Cyber-Risiken – (k)ein Problem für Finanzdienstleister

18.03.2019 Krise & Wandel von Carsten Böhme und Hubert Becker 

Die Risiken durch Datenschutzverletzungen und Cyber-Attacken haben es in den vergangenen Monaten auf die Tagesordnung so ziemlich aller Führungsetagen deutscher Unternehmen geschafft. Nicht zuletzt dank der allseits beliebten DSGVO, aber auch dank erfolgreicher Schadsoftware à la WannaCry. Kredit- und Finanzdienstleistungsunternehmen sind besonders alarmiert. Denn welcher Hacker hätte nicht gerne Zugriff auf tausende Kundendepots? Oder den Orderflow von multimilliardenschweren Investoren? Kein Wunder also, dass in der letzten Herbstumfrage des deutschen Fondsverbandes BVI gut 40 Prozent der Fondsgesellschaften angaben, IT-Investitionen für den Cyber-Schutz tätigen zu wollen. Ein richtiger Schritt, wenn man bedenkt, welche Konsequenzen eine erfolgreiche Attacke für das betroffene Unternehmen hätte.

Also alles kein Problem? Nun, wohl nicht ganz. Denn in Gesprächen mit Vertretern aus den Führungsetagen wird gerne und zu allererst in dem Zusammenhang auf die guten Regulierungsvorgaben von BaFin und Bundesbank verwiesen. Die „Bankaufsichtliche Anforderungen an die IT“, kurz BAIT genannt, gäbe den Unternehmen ja quasi die Checkliste für eine sicherere IT-Infrastruktur an die Hand! Und diese muss seit 2018 schließlich jährlich dem Wirtschaftsprüfer nachgewiesen werden! Ähnliches gilt für die Versicherer mit der „VAIT“. Was will man für ein ruhiges Gewissen eigentlich mehr? Und es stimmt schon: Nicht alle Branchen bekommen eine solch konkrete regulatorische Vorgabe zum Schutz der IT-Systeme vorgegeben.

Aber sind damit alle Probleme gelöst? Unsere Krisenexperten beschäftigen sich seit Jahren mit den Risiken, aber auch dem akuten Handling von Cyber-Attacken. Und zwar in den unterschiedlichsten Branchen. Unsere Erfahrungen – auf die auch renommierte Versicherungsgesellschaften im Schadenfall zurückgreifen – zeigen ein etwas komplexeres Bild. Denn in Cyber-Fragen wird die Unternehmensreputation nicht allein in den IT-Abteilungen verteidigt. Es bedarf eines integrierten, systematischen Zusammenspiels verschiedener Fachbereiche: Geschäftsführung, Rechtsabteilung, Kommunikation und Kundenservice müssen eng eingebunden werden. All das gehört geplant, simuliert und regelmäßig geübt.

Sind die deutschen Finanzdienstleister also wirklich schon gegen Cyber-Risiken gewappnet? Wir werden uns den Status quo in den kommenden Wochen einmal genauer ansehen.

# Datenschutz # DSGVO # Cyber-Risiko

Zurück