Meldung schwerwiegender Zahlungssicherheitsvorfall

Meldung schwerwiegender Zahlungssicherheitsvorfall
Hinweise zum Ausfüllen dieses Formulars finden Sie auf Seite 3!
Für die Rücksendung empfehlen wir Ihnen die Nutzung verschlüsselter und signierter E-Mails!
Erstmeldung/Zwischenmeldung
Um welche Art von Meldung handelt es
sich?
Abschlussmeldung
(nur Seite 1)
(Seite 1 + 2)
Hinweis: Wenn der Vorfall bei der ersten Meldung bereits gelöst wurde, senden Sie direkt eine Abschlussmeldung.
Mehrfachmeldung
Für wen wird gemeldet?
(für MehrmandantenDienstleister)
(z.B. Institutsname, Zahlungsdienstleister,…)
Wie lautet die Bak-Nr.?
Hinweis: Bei Mehrfachmeldungen
bitte durch Kommata trennen
Liste: http://goo.gl/3Vqe6B
Wer meldet?
Name
Telefon
E-Mail
Funktion
nur sofern anderes Unternehmen…
(z.B. MehrmandantenDienstleister)
Unternehmensname
Wer steht für Rückfragen zur Verfügung?
Name
Telefon
(nur sofern abweichend von „Wer meldet?“)
E-Mail
Funktion
Wann wurde der Vorfall bemerkt?
Datum
Uhrzeit
Wann trat der Vorfall erstmalig auf?
Datum
Uhrzeit
(nur sofern bekannt)
Bitte klassifizieren Sie den Sicherheitsvorfall (Mehrfachantworten möglich)
Welche Auswirkungen hat der Vorfall?
Betroffenes Schutzziel
Verfügbarkeit
Integrität
Vertraulichkeit
Authentizität
Art des Vorfalls
Beeinträchtigung/
Störung bankfachlicher Prozesse
Erfolgreiche CyberSpionage/-Sabotage
Verletzung
Vertraulichkeit
analog § 42a BDSG
Notfall (nach eigener
Definition)
Sonstiges
Betroffene
Geschäftsbereiche
Online-Banking (inkl.
Mobile-Banking)
Zahlungsverkehr
(inkl. Kartenzahlung)
Bargeldversorgung
Sonstige
Betroffene Nutzer/Kunden
Privatkunden
Geschäftskunden
Händler
Mitarbeiter
Sonstige
Folgen
Schaden in EUR (Schätzung)
Reputationsschaden
Welche Ursachen/Angriffswege liegen vor?
Gezielter Angriff
DDoS
Schadprogramm
Ausnutzung
Sicherheitslücke
Sonstiges
Störung von Software/
Hardware-Komponenten
Ausfall von
Betriebsmitteln
Fehlerhafte Funktion
von Betriebsmitteln
Überlastsituation
Sonstiges
Rechenzentrumsbetrieb
Komplettausfall
Teilausfall
Sonstiges
Betroffene Systeme
Sonstige interne/externe
Ursachen
Mainframe
Windows-Server
Unix-Server
Kommunikation/
Netzwerk
Geldautomaten
Sonstige
Fahrlässigkeit, intern
Vorsatz, intern
Dienstleister
Stromausfall
Weitere/andere Ereignisse
Middleware
Naturereignis
Bitte beschreiben Sie den Sicherheitsvorfall kurz und stichpunktartig.
Leitfragen
Was wurde festgestellt?
Was ist passiert?
Wer/was ist betroffen?
Welcher Schaden wurde bereits
festgestellt?
Ist eine Kompromittierung weiterer
Systeme möglich/wahrscheinlich?
Welche (Gegen-)Maßnahmen wurden
eingeleitet?
Wann wurde der Regelbetrieb
wiederhergestellt?
Datum
[email protected]
Uhrzeit
Seite 1
Formular-Version: 1.0 (Nov 2015)
Meldung schwerwiegender Zahlungssicherheitsvorfall
-- Seite 2 -- (bitte nur für die Abschlussmeldung ausfüllen)
Bitte beschreiben Sie den Sicherheitsvorfall inkl. einer Lageeinschätzung kurz, stichpunktartig und vollständig.
Wie war die Chronologie
der Ereignisse?
Leitfragen
Wann wurde der Vorfall
entdeckt? Wann wurde das
Management informiert?
Wann erfolgten ad-hoc
Maßnahmen/BCM? Wann
wurden ggf. Dritte
informiert?
Welche Risiken wies der
Vorfall auf?
Welche Auswirkungen hätte
der Vorfall haben können
(Worst-Case Betrachtung)?
Welche Schäden sind
eingetreten?
Leitfragen
Welche materiellen &
immateriellen Schäden sind
entstanden? Wie viele
Kunden waren betroffen
(absolut, prozentual, nach
Kunden in Deutschland und
Europa)?
Was war die Ursache für
den Vorfall?
Wie wurden die
Störungen behoben?
Leitfragen
Welche Maßnahmen wurden
unternommen, um die
Störung zu beheben (auch
ad-hoc Maßnahmen)?
Weitere Maßnahmen
Welche Maßnahmen sind
vorgesehen, um zukünftige
Vorfälle zu vermeiden?
Wurde Ihre interne Revision mit einer Sonderprüfung beauftragt?
[email protected]
Ja
Seite 2
Nein
Formular-Version: 1.0 (Nov 2015)
Hinweise zum Ausfüllen und Versenden des Meldeformulars
Die nachfolgenden Hinweise sollen helfen, das Meldeformular zur Erfassung schwerwiegender Zahlungssicherheitsvorfälle korrekt auszufüllen
und an die BaFin bzw. die Bundesbank zu versenden.
Beispiele für schwerwiegende Zahlungssicherheitsvorfälle (Auszug aus dem Anschreiben zum Rundschreiben 4/2015)

Ausfälle oder Teilausfälle der nachgenannten bankfachlichen Prozesse über einen
Zeitraum von mehr als 1 Stunde:

Bargeldversorgung

Jeglicher Zahlungsverkehr einschließlich Kartenzahlung

Online-Banking einschließlich Mobile-Banking

Vorfälle, die zu einer Verletzung der Vertraulichkeit analog § 42a BDSG geführt haben;

Vorfälle, die zu signifikanten Reputationsschäden führen können und

Vorfälle, die vom Institut als Notfall gewertet werden und bei denen definierte Notfallmaßnahmen zum Einsatz kommen.
Allgemeine Hinweise
1.
Geben Sie die Meldungen unverzüglich, also ohne schuldhaftes Zögern, ab. Das gilt sowohl für die Erstmeldung als auch für die
Abschlussmeldung.
2.
Der Meldeprozess kann aufgeteilt werden in eine Erst-/Zwischenmeldung und eine Abschlussmeldung. Liegen nach Bekanntwerden des
Vorfalls noch nicht alle Informationen vor oder können nicht zeitnah eingeholt werden, so kann der Einfachheit halber zunächst eine
Erstmeldung versendet werden, auch wenn der Regelbetrieb noch nicht wiederhergestellt wurde (Lassen Sie das entsprechende Feld auf
Seite 1 in diesem Falle leer). Die Erstmeldung ermöglicht der Aufsicht eine erste Indikation des Vorfalls.
3.
Teilen Sie der Aufsicht bitte mit, wenn der Regelbetrieb wiederhergestellt wurde, entweder im Sinne einer Zwischenmeldung oder im Rahmen
der Abschlussmeldung. Ergänzen Sie dazu die entsprechende Zeile auf Seite 1 (unten). Auf Hinweis 8. wird diesbezüglich verwiesen.
Die Abschlussmeldung kann zeitlich später erfolgen, wenn alle dafür notwendigen Informationen vorliegen (siehe Hinweis 4.).
4.
Eine Abschlussmeldung mit detaillierten Informationen zur Art des Vorfalls, zu den Ursachen und zur Lösungsfindung erwartet die Aufsicht
von Ihnen erst, wenn der Vorfall abgeschlossen ist.
5.
Wählen Sie beim Öffnen des Formulars zuerst aus, ob Sie eine Erstmeldung oder eine Abschlussmeldung erstellen möchten. (siehe AuswahlButton in der Kopfzeile auf Seite 1.) Sofern bereits alle Informationen vorliegen und der Vorfall abgeschlossen ist, senden Sie der Aufsicht
direkt eine Abschlussmeldung zu. Hierzu wählen Sie dann direkt „Abschlussmeldung“ auf Seite 1 (oben) aus.
6.
Bei einer Erstmeldung reicht es aus, eine erste stichwortartige Indikation des Vorfalls zu geben. Deswegen brauchen Sie auch nur die Fragen
auf Seite 1 zu beantworten. Eine Erstmeldung hat für die Aufsicht immer nur einen vorläufigen Charakter.
7.
Für die Abschlussmeldung soll dasselbe, bereits ausgefüllte und versendete Formular wie bei der Erstmeldung verwendet werden. Allerdings
ist bei der Abschlussmeldung zusätzlich die Seite 2 auszufüllen. Dafür ist der Auswahl-Button „Abschlussmeldung“ auf Seite 1 (oben)
auszuwählen.
8.
Die auf Seite 1 in der Erstmeldung gemachten Angaben können bei Bedarf im Rahmen weiterer Meldungen (Zwischen-/Abschlussmeldung)
geändert werden.
9.
Wenn bestimmte Fragen im Zusammenhang mit dem jeweiligen Vorfall nicht relevant sind, können Sie die zugehörigen Antwortfelder einfach
leer lassen.
10. Beantworten Sie die Fragen bitte knapp, aber trotzdem so umfänglich, dass aus der Antwort eine verlässliche Aussage abgeleitet werden
kann. Bei Bedarf wird die Aufsicht dann weitere Informationen von Ihnen anfordern.
11. Die Meldung ist vom Zahlungsdienstleister abzugeben, der als Absender („Für wen wird gemeldet?“) im Meldeformular eingetragen werden
soll. Die Abgabe der Meldung kann im Auftrag des Zahlungsdienstleister auch durch einen Dritten erfolgen. Bitte beachten Sie hierbei die
Anforderungen aus § 25b KWG in Verbindung mit AT 9 MaRisk (Outsourcing).
12. Sind mehrere Zahlungsdienstleister vom gleichen Zahlungssicherheitsvorfall betroffen, so ist eine Meldung ausreichend. In diesem Fall soll
in der Erst- und/oder Abschlussmeldung das Feld „Mehrfachmeldung“ angeklickt werden. Das Feld zur Eintragung eines Absenders („Für
wen wird gemeldet?“) bleibt leer. In der folgenden Zeile („Wie lautet die Bak-Nr.?“) sollen die Bak-Nummern aller betroffenen
Zahlungsdienstleister, getrennt durch ein Komma und ohne Leerstellen, eingetragen werden.
Technische Hinweise
13. Gesicherte und verschlüsselte Kommunikation: BaFin und Bundesbank bieten Ihnen die Möglichkeit, vertrauliche Informationen per
E-Mail gesichert zu übertragen. Die Nutzung gesicherter E-Mail-Kommunikation wird ausdrücklich empfohlen. Die Aufsicht empfielt
zudem, die sichere Kommunikation vor Abgabe der ersten Meldung einzurichten und zu testen.
14. Informationen zur sicheren E-Mail Kommunikation mit der BaFin finden Sie unter: http://goo.gl/NQjKcw
15. Zur erstmaligen Registrierung bei der BaFin senden Sie eine E-Mail mit dem
Betreff „Sichere Kommunikation“ an Z a h l u n g s s i c h e r h e i t s v o r f a l l - M e l d u n g @ b a f i n . d e
16. Informationen zur sicheren E-Mail Kommunikation mit der Bundesbank finden Sie unter: http://goo.gl/tig58A
17. Bitte speichern Sie das Dokument ab und versenden es anschließend per E-Mail
an die BaFin
[email protected]
und
an die Bundesbank
[email protected]
18. ACHTUNG: Durch Einscannen, Ausdrucken oder PDF-Konverter, die als Drucker arbeiten, wird die Formularfunktion zerstört. Dies hat
zur Folge, dass zurückgesendete Meldeformulare nicht mehr elektronisch verarbeitet werden können.
19. Elektronisches Formular: Zum Ausfüllen wird die Nutzung des Adobe Reader in der aktuellen Version empfohlen.
20. Rückfragen zum Meldeprozess werden unter Z a h l u n g s s i c h e r h e i t s v o r f a l l - M e l d u n g @ b a f i n . d e beantwortet.
Internet-Links (BaFin-Webseite)
Anschreiben zum Rundschreiben 4/2015 - Mindestanforderungen an die Sicherheit von Internetzahlungen https://goo.gl/sm0SCv
Rundschreiben 4/2015 (BA) - Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) https://goo.gl/wkuTI9
[email protected]
Seite 3
Formular-Version: 1.0 (Nov 2015)

Download Report