IT im Finanzsektor – Aspekte der Regulierung und Überwachung

29. November 2005
8. Berner Tagung für Informationssicherheit, Bern

Zusammenfassung

Jederzeit verfügbare, vollständige, integre und nachvollziehbare Daten und deren sichere Verarbeitung sind eine unerlässliche Grundvoraussetzung für das reibungslose Funktionieren des Finanzsystems. Die Eidgenössische Bankenkommission (EBK) beaufsichtigt die in der Schweiz niedergelassenen Banken- und Effektenhändler. Im Zentrum ihrer mikroprudentiellen Aufsichtstätigkeit steht das einzelne Finanzinstitut, insbesondere der Gläubiger- und Anlegerschutz. Aufgabe der Schweizerischen Nationalbank (SNB) ist es demgegenüber, zur Stabilität des Finanzsystems beizutragen, d.h., sie ist makroprudentiell tätig.

Die Bestimmungen zu den Anforderungen an die IT-Betriebsorganisation eines Finanzintermediärs in der Bankengesetzgebung äussern sich nicht explizit zum Thema Informationssicherheit, sondern sie orientieren sich am Begriff der "einwandfreien bzw. ordnungsgemässen Geschäftsführung". Für die EBK ist die Informationssicherheit nur ein Anliegen neben anderen. Zu verschiedenen kritischen Bereichen hat sich die EBK allerdings in Rundschreiben näher geäussert, so z.B. zur externen Datenverarbeitung und zum Outsourcing. Das Mandat der SNB ist auf die Geschäftsabwicklung im Zahlungsverkehr und im Wertschriftenbereich beschränkt. Die SNB-Überwachung konzentriert sich auf jene Systeme, von denen eine potenzielle Gefährdung der Stabilität des schweizerischen Finanzsystems ausgeht.

Die SNB-Zielvorgaben für die Informationssicherheit decken unter anderem ab: Sicherheitspolitik und -organisation, personelle und physische Sicherheit, Systembetrieb, Systementwicklung und -wartung, Kommunikation und Informationsaustausch, und – last but not least – das Kontinuitätsmanagement (Business Continuity Management). Grundsätzlich verfolgt die SNB ähnlich wie die EBK einen dualistischen Ansatz, d.h., sie stützt sich überwiegend auf die Prüfergebnisse der internen Revision und externer Prüfgesellschaften.

Ergänzende, systemübergreifende Massnahmen müssen von allen wichtigen Akteuren gemeinsam, sozusagen übergeordnet koordiniert und abgestimmt werden. Die "Steuerungsgruppe Business Continuity Planning (BCP)" unter der Leitung der SNB nahm eine entsprechende Überprüfung der in den einzelnen Unternehmen erarbeiteten Business Continuity-Pläne vor. Der Bericht zeigt auf, dass die systemisch bedeutsamen Infrastrukturen und deren wichtigste Teilnehmer in ihren BCP-Bemühungen weit fortgeschritten sind. Zweitens enthält der Bericht konkrete Vorgaben für die verschiedenen Akteure. Drittens identifiziert der Bericht in verschiedener Hinsicht Verbesserungspotenzial. Eine Massnahme, die inzwischen bereits umgesetzt ist, betrifft die Schaffung einer finanzsektorübergreifenden Alarm- und Krisenorganisation.

Abschliessend ist festzustellen, dass die Verantwortung für die Gewährleistung der Informationssicherheit primär bei den einzelnen Unternehmen liegt. Regulierung, Aufsicht und Überwachung spielen nur eine ergänzende Rolle. Das Thema Informationssicherheit verdient in jedem Verwaltungsrat und jeder Geschäftsleitung eine angemessene Priorität, unabhängig davon, ob es sich um einen Global Player oder um eine kleine Sparkasse handelt.

Datei herunterladen

Die Datei kann per Klick auf den Button heruntergeladen werden.

Weitere Dateien

Verwandte Inhalte

Beteiligte Personen

  • Niklaus Blattner
    Vizepräsident des Direktoriums

Ihre Einstellungen

Erforderlich: Diese Cookies (z.B. zum Speichern Ihrer IP-Adresse) können nicht abgelehnt werden, da sie notwendig sind, um den Betrieb der Website zu gewährleisten. Diese Daten werden nicht weiter ausgewertet.
Analyse: Wenn Sie Ihre Einwilligung zu dieser Kategorie geben, werden Daten wie IP-Adresse, Standort, Geräteinformationen, Browser-Version und Besucherverhalten gesammelt. Diese Daten werden für SNB-interne Zwecke ausgewertet und 2 Jahre aufgehoben.
Drittanbieter: Wenn Sie Ihre Einwilligung zu dieser Kategorie geben, werden Services von Dritten (z.B. zur Ergänzung der SNB-Website mit multimedialen Inhalten) aktiviert, die Personendaten sammeln, diese bearbeiten und ins Ausland weltweit bekannt geben sowie Cookies setzen. Die entsprechenden Datenschutz-Regelungen sind in der Datenschutzerklärung für die Website der Schweizerischen Nationalbank verlinkt.

Wählen Sie Ihre gewünschten Einstellungen:

Diese Website verwendet Cookies, Analysetools und weitere Technologien, um angeforderte Funktionen, Inhalte und Dienste zur Verfügung zu stellen, angezeigte Inhalte zu personalisieren, Verknüpfungen zu Sozialen Medien anzubieten und die Nutzung der Website zur Verbesserung ihrer Bedienbarkeit in anonymisierter Form zu analysieren. Es werden dabei auch Personendaten an Dienstleister von Videodiensten ins Ausland weltweit bekanntgegeben und es kommen deren Analysetools zur Anwendung. Mehr Informationen finden Sie unter "Einstellungen verwalten".