Dr. Patrik Buchmüller, Klaus Joas
Die Besonderheit der Regulierung des Finanz- und Versicherungswesens liegt in umfangreichen aufsichtlichen Vorgaben, um die Sicherheit der von den Unternehmen erhaltenen Finanzmittel der Bevölkerung zu gewährleisten. Die Regulierung, beginnend von einer Zulassungspflichtigkeit vor Aufnahme der Geschäftstätigkeit betrifft alle Banken, Zahlungsdienstleistungsunternehmen und Versicherungsunternehmen. Unabhängig von der Größe werden dabei Mindestanforderungen an die ordnungsgemäße Geschäftsorganisation vorgegeben und laufend überwacht. Darunter zählt, wie z. B. in § 25a Abs. 1 KWG geregelt, explizit auch die Sicherstellung einer angemessenen personellen und technisch-organisatorischen Ausstattung des Instituts sowie die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme.
Diese im Kreditwesengesetz, Zahlungsdiensteaufsichtsgesetz und Versicherungsaufsichtsgesetz sehr knapp gehaltenen Vorgaben an die IT-Sicherheit werden von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als zuständige Aufsichtsbehörde über nachgelagerte normkonkretisierende bzw. norminterpretierende Verwaltungsvorschriften weiter ausformiert. Dies erfolgt im Bankensektor über die sog. Mindestanforderungen an das Risikomanagement (MaRisk) und die Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie im Versicherungssektor und für Kapitalverwaltungsgesellschaften über vergleichbare Rechtsnormen. MaRisk und BAIT referenzieren wiederum auf gängige technische Standards, an welchen sich die Institute orientieren sollen, ohne allerdings eine Pflicht zur Zertifizierung vorzugeben. Die BAIT haben zudem in einem eigenen Modul, das in Abstimmung zwischen BaFin und BSI entstand, festgelegt, wie Banken im Rahmen einer Jahresabschlussprüfung den Nachweis nach § 8a BSIG zur Einhaltung der IT-Sicherheit nach dem Stand der Technik erbringen können.
Wesentlich ist, dass die Einhaltung der spezifischen bankaufsichtlichen Vorgaben wie MaRisk und BAIT generell nicht nur von der Aufsicht (d. h. für Banken von BaFin und Bundesbank sowie in Teilen auch der EZB-Bankenaufsicht), sondern auch von den zuständigen Jahresabschlussprüfern regelmäßig überprüft werden müssen. Um ungebührliche Belastungen kleiner Unternehmen zu vermeiden, enthalten die MaRisk sog. Öffnungsklauseln, mit denen die kleinen Institute von der Anwendung einzelner Anforderungen ausgenommen werden. Zudem hat die BaFin die jeweiligen Rundschreiben zur Präzisierung der gesetzlichen Vorgaben nach dem Grundsatz der Proportionalität gestaltet, wonach größere Unternehmen mit einem komplexeren und risikoreicheren Geschäftsmodell höheren Anforderungen unterliegen.
Die genannten Vorgaben sind zudem EU-weit harmonisiert (über sektorale EU-Regulierungsinstitutionen wie die Europäische Bankenaufsichtsbehörde EBA und vergleichbare EU-Behörden für die Versicherungs- und Wertpapieraufsicht) sowie weltweit abgesprochen über die Tätigkeit des Basler Ausschusses für Bankenaufsicht, das Financial Stability Board und die regelmäßigen Arbeiten im Kreis der Finanzminister auf G7-Ebene. Gerade auf internationaler Ebene werden aktuell Fragen der IT-Sicherheit durch zunehmende Vernetzung (Stichwort Cloud-Computing) sowie die z. T. auch staatlich organisierten, immer professioneller werdenden Hacker-Angriffe intensiv diskutiert. Ergebnis dieser Diskussion sind eine Vielzahl von Berichten und Handlungsempfehlungen, an denen sich die Unternehmen im Finanzsektor orientieren. Während die großen Unternehmen eigenständig die immer neuen Vorgaben analysieren, nehmen die Verbände und auch die IT-Dienstleister dies den kleineren Unternehmen ab. Ein solcher Regulierungs- und Umsetzungsansatz wäre möglicherweise ein Vorbild für den Gesundheitssektor.