IRM ist mehr als ein Teilbereich des operationellen Risikos

-
14. August 2018
-
Von Johannes Busse

Einer der zentralen Unternehmenswerte von Banken ist das Vertrauen ihrer Kunden in die Sicherheit ihres Geldes und ihrer persönlichen Daten. Wer schon einmal einen größeren (Unternehmens-) Kredit beantragt hat, weiß, in welchem Umfang Banken über vertrauliche Daten ihrer Kunden verfügen. Entsprechend hoch sind die Begehrlichkeiten bei Angreifern und das Erpressungspotenzial, dem Finanzinstitute im Zweifelsfall ausgesetzt sind. Rechtliche Sanktionen kommen im schlimmsten Fall noch hinzu. Daher sollte die Informationssicherheit in Banken bei den Instituten sehr umfassend behandelt werden. Es wäre verfehlt, sich auf die Position zurückzuziehen, dass die umfangreiche Erhebung und Steuerung der übergeordneten operationellen Risiken bereits ausreichend wäre.

Die Regulierung des Informationssicherheits-Risikomanagements

Die Informationssicherheit in Banken ist mittlerweile zum zentralen Regulierungsthema geworden. Erst kürzlich bezeichnete der Vorsitzende des Baseler Komitees zur Bankenregulierung Stefan Ingves die Cyber-Risiken von Banken sogar als besonders bedrohlich und als das kommende Interventionsfeld der Aufsicht [vgl. Ingves 2018 S.4]. In den zentralen regulatorischen Dokumenten aus London und Frankfurt, der EBA-Leitlinien für die IKT-Risikobewertung im Rahmen des SREP, sowie die Bankaufsichtlichen Anforderungen an die IT (BAIT) der BaFin wird das eigentliche Risikomanagement allerdings nur schwach beleuchtet [vgl. BaFin 2017]. 

In den EBA-Guidelines für die Aufsichtsorgane werden von der europäischen Aufsicht über gängige Governance-Anforderungen hinaus im Wesentlichen allgemeine Anforderungen an das Risikomanagement von IKT-Risiken formuliert. In Titel 3 wird gefordert, dass „die zuständigen Behörden […] bewerten [sollten], ob das Institut seine IKT-Risiken ordnungsgemäß ermittelt, bewertet und gemindert hat.“ [EBA 2017 Tz. 35]. Mit dem IKT-Risikomanagement an sich befasst sich aber lediglich eine weitere Textziffer [vgl. EBA 2017 Tz. 49]. Diese Sparsamkeit bei der Behandlung des Themas Risikosteuerung nimmt sich neben der ausführlichen und detaillierten Auflistung erforderlicher Maßnahmen zur Begegnung der gängigen Gefährdungen in den Textziffern 52 bis 60 wie ein starkes Ungleichgewicht aus. Dieser Eindruck verstärkt sich durch den Umstand, dass eine finale Einwertung der IKT-Risiken nach Ansicht der EBA über das operationelle Risiko (opRisk) erfolgen soll [vgl. EBA 2017, Abschnitt 3.1, Abschnitt 3.3.1]. 

Die einschlägige Verlautbarung aus Bonn – die BAIT – orientiert sich notwendigerweise an den Vorgaben der EBA. Zwar ist in Absatz 13 die Risikoanalyse ausführlicher als von der EBA beschrieben, nicht jedoch die Risikosteuerung an sich. Erstere erfolgt nach Dafürhalten der BaFin im Wesentlichen über eine Gap-Analyse (Soll-Ist-Abgleich) zwischen Anspruch (IT-Governance-Rahmenwerk, IT-Strategie) und Wirklichkeit, letztere soll nach bewährtem Muster via das OpRisk erfolgen [vgl. BaFin 2017]. 

(...)

[Den vollständigen Artikel lesen Sie in der Fachzeitschrift RISIKO MANAGER 07/2018. Die Ausgabe ist seit dem 2. August 2018 lieferbar und kann auch einzeln bezogen werden.]

Autor:
Johannes Busse, Managing Expert, SKS Unternehmensberatung GmbH & Co. KG.

Artikelbild: ©IllustratedFritz – iStockphoto.com