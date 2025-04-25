Das Risiko im Finanzsektor ist auf einem Rekordhoch: Hinweise auf Bedenken in Bezug auf Risiken stammen aus einer Umfrage der Bank of Englandin 79 % der Befragten Cyberangriffe als das besorgniserregendste Risiko für das britische Finanzsystem einstufen. Die MaRisk versucht durch ein Rahmenwerk, das den Bankensektor und die damit verbundenen Unternehmen dabei unterstützt, die Risiken ihrer Aktivitäten zu reduzieren, Abhilfe zu schaffen.

Banken und die MaRisk

Deutsche Banken haben in den letzten Jahren einen erheblichen Diebstahl von Daten erlebt. Ein Beispiel hierfür ist der Cyberangriff auf die Deutschen Bank aus dem Jahr 2022, bei dem 60 GB Kundendaten gestohlen wurden. Banken und andere Finanzunternehmen fallen unter das Kreditwesengesetz, die Kontrolle der BaFin und die MaRisk. Innerhalb der MaRisk legt das Dokument „Aufsichtsrechtliche Anforderungen an die IT in Finanzinstituten“ die Maßnahmen zur Erfüllung der Anforderungen an die IT-Sicherheit von Banken dar. Darüber hinaus verlangt die MaRisk von deutschen Banken die Sicherung ihrer Datenflüsse. Eine der jüngsten Änderungen der Verordnung beinhaltet die Ergänzung der Sicherheit im Bereich „Handelsgeschäfte im Home Office“, die einen Mindeststandard der IT-Sicherheit zur Gewährleistung der Vertraulichkeit der Daten erfordert. Über Zero-Trust-Prinzipien mit den geringstmöglichen Berechtigungen können Zugriffskontrollen an jedem Standort durchgesetzt werden, einschließlich Home Offices.

Cloudservice-Anbieter für Banken

„Die Lieferkette der Cloudservice-Anbieter im Bankensektor in Deutschland unterliegt der MaRisk. Cloudservice-Anbieter müssen die aufsichtsrechtlichen Anforderungen im Bereich IT erfüllen, um sicherzustellen, dass Kunden (Banken oder andere Finanzinstitute) Risikokontrollen implementieren, um sie ebenfalls einzuhalten. Eine Risikobewertung soll zeigen, dass Informationsrisikomanagement, Informationssicherheit und Notfallmaßnahmen vorhanden sind und der MaRisk und den damit verbundenen BAIT, sowie den Anforderungen der BaFin entsprechen. Cloud- und IT-Service-Anbieter bauen diese Bewertungen in der Regel in Kundenverträge ein. Cloudservice-Anbieter sollten für zuverlässige Zugriffskontrollen in einer verteilten Service-Architektur die Möglichkeiten von Zero-Trust-Ansätzen ausloten.