Emergency: paging Dr. BAIT – Neues zur Notfallplanung

PayTechLaw erläutert die Notwendigkeit einer durchdachten Notfallplanung als Teil des „Business Continuity Managements“ (BCM).

 

(Notfallplanung: Wenn die Menschen im Notfall im Takt mitschwingen)

Notfälle sind Realität.

Bei einem Ausfall der eigenen oder ausgelagerten IT-Systeme einer Bank oder eines Zahlungsinstituts, oder der daran angeschlossenen Daten- und Kommunikationsnetze, kann schnell die Existenz des Instituts oder auch des Auslagerungsdienstleisters auf dem Spiel stehen. Kann z.B. ein Zahlungskartenprozessor an einem verkaufsstarken Samstag einige Stunden lang keine Zahlungstransaktionen verarbeiten, entgehen diesem nicht nur Entgelte, sondern die Schadensersatzansprüche der Händler können schnell existenzgefährdende Beträge erreichen. Ist das Rechenzentrum eines Auslagerungsdienstleisters nicht verfügbar, sieht sich dieser schnell Schadensersatzforderungen seiner Kunden gegenüber, die zudem versuchen werden, Regress für die Ansprüche ihrer eigenen Kunden zu nehmen

Dies ist keine alarmistische Schwarzmalerei. Das Risiko von lang andauernden Ausfällen ist real existent. Ein Beispiel ist der Exchange-Hoster Domain Factory und dessen Schwestergesellschaft Host Europe, bei denen aufgrund eines Stromausfalls Webseiten und Mailserver tagelang nicht oder nur sehr eingeschränkt verfügbar waren. Wenige Tage später war über einen Ausfall des Cloud-Dienstes Microsoft Azure sowie der Cloud-basierten Komponenten von Office 365 zu lesen. Schon einige Monate her, in seinen Auswirkungen für deutsche Internetnutzer aber kaum zu unterschätzen, war ein Stromausfall beim deutschen Internetknoten DE-CIX. Ursache war eine Fehlerkette, bei dem letztlich eine leere Gasflasche zum Ausfall der Notstromdiesel führte. Bleibt zu hoffen, dass sich unter den betroffenen Kunden keine Banken oder Zahlungsinstitute befanden.

Handlungsbedarf

All diese Ereignisse macht deutlich, wie wichtig ein sogenanntes „Business Continuity Management“ (BCM) und als wesentlicher Teil davon eine durchdachte Notfallplanung ist, und wie sehr es dabei auch auf Details ankommt. Vorsorge gegen Ausfälle von IT-Systemen ist daher ökonomisch vernünftig, für Institute wie auch deren Dienstleister.

Zwar kann man den Risiken eines Ausfalls vertraglich ein Stück weit begegnen, etwa über für das eigene Unternehmen günstige Service-Level-Vereinbarungen, Vertragsstrafen, oder Haftungsregelungen. Auch Versicherungen sind eine Möglichkeit. Aber letztlich kurieren diese Maßnahmen, wenn die denn greifen, am Symptom.

Daher ist es erfolgsversprechender, gerade in dem heiß umkämpften Markt für Zahlungsdienstleistungen, es gar nicht erst zum Ausfall kommen zu lassen, d.h. die eigenen Leistungen ausfallsicher(er) zu gestalten und die eigenen Dienstleister entsprechend in die Pflicht zu nehmen. Technisch gehört dazu neben dem Vorhalten von Ersatzsystemen und ggfs. Ersatz-Dienstleistern (sog. Redundanz) das „Härten“ von Systemen gegen Ausfälle von Teilen der IT-Infrastruktur (sog. Resilienz), etwa indem Betriebssystem oder Applikationen nur aus möglichst wenigen Modulen bestehen. Denn: was nicht vorhanden ist, kann nicht ausfallen. Organisatorisch ist eine der wichtigsten Maßnahmen, neben einer regelmäßigen Wartung/Pflege und einem Patchmanagement, die Schaffung eines eingeübten, schnell umsetzbaren Notfallplans, der bei einem Ausfall für geordnete Notfallmaßnahmen, ein planvolles Wiederanlaufen und bestenfalls für eine Kontinuität der Leistungen sorgt.

Notfallplanung – ein Klassiker der aufsichtlichen Anforderungen an IT-Systeme…

Für Banken und Zahlungsinstitute spielt das Vertrauen der Kunden in die jederzeitige Verfügbarkeit ihrer Systeme und damit auch der Kundengelder eine wesentliche, geradezu existenzielle Rolle. Folgerichtig gibt es seit langem rechtliche und aufsichtliche Vorgaben für eine IT-Notfallplanung, die bei Nichtbeachtung dazu führen können, dass sich im Schadensfall Haftungstatbestände realisieren oder Bußgelder und andere Sanktionsmaßnahmen von Aufsichtsbehörden drohen.

Für Institute besonders wichtig sind die aufsichtlichen Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die Notfallplanung wird, wenngleich auch nur kurz, bereits im sogenannten „Outsourcing Rundschreiben“ (BaKred RS 11/2001 vom 6.12.2001 (im verlinkten Dokument Anhang 2 auf S. 83) erwähnt. Das Rundschreiben enthielt die Anforderung, dass das auslagernde Institut eine ordnungsgemäße Fortführung der Geschäfte im Notfall jederzeit gewährleisten müsse (Tz. 40).

Mit den „Mindestanforderungen an das Risikomanagement“ (MaRisk), zuletzt aktualisiert als RS 09/2017 vom 27.10.2017, wurde in AT 7.3 eine eigene, wenngleich kurze, Passage zur Notfallplanung aufgenommen. Dieser war, wenig überraschend, zu entnehmen, dass ein Notfallkonzept vorzuhalten sei, welches über Geschäftsfortführungs- und Wiederanlaufpläne verfügen müsse, wichtige Dienstleister einzubinden habe, und welches regelmäßig inhaltlich auf Angemessenheit und praktisch im Rahmen von Notfalltests zu überprüfen sei.

…der seltsam unspezifisch geblieben ist.

Was genau die BaFin aber unter einer angemessenen Notfallplanung versteht, blieb lange im Ungefähren. Für die Praxis ist die in AT 7.3 enthaltene Aufzählung von Selbstverständlichkeiten des BCM wenig ergiebig.

Auch die gesetzlichen Vorgaben belassen es im Wesentlichen bei der bloßen Erwähnung der Notwendigkeit einer Notfallplanung (vgl. z.B. § 25a Abs. 1 Satz 3 Nr. 5 KWG, § 27 Abs. 1 Satz 2 Nr. 3 ZAG). Natürlich ließen und lassen sich allgemeine Grundsätze aus Generalklauseln wie § 91 Abs. 2 AktG und § 93 AktG ableiten – die Verbindung der Pflicht zur Einrichtung eines Risikoerkennungssystems, verbunden mit der Sorgfaltspflicht des Vorstands, begründen letztlich auch die Pflicht zur Einrichtung eines Notfallplans. Ebenso lassen sich z.B. der EU-Datenschutzgrundverordnung (DSGVO), den handelsrechtlichen (§ 257 HGB) und steuerrechtlichen (§ 146 AO) Vorschriften zur Aufbewahrung von Unterlagen und den ergänzenden „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) Vorgaben für die Notfallplanung entnehmen. Der Schutz von personenbezogenen Daten (DSGVO) und von Informationen und Unterlagen, die für die Buchführung bzw. Besteuerung erforderlich sind (AO, HGB), erfordert nun mal Maßnahmen zur Gewährleistung von Sicherheit, Integrität und Verfügbarkeit und damit auch den Schutz vor (unbeabsichtigtem) Untergang bei Notfällen.

Aber so richtig und wichtig diese Vorgaben sind, bislang blieb es den Instituten überlassen, aus einer Vielzahl von am Markt verfügbaren Standards die für eigene Risikosituation geeigneten Vorkehrungen zur Umsetzung des AT 7.3 herauszupicken.

Ist die „Financial Cloud“ der Königsweg?

Notfallvorsorge, richtig gemacht, ist aufwendig und teuer. Redundanz kostet wegen der mindestens doppelten Auslegung aller Systeme und Leitungen Geld. Ebenso sind „resiliente“ Systeme, die über Maßnahmen zur Fehlererkennung und Fehlereindämmung verfügen, aufwendig und daher teuer. Ähnlich wie bei der IT-Sicherheit können die großen Anbieter teure Anschaffungen und die Kosten für professionelles Personal und entsprechende Prozesse auf viel mehr Kunden umlegen. Der einzelne Kunde soll dadurch in den Genuss einer Ausfallsicherheit kommen, die er sich mit eigenen Mitteln nur schwer, oder jedenfalls zu kaum wirtschaftlichen Bedingungen, leisten könnte.

Das mag mit ein Grund dafür sein, weshalb viele Institute stark daran interessiert sind, Cloud-Dienste zu nutzen. „Cloud ist IN“, und zumindest auf den ersten Blick preisgünstig. Mit großer Wahrscheinlichkeit setzen daher vor allem FinTech-Startups schon heute umfangreich Dienste von Microsoft, Amazon oder anderen Anbietern für ihre Produkte ein. Wie die anfangs genannten Beispiele zeigen, können aber auch Cloud-basierte Angebote ausfallen.

Wohl auch deshalb sind die eher restriktiven Vorgaben der BaFin in der im November 2018 erschienenen „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ auf reges Interesse bei Instituten, aber auch bei Cloud-Anbietern gestoßen. Freilich enthält auch diese Orientierungshilfe nur sehr mittelbare Vorgaben für eine Notfallplanung, etwa wenn dort Anforderungen über die Verfügbarkeit oder die IT-Sicherheit aufgestellt werden.

KRITIS zwingt zur Klarheit

Natürlich betrifft das Thema IT-Notfallplanung nicht nur Institute. Stromversorger, Telekommunikationsunternehmen, Feuerwehr, Krankenhäuser, aber auch Strukturen der öffentlichen Verwaltung, dürfen nicht oder jedenfalls nicht für längere Zeit ausfallen, nur weil ihre IT-Systeme ausfallen oder „gehackt“ werden. Solche Unternehmen oder Organisationen, die unter das IT-Sicherheitsgesetz und die KRITIS-Verordnung (KRITIS = „Schutz Kritischer Infrastrukturen“) fallen, müssen sich intensiv mit IT-Sicherheit befassen und ein IT-Sicherheitsmanagementsystem (ISMS) einführen. Hierzu gehört auch die Pflicht, Maßnahmen zu treffen, die für die Aufrechterhaltung der „kritischen Infrastruktur“ im Krisenfall sorgen.

Mit der zum 23.07.2017 verabschiedeten Novellierung des Gesetzes sowie der Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen (KRITIS-Verordnung) sind auch Banken und Finanzdienstleister in den Anwendungsbereich mit einbezogen.

Das BSI-Gesetz verpflichtet die Betreiber solcher kritischen Infrastrukturen – und damit auch Institute – dazu, mindestens alle zwei (2) Jahre nachzuweisen, dass sie die in § 8a Absatz 3 BSI-Gesetz (BSI-G) geforderten, angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse getroffen haben. Der Nachweis kann u.a. durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

Wohlgemerkt wird die Aufsicht im KRITS-Bereich durch das BSI ausgeübt, nicht durch die BaFin. Wohl auch deshalb hat sich die BaFin eine gewisse Zurückhaltung auferlegt. Schon bisher gab es bei ihrer IT-aufsichtlichen Tätigkeit ja gewisse Überschneidungen zu den Datenschutzaufsichtsbehörden.

BAIT mit (etwas) konkreteren Vorgaben zur Notfallplanung

Etwa ein Jahr nach Inkrafttreten der KRITIS-Verordnung, und auch ein wenig im Schatten der vielbeachteten Orientierungshilfe zu Auslagerungen an Cloud-Anbieter, hat die BaFin im September 2018 die als RS 10/2017 (BA) im November 2017 veröffentlichten „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) um Ausführungen zur Notfallplanung ergänzt.

Die BAIT sollen die Anforderungen der MaRisk konkretisieren, nicht ersetzen. Das neue sogenannte „KRITIS-Modul“ der BAIT dient der Konkretisierung der Anforderungen an die Notfallplanung, die in den Abschnitten AT 7.3 und AT 9 der MaRisk aufgeführt sind. Es beschreibt für den einschlägigen KRITIS-Adressatenkreis, welche Maßnahmen diese aus Sicht der BaFin ergreifen müssen, um den Nachweis gemäß § 8a Abs. 1 BSI-G zu erbringen. Damit wird ein bisher ungelöstes Problem adressiert, nämlich wie die als KRITIS eingestuften Institute die nach dem IT-Sicherheitsgesetz bzw. dem dadurch eingeführten § 8a BSI-Gesetz (BSI-G) erforderlichen Nachweise erbringen sollen.

Konsequenzen für die Praxis

Auch wenn sich der neue Abschnitt der BAIT primär an Betreiber sogenannter „Kritischer Infrastrukturen“ (KRITIS) richtet, sollten sich alle von der BaFin beaufsichtigten Institute – und deren Dienstleister – daran orientieren. Gerade für Kartenprozessoren ist die Schwelle zur KRITIS-Einstufung verblüffend schnell erreicht.

Die Ergänzung der BAIT führt im Ergebnis dazu, dass die unter die KRITIS-Verordnung fallenden Institute stärker als bisher darauf achten müssen, Notfall- und Kontinuitätsaspekte in alle Bereiche ihre IT-Strategie einzubeziehen, und dies auch zu dokumentieren.

Für Institute, die sich schon bisher sorgfältig und umfassend mit dem Thema Notfallplanung auseinandergesetzt haben, wird sich wahrscheinlich nicht viel ändern. Eventuell sind Dokumentationen anzupassen. Institute, die diesen Weg noch vor sich haben, oder bei sich oder ihren IT-Dienstleistern Verbesserungsbedarf sehen, sollten unverzüglich mit einem entsprechenden Implementierungsprojekt beginnen. Sehr aufschlussreich kann dabei eine Notfallübung sein, bei der z.B. der Ausfall einer Leitung, einer Applikation oder eines Rechenzentrums simuliert wird. Besonders aufschlussreich kann dabei die Beobachtung des oder der eigenen IT-Dienstleister(s) sein.

IT-Dienstleister, die ihre Kunden im Umfeld von Banken und Finanzdienstleistern suchen, sind gut beraten, sich mit KRITIS und den BAIT-Anforderungen zur Notfallplanung vertraut zu machen. Die Anforderungen der BaFin, wie sie sich aus den aktuellen MaRisk, aber auch aus den weiteren Anforderungen in der BAIT z.B. zum Softwareentwicklungsprozess ergeben, lassen sich nicht mit Standardleistungen für nicht-beaufsichtigte Kunden abdecken. Ähnlich wie bei der „Financial Cloud“, bei der sich die ganz großen Anbieter mit den BaFin Vorgaben schwertun werden, liegt wahrscheinlich genau in den aufsichtlichen Vorgaben eine Chance und Nische für spezialisierte Anbieter.

Ausblick

Mit der Ergänzung der BAIT ist es für die BaFin nicht getan. Auf der BaFin Konferenz „IT-Aufsicht bei Banken“ am 27. September 20018 kündigte BaFin-Exekutivdirektor Raimund Röseler an, in der aufsichtlichen Praxis einen stärkeren Fokus auf die Effektivität von Schutzmaßnahmen und auf geeignete Krisenreaktionsmechanismen legen zu wollen.

Spannend wird es auch, was die finale Fassung der zukünftigen EBA Richtlinie zum Outsourcing zum Thema Notfallplanung enthalten wird.

 

Cover picture: Copyright © fotolia / Rui Vale de Sousa

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

You May Also Like