Ein Kapitel in den „Fakten, Trends & Strategien 2020“ widmet die österreichische Finanzmarktaufsicht dem Thema IT-Sicherheit: Wie können sich Unternehmen auf Cyber-Angriffe vorbereiten, und wie sollten sie darauf reagieren?
Hinweis: Ich empfehle grundsätzlich jedem von der FMA beaufsichtigten Unternehmen die gesamten 178 Seiten zu lesen. Meine aus den FTS 2020 extrahierten Auszüge erheben keinen Anspruch auf Richtigkeit und Vollständigkeit. Es handelt sich dabei lediglich um jene Details, die meiner unverbindlichen und persönlichen Ansicht nach unter anderem für Wertpapierunternehmen relevant sein können.
Unter der Überschrift „Auswirkungen der Cyberangriffe auf Unternehmen der Kreditwirtschaft“ macht die FMA darauf aufmerksam, dass Cyber-Angriffe die Datenverarbeitung der beaufsichtigten Unternehmen und damit ihr Geschäft in besonderem Maße schädigen können. Angriffe auf IT-Systeme gefährden die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der anvertrauten Daten. Den Schutz von Daten und Informationen machen bekanntlich auch die Delegierte Verordnung (EU) 2017/565 (MiFID II) und das WAG 2018 zur gesetzlichen Pflicht.
Fortschreitende Bedrohungen
Zwar ist der Automatisierungsgrad von Wertpapierunternehmen geringer als jener von Kreditinstituten, trotzdem stellen die verarbeiteten Daten sowie die Funktionalität der Anwendungen für Angreifer generell lohnende Ziele dar. Ausfälle der Systeme können ebenso schwerwiegende Folgen haben wie interne und externe Angriffe. Es besteht also für Finanzdienstleister die Notwendigkeit, sich auf die fortschreitenden Bedrohungen vorzubereiten.
Operationelle Risiken
IT-Risiken und Risiken aus dem Cyber-Space zählen zu den operationellen Risiken. Neben dem integrierten Regulierungs- und Aufsichtsansatz wendet die Finanzmarktaufsicht auch die Prinzipien der Risikoorientierung sowie der Proportionalität an. Je höher das Risiko eines beaufsichtigen Unternehmens ist, desto tiefer geht die Regulierung und desto intensiver wird die Aufsichtstätigkeit der FMA sein. Je einfacher ein Geschäftsmodell und je kleiner das Geschäftsvolumen sind, desto einfacher sind die regulatorischen Anforderungen. Dementsprechend geringer wird die Intensität der Aufsichtstätigkeit ausfallen, schreibt die FMA. Trotzdem, und auch darauf weist die Finanzmarktaufsicht explizit hin, muss ein angemessenes Maß an Cyber-Sicherheit von jedem Unternehmen erreicht werden.
Schutz vor Cyber-Angriffen
IT-Governance muss in der Führungsführung des Unternehmens beginnen. Erst wenn IT-Risiken vom Management ausreichend wahrgenommen werden, wird dafür gesorgt, dass Risiken für IT-Systeme und Daten ernst genommen und optimal adressiert werden. Mit dem Wissen, dass es nur eine Frage der Zeit ist, bis ein Cyberangriff stattfindet, sollten Unternehmen einen unternehmensweiten Reaktionsplan für diesen Fall festlegen, empfiehlt die Finanzmarktaufsicht.
Um sich wirklich auf Cyber-Angriffe einzustellen und ihnen wirksame Maßnahmen entgegenzusetzen, muss eine proaktive und auf die individuelle Situation ausgerichtete Strategie entwickelt werden, die weit über einen Notfallplan hinausgeht. Unter einem effektiven Sicherheitsplan versteht die FMA eine Mischung aus:
- der Implementierung unternehmensweiter Verfahrensrichtlinien,
- Datensicherheitsmaßnahmen (auch) durch technische Vorkehrungen zum Schutz der Daten und
- der Einführung eines reaktiven Plans, falls der schlimmste Fall (doch) eintritt.
Dabei darf nicht vergessen werden, dass die Mitarbeiter in den meisten Fällen an vorderster Front stehen, weshalb genau sie wissen sollten, was von ihnen verlangt wird. Zusätzlich zu Schulungen sollen insbesondere für Cyber- und IT-Sicherheit zuständige Spezialisten ein praktisches Training erhalten. Denn ohne geübte Praxis und die Fähigkeit, während eines Angriffs gemeinsam schnell und entschlossen zu handeln, treten Sicherheitsteams, Führungskräfte und Mitarbeiter im Unternehmen oft unvorbereitet und unkoordiniert auf.
Reaktion auf Cyber-Angriffe
Nachdem sich Cyber-Angriffe niemals gänzlich verhindern lassen, ist es aus Sicht der FMA essenziell, dass Unternehmen ausreichend darauf vorbereitet sind. Eine fundierte Vorbereitung sieht zum Zweck der kontinuierlichen Dienstleistungserbringung konkrete Pläne vor, wie kritische Funktionen, Informationen und Prozesse im Fall der Fälle wiederhergestellt werden können. Der Plan hat Maßnahmen vorzusehen, die es ermöglichen, gestohlene oder kompromittierte Informationen möglichst rasch wiederherzustellen. Er hat auch Alternativen zu definieren, falls eine Wiederherstellung nicht möglich ist. Darüber hinaus sollen Unternehmen idealerweise Prozesse implementiert haben, mit denen Vorfälle identifiziert, nachverfolgt und dokumentiert werden können.
Regelmäßige Praxistests der Kontinuitätspläne sollen sicherstellen, dass sie im Ernstfall auch funktionieren. Außerdem soll festgelegt werden, welche Informationen im Falle einer Cyber-Attacke an wen fließen müssen. Dies sowohl innerhalb des Unternehmens als auch außerhalb, also beispielsweise an betroffene Kunden und Geschäftspartnern.
Nur ein Klick zur Newsletter-Anmeldung!
Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzinformation.
Weitere interessante Beiträge: