Herr Lyko, die V-Bank ist Depot- und Transaktionsbank für unabhängige Vermögensverwalter, Family Offices, Stiftungen und institutionelle Kunden. Derzeit arbeiten Sie mit knapp 500 Kooperationspartnern zusammen, mit denen Sie hochsensible Daten austauschen. Wie schützt sich Ihr Haus vor Cyber-Angriffen?
Lyko: Alle Maßnahmen hier aufzuzählen, würde den Rahmen sprengen. Klar ist aber: Ein effektiver Schutz vor Cyber-Angriffen hat mehrere Dimensionen. Ein schlüssiges Berechtigungskonzept, Zwei-Faktor-Authentifizierungen und laufende Updates sind Minimalanforderungen, die potenzielle Angriffsflächen verkleinern. Dazu kommen Sicherheits-Tools, wie etwa Firewalls und Viren-Scanner. Kommt es zu einem gezielten, konzertierten Cyber-Angriff, werden weitere Maßnahmen bei uns wirksam. Der Aufbau unserer IT-Architektur etwa ist so konzipiert, dass sich ein Angreifer nicht durch verschiedene Ebenen bewegen und etwa Admin-Konten übernehmen kann. Und es gibt weitere Mechanismen, auf die ich aus Sicherheitsgründen nicht weiter eingehen möchte.
Was tut die V-Bank, um darüber hinaus noch Cyber-resilienter zu werden?
Lyko: Cyber-resilient zu werden ist keine einmalige Maßnahme, sondern ein kontinuierlicher Prozess der Verbesserung. Wir treiben dazu einen doppelt gesicherten Prozess der dauerhaften Weiterentwicklung voran. Zum einen analysieren wir jeden Vorfall sowie jede Vorfallmeldung und prüfen, ob die vorgesehenen Prozesse eingehalten wurden und wo eventuelle Lücken im Betrieb oder im Risikomanagement von IT-Assets bestehen. Unsere Ergebnisse werden dann von einer unabhängigen Compliance- und Risikokontrollfunktion kritisch geprüft und unterliegen der Nachprüfung durch unsere externe Wirtschaftsprüfungsgesellschaft. Zum anderen lassen wir uns regelmäßig von einem externen IT-Sicherheitsspezialisten überprüfen. Diese Tests zeigen, dass wir ein überdurchschnittlich hohes Sicherheitsniveau erreicht haben.
Welche Rolle spielt DORA bei Ihren Bemühungen?
Lyko: Eine große, da wir ein sogenanntes verpflichtetes Finanzunternehmen sind. IT-Sicherheit wird oft als rein technisches Problem betrachtet. Für uns heißt das aber: Diese Ebene muss nun fest in die strategische Planung und das Risikomanagement des Unternehmens integriert werden. Durch den Fokus auf die IKT-Assets selbst sind nun auch gezielte Sicherheitstests wie Penetrationstests, Sicherheitsaudits oder Last-Tests gefordert. Auch im Drittparteienmanagement sind wir verpflichtet, mehr zu tun als bisher. So müssen wir in der Kette unserer Dienstleister Sicherheitsvorkehrungen nach unserem Standard durchsetzen und uns hierüber berichten lassen. Bei entsprechenden sicherheitskritischen Dienstleistungen müssen wir künftig einmal jährlich an die Aufsicht melden.
Wie arbeiten Sie beim Thema Cyber-Sicherheit mit dem Aufsichtsrat zusammen?
Lyko: Das Gremium haben wir seit Längerem eng und fortlaufend in unsere IT-Strategie eingebunden. Vor dem erwähnten Hintergrund von DORA werden unsere Risikobewertungen und Risikominderungsstrategien zukünftig in den Risikoausschüssen – und damit nachgelagert auch im Aufsichtsgremium – sicherlich noch mehr Raum und Aufmerksamkeit einnehmen. Unser Aufsichtsrat erhält zudem eine eigene Schulung rund um Cyber-Security. Das zeigt, dass wir der Bedeutung von Cyber-Resilienz in der gesamten Bank Nachdruck verleihen.
Greifen Sie bei der Umsetzung und Implementierung Ihrer IT-Strategie auf externe Expertise zurück?
Lyko: Projektseitig haben wir für Implementierung der DORA-Anforderungen Forvis Mazars an Bord geholt. Wir sind Mitglied der Allianz für Cyber-Sicherheit. Für die inhaltlichen Fragestellungen in der Weiterentwicklung und Umsetzung unserer IT-Strategie greifen wir auf zuverlässige Dienstleister, aber auch auf externe Expertise zurück, um etwa konkrete Nutzungsvorteile für das Themenfeld Blockchain zu kreieren oder zentral bereitgestellte Cloud-Ressourcen als technologische Basis für das Themengebiet KI sinnvoll zu erschließen.
Herr Weddemar, Sie haben die V-Bank projektseitig unterstützt. Welche besonderen Herausforderungen gab bei der Umsetzung?
Weddemar: Im Grunde ist die generelle Herausforderung stets die gleiche: Vorschriften und Verordnungen beschreiben Dinge pauschal. Das mussten wir in konkrete Prozessschritte umsetzen und Wege finden, um eine sinnvolle Verknüpfung mit Geschäftsprozessen herzustellen. Auch die Abhängigkeiten von Assets der Informations- und Kommunikationstechnik (IKT) und die dafür relevanten externen Dienstleister mussten wir darstellen, um das von DORA geforderte Maß an IKT-Risikomanagement leisten zu können. Das ist in der Umsetzung komplexer, als es in der Theorie klingt. Die letzten zwei Monate vor Einführung der DORA haben wir intensiv genutzt, um mit jedem der V-Bank IKT-Dienstleister eine Vereinbarung und einen Standard herzustellen. Auch hier gilt: Das klingt simpel, ist aber aufwendig, vor allem zeitintensiv.
Welche Themen hat die V-Bank besonders gut gelöst?
Weddemar: Aus subjektiver Sicht würde ich sagen, dass die V-Bank mehrere Themen besser als der breite Markt gelöst hat. Gleich zu Beginn des DORA-Projekts wurden alle relevanten Mitarbeiter*innen nicht nur informiert, sondern operativ in die Themen eingebunden. Damit wurde neben der Entwicklungsarbeit ein Schulungseffekt und Verantwortungsbewusstsein erzeugt. Zusätzlich wurden gleich mehrere DORA-relevante Themen von Beginn an gut adressiert. So ist man in den Austausch mit den relevanten IKT-Dienstleistern gegangen und hat gemeinsam Lösungswege entwickelt, um Themen wie IKT-Incident-Management, Vertragsanpassungen oder auch die Überwachung einschlägiger technologischer Entwicklung fortlaufend sicherzustellen. Mittlerweile konnten wir alle Gespräche dazu erfolgreich abschließen und DORA-konforme Verträge vereinbaren. Und schon sehr früh haben sich die IT-Verantwortlichen der V-Bank granular mit Rollen und Zuständigkeiten beschäftigt und sich Gedanken darüber gemacht, welche entsprechenden operativen Aufgaben hier zuzuordnen sind.
Sind nach Ihren Beobachtungen diese Herausforderungen typisch bei einem Finanzdienstleister von der Größe der V-Bank?
Weddemar: Das lässt sich so feststellen – wenngleich ich sagen muss, dass die V-Bank eine sehr gute Ausgangslage hatte. So wurden die Themen Informationssicherheit, Risikomanagement, Notfallmanagement und Business Continuity Management schon zu Zeiten der BAIT – der „Bankaufsichtlichen Anforderungen an die IT“ – sehr gut und effektiv umgesetzt. Im Ergebnis mussten diese Themen nicht komplett neu entwickelt, sondern lediglich konsequent weiterentwickelt und angepasst werden. DORA bietet in dieser Hinsicht ein enormes Potenzial für die V-Bank. Denn es werden noch mal alle bestehenden Kontrollen und Prozesse hinsichtlich der operationellen Resilienz bewertet und bei Bedarf angepasst.
Die V-BANK fokussiert sich auf die Depot- und Kontoführung sowie auf die Wertpapierabwicklung für unabhängige Vermögensverwalter, Family Offices, Stiftungen, vermögensverwaltende Banken und ausgewählte institutionelle Kunden. Nahezu 90 Prozent aller zugelassenen Vermögensverwalter in Deutschland sind Geschäftspartner der V-Bank und unterhalten entsprechende Wertpapierdepotkonten. Das betreute Kundenvermögen lag Ende vergangenen Jahres bei rund 57 Mrd. €.
Jeden Tag werden deutsche Unternehmen Opfer von Cyber-Angriffen oder Datenerpressungen. Durch die Digitalisierung nahezu aller Lebensbereiche und den Siegeszug der künstlichen Intelligenz wächst das Problem stetig. Die gute Nachricht: Auch der Staat rüstet auf und kommt mit modernen Methoden vielen Kriminellen auf die Spur. Die Cyber-Staatsanwältin und Buchautorin Jana Ringwald wünscht sich für weitere...
Künstliche Intelligenz (KI) erfährt derzeit einen Boom, und Initiativen wie das KI-Gesetz der Europäischen Union (EU) sollen potenzielle negative Folgen des Technologieeinsatzes abwenden. Jan Kochta, IT-Rechtsexperte bei Forvis Mazars, erklärt die Auswirkungen des sogenannten EU AI Acts für deutsche Unternehmen – und welche weiteren juristischen Aspekte sie bei der KI-Nutzung beachten sollten.
This website uses cookies.
Some of these cookies are necessary, while others help us analyse our traffic, serve advertising and deliver customised experiences for you.
For more information on the cookies we use, please refer to our Privacy Policy.
This website cannot function properly without these cookies.
Analytical cookies help us enhance our website by collecting information on its usage.
We use marketing cookies to increase the relevancy of our advertising campaigns.