgaben des Vorstandes sorgt.
- Arbeiten Sie daran, in allen Unternehmensbereichen Nachhaltigkeitsaspekte zu implementieren und diese messbar zu machen.
- Machen Sie insbesondere im Anlage- und Kreditgeschäft eine Bestandsaufnahme und sorgen Sie für eine nachhaltigkeitsstrategische Weiterentwicklung
ANNEX-WEGFALL BIS ENDE DES JAHRES 2022
Kreditinstitute, die bislang noch nicht auf die "neue" Risikotragfähigkeitskonzeption umgestellt haben, müssen diese in diesem Jahr implementieren
Thomas von Brasch, Spezialist Gesamtbanksteuerung, Prüfungsdienst, Verband der Sparda-Banken e.V.
Die BaFin hat gemeinsam mit der Deutschen Bundesbank bereits am 24.05.2018 in ihrem Leitfaden zu den neuen Anforderungen an die Konzeption von Risikotragfähigkeiten Vorgaben zur Erstellung festgelegt. Dieser Leitfaden wurde mit der Veröffentlichung der MaRisk vom 16.08.2021 in die Präzisierung der Anforderungen des § 25a KWG offiziell integriert. Ende des Jahres 2021 hat die Aufsicht zudem klargestellt, dass alle Kreditinstitute ihr Risikomanagement spätestens bis zum Ende des Jahres 2022 auf die neue Risikotragfähigkeitskonzeption umzustellen haben.
Ausgangslage
Der überwiegende Anteil der deutschen Kreditinstitute hat in der Vergangenheit als primären Steuerungskreislauf mit einer periodischen Risikotragfähigkeit ihre Risiken gesteuert. Die Risikodeckungsmasse und die Risiken der Institute wurden dabei auf der Basis von Jahresabschlussgrößen und deren potenziellen Veränderungen ausgerichtet. Der am 24.05.2018 veröffentlichte Leitfaden zur Beurteilung bankinterner Risikotragfähigkeitskonzepte fordert von den Kreditinstituten eine barwertige bzw. zumindest barwertnahe Risikotragfähigkeit. Diese Umstellung führt zu einer grundlegenden Veränderung im Risikomanagement vieler Kreditinstitute. Aus diesem Grund wurde in dem Leitfaden ein so genannter "Annex"-Ansatz bis auf Weiteres als zulässig definiert. Dieser "Annex"-Ansatz stellt nichts anderes als eine Übergangfrist für die Implementierung der neuen Risikotragfähigkeitskonzeption dar. Sie sollte den Kreditinstituten dazu dienen sich angemessen mit der barwertigen Risikosteuerung beschäftigen zu können, die Entscheidungsträger und den Aufsichtsrat umfassend über die neue Herangehensweise zu schulen und Erfahrungen zu sammeln. Das Ende dieser Übergangsfrist wurde inzwischen auf das Ende des Jahres 2022 definiert.
Ökonomische Perspektive der Risikotragfähigkeit
Aufgrund der weitreichenden Veränderungen durch die ökonomische (barwertige) Perspektive stehen auch heute noch viele Kreditinstitute vor der Herausforderung auf die ökonomische Risikotragfähigkeitsperspektive umzustellen. Dabei sollte der Fokus der Umstellung auf eine barwertige Risikotragfähigkeit gesetzt werden. Die im Leitfaden genannten Alternativen einer barwertnahen Risikotragfähigkeit bzw. eines Säule 1+-Ansatzes der Risikotragfähigkeit stellen dabei aus aufsichtsrechtlicher Sicht eher Notlösungen dar, welche mit anderen Herausforderungen aufgrund von potenziellen Konsistenzbrüchen behaftet sind bzw. in Bezug auf den Säule 1+-Ansatzes nur einer sehr geringe Anzahl von Kreditinstituten überhaupt zur Verfügung stehen. Mit Sicht auf die Risikodeckungsmasse ist die Erhebung der Barwertgrößen für die einzelnen Bücher (z.B. Zinsbuch, Fondsbuch, Immobilienbuch oder auch das Beteiligungsbuch) sowie die Ermittlung des Verwaltungskostenbarwertes von besonderer Herausforderung. In Bezug auf die Risikosicht ist zuerst zu prüfen, welche im Einsatz befindlichen Risikomessmodelle eine barwertige Risikogröße bereits ermitteln können oder welche Anpassungen notwendig sind, um dies gewährleisten zu können. Darüber hinaus muss in der Risikosicht das Konfidenzniveau angepasst werden. Hier ist gemäß dem Leitfaden ein Konfidenzniveau zu wählen, welches sich an dem der Risiken in der Säule 1 Sicht orientiert. Entsprechend sollte das Konfidenzniveau in etwa in Höhe von 99,9 % liegen. Ein abweichen von diesem Konfidenzniveau ist aus der aktuellen aufsichtsrechtlichen Prüfungspraxis, wenn überhaupt, nur mit einer sehr guten Erklärung möglich.
Normative Perspektive der Risikotragfähigkeit
In dem Leitfaden wird als zweite gleichbedeutende Perspektive die normative Perspektive der Risikotragfähigkeit gefordert. Diese ist i.d.R. im Vergleich zur ökonomischen Perspektive mit einem deutlich geringeren Umsetzungsaufwand verbunden. Mit der normativen Perspektive ist letztlich die bereits in den Kreditinstituten implementierte Kapitalplanung gemeint, welche in einem Planszenario sowie mindestens einem adversen Szenario betrachtet werden muss. Bei der Implementierung angemessener adverser Szenarien sind die aufsichtsrechtlichen Anforderungen zu beachten. Diese betreffen insbesondere die Berücksichtigung aller wesentlichen Risikoarten und eines spürbaren Einflusses auf die zukünftige Kapital-ausstattung.
Ausblick
Um eine erfolgreiche Implementierung unter Einbindung aller Entscheidungsträger zu gewährleisten, ist frühzeitig vor dem 31.12.2022 ein Parallelbetrieb des bisherigen "Annex"-Ansatzes und der ökonomischen Perspektive der Risikotragfähigkeit in den Risiko- und Aufsichtsratsreporten vorzunehmen. Darüber hinaus sind Anpassungen an der Kapitalplanung und stringenter Weise auch an den Stresstests vorzunehmen. Das neue Konzept sollte spätestens ein halbes Jahr vor der finalen Umstellung auf das neue Risikotragfähigkeitskonzept im Testbetrieb angewandt werden, um Erfahrungen hiermit zu sammeln und die Entscheidungsträger an das neue Vorgehen zu gewöhnen. Idealer Weise wird die Umstellung mit institutsinternen Schulungen für die Entscheidungsträger durch das Controlling verbunden.
SEMINARTIPPS
17.02.2022 (9:00-12:00 Uhr, online)
Risikotragfähigkeit & Stresstesting in Praxis & Prüfung
07.03.2022 (13:00-17:00 Uhr, online – mit Bundesbank-Vortrag)
Nachhaltigkeitsrisiken und ESG-Prozesse im Fokus der Aufsicht
14.03.2022 (10:00-17:00 Uhr, online – mit BaFin-Vortrag)
Ausblick neue MaRisk 2022
04.04.2022 (10:00-17:00 Uhr, online – mit Bundesbank-Vortrag)
Prüfung Datenqualität & Analyse großer Datenmengen (BIG DATA)
PRAXISTIPPS / PRÜFUNGSTIPPS (Revisionsbeitrag)
- Setzen Sie sich mit Ihren Risikomessmodellen auseinander. Welche Anpassungen sind für eine barwertige Risikomessung mit einem Konfidenzniveau von 99,9 % notwendig?
- Entwickeln Sie mind. ein adverses Szenario für die normative Perspektive, welches die wesentlichen Risikoarten berücksichtigt und eine hinreichende Schwere aufweist
- Planen Sie einen ausreichend langen Parallelbetrieb vor der finalen Umstellung auf die neue Risikotragfähigkeitskonzeption ein.
BETRUG ENTDECKEN UND VERHINDERN!
Betrüger stecken viel Energie in die Suche nach Lücken in der Betrugsprävention. Betrüger tauschen sich über die Lücken in Prozessen aus. Kriminelle nutzen alle verfügbaren Tools, um ihre Identität zu verschleiern. Erkannte Schwachstellen werden systematisch ausgebeutet, bis Gegenmaßnahmen installiert sind. Im Darknet gibt es Anleitungen und Mentoring-Programme – Betrüger werden ist nicht schwer.
Und das Risiko für die Täter? Minimal! Denn Verdachtsfälle werden häufig nicht angezeigt.
Was also tun? Gegenmaßnahmen sind Prozess- und Dunkelfeldanalysen, das Wissen um aktuelle Betrugsmuster und der Austausch von Daten aus Betrugsfällen.
Mehr dazu im Whitepaper von RISK IDENT:
Wie sich unbekannter Betrug entdecken und verhindern lässt -
Eine Guideline zur Dunkelfeldanalyse
Betrugsprävention ist der schwierige Teil des Risikomanagements. Ob beim Aufbau neuer Systeme, der Implementierung von Datenquellen oder Kalkulation von benötigtem Personal: Gerade bei den Business-Cases der Betrugsprävention gibt es viele Schwierigkeiten zu meistern.
Das Whitepaper von RISK IDENT:
BETRUGSPRÄVENTION LOHNT SICH!
Business-Cases berechnen, intern überzeugen und Systeme nachhaltig aufbauen
unterstützt bei der richtigen Kalkulation und Argumentation, um das Betrugsmanagement nachhaltig aufzubauen.
ITSCM im Fokus der Aufsicht. Das müssen Sie jetzt wissen.
In der BAIT vom 16.08.2021 hebt die Aufsicht das IT-Notfallmanagement oder IT Service Continuity Management (ITSCM) in einem eigenen Kapitel hervor – Zeit zu handeln!
Andreas Hessel, stv. Direktor, CISO, Notfallmanager und IT-Risikomanager bei der SaarLB
Die BaFin hat in der aktuellen BAIT der allgemeinen Gefährdungslage Rechnung getragen. Täglich werden Unternehmen durch Hacker oder kriminelle Organisationen angegriffen. Solche Angriffe führen immer wieder zu massiven Betriebsstörungen oder gar zu mehrtägigen Ausfällen der kompletten IT. Das Bundesamt für Sicherheit in der Informationstechnik bezeichnet die aktuelle Gefährdungslage als angespannt bis kritisch. Die Banken und Versicherungen haben in den letzten Jahren massiv in die IT-Sicherheit investiert und konnten damit große finanzielle Schäden oder Betriebsausfälle abwehren. Allerdings steht auch die Finanzbranche immer mehr im Fokus der Angreifer. Das zeigt sich auch im Lagebericht des BSI.
Lagebricht des BSI. Das sind die Fakten.
Im KRITIS-Sektor Finanz- und Versicherungswesen traten laut dem BSI am häufigsten Mängel in den Kategorien technische Informationssicherheit, Überprüfung im laufenden Betrieb, Asset Management und ISMS auf. Mängel im Bereich der technischen Informationssicherheit waren im Sektor Finanz- und Versicherungswesen im Vergleich zu den anderen Sektoren am häufigsten. Dies deckt sich wohl auch mit den Prüfungsergebnissen der BaFin in diesem Sektor.
Mangelnde IT-Sicherheit führt zu Betriebsstörungen und Betriebsausfällen. Diese Schnittstellen sollten Sie kennen.
Betriebsausfälle durch Hackerangriffe werden angesichts der Gefährdungslagen immer wahrscheinlicher. Kein Unternehmen kann ausschließen Opfer eines konkreten Angriffs zu werden. Auch nicht der Finanzsektor. Diese Tatsache macht deutlich, dass neben einem Sicherheitsmanagement auch ein sachgerechtes Notfallmanagement für den Fortbestand eines Unternehmens von essenzieller Bedeutung ist. Wobei das IT-Notfallmanagement hierbei eine entscheidende Rolle spielen muss. Insbesondere die Schnittstellen zwischen den Risiko- und Notfallmanagement-Disziplinen sind ein kritischer Erfolgsfaktor für eine effiziente und effektive Erhöhung der Widerstandsfähigkeit (Resilienz) gegen Störungen, Notfällen und Krisen. Das ITSCM sollte in die bestehenden Managementsysteme der Organisation integriert werden. Nur so lässt sich seine Wirksamkeit entfalten und über die zu definierenden Schnittstellen ein effektiver und unter Wirtschaftlichkeitsaspekten effizienter Workflow implementieren. Das ITSCM ist als Bestandteil des BCM Prozesses definiert und gründet ebenfalls auf einem Managementsystem, dessen Ziel es ist, sowohl das bestehende BCM als auch das Informationssicherheits-Managementsystem (ISMS) zu ergänzen und zu untermauern. ITSCM sollte in einer Weise gestaltet sein, dass es das BCM unterstützt. ITSCM ist verantwortlich für die Bereitstellung geeigneter Mechanismen zur Sicherstellung der Kontinuität.
Notfallmanagement und ITSCM. Beachten Sie immer den Faktor Mensch und die zentrale Bedeutung von Kommunikation.
Ohne einen geeigneten Plan gibt es viele Faktoren, die eine Wiederherstellung nach einem Vorfall verlangsamen oder stoppen können. Es ist gut möglich, dass ein müder Bereitschaftstechniker morgens um 3 Uhr auf einen Vorfall reagieren muss. Vielleicht kennt er sich mit dem Code nicht mehr so gut aus, weil er sich wochen- oder monatelang mit etwas anderem beschäftigt hat. Vielleicht bricht angesichts des katastrophalen Vorfalls auch Panik aus. Oder es handelt sich um das neueste Mitglied des Disaster-Recovery-Teams, das noch nicht viel Erfahrung mit der Behebung von Vorfällen hat. Schließlich kann eine angemessene und wirksame Notfallplanung nur dann sichergestellt werden, wenn jeder Mitarbeiter im Unternehmen Sorge dafür trägt und insbesondere kritische Prozesse im Notfall weitergeführt werden können. Kommunikation dient in diesem Zusammenhang nicht nur dazu, Stakeholder auf dem Laufenden zu halten – sie hilft der Führungsriege auch, während eines katastrophalen Vorfalls nicht in Panik zu verfallen. Dank Kommunikation können Teams bei Bedarf Hilfe von anderen Teams anfordern und das Risiko von Reibungen, die durch Verwirrung im Unternehmen entstehen, kann gemindert werden.
SEMINARTIPPS
08.11.2021: Informationssicherheit AKTUELL
15.11.2021: Neue BAIT: Umsetzung & Prüfung im Fokus von Aufsicht & Revision
16.11.2021: Identitäts- und Rechtemanagement AKTUELL
23.11.2021: OpRisk aktuell: IT-Risiken
22.11.2021: Überprüfung (IT-)Notfallmanagement & (IT-)Notfallkonzepte
30.11.2021: Prüfung Datenqualität
PRAXISTIPPS
Diese Fragen müssen im Unternehmen beantwortet werden:
- Für welche Art von Katastrophen müssen wir planen? Welche Risiken und Bedrohungen sind für unser Unternehmen typisch?
- Welche Systeme müssen wir unterstützen? Welche sind kritisch?
- Wie werden wir im Falle einer Katastrophe reagieren?
- Wo finden wir die nötigen Informationen, um kritische Systeme zu unterstützen und wiederherzustellen?
- Wie können wir diese Informationen zentralisieren und die Wiederherstellungsprozesse vereinfachen?
- Können Teams die Informationen und die Prozessdokumentation, die sie verwalten werden, gemeinsam nutzen und einsehen?
- Können wir uns darauf verlassen, dass die Wirksamkeit des Notfallmanagements ausreichend getestet wird und in einen PDCA Zyklus integriert ist?
- Werden regelmäßig szenariobasierte Übungen durchgeführt und wird das Management über die Ergebnisse der Übungen regelmäßig informiert?
- Werden die Risiken aus Übungen erhoben, in das zentrale IT-Risikomanagement überführt und an das Management berichtet?
Diese Schwachstellen bei IT-Dienstleistern sollten Sie kennen:
- Kommunikations- und Alarmierungspläne sind nicht aktuell.
- Regelmäßige Übungen finden nicht statt und sind nicht mit BCM des Auftraggebers abgestimmt.
- Verantwortlichkeiten sind nicht geregelt.
- Ressourcen für das Notfallmanagement sind nicht angemessen.
- Risiken aus den Erkenntnissen der Übungen sind nicht im ISMS und OpRisk erfasst.
- Risiken aus den Notfallberichten des Dienstleisters werden nicht in das ISMS und OpRisk überführt.
- Es erfolgt keine Berichterstattung der Ergebnisse der Notfallübungen und ggf. Risiken an die Verantwortlichen und das Management.
Identitäts- und Rechtemanagement AKTUELL
Steuerung von relevanten Zutrittsrechten durch den Bereich Informationssicherheit
Stephan Wirth, Datenschutzbeauftragter und Informationssicherheitsbeauftragter, NRW.BANK
Die neuen Vorgaben der BAIT zur Vergabe und regelmäßigen Rezertifizierung von Berechtigungen tragen den besonderen Risiken der Vertraulichkeit für den gesamten Informationsverbund Rechnung. Dabei wird nun auch explizit geregelt, dass die Steuerung von relevanten Zutrittsrechten ebenfalls unter den Zuständigkeitsbereich der Informationssicherheit fällt.
Berechtigungsmanagement als Teil der Unternehmens-Compliance
Die Implementierung risikoorientierter Prozesse und Verfahren im Rahmen der Steuerung von Berechtigungen auf den Informationsverbund ist ein kritischer Erfolgsfaktor zur Erreichung einer angemessenen Compliance im Unternehmen. Zu einem Informationsverbund gehören dabei beispielsweise geschäftsrelevante Informationen, Geschäfts- und Unterstützungsprozesse, IT-Systeme sowie Netz- und Gebäudeinfrastrukturen.
Ein ganzheitliches und rollenbasiertes Berechtigungsmanagement ist ein wesentlicher Erfolgsfaktor zur Sicherstellung eines adäquaten Schutzniveaus und damit zur Gewährleistung der Einhaltung der aufsichtsrechtlichen Anforderungen. Dabei sollten jegliche Zutritts-, Zugriffs- und Zugangsrechte auf Bestandteile bzw. zu Bestandteilen des Informationsverbundes standardisierten Prozessen und Kontrollen unterliegen.
Grundlagen zur Gewährung von Berechtigungen
Berechtigungskonzepte sind konsistent zum Schutzbedarf der betroffenen Informationen aufzusetzen. Dabei sind die Berechtigungen aus fachlicher Sicht streng nach dem Need-to-know-Prinzip zu vergeben. Die Anforderungen an eine angemessene Funktionstrennung sind zwingend zu beachten. Eine technische Umsetzung der Funktionstrennung ist anzustreben.
Umfang des Berechtigungsmanagements
Die Prozesse und Verfahren des Berechtigungsmanagements müssen sämtliche Arten von Berechtigungen berücksichtigen. Hierzu zählen sowohl personalisierte als auch nicht-personalisierte und technische Nutzer.
Das Berechtigungsmanagement deckt den gesamten Lebenszyklus von Berechtigungen ab. Es müssen Genehmigungs- und Kontrollprozesse für die Einrichtung, Änderung, Sperrung, und Löschung von Berechtigungen aufgesetzt werden. Ein zentrales Berechtigungsmanagement ermöglicht formalisierte und institutsübergreifende Prozesse und eine vollständige Benutzer- und Berechtigungshistorie. Für den Fall, dass Berechtigungen außerhalb der definierten Regelprozesse vergeben wurden, sind diese unverzüglich zu löschen.
Umgang mit privilegierten Rechten
Aufgrund ihres erweiterten Berechtigungsumfangs und des damit einhergehenden höheren Risikopotentials sind privilegierte Berechtigungen besonders restriktiv zu vergeben. Eingeräumte privilegierte Berechtigungen sind auf Basis der fachlichen Erfordernisse zeitlich zu befristen und in ihrem Berechtigungsumfang auf das unbedingt erforderliche Maß zu beschränken.
Protokollierung und Überwachung
Um sicherzustellen, dass die eingeräumten Berechtigungen ausschließlich wie betrieblich vorgesehen genutzt werden, sind angemessene Prozesse zur Protokollierung und Überwachung einzurichten. Dies gilt insbesondere für privilegierte Berechtigungen. Dabei sind zwingend auch die datenschutzrechtlichen Anforderungen zu beachten.
Regelmäßige Rezertifizierungen
Sämtliche eingeräumten Berechtigungen sind regelmäßig dahingehend zu überprüfen, ob sie weiterhin für die Erfüllung der betrieblichen Aufgaben erforderlich sind. Im Rahmen regelmäßiger und risikoorientierter Rezertifizierungen sind auch die zugrunde liegenden Konzepte angemessen auf Anpassungsbedarf hin zu untersuchen. Um einer missbräuchlichen Nutzung von Berechtigungen vorzubeugen, sind nicht mehr benötigte Rechte unverzüglich zu entziehen.
SEMINARTIPPS
08.11.2021: Informationssicherheit AKTUELL
15.11.2021: Neue BAIT: Umsetzung & Prüfung im Fokus von Aufsicht & Revision
16.11.2021: Identitäts- und Rechtemanagement AKTUELL
23.11.2021: OpRisk aktuell: IT-Risiken
30.11.2021: Prüfung Datenqualität
PRAXISTIPPS
- Ein umfassendes und risikoorientiertes Berechtigungsmanagement ist erforderlich, um einen angemessenen Schutz Ihrer Unternehmenswerte sicherzustellen
- Beachten Sie das Need-to-know-Prinzip und stellen Sie eine ausreichende Funktionstrennung sicher
- Für privilegierte Rechte bestehen besondere Anforderungen an Prüfung, Überwachung und (zeitliche) Limitierung
- Der Rezertifizierungsprozess ist risikoorientiert aufzusetzen und beinhaltet sämtliche Bestandteile des Berechtigungsmanagements
- Die Einhaltung der betrieblichen Vorgaben zum Berechtigungsmanagement sind zu überwachen
Novellierung der BAIT und MaRisk
DAS SIND KEINE NEUEN ANFORDERUNGEN, NUR KONKRETISIERUNGEN…
Florian Kertscher, Informationssicherheitsbeauftragter, Compliance, Sparkasse KölnBonn
Die Aufsicht hat am 16. August 2021 die Mindestanforderungen an das Risikomanagement (MaRisk) und die Bankaufsichtlichen Anforderungen an die IT (BAIT) novelliert. Sie setzt damit aus Informationssicherheitssicht die Vorgaben aus den EBA-Leitlinien für IKT und Sicherheitsrisikomanagement um. Für die BAIT besteht keine Übergangsfrist, da es sich aus Sicht der Aufsicht lediglich um Konkretisierungen bestehender Anforderungen und nicht um grundlegend neue Anforderungen handelt. Lediglich für einzelne Aspekte aus der MaRisk wurden Übergangfristen festgelegt.
Änderungen der MaRisk
Mit Blick auf die Informationssicherheit sind insbesondere erhöhte Anforderungen an Auslagerungen (AT 9) sowie die Einführung des Begriffs „Informationsverbund“ zu nennen. Interessanter ist naturgemäß die BAIT.
BAIT – Fokus Informationssicherheit
Mit der Novellierung der BAIT macht die Aufsicht erneut deutlich, dass Informationssicherheits- und Informationsrisikomanagement die wesentlichen Treiber für ein angemessenes Informationssicherheitsniveau und eine hohe Resilienz gegenüber Cyber-Angriffen sind. Folgende Änderungen sind dabei hervorzuheben:
- Neue Kapitel „Operative Informationssicherheit“ und „IT-Notfallmanagement“
- Konkretisierung der Verantwortlichkeiten und Kontrollen für das Informationsrisikomanagement
- Anforderungen zur physischen Informationssicherheit
- Neue Vorgaben an die Inhalte der IT-Strategie mit Fokus auf Informationssicherheit
- Pflicht zur Überprüfung der Schutzbedarfsfeststellung durch das Informationsrisikomanagement
- Laufende Analyse der Bedrohungslage
- Neue Vorgaben zu den Inhalten der Informationssicherheitsleitlinie
- Pflicht zur Erstellung einer Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit
Der größte Umsetzungsaufwand dürfte im Kapitel „Operative Informationssicherheit“ liegen. Mit dem neuen Kapitel unterstreicht die Aufsicht, dass Sie bei der Formulierung der Vorgaben das Modell der drei Verteidigungslinien verfolgt. Mit dem Kapitel wird zudem deutlich gemacht, dass die Erreichung eines angemessenen Informationssicherheitsniveaus eine Teamaufgabe ist, bei der die Umsetzung der Vorgaben des ISBs durch die operativen Einheiten ein wesentlicher Erfolgsfaktor ist.
SEMINARTIPPS
13.10.2021: Prüffeld "Datenqualität": Prüfungsplanung, Prüfungsdurchführung, Dokumentation
19.10.2021: Aufbau von Nachhaltigkeits-Prozessen und ESG-Kriterien
26.10.2021: Umsetzung neuer MaRisk- & BAIT-Vorgaben im Auslagerungsmanagement
08.11.2021: Informationssicherheit AKTUELL
15.11.2021: Neue BAIT: Umsetzung & Prüfung im Fokus von Aufsicht & Revision
16.11.2021: Identitäts- und Rechtemanagement AKTUELL
Highlights aus dem Kapitel sind dabei:
- Etablierung von Informationssicherheitsprozessen für das Schwachstellenmanagement, die Segmentierung und Kontrolle des Netzwerks, die sichere Konfiguration von IT-Systemen uvm.
- Umfangreiche Konkretisierungen in Bezug auf den Betrieb eines Security Incident and Event Management Tools (SIEM)
- Pflicht zur regelmäßigen und anlassbezogenen Prüfung der Sicherheit der IT-Systeme beispielsweise durch Penetrationstests
Fazit
Die Aufsicht hat die Zeit seit der letzten Novellierung genutzt. Die mit der Novellierung einhergehenden Änderungen sind umfangreich und dürften trotz der Erwartungshaltung der Aufsicht noch zu erheblichen Aufwänden bei der Umsetzung durch die Institute führen. Die effektive und zeitnahe Umsetzung setzt qualifiziertes und geschultes Personal voraus. Dabei muss der gewohnte Spagat zwischen Risikoorientierung und Wirtschaftlichkeit gelingen.
PRAXISTIPPS
- STELLEN SIE SICHER, DASS DIE HANDELNDEN PERSONEN AUSREICHEND QUALIFIZIERT UND GESCHULT SIND
- SCHAFFEN SIE DIE NOTWENDIGEN STRUKTUREN, UM DIE GEMEINSCHAFTLICHE UMSETZUNG DER ANFORDERUNGEN IM GESAMTEN HAUS ZU ERREICHEN
- PRÜFEN SIE DIE RESSOURCENAUSSTATTUNG UND DIE NOTWENDIGKEIT DER BEAUFTRAGUNG EINES BERATUNGSUNTERNEHMENS
- FANGEN SIE IM ZWEIFEL KLEIN AN UND VERSUCHEN SIE NICHT GLEICH DIE PERFEKTE LÖSUNG ZU FINDEN. KLEINE SCHRITTE SIND BESSER ALS STILLSTAND.
- NUTZEN SIE NETZWERKE UND ERFINDEN SIE DAS RAD NICHT NEU. DIE VON DER AUFSICHT GESTELLTEN ANFORDERUNGEN GEHÖREN BEI VIELEN UNTERNEHMEN SEIT JAHREN ZUR GELEBTEN PRAXIS.
Wie die 6. MaRisk Novelle und die neuen BAIT die Auslagerungssteuerung auf Trab halten
Die lang erwarteten neuen Novellen von MaRisk und BAIT präzisieren und erweitern das Aufgabenspektrum im Outsourcing – Die Orientierung an den EBA Guidelines ist deutlich spürbar
Jörg Schmitz, Sourcing Manager, Betriebsorganisation, KfW IPEX-Bank
Schon im Jahr 2019 war durch die Veröffentlichung der EBA Guidelines on Outsourcing Änderungsbedarf an den Mindestanforderungen an das Risikomanagement (MaRisk) im AT 9 identifiziert worden. Der am 26. Oktober 2020 in die Konsultation gegebene Text der sechsten MaRisk Novelle wurde schließlich nach intensiver Diskussion am 16. August 2021 in der finalen Fassung des geänderten Rundschreibens der BaFin zeitgleich mit den neuen BAIT veröffentlicht. Die Regelungen betreffen hierbei den gesamten Auslagerungszyklus, im Folgenden kann nur auf eine Auswahl eingegangen werden.
Deutlicher Anpassungsbedarf durch die neue MaRisk Novelle
In der Risikoanalyse werden Aussagen zu möglichen Risikokonzentrationen, also der Verlagerung mehrerer Verträge zum selben Auslagerungsunternehmen, erwartet. Hierzu bedarf es einer institutsweit einheitlichen Vorgehensweise, um tatsächliche Konzentrationen korrekt zu identifizieren und einwerten zu können. Interessenskonflikten soll durch Einbezug in die Risikoanalyse schon im Voraus Einhalt geboten werden. Ebenfalls neu im Risikoartenangebot sind politische Risiken, deren Einwertung voraussichtlich alle Institute vor Herausforderungen stellen wird. Zusätzlich ist der Bedarf einer Szenarioanalyse zu prüfen, um in berechtigten Fällen tiefere Erkenntnisse über das Auslagerungsunternehmen zu gewinnen. Ein verantwortlicher Auslagerungsbeauftragter wird – sofern noch nicht geschehen – zu benennen sein und bedarf eines direkten Berichtsweges zur Leitungsebene. Für Auslagerungsverträge werden deutlich erweiterte Vertragsinhalte vorgegeben und das aus den EBA bekannte Auslagerungsregister findet nun auch Einzug in die MaRisk.
Die BAIT schlagen neue Kapitel auf
Die vorliegende Aktualisierung der Bankaufsichtlichen Anforderungen an die IT (BAIT) dient vor allem der Umsetzung der EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04). Hierbei wird der Fokus vor allem auf das Informationssicherheitsmanagement sowie die Notfallplanung gelegt, der ein gesamtes neues Kapitel gewidmet wird. Für die Auslagerungen werden zwar nur kleine Anpassungen vermerkt, jedoch bleiben im Gesamtzusammenhang für die Dienstleistersteuerung mögliche Zusammenhänge zu prüfen und möglicherweise in ihren Prozessen zu berücksichtigen.
Arbeitsreiche Monate liegen vor den Auslagerungsüberwachungen
Bei allen Änderungen ist zu beachten, dass die MaRisk ebenso wie die BAIT in einer Vielzahl der Fälle von Präzisierungen sprechen, die per 16.08.21 seitens der BaFin bereits als „umgesetzt“ erwartet werden. Der Anpassung von Auslagerungsverträgen wurde mit einer Frist bis 31.12.2022 die längste Umsetzungszeit eingeräumt. Es wird kein Institut um eine Gap-Analyse und die Priorisierung der hieraus resultierenden Aufgaben kommen. Im Fokus sollte dabei zunächst die Umsetzung der Präzisierungen liegen, um bei zeitnahen Prüfungen bestehen zu können.
SEMINARTIPPS
28.09.2021: Dienstleister-Steuerung & Dienstleister-Berichte in der Auslagerungs-Praxis
06.10.2021: Neue BAIT Spezial: IT-Auslagerungen, Notfallmanagement & Cloud
11.10.2021: Neue BAIT Kompakt: Aufsichtliche Anforderungen im Überblick
12.10.2021: Neue MaRisk-Anforderungen im Überblick (KOSTENFREI)
26.10.2021: Umsetzung neuer MaRisk- & BAIT-Vorgaben im Auslagerungsmanagement
PRAXISTIPPS
- Ein Soll-Ist-Vergleich des neuen AT9 mit den vorhandenen Prozessen und Abläufen hilft bei der Priorisierung der abzuarbeitenden Aufgaben
- Unter Einbezug der Rechtsabteilung sind die Verträge von wesentlichen Auslagerungen zu prüfen und Nachverhandlungen vorzubereiten
- Benennung eines Auslagerungsbeauftragten und Einrichtung der Reporting Linie zum Vorstand / zur Geschäftsführung