Bankensektor – Relevanz des IT-Sicherheitsgesetzes

"Am 24. Juli ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSiG) in Kraft getreten. Das ITSiG ist ein so genanntes Artikelgesetz; es ändert mehrere Gesetze. Relevant für Banken sind in erster Linie die erheblichen Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Ted Kroke, Partner bei Jones Day, erläutert die Auswirkungen in der Praxis."

„

Das ITSiG verpflichtet Betreiber so genannter Kritischer Infrastrukturen, organisatorische und technische IT-Sicherheitsstandards zu implementieren. Daneben führt das ITSiG Meldepflichten für die Betreiber gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ein. Verstöße können mit Bußgeldern von bis zu 100 000 Euro geahndet werden.

Inwieweit der Bankensektor betroffen ist, hängt davon ab, was als Kritische Infrastruktur anzusehen ist. Dass der Bankensektor betroffen ist, steht bereits auf Grund der gesetzlichen Definition des Begriffs „Kritische Infrastruktur““ fest. In der Definition wird der Bankensektor ausdrücklich in Bezug genommen. Die Konkretisierung des Begriffs wird aber erst in einer noch zu erlassenden Rechtsverordnung erfolgen. In der Rechtsverordnung sollen einzelne Dienstleistungen als kritisch spezifiziert werden. Für den Bankensektor werden in der Gesetzesbegründung zum ITSiG beispielhaft der Zahlungsverkehr, die Bargeldversorgung, die Kreditvergabe, der Geld- und Devisenhandel sowie der Wertpapier- und Derivathandel genannt. Zusätzlich soll in der zu erlassenden Rechtsverordnung für jede derartige Dienstleistung ein branchenspezifischer Schwellenwert festgelegt werden; d. h., die erforderliche Anzahl der vom Ausfall oder der Beeinträchtigung der Dienstleistung betroffenen Personen. Anhand dieser Dienstleistungen und Schwellenwerte kann dann jede Bank ermitteln, inwieweit sie Kritische Infrastrukturen betreibt und von den Änderungen des BSIG betroffen ist. Die Arbeiten an der Rechtsverordnung, inklusive der Anhörung der betroffenen Betreiber und Wirtschaftsverbände sind in vollem Gange.

Keine klaren Mindeststandards

Soweit eine Bank danach als Betreiber so genannter Kritischer Infrastrukturen anzusehen ist, hat sie innerhalb von zwei Jahren nach Erlass der Rechtsverordnung die Verpflichtung, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Nach der Gesetzesbegründung impliziert „soll“ eine Verpflichtung, von der die Betreiber nur in begründeten Ausnahmefällen abweichen dürfen. Bspw. können sicherheitsverbessernde Neuerungen vor der Implementierung unverändert auf ihre Systemverträglichkeit getestet werden. Das BSI wird für die Privatwirtschaft keine zur Einhaltung dieser Verpflichtung anwendbaren Mindeststandards definieren. Allerdings können Branchenverbände branchenspezifische Sicherheitsstandards vorschlagen, deren Eignung vom BSI auf Antrag festgestellt wird. Auch derartige Sicherheitsstandards sind fortlaufend an den Stand der Technik anzupassen.

Für Banken wird die praktische Relevanz der Verpflichtung zur Implementierung von IT-Sicherheitsstandards nach dem BSIG gering sein. Die bestehende IT-Regulierung nach §§ 25 a und b KWG und MaRisk enthält bereits vergleichbare Verpflichtungen. Neu sind aber die Verpflichtungen zum Nachweis der Implementierung der erforderlichen IT-Sicherheitsstandards gegenüber dem BSI und zur unverzüglichen Meldung erheblicher Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme an das BSI.

Der Nachweis der Implementierung ist mindestens alle zwei Jahre gegenüber dem BSI zu erbringen und zwar durch die Übermittlung einer Aufstellung der durchgeführten Audits, Prüfungen bzw. Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Insoweit kann das BSI noch Anforderungen an die Art und Weise der Durchführung der Audits, Prüfungen bzw. Zertifizierungen, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle festlegen. Das BSI kann auch Anordnungen zur Beseitigung von Sicherheitsmängeln treffen, muss dabei aber die ansonsten für den Betreiber zuständigen Aufsichtsbehörden einbeziehen.

Die Pflicht zur unverzüglichen Meldung erheblicher Störungen betrifft alle Störungen, die zu einer Beeinträchtigung der Funktionsfähigkeit der erbrachten kritischen Dienstleistung führen können bzw. geführt haben. Übliche Vorkommnisse, die automatisiert durch die implementierten IT-Sicherheitsvorkehrungen abgewehrt werden, sind nicht meldepflichtig. Meldungen können pseudonymisiert erfolgen, solange die Störung nicht zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. Ansonsten muss die Meldung unter Nennung des Betreibers erfolgen. Die Meldungen ermöglichen es dem BSI, frühzeitig möglicherweise ebenfalls betroffene Betreiber Kritischer Infrastrukturen zu warnen. Den Verpflichtungen steht also insbesondere der Vorteil gegenüber, dass die Betreiber nun zwangsweise ihr Know-how über IT-Sicherheitsvorfälle teilen. Es bleibt abzuwarten, ob hierdurch die gewünschte Verbesserung der IT Sicherheit erreicht wird.

„