IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus

Transkript

1 Frank Adelmann Supervisor Centralised On-site Inspections Division (DG/MS4-SSM) Europäische Zentralbank IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus (Fokus: IT-Prüfungen in systemrelevanten Instituten) Informationsveranstaltung der BaFin Bonn,

2 Organisation und Aufsichtsgrundsätze innerhalb des SSM Joint Supervisory Teams Bankgeschäftliche Prüfungen IT-Risikobewertung 5 Thematic Review (Cyberrisiken) IT-Prüfungen in systemrelevanten Instituten 2

3 Aufsichtsgrundsätze innerhalb des SSM Der Einheitlichen Aufsichtsmechanismus (Single Supervisory Mechanism, SSM) umfasst die EZB und die nationalen zuständigen Behörden (National Competent Authorities, NCAs) der teilnehmenden Mitgliedstaaten Aufbau auf bewährten, bereits eingeführten Aufsichtsverfahren Zusammenarbeit im Rahmen der jeweiligen Mandate mit Europäischen Bankenaufsichtsbehörde (EBA) Europäischen Parlament Eurogruppe Europäischen Kommission und dem Europäischen Ausschuss für Systemrisiken (European Systemic Risk Board, ESRB) sämtlichen Interessenträgern und anderen internationalen Organen und Standardsetzern Wahrnehmung aller aufsichtlichen Aufgaben erfolgt in vollständiger Unabhängigkeit IT-Prüfungen in systemrelevanten Instituten 3

4 Aufsichtsgrundsätze innerhalb des SSM Aufteilung der Zuständigkeiten zwischen der EZB und den NCAs entsprechend der SSM-Verordnung Einteilung in bedeutende und weniger bedeutende Institute um eine wirksame Aufsicht zu gewährleisten EZB = zuständig für die Aufsicht über die bedeutenden Institute NCAs = zuständig für die Aufsicht über die weniger bedeutenden Institute Fokus dieser Präsentation: Bedeutende Institute IT-Prüfungen in systemrelevanten Instituten 4

5 Aufsichtsgrundsätze innerhalb des SSM Die drei Hauptziele des SSM sind: Gewährleistung der Sicherheit und Solidität des europäischen Bankensystems; Verbesserung der finanziellen Integration und Stabilität; Gewährleistung einer konsistenten Aufsicht Gleichbehandlung vergleichbarer Kreditinstitute mit dem Ziel, Aufsichtsarbitrage zu verhindern Risikobasierten Aufsichtsansatz (erhöhte Risiken werden enger beaufsichtigt, bis die Risiken auf ein akzeptables Niveau zurückgeführt wurden.) Mindestmaß an Aufsichtstätigkeit für alle Kreditinstitute und angemessene Beaufsichtigung aller bedeutenden Institute Demokratische Rechenschaftspflicht auf europäischer wie auch auf nationaler Ebene IT-Prüfungen in systemrelevanten Instituten 5

6 Aufsichtsgrundsätze innerhalb des SSM Anwendung der Aufsichtsgrundsätze und -verfahren in angemessener harmonisierter Form Aufsichtspraktiken des SSM stehen in einem angemessenen Verhältnis zur systemischen Relevanz und zum Risikoprofil der beaufsichtigten Kreditinstitute (Proportionalität) Proaktive Aufsicht, um die Wahrscheinlichkeit eines Ausfalls sowie den potenziellen Schaden zu verringern (effektive und zeitnahe Korrekturmaßnahmen) IT-Prüfungen in systemrelevanten Instituten 6

7 Rechtsgrundlagen des SSM SSM Regulation (Council Regulation (EU) No 1024/2013) und SSM Framework Regulation (Regulation (EU) No 468/2014) Alle relevanten EU-Regulierungen (wie CRR, CRD IV) und daraus abgeleitetes nationales Recht Von der Europäische Bankenaufsichtsbehörde (EBA) entwickelte von der Europäischen Kommission angenommene Standards Wenn notwendig noch zu entwicklende eigene Standards der EZB (z. B. zu Zwecken der Harmonisierung) IT-Prüfungen in systemrelevanten Instituten 7

8 Organisation und Aufsichtsgrundsätze innerhalb des SSM Joint Supervisory Teams Bankgeschäftliche Prüfungen IT-Risikobewertung 5 Thematic Review (Cyberrisiken) IT-Prüfungen in systemrelevanten Instituten 8

9 Joint Supervisory Teams übernehmen laufende Aufsicht über bedeutende Institute Mitarbeiter der EZB und der NCAs Ein JST für jedes bedeutende Institut, geleitet von einem Koordinator aus der EZB Aufgaben mit einem speziellen Themenschwerpunkt oder bei Aufgaben, die ein besonderes Fachwissen erfordern, kann das JST zusätzliche Unterstützung von den Querschnitts- und Expertenabteilungen der EZB anfordern JST veranlassen bankgeschäftliche Prüfungen, führen laufende Risikoanalysen der Institute durch, analysieren Sanierungspläne, führen regelmäßige und ad-hoc Besprechungen durch, sind zuständig für das aufsichtliche Meldewesen IT-Prüfungen in systemrelevanten Instituten 9

10 Organisation und Aufsichtsgrundsätze innerhalb des SSM Joint Supervisory Teams Bankgeschäftliche Prüfungen IT-Risikobewertung 5 Thematic Review (Cyberrisiken) IT-Prüfungen in systemrelevanten Instituten 10

11 Bankgeschäftliche Prüfungen im Rahmen des SSM SSM Prüfungen sind: Tiefgehende Untersuchungen vom internen Kontrollsystem und dem Management von Banken mit vordefiniertem Umfang und in gegebener Zeitspanne in den Geschäftsräumen des Instituts Die Prüfungen erfolgen unabhängig vom, aber in enger Abstimmung mit den JSTs Basis der Prüfungen sind homogenisierte, etablierte Vorgehensweisen der NCAs SSM Prüfungen erfolgen: Risikobasiert Verhältnismäßig Fordernd Zukunftsorientiert Handlungsorientiert IT-Prüfungen in systemrelevanten Instituten 11

12 Bankgeschäftliche Prüfungen im Rahmen des SSM Prüfer haben das Recht Die Vorlage von Unterlagen zu verlangen Jegliche Unterlagen der Bank zu prüfen Schriftliche oder mündliche Erläuterungen zu verlangen Zutritt zu den Gebäuden und Zugriff auf die Systeme des Instituts zu verlangen Gespräche mit den Beschäftigten der Bank zu führen Kreditinstute werden über den Start der Prüfung, die Zusammensetzung der Prüfungsteams, die vorläufig aufgenommenen Sachverhalte (Pre-closing meeting) und den finalen Prüfungsbericht informiert. IT-Prüfungen in systemrelevanten Instituten 12

13 Ablauf einer Prüfung ab ca. 5 Wochen vor dem Kick-off meeting Kick-off meeting Geführt vom Prüfungsleiter Sachverhaltsabklärung Geführt vom Prüfungsleiter Closing meeting Geführt vom JSTC PREPARATORY PHASE INVESTIGATION PHASE REPORTING PHASE FOLLOW-UP PHASE Die EZB informiert das Institut über die anstehende Prüfung (Notification Letter) Der Prüfungsleiter fordert Vorabunterlagen und Räumlichkeiten an Das Prüfungsteam führt Prüfungstätigkeiten innerhalb des geprüften Instituts durch Das Prüfungsleiter erstellt eine Liste mit Sachverhalten (pre-draft report) Der Prüfungsleiter finalisiert den Bericht und das JST entwirft Empfehlungen Die EZB führt Qualitätssicherungen aller Berichte durch Das Institut setzt die Empfehlung unter Aufsicht des JSTCs um IT-Prüfungen in systemrelevanten Instituten 13

14 Zusammensetzung des Prüfungsteams Die Prüferkapazitäten des SSM stammen von 20 Aufsehern: Prüfer(innen) der 19 NCAs der Eurozone SE FI Die Centralised On-Site Inspection division der EZB EE Wenn nötig unterstützen externe Fachkräfte (z. B. Wirtschaftsprüfungsgesellschaften) IE PT ES UK FR NL DK DE BE LU IT MT PL CZ SK AT HU SL HR G R LT LV R O B G CY Das Team besteht aus einem Prüfungsleiter und mindestens einem weiteren Teammitglied JST-Mitglieder sollen niemals Prüfungsleiter sein EU Mitgliedstaaten der Eurozone EU Mitgliedstaaten mit Sonderstatus EU Mitgliedstaaten welche der Eurozone noch nicht beigetreten sind IT-Prüfungen in systemrelevanten Instituten 14

15 Organisation and General Principles of SSM Banking Supervision Joint Supervisory Teams On-site Inspections IT-Risikobewertung 5 Thematic Review (Cyberrisiken) IT-Prüfungen in systemrelevanten Instituten 15

16 Allgemeine Schwerpunkte bei der Beurteilung von IT-Risken Die IT-Systeme und das Personal eines Instituts stellen die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Daten entsprechend ihres Schutzbedarfs sicher. Die IT-Systeme sind angemessen um den operativen Anforderungen, den Geschäftsanforderungen und dem Risikoappetit des Instituts gerecht zu werden. Die IT unterstützt das Geschäft, das Risikomanagement und die Entscheidungen der Geschäftsleitung angemessen. Die IT sichert ein angemessenes Niveau von Datenqualität. IT-Prüfungen in systemrelevanten Instituten 16

17 Spezielle Prüfungsfelder Ablauforganisation, Dokumentation, Strategien und Systemarchitektur Aufbauorganisation und Auslagerungen Informationsrisikomanagement IT-Sicherheitsmanagement IT-Betrieb Softwareeinkauf, Anwendungsentwicklung und Projektmanagement Datenqualitätsmanagement IT-Notfallmanagement IT-Berichtswesen IT-Revision IT-Prüfungen in systemrelevanten Instituten 17

18 Richtlinien und Standards ECB - Recommendations for the security of internet payments, Jan EBA - Guidelines on Internal Governance (GL 44), Sep EBA - Final Draft, Implementing Technical Standards on benchmarking portfolios, templates, definitions and IT solutions under Article 78 of Directive 2013/36/EU (Capital Requirements Directive CRD IV), Mar CEBS - Guidelines on outsourcing, Dec BCBS - High-level principles for business continuity, Aug BCBS - Corporate governance principles for banks, Jul IT-Prüfungen in systemrelevanten Instituten 18

19 Richtlinien und Standards BCBS - Principles for the Sound Management of Operational Risk, rev. Oct BCBS - The internal audit function in banks, Jun BCBS - Core principle for effective banking supervision, Sep BCBS - Principles for effective risk data aggregation and risk reporting, Jan SSG - Observations on developments in risk appetite frameworks and IT infrastructure, 2010 IT-Prüfungen in systemrelevanten Instituten 19

20 Richtlinien und Standards Cobit (Control Objectives for Information and Related Technology) ISO 270xx of the International Organisation for Standardisation ISO of the International Organisation for Standardisation ISO of the International Organisation for Standardisation ITIL (IT Infrastructure Library) IT-Prüfungen in systemrelevanten Instituten 20

21 Organisation und Aufsichtsgrundsätze innerhalb des SSM Joint Supervisory Teams On-site Inspections IT-Risikobewertung 5 Thematic Review (Cyberrisiken) IT-Prüfungen in systemrelevanten Instituten 21

22 Thematic Review Ziele: Individuelle Erhebung des Cyberrisikoprofils der bedeutenden Institute und ihrer Fähigkeit diesen zu begegnen Horizontaler Ansatz mit der Absicht eines Vergleichs zwischen gleichartigen Banken und der Indentifikation möglicher Maßnahmen zur Riskoreduktion Anwendungsbereich: Modul 1 für alle bedeutenden Banken (laufende Aufsicht), Stichproben bedeutender Institute für Modul 2 (Prüfungen) Modul 1 Modul 2 Vorläufige off-site Prüfung basierend auf dem Cybercrime Risk Questionnaire welcher durch die JSTs an alle bedeutenden Institute versendet wurde Cyberrisk-Prüfungen für bestimmte bedeutende Institute, welche auch auf Basis des Ergebnisses des ersten Moduls ausgewählt wurden IT-Prüfungen in systemrelevanten Instituten 22

23 Cybercrime Cybercrime ein krimineller Angriff, bei welchem ein Computernetzwerk verwendet wird Zunehmende Gefahr für Institute aufgrund der zunehmenden Abhängigkeit von IT-Systemen und der zunehmenden Komplexität von IT-Systemen und Datenkommunikation Kann zu wesentlichen Schäden führen Trotz seiner besonderen Relevanz ist das Cyberrisko nur einteil des IT-Risikos, welcher allerdings alle genannten Prüfungsfelder streift. IT-Prüfungen in systemrelevanten Instituten 23

24 Definition von Cybercrime Hacktivism Cyber-djihad Was sind wesentliche Bedrohungen? Betrug Spionage Datenverlust Blockierung Was sind die häufigsten Attacken? DDoS APT Internet Banking/E-banking fraud 0-Day IT-Prüfungen in systemrelevanten Instituten 24

25 Management von Cyberrisiken IT-Sicherheit Identifizierung Wiederherstellung Prävention Bedrohungen Steuerung Bewusstsein IT-Prüfungen in systemrelevanten Instituten 25

26 Beispiele für Feststellungen IT-Sicherheitsmanagement Keine ausreichenden Penetrationstests für IT-Systeme Fehlende Überwachung von Sicherheitsvorfällen verhindert frühzeitiges Ergreifen von Notfallmaßnahmen Nicht gewartete, alte Versionen von bedeutenden Systemen mit großen Sicherheitslücken im Einsatz Benutzung von externen Cloud Services für sensible Daten ohne ausreichende Risikoanalyse und Festlegung von hinreichenden Sicherheitsmaßnahmen für Informationen in der Cloud IT-Prüfungen in systemrelevanten Instituten 26

27 Beispiele für Feststellungen Aufbauorganisation und Auslagerungen Funktionstrennungskonflikte Keine Steuerung von Auslagerungsrisiken Keine Überwachung von wesentlichen Auslagerungen Kein unabhängiger CISO IT-Prüfungen in systemrelevanten Instituten 27

28 Beispiele für Feststellungen Informationsriskomanagement Schutzbedarfsanalysen wurden nicht regelmäßig und nicht für alle Anwendungen der Bank durchgeführt Die Ergebnisse der Schutzbedarfsanalyse spiegeln sich nicht in den von der Bank umgesetzten IT-Sicherheitsmaßnahmen wider Bekannte Schwachstellen von IT-Systemen werden im Informationsrisikomanagement bei der Bestimmung von Restrisiken nicht berücksichtigt IT-Prüfungen in systemrelevanten Instituten 28

29 Beispiele für Feststellungen Ablauforganisation, Dokumentation, Strategien und Systemarchitektur Richtlinien und Standards wurden nicht aktualisiert Wesentliche Kontrollhandlungen nicht dokumentiert Kein Strategieprozess Die IT-Strategie enthält keine hinreichend konkreten Maßnahmen Keine Benutzerberechtigungskonzepte bzw. die Benutzerberechtigungskonzepte spiegeln nicht die im System vergebenen Zugriffsrechte wider IT-Prüfungen in systemrelevanten Instituten 29

30 Beispiele für Feststellungen IT-Notfallmanagement Fehlende Business Impact Analyse Einzelne für die Bank relevante Notfallszenarien wurden nicht ausreichend betrachtet Fehlende Notfallkonzepte für einzelne Fachbereiche Notfalltests wurden gar nicht oder nur teilweise durchgeführt IT-Prüfungen in systemrelevanten Instituten 30

31 Rubric IT-Aufsicht im einheitlichen Bankenaufsichtsmechanismus Beispiele für Feststellungen IT-Betrieb Keine Protokollierung und Überwachung von administrativen Tätigkeiten Keine Rezertifizierung von privilegierten Benutzerrechten Keine ausreichende Kontrolle des Zugriffs auf Infrastrukturkomponenten Der Einsatz von individueller Datenverarbeitung wird nicht ausreichend gesteuert und überwacht Keine ausreichende Trennung zwischen Test- und Produktionsumgebungen IT-Prüfungen in systemrelevanten Instituten 31

32 BCBS 239 Principles [Please select] [Please select] Principle 8 - Comprehensiveness Principle 7 - Accuracy Principle 4 - Completeness Principle 3 - Accuracy and integrity Principle 2 - Data architecture and IT infrastructure Principle 1 - Governance IT-Prüfungen in systemrelevanten Instituten 32

33 Fragen? Vielen Dank!