conejota - Fotolia
BaFin/EU-DSGVO/KRITIS: Meldepflichten bei IT-Sicherheitsvorfällen
Gehen Bank- oder Kreditkartendaten verloren, treten Meldepflichten gegenüber Aufsichtsbehörden ein. Und das gilt keineswegs nur für Finanzinstitute.
Trends wie Mobile Banking und der digitale Wandel setzen Finanzinstitute zunehmend unter Druck, ihre IT-Infrastruktur vor wachsenden Cybergefahren zu schützen, so eine Studie von Kaspersky Lab und B2B International: So haben 70 Prozent der international befragten Banken Finanzbetrügereien mit Geldverlust ihrer Kunden zu beklagen. Gleichzeitig wird berichtet, dass Banken dreimal mehr in IT-Sicherheit investieren als andere Bereiche.
Für diese Investitionen gibt es gute Gründe, wie weitere Studien zeigen: Finanzinstitute verlieren im Schnitt fast eine Million US-Dollar pro Cybersicherheitsvorfall. Knapp die Hälfte der befragten Banken beklagt DDoS-Angriffe (Distributed Denial of Service) auf ihr Online-Banking-System.
Trotzdem vertrauen viele Finanzinstitute in ihre Cybersicherheit: Etwa 78 Prozent der befragten Sicherheitsentscheider großer Finanzinstitute vertrauen auf ihre Cyber-Security-Strategien, so eine Umfrage von Accenture. 76 Prozent bezeichnen Cyber Security als integralen Bestandteil der Unternehmenskultur. Zugleich erleiden jedoch auch deutsche Banken jährlich im Durchschnitt 85 gezielte Cyberangriffe. Ein Drittel dieser Attacken ist erfolgreich, das entspricht zwei bis drei Vorfällen pro Monat.
Meldepflichten bei Vorfällen mit Bankdaten
Kommt es zu einem IT-Sicherheitsvorfall (Security Breach), müssen die Meldepflichten gegenüber der Aufsicht beachtet werden. Wie die zuvor erwähnte Accenture-Studie (PDF) zeigt, haben nur 44 Prozent geeignete Eskalationspläne für den Fall eines Cyberangriffs. Dabei sind gerade Banken zahlreichen Compliance-Vorgaben und Gesetzen unterworfen, die ihnen Meldepflichten bei Cyberattacken auferlegen:
- Ab Sommer 2017 müssen Banken, die direkt von der EZB beaufsichtigt werden, „alle wichtigen Cybersicherheitsvorfälle melden“, so ein Hinweis von Palo Alto Networks auf eine Rede von Sabine Lautenschläger, Mitglied des EZB-Vorstands. Die EZB werde zudem weiterhin regelmäßige „thematische Überprüfungen“ zu Cybersicherheit und Outsourcing-Beziehungen durchführen (EBA Guidelines on Incident Reporting).
- Sind Institute von Cyberangriffen betroffen, so erwartet die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), darüber informiert zu werden. Aussagekräftige Berichte, etwa der IT-Forensiker und des IT-Sicherheitsbeauftragten des Instituts, sind nach einem Vorfall zudem wertvolle Informationsquellen für alle involvierten Stellen, auch für die Aufsicht, so die BaFin.
- Die geänderte BSI-Kritisverordnung ist in Kraft getreten. Diese bestimmt Kriterien, anhand derer Betreiber Kritischer Infrastrukturen aus den Sektoren „Finanz- und Versicherungswesen“, „Gesundheit“ sowie „Transport und Verkehr“ prüfen können, ob sie unter die Regelungen des IT-Sicherheitsgesetzes fallen. Zu den Regelungen gehört auch die Meldepflicht bei IT-Störungen an das BSI (Bundesamt für Sicherheit in der Informationstechnik).
- Während das PSD2-Umsetzungsgesetz Meldepflichten für alle Zahlungsdienstleister vorsieht, betreffen die KRITIS-Meldepflichten nur die KRITIS-Betreiber innerhalb des Bankensektors. Wer dazu gehört, ist in der BSI-Kritisverordnung geregelt. Dazu BaFin-Präsident Felix Hufeld: „Was wir künftig vor allem bei den „kritischen Infrastrukturen“ haben werden, ist eine duale Aufsicht. In manchen Bereichen, etwa bei einigen Meldepflichten, werden wir auch eine doppelte Aufsicht haben.“ Gemeint ist hier die Aufsicht durch BaFin und durch BSI.
Ein Thema für den Datenschutz und für jedes Unternehmen
Zusätzlich muss daran gedacht werden, dass bei IT-Sicherheitsvorfällen im Finanzbereich auch personenbezogene Daten betroffen sein können, in den meisten Fällen ist dies auch so (Data Breach). Deshalb sind auch die Meldepflichten an die Aufsichtsbehörden für den Datenschutz ein zentrales Thema, wenn es um den Verlust oder Missbrauch von Finanzdaten geht.
So nennt das Bundesdatenschutzgesetz (BDSG) explizit personenbezogene Daten zu Bank- oder Kreditkartenkonten bei der Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten. Verschiedene Aufsichtsbehörden haben auch Meldeformulare entwickelt, mit denen die „unrechtmäßige Kenntniserlangung“ von personenbezogenen Daten zu Bank- oder Kreditkartenkonten an die Aufsicht gemeldet werden kann, so in Bayern.
Die Datenschutz-Grundverordnung (DSGVO/GDPR) sieht nur dann keine Meldepflichten an die Aufsicht für den Datenschutz (Artikel 33) vor, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Betrachtet man die Erwägungsgründe zur DSGVO, findet man dort: „Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann.“
Mit dem Verlust oder Missbrauch von Bankdaten oder Kreditkartendaten ist offensichtlich das Risiko für einen finanziellen Verlust verbunden, weitere Risiken können ebenso nicht ausgeschlossen werden. Deshalb ist es für alle Unternehmen wichtig, die Meldepflichten umzusetzen und zu beachten, wenn es um IT-Sicherheitsvorfälle in Verbindung mit Bankdaten geht, und nicht nur für Finanzinstitute. Diese jedoch unterliegen zusätzlichen Vorgaben für Meldepflichten.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!