In einer aktuellen Stellungnahme konkretisiert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihre Erwartung an beaufsichtigte Unternehmen, mit angemessenen Sicherheitsmaßnahmen auf IT-Sicherheitslücken wie - im aktuellen Anlass - dem Heartbleed-Bug zu reagieren.
Bezugnehmend auf die Anfang April bekannt gewordene, schwerwiegende Sicherheitslücke in bestimmten Versionen der Verschlüsselungssoftware OpenSSL könnten insbesondere Zugangsdaten wie Benutzernamen oder Passwörter ausgespäht werden. Auch sei es unter bestimmten Voraussetzungen möglich, Datenverkehr nachträglich zu lesen, falls man sich Zugang zu privaten Schlüsseln verschafft habe – dabei seien alle Dienste von Email-Verkehr bis Online-Banking betroffen. Ein Ausspionieren dieser Daten hinterlasse nur in seltensten Fällen Spuren auf betroffenen Systemen.
Finanzdiensleister über MaRisk BA/VA und InvMaRisk in der Verantwortung
Für die Banken-, Versicherungs- und Wertpapieraufsicht, so der explizite Hinweis der Bundesanstalt, seien die Anforderungen an die IT-Sicherheit der beaufsichtigten Unternehmen in den Rundschreiben „Mindestanforderungen an das Risikomanagement“ (MaRisk BA/VA) bzw. „Mindestanforderungen an das Risikomanagement für Investmentgesellschaften (InvMaRisk)“ gefasst. Insbesondere werde darin unter Verweis auf gängige Standards ein angemessenes IT-Sicherheitsmanagement gefordert. Neben der Erwartung an einschlägige Unternehmen, angemessene IT-Sicherheitsmaßnahmen zu definieren und umzusetzen seien alle entsprechenden Maßnahmen regelmäßig und anlassbezogen zu überprüfen. Dies beinhalte gegebenenfalls auch, Krypto-Konzepte, Systemarchitektur und die Implementierung der Anwendungen zu überprüfen.
Auskunftserwartung bei kritischen IT-Sicherheitsvorfällen
Falls durch den Heartbleed-Bug oder auch vergleichbare Sicherheitslücken wesentliche Schäden bzw. kritische IT-Sicherheitsvorfälle aufgetreten seinen, heißt es in der Meldung weiter, so erwarte man, dass die beaufsichtigten Unternehmen die zuständige Fachaufsicht informieren.
Das aktuelle Schreiben im Wortlaut können Sie auf den Seiten der BaFin abrufen.
Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und
Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies.
Das sind zum einen notwendige für den technischen Betrieb. Zum
anderen Cookies zur komfortableren Benutzerführung, zur verbesserten
Ansprache unserer Besucherinnen und Besucher oder für anonymisierte
statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut
nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Notwendige | Komfort | Statistik
Bitte wählen Sie aus folgenden Optionen: