Die Konsequenzen der Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi) für das BCM
ein Gastbeitrag von Dr. Christian Zänker (Business Continuity Partner, zaenker@bcmpartner.de) für die BCM-News.
Was bedeuten die neuen regulatorischen Anforderungen für das BCMS der Institute?
Im Mai vergangenen Jahres wurden von der BaFin mit Rundschreiben 4/2015 die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi) veröffentlicht. Nach Aussage der BaFin müssen die Institute nach Ablauf der 6-monatigen Übergangsfrist ab dem 05.11.2015 mit Prüfungen durch die Bankenaufsicht rechnen.
Durch die MaSi werden die „Leitlinien zur Sicherheit von Internetzahlungen“ der European Banking Authority vom 19. Dezember 2014 (EBA-Leitlinien), die europaweit gültig sind, für Deutschland umgesetzt. Die MaSi sind in diesem Falle wortwörtlich identisch zur deutschen Fassung der EBA Leitlinien. Diese wiederum entsprechen den Anforderungen, wie sie in der von der EU Kommission, dem Rat und Parlament abgestimmten EU Zahlungsdienstleisterichtlinie (PSD) von 2007 formuliert wurden. Sie wird noch in diesem Jahr durch die PSD2 ersetzt werden, die vorrausichtlich 2017 in Kraft treten wird.
Nach diesem notwendigerweise formalen Vorspann, werden sich die meisten von Ihnen fragen: was hat das ganze jetzt mit BCM zu tun? Zumindest für die Institute des Finanzdienstleistungssektors allerhand, sofern sie, und wer hat das nicht, direkt oder indirekt als kontoführender Zahlungsdienstleister mit Internetzahlungen zu tun haben.
Kerngehalt der MaSi ist zum einen der Schutz sensibler Zahlungsdaten mit allen Anforderungen an Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität, wie wir sie hinlänglich aus der Informationssicherheit ISO 27001 kennen. Hiermit sind Zahlungsdaten gemeint, die, wie es in den lesenswerten FAQ der BaFin zu den MaSi vom 28.10.2015 heißt, für Betrugszwecke bei Internetzahlungen missbraucht werden können.
„ (i) Daten, die dazu dienen, eine Internetzahlung auszulösen, (ii) Daten, die für die Kundenauthentifizierung verwendet werden, (iii) Daten, die der Bestellung und Übermittlung von Zahlungsinstrumenten für die Durchführung von Internetzahlung oder Kundenauthentifizierung dienen, sowie (iv) Daten, welche – wenn diese verändert werden – die Fähigkeit des jeweils legitimierten Kunden z. B. Internetzahlungen zu verifizieren oder den Online-Account zu kontrollieren…“ (BaFin, Fragen und Antworten zu den MaSi vom 28.10.2015, S. 3 Ziffer 1g)
Zum anderen sind dies die Anforderungen an die Governance der Institute und die Meldepflichten. Dies ist der Punkt, an dem wir uns, na endlich, dem BCMS annähern.
Die Anforderung an die Einrichtung einer expliziten Governancestruktur, mit Risikokontrollfunktionen und Reportingwegen dürften für die meisten Institute kein Novum darstellen, sie sind schon nach KWG und MaRisk gefordert. Die MaSi fordern sie jedoch explizit unter Titel II. Allgemeines Kontroll- und Sicherheitsumfeld, Art. 1.2 ein:
„Die Sicherheitsrichtlinien sollten Rollen und Zuständigkeiten, einschließlich der Risikomanagement-Funktion mit einer direkten Berichtspflicht gegenüber der Vorstandsebene, und die Berichtspflichten für die erbrachten Internetzahlungsdienste festlegen, einschließlich der Verwaltung sensibler Zahlungsdaten in Bezug auf Risikobewertung, -kontrolle und -minderung.“ (http://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2015/rs_1504_ba_MA_Internetzahlungen.html)
Darüber hinaus wird bei der Risikosteuerung und Risikominimierung explizit ein gestaffeltes Sicherheitskonzept im Sinne der 3 Lines of Defense gefordert: „Diese Maßnahmen sollten mehrere Sicherheitsebenen umfassen, so dass das Versagen einer Sicherheitsebene durch die nächste Sicherheitsebene aufgefangen wird („gestaffeltes Sicherheitskonzept“).“
Hierzu noch einmal zwei kurze Anmerkungen. Die MaSi weisen eine Besonderheit gegenüber den anderen Mindestanforderungen der BaFin auf, die dem Umstand geschuldet sind, dass sie wie oben erwähnt, wortwörtlich den dt. Text der EBA Richtlinie übernommen haben. Und dort heißt es „sollen“ und nicht „müssen“ (shall – should – may). Nichts desto trotz hat die BaFin in ihren FAQs sogleich unter Art. 1b klargestellt:
„Im vorliegenden Rundschreiben wird im Wesentlichen der Terminus „sollte“ verwendet. Dieser ist als grundsätzlich umzusetzende Anforderung zu interpretieren. (BaFin, Fragen und Antworten zu den MaSi vom 28.10.2015, S. 1 Ziffer 1b)
Auch das von großen Beratungshäusern herausgestellte 3 Lines of Defense Modell, sollte als solches für alle, die ihr BCMS oder ISMS als Qualitätsmanagementsystem aufgesetzt haben nichts Neues darstellen. Durch die Leitlinie der EBA zur internen Governance seit 2011 gefordert, enthält es doch nichts anderes als die Trennung von zentraler Steuerung, dezentraler Umsetzungsverantwortung und unabhängiger Prüffunktion. Es ist damit nichts anderes, als der allen, auf einen kontinuierlichen Verbesserungsprozess abzielenden, Managementsystemen zugrunde liegende „Plan – Do – Check – Act“ Zyklus oder Deming Kreis.
Dort wo die MaSi zu den schwerwiegenden Zahlungssicherheitsvorfällen kommt, wird es nun auch für BCM wirklich interessant.
In Titel I Ziffer 12 der MaSi wird als schwerer Zahlungssicherheitsvorfall bezeichnet, was wesentliche Auswirkungen auf die Sicherheit, Integrität und Kontinuität der Zahlungssysteme und die Sicherheit sensibler Zahlungsdaten hat. Wobei die wesentliche Auswirkung von der Zahl potenziell betroffener Kunden, des Risikobetrags und den Folgen für andere Zahlungsdienstleister und Zahlungsinfrastrukturen abhängt.
Explizit nennt die BaFin als Beispiele schwerwiegender Zahlungssicherheitsvorfälle:
- „Ausfälle oder Teilausfälle der nachgenannten bankfachlichen Prozesse über einen Zeitraum von mehr als einer Stunde:
- Bargeldversorgung
- Jeglicher Zahlungsverkehr einschließlich Kartenzahlung
- Online-Banking einschließlich Mobile-Banking
- Vorfälle, die zu einer Verletzung der Vertraulichkeit analog § 42a BDSG geführt haben;
- Vorfälle, die zu signifikanten Reputationsschäden führen können und
- Vorfälle, die vom Institut als Notfall gewertet werden und bei denen definierte Notfallmaßnahmen zum Einsatz kommen.“ (http://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2015/rs_1504_ba_MA_Internetzahlungen.html)
Ausfälle der genannten bankfachlichen Prozesse von länger als einer Stunde. Das bedeutet, dass wir uns in der BIA von den alt gewohnten Parametern 4h – 8h – 24h – 48h – 72h lösen müssen. Diese Anforderungen betreffen nicht nur die Availability, sondern auch ganz konkret das Business Continuity. An dieser Anforderung hängen wiederum die ebenfalls in den MaSi benannten Meldepflichten an die BaFin, die Bundesbank und die relevanten Datenschutzbehörden. (Wer hatte letztere schon im Fokus seiner im Notfall abzusetzenden Meldungen an die (Aufsichts)Behörden?)
Und nicht nur das, Bulletpoint 4 erklärt alle Vorfälle, die als Notfall eingestuft sind und bei Feststellung eine vorab definierte Response / Notfallmaßnahme auslösen, zum Kriterium der Annahme eines schwerwiegenden Zahlungssicherheitsvorfalls mit allen daraus abgeleiteten und in den MaSi beschriebenen Konsequenzen.
Hier müssen wir im BCM verstärkt das Visier öffnen und diese neuen Aspekte in die bereits etablierte Notfallplanung einfließen lassen. Wir müssen auch ein Forum schaffen, zum Beispiel hier in den BCM News, in dem man alle neuen regulatorischen Anforderungen einfließen lassen und erörtern und damit der BCM Community zur Kenntnis geben kann.
Dies bezieht sich nicht nur auf die BaFin, die ihr Instrumentarium immer weiter schärft, sondern auch auf andere regulatorische Anforderungen wie zum Beispiel die Principles for Effective Risk Data Aggregation and Risk Reporting des Basel Committee bcbsS 239. Hier wird beispielhaft auch das BCM und die BIA adressiert, Art. 32 unter Principle 2:
„Risk data aggregation capabilities and risk reporting practices should be given direct consideration as part of a bank’s business continuity planning processes and be subject to a business impact analysis.“ (http://www.bis.org/publ/bcbs239.pdf)
Oder aber Artikel 39 unter Principle 3, der dem Workaround das Glöckchen läuten dürfte:
„Supervisors expect banks to document and explain all of their risk data aggregation processes whether automated or manual (judgement based or otherwise). Documentation should include an explanation of the appropriateness of any manual workarounds, a description of their criticality to the accuracy of risk data aggregation and proposed actions to reduce the impact.“ (http://www.bis.org/publ/bcbs239.pdf)
Oder aber Artikel 71 unter Principle 10:
„Supervisors expect that in times of stress/crisis all relevant and critical credit, market and liquidity position/exposure reports are available within a very short period of time to react effectively to evolving risks. Some position/exposure information may be needed immediately (intraday) to allow for timely and effective reactions.” (http://www.bis.org/publ/bcbs239.pdf)
Insgesamt zielen 4 der 13 Principles auf das Reporting unter normalen sowie unter außerordentlichen Stress- und Krisenbedingungen – mit der Betonung auf letzteren und somit auf der Notfallplanung und dem BCMS der Institute. Diese Principles des bcbs 239 beziehen sich bislang zwar nur auf die „Global Systemically Important Banks (G-SIBs)“ – aber alle regulatorische Erfahrung zeigt, dass auch diese Anforderungen schon bald auf einen weiteren Adressatenkreis bezogen sein werden.
0 Responses