Frank Adelmann Supervisor Centralised On-site Inspections’ Division (DG/MS4-SSM) Europäische Zentralbank E-mail: [email protected] IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus (Fokus: IT-Prüfungen in systemrelevanten Instituten) Informationsveranstaltung der BaFin Bonn, 7.10.2015 Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus 1 Organisation und Aufsichtsgrundsätze innerhalb des SSM 2 Joint Supervisory Teams 3 Bankgeschäftliche Prüfungen 4 IT-Risikobewertung 5 Thematic Review (Cyberrisiken) IT-Prüfungen in systemrelevanten Instituten 2 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Aufsichtsgrundsätze innerhalb des SSM • Der Einheitlichen Aufsichtsmechanismus (Single Supervisory Mechanism, SSM) umfasst die EZB und die nationalen zuständigen Behörden (National Competent Authorities, NCAs) der teilnehmenden Mitgliedstaaten • Aufbau auf bewährten, bereits eingeführten Aufsichtsverfahren • Zusammenarbeit im Rahmen der jeweiligen Mandate mit – – – – Europäischen Bankenaufsichtsbehörde (EBA) Europäischen Parlament Eurogruppe Europäischen Kommission und dem Europäischen Ausschuss für Systemrisiken (European Systemic Risk Board, ESRB) – sämtlichen Interessenträgern und anderen internationalen Organen und Standardsetzern • Wahrnehmung aller aufsichtlichen Aufgaben erfolgt in vollständiger Unabhängigkeit IT-Prüfungen in systemrelevanten Instituten 3 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Aufsichtsgrundsätze innerhalb des SSM Aufteilung der Zuständigkeiten zwischen der EZB und den NCAs entsprechend der SSM-Verordnung Einteilung in „bedeutende“ und „weniger bedeutende“ Institute um eine wirksame Aufsicht zu gewährleisten EZB = zuständig für die Aufsicht über die bedeutenden Institute NCAs = zuständig für die Aufsicht über die weniger bedeutenden Institute Fokus dieser Präsentation: Bedeutende Institute IT-Prüfungen in systemrelevanten Instituten 4 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Aufsichtsgrundsätze innerhalb des SSM • Die drei Hauptziele des SSM sind: – Gewährleistung der Sicherheit und Solidität des europäischen Bankensystems; – Verbesserung der finanziellen Integration und Stabilität; – Gewährleistung einer konsistenten Aufsicht • Gleichbehandlung vergleichbarer Kreditinstitute mit dem Ziel, Aufsichtsarbitrage zu verhindern • Risikobasierten Aufsichtsansatz (erhöhte Risiken werden enger beaufsichtigt, bis die Risiken auf ein akzeptables Niveau zurückgeführt wurden.) • Mindestmaß an Aufsichtstätigkeit für alle Kreditinstitute und angemessene Beaufsichtigung aller bedeutenden Institute • Demokratische Rechenschaftspflicht auf europäischer wie auch auf nationaler Ebene IT-Prüfungen in systemrelevanten Instituten 5 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Aufsichtsgrundsätze innerhalb des SSM • Anwendung der Aufsichtsgrundsätze und -verfahren in angemessener harmonisierter Form • Aufsichtspraktiken des SSM stehen in einem angemessenen Verhältnis zur systemischen Relevanz und zum Risikoprofil der beaufsichtigten Kreditinstitute (Proportionalität) • Proaktive Aufsicht, um die Wahrscheinlichkeit eines Ausfalls sowie den potenziellen Schaden zu verringern (effektive und zeitnahe Korrekturmaßnahmen) IT-Prüfungen in systemrelevanten Instituten 6 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Rechtsgrundlagen des SSM • SSM Regulation (Council Regulation (EU) No 1024/2013) und SSM Framework Regulation (Regulation (EU) No 468/2014) • Alle relevanten EU-Regulierungen (wie CRR, CRD IV) und daraus abgeleitetes nationales Recht • Von der Europäische Bankenaufsichtsbehörde (EBA) entwickelte von der Europäischen Kommission angenommene Standards • Wenn notwendig noch zu entwicklende eigene Standards der EZB (z. B. zu Zwecken der Harmonisierung) • … IT-Prüfungen in systemrelevanten Instituten 7 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus 1 Organisation und Aufsichtsgrundsätze innerhalb des SSM 2 Joint Supervisory Teams 3 Bankgeschäftliche Prüfungen 4 IT-Risikobewertung 5 Thematic Review (Cyberrisiken) IT-Prüfungen in systemrelevanten Instituten 8 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Joint Supervisory Teams • übernehmen laufende Aufsicht über bedeutende Institute • Mitarbeiter der EZB und der NCAs • Ein JST für jedes bedeutende Institut, geleitet von einem Koordinator aus der EZB • Aufgaben mit einem speziellen Themenschwerpunkt oder bei Aufgaben, die ein besonderes Fachwissen erfordern, kann das JST zusätzliche Unterstützung von den Querschnitts- und Expertenabteilungen der EZB anfordern • JST veranlassen bankgeschäftliche Prüfungen, führen laufende Risikoanalysen der Institute durch, analysieren Sanierungspläne, führen regelmäßige und ad-hoc Besprechungen durch, sind zuständig für das aufsichtliche Meldewesen … IT-Prüfungen in systemrelevanten Instituten 9 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus 1 Organisation und Aufsichtsgrundsätze innerhalb des SSM 2 Joint Supervisory Teams 3 Bankgeschäftliche Prüfungen 4 IT-Risikobewertung 5 Thematic Review (Cyberrisiken) IT-Prüfungen in systemrelevanten Instituten 10 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Bankgeschäftliche Prüfungen im Rahmen des SSM • SSM Prüfungen sind: – Tiefgehende Untersuchungen vom internen Kontrollsystem und dem Management von Banken mit vordefiniertem Umfang und in gegebener Zeitspanne in den Geschäftsräumen des Instituts – Die Prüfungen erfolgen unabhängig vom, aber in enger Abstimmung mit den JSTs – Basis der Prüfungen sind homogenisierte, etablierte Vorgehensweisen der NCAs • SSM Prüfungen erfolgen: – – – – – Risikobasiert Verhältnismäßig Fordernd Zukunftsorientiert Handlungsorientiert IT-Prüfungen in systemrelevanten Instituten 11 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Bankgeschäftliche Prüfungen im Rahmen des SSM • Prüfer haben das Recht – – – – – Die Vorlage von Unterlagen zu verlangen Jegliche Unterlagen der Bank zu prüfen Schriftliche oder mündliche Erläuterungen zu verlangen Zutritt zu den Gebäuden und Zugriff auf die Systeme des Instituts zu verlangen Gespräche mit den Beschäftigten der Bank zu führen • Kreditinstute werden über – – – – den Start der Prüfung, die Zusammensetzung der Prüfungsteams, die vorläufig aufgenommenen Sachverhalte (Pre-closing meeting) und den finalen Prüfungsbericht informiert. IT-Prüfungen in systemrelevanten Instituten 12 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Ablauf einer Prüfung ab ca. 5 Wochen vor dem Kick-off meeting Kick-off meeting Geführt vom Prüfungsleiter PREPARATORY PHASE Die EZB informiert das Institut über die anstehende Prüfung (Notification Letter) Der Prüfungsleiter fordert Vorabunterlagen und Räumlichkeiten an IT-Prüfungen in systemrelevanten Instituten Sachverhaltsabklärung Geführt vom Prüfungsleiter INVESTIGATION PHASE Closing meeting Geführt vom JSTC REPORTING PHASE Das Prüfungsteam führt Prüfungstätigkeiten innerhalb des geprüften Instituts durch Der Prüfungsleiter finalisiert den Bericht und das JST entwirft Empfehlungen Das Prüfungsleiter erstellt eine Liste mit Sachverhalten (pre-draft report) Die EZB führt Qualitätssicherungen aller Berichte durch 13 FOLLOW-UP PHASE Das Institut setzt die Empfehlung unter Aufsicht des JSTCs um www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Zusammensetzung des Prüfungsteams • SE FI LV LT DK NL UK BE LU IT R O B G Die Centralised On-Site Inspection division der EZB • Das Team besteht aus einem Prüfungsleiter und mindestens einem weiteren Teammitglied JST-Mitglieder sollen niemals Prüfungsleiter sein EU Mitgliedstaaten der Eurozone G R MT • • SK AT HU SLHR ES Prüfer(innen) der 19 NCAs der Eurozone Wenn nötig unterstützen externe Fachkräfte (z. B. Wirtschaftsprüfungsgesellschaften) CZ FR PT PL DE • • EE IE Die Prüferkapazitäten des SSM stammen von 20 Aufsehern: EU Mitgliedstaaten mit Sonderstatus CY EU Mitgliedstaaten welche der Eurozone noch nicht beigetreten sind IT-Prüfungen in systemrelevanten Instituten 14 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus 1 Organisation and General Principles of SSM Banking Supervision 2 Joint Supervisory Teams 3 On-site Inspections 4 IT-Risikobewertung 5 Thematic Review (Cyberrisiken) IT-Prüfungen in systemrelevanten Instituten 15 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Allgemeine Schwerpunkte bei der Beurteilung von IT-Risken Die IT-Systeme und das Personal eines Instituts stellen die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Daten entsprechend ihres Schutzbedarfs sicher. Die IT-Systeme sind angemessen um den operativen Anforderungen, den Geschäftsanforderungen und dem Risikoappetit des Instituts gerecht zu werden. Die IT unterstützt das Geschäft, das Risikomanagement und die Entscheidungen der Geschäftsleitung angemessen. Die IT sichert ein angemessenes Niveau von Datenqualität. IT-Prüfungen in systemrelevanten Instituten 16 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Spezielle Prüfungsfelder Ablauforganisation, Dokumentation, Strategien und Systemarchitektur Aufbauorganisation und Auslagerungen Informationsrisikomanagement IT-Sicherheitsmanagement IT-Betrieb Softwareeinkauf, Anwendungsentwicklung und Projektmanagement Datenqualitätsmanagement IT-Notfallmanagement IT-Berichtswesen IT-Revision IT-Prüfungen in systemrelevanten Instituten 17 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Richtlinien und Standards ECB - Recommendations for the security of internet payments, Jan. 2013 EBA - Guidelines on Internal Governance (GL 44), Sep. 2011 EBA - Final Draft, Implementing Technical Standards on benchmarking portfolios, templates, definitions and IT solutions under Article 78 of Directive 2013/36/EU (Capital Requirements Directive – CRD IV), Mar. 2015 CEBS - Guidelines on outsourcing, Dec. 2006 BCBS - High-level principles for business continuity, Aug. 2006 BCBS - Corporate governance principles for banks, Jul. 2015 IT-Prüfungen in systemrelevanten Instituten 18 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Richtlinien und Standards BCBS - Principles for the Sound Management of Operational Risk, rev. Oct. 2014 BCBS - The internal audit function in banks, Jun. 2012 BCBS - Core principle for effective banking supervision, Sep. 2012 BCBS - Principles for effective risk data aggregation and risk reporting, Jan. 2013 SSG - Observations on developments in risk appetite frameworks and IT infrastructure, 2010 … IT-Prüfungen in systemrelevanten Instituten 19 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Richtlinien und Standards Cobit (Control Objectives for Information and Related Technology) ISO 270xx of the International Organisation for Standardisation ISO 31000 of the International Organisation for Standardisation ISO 38500 of the International Organisation for Standardisation ITIL (IT Infrastructure Library) … IT-Prüfungen in systemrelevanten Instituten 20 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus 1 Organisation und Aufsichtsgrundsätze innerhalb des SSM 2 Joint Supervisory Teams 3 On-site Inspections 4 IT-Risikobewertung 5 Thematic Review (Cyberrisiken) IT-Prüfungen in systemrelevanten Instituten 21 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Thematic Review • Ziele: – Individuelle Erhebung des Cyberrisikoprofils der bedeutenden Institute und ihrer Fähigkeit diesen zu begegnen – Horizontaler Ansatz mit der Absicht eines Vergleichs zwischen gleichartigen Banken und der Indentifikation möglicher Maßnahmen zur Riskoreduktion • Anwendungsbereich: – Modul 1 für alle bedeutenden Banken (laufende Aufsicht), – Stichproben bedeutender Institute für Modul 2 (Prüfungen) Modul 1 Modul 2 IT-Prüfungen in systemrelevanten Instituten Vorläufige off-site Prüfung basierend auf dem “Cybercrime Risk Questionnaire” welcher durch die JSTs an alle bedeutenden Institute versendet wurde Cyberrisk-Prüfungen für bestimmte bedeutende Institute, welche auch auf Basis des Ergebnisses des ersten Moduls ausgewählt wurden 22 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Cybercrime • Cybercrime ein krimineller Angriff, bei welchem ein Computernetzwerk verwendet wird • Zunehmende Gefahr für Institute aufgrund der zunehmenden Abhängigkeit von IT-Systemen und der zunehmenden Komplexität von IT-Systemen und Datenkommunikation • Kann zu wesentlichen Schäden führen • Trotz seiner besonderen Relevanz ist das Cyberrisko nur einTeil des IT-Risikos, welcher allerdings alle genannten Prüfungsfelder streift. IT-Prüfungen in systemrelevanten Instituten 23 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Definition von Cybercrime • Was sind wesentliche Bedrohungen? – – – – – Hacktivism Betrug Spionage Datenverlust Blockierung … • Was sind die häufigsten Attacken? – – – – – Cyber-djihad IT-Prüfungen in systemrelevanten Instituten 24 DDoS APT Internet Banking/E-banking fraud 0-Day … www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Management von Cyberrisiken Bewusstsein IT-Sicherheit Wiederherstellung Prävention Bedrohungen Steuerung IT-Prüfungen in systemrelevanten Instituten 25 Identifizierung www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Beispiele für Feststellungen IT-Sicherheitsmanagement • Keine ausreichenden Penetrationstests für IT-Systeme • Fehlende Überwachung von Sicherheitsvorfällen verhindert frühzeitiges Ergreifen von Notfallmaßnahmen • Nicht gewartete, alte Versionen von bedeutenden Systemen mit großen Sicherheitslücken im Einsatz • Benutzung von externen Cloud Services für sensible Daten ohne ausreichende Risikoanalyse und Festlegung von hinreichenden Sicherheitsmaßnahmen für Informationen in der Cloud • … IT-Prüfungen in systemrelevanten Instituten 26 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Beispiele für Feststellungen Aufbauorganisation und Auslagerungen • Funktionstrennungskonflikte • Keine Steuerung von Auslagerungsrisiken • Keine Überwachung von wesentlichen Auslagerungen • Kein unabhängiger CISO • … IT-Prüfungen in systemrelevanten Instituten 27 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Beispiele für Feststellungen Informationsriskomanagement • Schutzbedarfsanalysen wurden nicht regelmäßig und nicht für alle Anwendungen der Bank durchgeführt • Die Ergebnisse der Schutzbedarfsanalyse spiegeln sich nicht in den von der Bank umgesetzten IT-Sicherheitsmaßnahmen wider • Bekannte Schwachstellen von IT-Systemen werden im Informationsrisikomanagement bei der Bestimmung von Restrisiken nicht berücksichtigt • … IT-Prüfungen in systemrelevanten Instituten 28 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Beispiele für Feststellungen Ablauforganisation, Dokumentation, Strategien und Systemarchitektur • Richtlinien und Standards wurden nicht aktualisiert • Wesentliche Kontrollhandlungen nicht dokumentiert • Kein Strategieprozess • Die IT-Strategie enthält keine hinreichend konkreten Maßnahmen • Keine Benutzerberechtigungskonzepte bzw. die Benutzerberechtigungskonzepte spiegeln nicht die im System vergebenen Zugriffsrechte wider • … IT-Prüfungen in systemrelevanten Instituten 29 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Beispiele für Feststellungen IT-Notfallmanagement • Fehlende Business Impact Analyse • Einzelne für die Bank relevante Notfallszenarien wurden nicht ausreichend betrachtet • Fehlende Notfallkonzepte für einzelne Fachbereiche • Notfalltests wurden gar nicht oder nur teilweise durchgeführt • … IT-Prüfungen in systemrelevanten Instituten 30 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Beispiele für Feststellungen IT-Betrieb • Keine Protokollierung und Überwachung von administrativen Tätigkeiten • Keine Rezertifizierung von privilegierten Benutzerrechten • Keine ausreichende Kontrolle des Zugriffs auf Infrastrukturkomponenten • Der Einsatz von individueller Datenverarbeitung wird nicht ausreichend gesteuert und überwacht • Keine ausreichende Trennung zwischen Test- und Produktionsumgebungen • … IT-Prüfungen in systemrelevanten Instituten 31 www.bankingsupervision.europa.eu © Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus [Please select] [Please select] BCBS 239 Principles Principle 8 - Comprehensiveness Principle 7 - Accuracy Principle 4 - Completeness Principle 3 - Accuracy and integrity Principle 2 - Data architecture and IT infrastructure Principle 1 - Governance IT-Prüfungen in systemrelevanten Instituten 32 www.bankingsupervision.europa.eu © Fragen? Vielen Dank!
© Copyright 2024 ExpyDoc
