Die Bundesanstalt für Finanzdienstleisteraufsicht (BaFin) befasst sich in den vergangenen Jahren zunehmend mit Fragen der IT Security im Bankenbereich. In der Novelle 2021 der von der BaFin herausgegebenen Bankenaufsichtlichen Anforderungen an die IT (BAIT) konkretisiert sie insbesondere Vorgaben in den Bereichen „Operative Sicherheit“ und „IT-Notfallmanagement“. In der BAIT Novelle 2021 ist unter Punkt 5.6 festgelegt:
„Die Sicherheit der IT-Systeme von Banken ist regelmäßig, anlassbezogen und unter Vermeidung von Interessenskonflikten zu überprüfen.“
Mit einer Schwachstellenanalyse oder einem Penetrationstest von ProSec kannst du als verantwortliche Person diese Vorgaben gewissenhaft erfüllen. Unsere Penetrationstests können auch „as a Service“ gebucht werden, wobei wir die Entwicklung deiner IT Security in regelmäßigen Intervallen testen.
Die weiterhin zunehmende Gefahr von Cyberangriffen zieht eine Aufrüstung von regulatorischen Sicherheitsanforderungen mit sich. Damit steigen die Herausforderungen und Belastungen für dich als für die IT Sicherheit zuständige Person:
…bearbeitet oder hast das noch vor dir. Weiterhin erfordert Punkt 5.3 der BAIT Novelle 2021 die Einführung eines Security Information and Event Managements (SIEM). Über allem schwebt die 44-Prüfung wie ein Damoklesschwert.
… freust du dich über alle Pentest-Fragen im ICT-Fragebogen!
Mit den Pentestern und IT Security Consultants von ProSec bekommst du zuverlässige, kompetente und erfahrene Partner, mit denen du deine Aufgaben professionell und effizient bearbeiten kannst.
Immer mehr Banken lagern aufgrund steigender personeller und fachlicher Anforderungen ihre IT in Rechenzentren aus. Bei GENO Banken kümmert sich die Atruvia AG (ehem. GAD bzw. Fiducia) um die IT, bei Sparkassen die Finanz Informatik (FI).
Neben diesen beiden großen Dienstleistern existieren noch weitere Anbieter für externe Rechenzentren. Nur sehr wenige Banken arbeiten noch komplett mit eigenen Rechenzentren; viele befinden sich gerade in der Migrationsphase von in-house zu extern.
Aber Achtung: IT-Dienstleistungen können ausgelagert werden, Verantwortung nicht!
Sowohl die BaFin als auch die Europäische Bankenaufsichtsbehörde betonen, „dass die Geschäftsleitung eines auslagernden Instituts ihre Verantwortung niemals auslagern kann“ (Quelle: BaFin).
ProSec unterstützt dich dabei, dieser Verantwortung gerecht zu werden und die Kontrolle über eure IT Sicherheit zu behalten!
Mit einem Penetrationstest von ProSec erfüllst du einerseits die regulatorischen Vorgaben seitens der BaFin und baust andererseits echte Cyberresilienz für deine Bank auf. Wir arbeiten absolut unabhängig und immer auf Grundlage unseres moralischen Kompasses – der Begriff „ethische Hacker“ wird bei uns aktiv gelebt.
Unsere Penetrationstests sind ganzheitlich ausgerichtet und schließen nach Absprache auch physische Zugangssicherheit zu Gebäuden und insbesondere Social Engineering ein. Denn echte Angreifer nehmen in den meisten Fällen das schwächste Glied in der Sicherheitskette ins Visier: den Menschen. Unsere Pentests sind dabei nicht automatisiert, sondern wir besprechen zu Beginn deinen aktuellen IST-Zustand und finden gemeinsam den richtigen Umfang für deinen individuellen Pentest.
Zum Abschluss des Penetrationstests erhältst du von uns einen Action Plan nach RACI-Matrix und PRINCE2-Methode mit allen Findings sowie konkreten Maßnahmen zur Behebung der Sicherheitslücken. Außerdem führen wir einen Technischen Workshop durch, bei dem unsere Pentester ihr Fachwissen an dein Team weitergeben und gemeinsam mit euch die Inhalte des Action Plans besprechen und priorisieren.
Unser erklärtes Ziel ist es, mit dir gemeinsam so effizient wie möglich die Cyberresilienz deiner Bank aufzubauen.
Cyberangriffe auf den Finanzsektor sind kein rein deutsches Problem. Daher hat die Europäische Zentralbank (EZB) 2018 ein Framework veröffentlicht, das Unternehmen europaweit einen vergleichbaren Aufbau von Cyberresilienz ermöglicht: Das Threat Intelligence-based Ethical Red Teaming (TIBER-EU).
Für die Implementierung des Frameworks in Deutschland (TIBER-DE) ist das TIBER Cyber Team (TCT) der Deutschen Bundesbank verantwortlich. Die BaFin erklärt, für wen TIBER-DE-Tests von Nutzen sind und wer sie auf jeden Fall in Anspruch nehmen sollte:
TIBER-DE-Tests sollen Banken, Versicherungen, Finanzmarktinfrastrukturen und ihren wichtigsten Dienstleistern – auf freiwilliger Basis – offenstehen. Von den bedeutendsten Unternehmen des Finanzsektors wird jedoch erwartet, dass sie von diesem innovativen Instrument Gebrauch machen, um ihren Beitrag für die Cyber-Resilienz des gesamten Sektors zu leisten.
Wenn dein Unternehmen zu den “bedeutendsten des Finanzsektors” gehört oder du auf freiwilliger Basis einen TIBER-DE-Test in Anspruch nehmen möchtest, ist ProSec der richtige Ansprechpartner für dich!
Bei uns bist du an der richtigen Adresse, wenn du…
