ITSM Regulatory Update | Oktober 2022

Fokus: IT-Sicherheit in Deutschland

Highlight aus dem Oktober 2022

Lage zur IT-Sicherheit in Deutschland spitzt sich weiter zu

Das BSI betrachtet die Lage der IT-Sicherheit in Deutschland kritisch: es existieren so viele Bedrohungen wie noch nie. Die Wirtschaft sieht sich insbesondere durch Ransomware, Schwachstellen, offene oder falsch konfigurierte Online-Server sowie die IT-Lieferkette bedroht.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

IT-Sicherheit in Deutschland in kritischer Betrachtung

Die jüngsten geopolitischen Entwicklungen machen – wie auch schon die COVID-19 Pandemie seit 2020 – deutlich, wie bedeutend Digitalisierung und ihre Risiken weltweit, aber auch für Deutschland sind. Dementesprechend werden der IT-Sicherheit und der Cybersicherheit zunehmend stärkere Bedeutung beigemessen, die sich politisch auch durch Investitionen und rechtliche Vorgaben niederschlagen. Schließlich sind beide wesentliche Faktoren für das Wohlergehen und den Schutz unserer Gesellschaft.

In seinem Bericht für 2022 beschreibt das BSI die Lage der IT-Sicherheit in Deutschland insgesamt und kommt dabei zum Ergebnis, dass die Bedrohungslage so hoch wie nie zuvor ist. Resilienz, Prävention und Risikomanagement haben sich zwar stark weiterentwickelt, leider gilt dies auch für die Methoden der Angreifer. Entsprechend betrachtet das BSI die IT-Sicherheit und ihre Verbesserung als laufende und sich stets verändernde Themengebiete, denen eine angemessene Aufmerksamkeit seitens der Bürger*innen aber auch seitens Unternehmen und von öffentlichen Stellen entgegengebracht werden muss.

Mauszeiger hovert über Text "Security" auf schwarzem Grund

Wesentliche Erkenntnisse aus dem Bericht des BSI umfassen:

  • Es treten vermehrt Angriffe auf Permitersysteme und DDoS-Angriff auf.
  • Die Zahl von Schadprogrammen steigt generell an. So gingen insgesamt 15 Mio. Meldungen von Schadprogramm-Infektionen bei Behörden ein.
  • Die Wirtschaft sieht sich folgenden drei Top-Bedrohungen gegenüber: Ransomware, Schwachstellen in, offene oder falsch konfigurierte Online-Server sowie die IT-Lieferkette.

Das BSI berichtet im ersten Teil über Gefährdungen der Cyber-Sicherheit in Deutschland, ehe es im zwieten Teil auf zielgruppenspezfische Erkenntnisse und Maßnahmen zu sprechen kommt und abschließend sein Fazit zieht.

Den Bericht des BSI finden Sie hier auf dessen Webseite.

Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, bsi.bund.de

 

IT-Sicherheit unter den Aufsichtsprioritäten der ESAs für 2023

Wie jedes Jahr zum Jahresende berichten die europäischen Aufsichtsbehörden EBA, ESMA und EIOPA (gemeinsam ESAs) über ihre aufsichtlichen Prioritäten für 2023. Neben den jeweiligen eigenen branchenspezifischen Fokusthemen, veröffentlichen die ESAs aber auch ein gemeinsames Aufsichtsprogramm.

Für das Jahr 2023 sieht das gemeinsame Kommittee der Behörden die folgenden Schwerpunkte:

Sustainable Finance führt die Liste an und wird künftig voraussichtlich weiter an Bedeutung gewinnen. Dieser generelle Trend ist auch bei anderen Behörden zu beobachten. Weiterhin auf der Agenda findet sich das Thema IT-Sicherheit, bei dem die ESAs weitere notwendige Arbeiten sehen. Beispielhaft sei hier die Erarbeitung weiterer Rechtsakte im Kontext des Digital Operational resilience Acts (DORA) angeführt. Ferner stehen 2023 Verbraucherschutz und Finanzinnovationen, sektorübergreifende Risikoanalysen, Verbriefungen, Ratingagenturen, Finanzkonglomerate, Fit&Proper sowie der Brexit auf der aufsichtlichen Agenda.

Das Aufsichtsprogramm der ESAs für 2023 finden Sie hier auf deren Webseite.

Quelle: Joint Committee of the European Supervisory Authorities – JC of the ESAs, esas-joint-committee.europa.eu

Übergreifende Prüfungsprioritäten der Aufsicht in 2023

Nicht nur aufsichtliche Prioritäten werden zum Jahresende hin veröffentlicht, sondern auch der Fokus für die Prüfungstätigkeiten der Aufsichtsbehörden werden kommuniziert. Im Zuge des European Supervisory Examination Programme (ESEP) veröffentlicht die EBA entsprechend die Prüfungsprioritäten für Aufsichtsbehörden für das kommende Jahr.

Unter anderem werden 2023 die operative Resilienz und die Digitalisierung im Fokus stehen.

Bei der operativen Resilienz betrachtet die EBA insbesondere Informations- und Kommunikationstechnologien (IKT). Dazu gehörden IKT-Sicherheitsrisiken wie Cyberrisiken, Cybertesting, Systemschwachstellen, Sicherheitsmanagement und das Sicherheitsbewusstsein. Weiterhin werden Verfügbarkeitsrisiken in Form von Business Continuity Plänen (BCP) betrachtet. Das umfasst den Test der BCP sowohl im Bezug auf die Umsetzung der Pläne durch Angestellte und Dienstleister, die Adäquanz der Testszenarien als auch die effektive Krisenkommunikation zu internen und externen Stakeholdern. Schließlich wird die Steigerung der Datenqualiät bei der Risikoaggregation institutsintern und im Verhältnis mit der Behörde betrachtet.

Bei den Übergangsrisiken zur Digitalisierung stehen insbesondere die Auswirkungen der Digitalisierungsabsichten eines Unternehmens auf sein Geschäftsmodell und das Risikoprofil im Fokus der EBA.

Die Prüfungsprioritäten der Aufsichtsbehörden für 2023 finden Sie hier auf der Webseite der EBA.

Quelle: European Banking Authority – EBA, eba.europa.eu

 

Die steigende Bedrohungslage erfordert andauernde aktive Auseinandersetzung und Anpassung in allen Themen der IT-Sicherheit. Institute sollten die Themen beobachten, ihre Resilienz weiter ausbauen und sich für die Materialisierung der Risiken rüsten.

Mit unserer Erfahrung stehen wir bei ADWEKO Ihnen bei der Optimierung von Prozessabläufen und bei der Umsetzung der Themen rund um IT-Sicherheit mit unserer Expertise gerne zur Seite.

Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick

sprechen sie mit

Pia Streicher!