Seit Ausbruch der Corona-Krise hat der allgemeine Datenverkehr in Deutschland zugenommen – schätzungsweise um durchschnittlich 10 Prozent, das legt zumindest das Geschehen am Internetkontenpunkt D-CIX in Frankfurt am Main nahe. Auch Bankkunden dürften mit dafür gesorgt haben, da viele von ihnen auf kontaktlose Kanäle auswichen, als die Filialen vorübergehend geschlossen waren. Dank digitaler Lösungen konnte die Kreditwirtschaft ihre operativen Funktionen in Zeiten des Lockdowns aufrechterhalten. Doch zunehmend reift auch die Erkenntnis, dass mit der krisenbedingt sehr abrupten Digitalisierung einige Herausforderungen einhergehen – etwa mit Blick auf die Cybersicherheit. Banken brauchen belastbare IT -Infrastrukturen, sie müssen ihre Beschäftigten schulen und Strategien gegen Störungen entwickeln. Dazu Exekutivdirektor Raimund Röseler im Gespräch mit dem BaFinJournal. Zahlreiche bedeutende Institute (Significant Institutions – SIs ) unter Aufsicht der Europäischen Zentralbank ( EZB ) verlassen sich bei kritischen Geschäftsprozessen auf Systeme, die am Ende ihrer Lebensdauer (End of Life – EOL) angekommen sind. Das teilte die EZB am 24. Juli mit. Sie hatte zuvor rund 100 IT -Risikofragebögen ( IT Risk Questionnaire – ITRQ) für das 1. Quartal 2019 ausgewertet. Die EZB sieht EOL-Systeme als Herausforderung für die IT -Sicherheit und verfolgt das aufsichtliche Ziel, die Abhängigkeit der Banken von solchen Systemen zu verringern. Ein Cybervorfall ist ein böswillig oder versehentlich herbeigeführter Vorfall, der die Cybersicherheit eines Informationssystems oder die Sicherheit der verarbeiteten Informationen gefährdet oder Sicherheitsrichtlinien, Sicherheitsprozesse oder Nutzungsbedingungen verletzt. Ein böswillig herbeigeführter Cybervorfall kann ein externer Angriff sein, aber auch Sabotage innerhalb des Unternehmens. Davon zu unterscheiden sind interne Pannen, also Störungen, die Beschäftigte versehentlich herbeiführen. Auch solche internen Pannen werden unter dem Begriff „Cybervorfall“ subsumiert. Im Zahlungsdiensteaufsichtsgesetz ( ZAG ) ist nicht von Cybervorfällen die Rede, sondern von schwerwiegenden Betriebs- oder Sicherheitsvorfällen. Gemeint ist im Grunde das Gleiche, der Begriff „Cybervorfall“ bezieht sich aber nicht nur auf Zahlungsdienstleister, sondern auf den gesamten Finanzsektor. Das ZAG verlangt in § 54 Satz 1 von Zahlungsdienstleistern, die BaFin unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall zu unterrichten. BaFinJournal Juli 2020 zum COVID-19-Stresstest für Less Significant Institutions (LSIs) BaFinJournal September 2019 zum ZAG BaFinPerspektiven 1/2020 zur Cybersicherheit Orientierungshilfe zu Auslagerungen an Cloud-Anbieter Bankaufsichtiche Anforderungen an dieIT(BAIT) Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.