IT im Finanzsektor – Aspekte der Regulierung und Überwachung
Zusammenfassung
Jederzeit verfügbare, vollständige, integre und nachvollziehbare Daten und deren sichere Verarbeitung sind eine unerlässliche Grundvoraussetzung für das reibungslose Funktionieren des Finanzsystems. Die Eidgenössische Bankenkommission (EBK) beaufsichtigt die in der Schweiz niedergelassenen Banken- und Effektenhändler. Im Zentrum ihrer mikroprudentiellen Aufsichtstätigkeit steht das einzelne Finanzinstitut, insbesondere der Gläubiger- und Anlegerschutz. Aufgabe der Schweizerischen Nationalbank (SNB) ist es demgegenüber, zur Stabilität des Finanzsystems beizutragen, d.h., sie ist makroprudentiell tätig.
Die Bestimmungen zu den Anforderungen an die IT-Betriebsorganisation eines Finanzintermediärs in der Bankengesetzgebung äussern sich nicht explizit zum Thema Informationssicherheit, sondern sie orientieren sich am Begriff der "einwandfreien bzw. ordnungsgemässen Geschäftsführung". Für die EBK ist die Informationssicherheit nur ein Anliegen neben anderen. Zu verschiedenen kritischen Bereichen hat sich die EBK allerdings in Rundschreiben näher geäussert, so z.B. zur externen Datenverarbeitung und zum Outsourcing. Das Mandat der SNB ist auf die Geschäftsabwicklung im Zahlungsverkehr und im Wertschriftenbereich beschränkt. Die SNB-Überwachung konzentriert sich auf jene Systeme, von denen eine potenzielle Gefährdung der Stabilität des schweizerischen Finanzsystems ausgeht.
Die SNB-Zielvorgaben für die Informationssicherheit decken unter anderem ab: Sicherheitspolitik und -organisation, personelle und physische Sicherheit, Systembetrieb, Systementwicklung und -wartung, Kommunikation und Informationsaustausch, und – last but not least – das Kontinuitätsmanagement (Business Continuity Management). Grundsätzlich verfolgt die SNB ähnlich wie die EBK einen dualistischen Ansatz, d.h., sie stützt sich überwiegend auf die Prüfergebnisse der internen Revision und externer Prüfgesellschaften.
Ergänzende, systemübergreifende Massnahmen müssen von allen wichtigen Akteuren gemeinsam, sozusagen übergeordnet koordiniert und abgestimmt werden. Die "Steuerungsgruppe Business Continuity Planning (BCP)" unter der Leitung der SNB nahm eine entsprechende Überprüfung der in den einzelnen Unternehmen erarbeiteten Business Continuity-Pläne vor. Der Bericht zeigt auf, dass die systemisch bedeutsamen Infrastrukturen und deren wichtigste Teilnehmer in ihren BCP-Bemühungen weit fortgeschritten sind. Zweitens enthält der Bericht konkrete Vorgaben für die verschiedenen Akteure. Drittens identifiziert der Bericht in verschiedener Hinsicht Verbesserungspotenzial. Eine Massnahme, die inzwischen bereits umgesetzt ist, betrifft die Schaffung einer finanzsektorübergreifenden Alarm- und Krisenorganisation.
Abschliessend ist festzustellen, dass die Verantwortung für die Gewährleistung der Informationssicherheit primär bei den einzelnen Unternehmen liegt. Regulierung, Aufsicht und Überwachung spielen nur eine ergänzende Rolle. Das Thema Informationssicherheit verdient in jedem Verwaltungsrat und jeder Geschäftsleitung eine angemessene Priorität, unabhängig davon, ob es sich um einen Global Player oder um eine kleine Sparkasse handelt.