Helmut Ettl, Klaus Kumpfmüller ©FMA / Steinbach
Wien. Die Finanzmarktaufsicht hat einen neuen Leitfaden mit strengeren Regeln zur Informationstechnik der Banken veröffentlicht: Im Visier sind auch Cloud & Co. Versicherer und Wertpapierfirmen bekommen auch bald Lesestoff.
Österreichs Finanzmarktaufsichtsbehörde (FMA) hat einen Leitfaden zur Sicherheit von Informations- und Kommunikationstechnologien (IKT) in Kreditinstituten veröffentlicht. Mit der zunehmenden Bedeutung von Informations- und Kommunikationstechnologien in den Banken steigen auch die damit verbundenen Risiken, wie es heißt: Wenn IT-Systeme ausfallen oder missbraucht werden, zum Beispiel durch technische Mängel oder Hackerangriffe, können einzelne Institute, deren Kunden, und sogar die Stabilität des Finanzmarktes erheblichenSchaden nehmen.
„Die Chancen und Risiken der Digitalisierung am Finanzmarkt sindderzeit einer der großen FMA Schwerpunkte. Mit diesem Leitfaden stellen wir klar, was wir von den Banken in Bezug auf IT-Sicherheit erwarten. Das schafft Transparenz für die Institute und fördert das Vertrauen der Bankkunden in digitale Technologien und in dieDatensicherheit“, so die Vorstände der FMA, Helmut Ettl und Klaus Kumpfmüller, in einer Aussendung.
Was vorgeschrieben ist
Der Leitfaden fasst die Erwartungshaltung der FMA an das IT-Sicherheitsmanagement der Institute zusammen:
- Das Management von IT-Risiken hat im Rahmen einer IT-Strategie zu erfolgen. Dazu müssen Institute eine IT-Governance einrichten und entsprechende interne Sicherheitsrichtlinien erlassen.
- Die Hard- und Software von IT-Systemen muss auf einem angemessenen Stand der Technik gehalten werden.
- Die Funktion des Informationssicherheitsbeauftragten ist einzurichten, die zentral für die Informationssicherheit innerhalb eines Instituts und gegenüber Dritten zuständig ist.
- Der Leitfaden nimmt außerdem Bezug auf die Anforderungen, die bei der Auslagerung von IT-Dienstleistungen an Drittanbieter – etwa auch Cloud-Anbieter – eingehalten werden müssen.
- Bei der Umsetzung des Leitfadens können Art, Umfang und Komplexität der Geschäfte sowie der Risikostruktur eines Instituts individuell berücksichtigt werden. Damit folge die FMA konsequent dem Grundsatz der Proportionalität in ihren Aufsichtsanforderungen. Ein höheres Risiko sei mit höheren Anforderungen an das IT-Risikomanagement verbunden.
Das Problem
Unternehmen am Finanzmarkt setzen immer mehr auf digitale Technologien, um einerseits ihre internen Abläufe effizienter zu gestalten und andererseits dem gestiegenen Kundeninteresse nach digitalen Dienstleistungen entgegen zu kommen, heißt es bei der FMA weiter: Das berge – neben vielen Vorteilen – auch neue Gefahren und Risiken für die Unternehmen.
In den vergangenen Jahren sind große Angriffe auf IT-Systeme von Unternehmen öffentlich geworden und haben die Verwundbarkeit von IT-Infrastrukturen verdeutlicht.
Der „FMA Leitfaden IKT-Sicherheit in Kreditinstituten“ sei der erste Schritt einer umfassenderen und sektorübergreifenden Initiative zur IT-Sicherheit am österreichischen Finanzmarkt. Noch im Mai 2018 sollen weitere Leitfäden für Versicherungsunternehmen und Pensionskassen, sowie für Wertpapierfirmen und Asset Manager in die öffentliche Konsultation gehen.
Seit Ende April ist sie die FMA außerdem aktives Mitglied der im Bundeskanzleramt ansässigen Cyber Sicherheit Plattform. Man habe in den vergangenen Jahren die IT-Kompetenz in der FMA ausgebaut und in einem Kompetenzzentrum für IT-Sicherheit und Digitalisierung gebündelt, so die FMA.
Link: FMA (Leitfäden)
