BaFin Vorgaben mit Penetrationstest von ProSec erfüllen

Cyberresilienz aufbauen

Standards & Zertifizierungen

BAIT und MaRisk Novelle 2021

Die Bundesanstalt für Finanzdienstleisteraufsicht (BaFin) befasst sich in den vergangenen Jahren zunehmend mit Fragen der IT Security im Bankenbereich. In der Novelle 2021 der von der BaFin herausgegebenen Bankenaufsichtlichen Anforderungen an die IT (BAIT) konkretisiert sie insbesondere Vorgaben in den Bereichen „Operative Sicherheit“ und „IT-Notfallmanagement“. In der BAIT Novelle 2021 ist unter Punkt 5.6 festgelegt:

„Die Sicherheit der IT-Systeme von Banken ist regelmäßig, anlassbezogen und unter Vermeidung von Interessenskonflikten zu überprüfen.“

Mit einer Schwachstellenanalyse oder einem Penetrationstest von ProSec kannst du als verantwortliche Person diese Vorgaben gewissenhaft erfüllen. Unsere Penetrationstests können auch „as a Service“ gebucht werden, wobei wir die Entwicklung deiner IT Security in regelmäßigen Intervallen testen.

BAIT Novelle 2021
BAIT Novelle 2021

Nie wieder Angst vor 44-Prüfung durch BaFin

Die weiterhin zunehmende Gefahr von Cyberangriffen zieht eine Aufrüstung von regulatorischen Sicherheitsanforderungen mit sich. Damit steigen die Herausforderungen und Belastungen für dich als für die IT Sicherheit zuständige Person:

Pentest Physical Scenario 1

Vermutlich hast du kürzlich den ICT-Fragebogen …

…bearbeitet oder hast das noch vor dir. Weiterhin erfordert Punkt 5.3 der BAIT Novelle 2021 die Einführung eines Security Information and Event Managements (SIEM). Über allem schwebt die 44-Prüfung wie ein Damoklesschwert.

Nach einem Penetrationstest mit ProSec...

… freust du dich über alle Pentest-Fragen im ICT-Fragebogen!

Mit den Pentestern und IT Security Consultants von ProSec bekommst du zuverlässige, kompetente und erfahrene Partner, mit denen du deine Aufgaben professionell und effizient bearbeiten kannst.

IT ausgelagert: Aus den Augen, aus dem Sinn?

Immer mehr Banken lagern aufgrund steigender personeller und fachlicher Anforderungen ihre IT in Rechenzentren aus. Bei GENO Banken kümmert sich die Atruvia AG (ehem. GAD bzw. Fiducia) um die IT, bei Sparkassen die Finanz Informatik (FI).

Neben diesen beiden großen Dienstleistern existieren noch weitere Anbieter für externe Rechenzentren. Nur sehr wenige Banken arbeiten noch komplett mit eigenen Rechenzentren; viele befinden sich gerade in der Migrationsphase von in-house zu extern.

Aber Achtung: IT-Dienstleistungen können ausgelagert werden, Verantwortung nicht!

Sowohl BaFin-Präsident Felix Häufelt als auch die Europäische Bankenaufsichtsbehörde betonen, „dass die Geschäftsleitung eines auslagernden Instituts ihre Verantwortung niemals auslagern kann“ (Quelle: BaFin).

Die Regelungen für Auslagerungen in KWG §25b werden in den BAIT aufgegriffen.
Die Regelungen für Auslagerungen in KWG §25b werden in den BAIT aufgegriffen.

ProSec unterstützt dich dabei, dieser Verantwortung gerecht zu werden und die Kontrolle über eure IT Sicherheit zu behalten!

Unser gemeinsamer Nenner: Das Wohl unserer Kunden

Egal ob GENO-Banken, Sparkassen oder anderen Banken, euch allen geht es in der Hauptsache darum, das Vermögen eurer Kundinnen und Kunden in deren Interesse zu sichern und auszubauen. ProSec wiederum hat sich zum Ziel gesetzt, die IT Sicherheit in Deutschland zum Wohle aller Menschen voranzutreiben.

Unser Einsatz für das Gemeinwohl ist die ideale Basis für eine lösungsorientierte
und partnerschaftliche Zusammenarbeit.

Wir haben umfassende Erfahrung in der Planung und Abwicklung von Projekten zur Erfüllung der BAIT und MaRisk Anforderungen und haben ein Team von motivierten, hochqualifizierten Penetration Testern, bei denen der Check eurer IT Sicherheit in den besten Händen ist.

Penetrationstest von ProSec: BaFin-konform und eine echte Hilfe für eure IT

Mit einem Penetrationstest von ProSec erfüllst du einerseits die regulatorischen Vorgaben seitens der BaFin und baust andererseits echte Cyberresilienz für deine Bank auf. Wir arbeiten absolut unabhängig und immer auf Grundlage unseres moralischen Kompasses – der Begriff „ethische Hacker“ wird bei uns aktiv gelebt.

Unsere Penetrationstests sind ganzheitlich ausgerichtet und schließen nach Absprache auch physische Zugangssicherheit zu Gebäuden und insbesondere Social Engineering ein. Denn echte Angreifer nehmen in den meisten Fällen das schwächste Glied in der Sicherheitskette ins Visier: den Menschen. Unsere Pentests sind dabei nicht automatisiert, sondern wir besprechen zu Beginn deinen aktuellen IST-Zustand und finden gemeinsam den richtigen Umfang für deinen individuellen Pentest.

Zum Abschluss des Penetrationstests erhältst du von uns einen Action Plan nach RACI-Matrix und PRINCE2-Methode mit allen Findings sowie konkreten Maßnahmen zur Behebung der Sicherheitslücken. Außerdem führen wir einen Technischen Workshop durch, bei dem unsere Pentester ihr Fachwissen an dein Team weitergeben und gemeinsam mit euch die Inhalte des Action Plans besprechen und priorisieren.

Unser erklärtes Ziel ist es, mit dir gemeinsam so effizient wie möglich die Cyberresilienz deiner Bank aufzubauen.

PSN developers office

Next Step: Red Teaming nach TIBER-DE Framework

Cyberangriffe auf den Finanzsektor sind kein rein deutsches Problem. Daher hat die  Europäische Zentralbank (EZB) 2018 ein Framework veröffentlicht, das Unternehmen europaweit einen vergleichbaren Aufbau von Cyberresilienz ermöglicht: Das Threat Intelligence-based Ethical Red Teaming (TIBER-EU).

Für die Implementierung des Frameworks in Deutschland (TIBER-DE) ist das TIBER Cyber Team (TCT) der Deutschen Bundesbank verantwortlich. Die BaFin erklärt, für wen TIBER-DE-Tests von Nutzen sind und wer sie auf jeden Fall in Anspruch nehmen sollte:

TIBER-DE-Tests sollen Banken, Versicherungen, Finanzmarktinfrastrukturen und ihren wichtigsten Dienstleistern – auf freiwilliger Basis – offenstehen. Von den bedeutendsten Unternehmen des Finanzsektors wird jedoch erwartet, dass sie von diesem innovativen Instrument Gebrauch machen, um ihren Beitrag für die Cyber-Resilienz des gesamten Sektors zu leisten.

Wenn dein Unternehmen zu den “bedeutendsten des Finanzsektors” gehört oder du auf freiwilliger Basis einen TIBER-DE-Test in Anspruch nehmen möchtest, ist ProSec der richtige Ansprechpartner für dich!

Auf einen Blick:

Bei uns bist du an der richtigen Adresse, wenn du…

  • … verantwortlich für die Erfüllung von BAIT und MaRisk Vorgaben bist
  • … auf der Suche nach erfahrenen und zuverlässigen Partnern für die geforderten Schwachstellenscans und Penetrationstests bist
  • … die notwendige Regelmäßigkeit der Tests durch die Option „Pentest as a Service“ erfüllen möchtest
  • … echte Cyberresilienz durch ein Red Teaming nach TIBER-DE Framework aufbauen möchtest
  • … Wert auf eine professionelle, umfassende und lösungsorientierte Dokumentation der Findings inklusive empfohlener Maßnahmen legst
  • … bei der Priorisierung und Planung der Maßnahmen Unterstützung durch qualifizierte und erfahrene Penetration Tester nutzen möchtest
  • … einen realistischen Penetrationstest inklusive Social Engineering und ggf. physische Zugangstests durchführen möchtest