Was ist MaRisk?

Risikomanagement ist ein kritischer Aspekt in der Bekämpfung von Finanzkriminalität und im Datenschutz. Die BaFin ist die übergeordnete Aufsichtsbehörde für den deutschen Finanzsektor mit den Schwerpunkten Risikomanagement, Geschäftskontinuität, Risikoabbau, Outsourcing von Risiken, Zusammenarbeit mit Regulierungsbehörden, Datenmanagement, Datensicherheit und Vertraulichkeit. MaRisk (Mindestanforderungen an das Risikomanagement) ist eine Initiative der BaFin, die die Mindestanforderungen an die Compliance im Risikomanagement definiert.

Die MaRisk orientieren sich an § 25a Abs. 1 des KWG, der „besondere organisatorische Pflichten, Bestimmungen für Risikoträger; Verordnungsermächtigung“ betrifft. § 25a bezieht sich auf Artikel 88 der Richtlinie 2013/36/EU, welche die Erwartungen an interne Unternehmensführungs- und Kontrollstrukturen der betroffenen Einrichtungen im Finanzdienstleistungssektor umfasst.

Die MaRisk sind ein Regelwerk zur Umsetzung von Finanzgeschäften in Deutschland. Der Schwerpunkt liegt auf dem Abbau von Risiken im Finanzsektor in Deutschland und weltweit, da deutsche FIs (Finanzinstitute) international agieren. 

Die MaRisk umfassen Richtlinien für das sichere Funktionieren und die Integrität des deutschen Finanzsystems. Es handelt sich dabei um eine Verwaltungsvorschrift, die als aufsichtlicher Überprüfungs- und Bewertungsprozess für Banken fungiert, die unter die zweite Säule von Basel IIIfallen.

Die MaRisk sind ein umfangreiches Rahmenwerk, das die Bereiche Finanzrisiken im internen Risikomanagement und das Outsourcing von Risiken abdeckt. Betroffene Einrichtungen unterliegen der Aufsicht der BaFin. Das umfasst Banken, Versicherungsgesellschaften und Wertpapiere.

Die MaRisk bieteen ein umfangreiches Rahmenwerk für den Abbau von Risiken bei Aktivitäten von Finanzunternehmen. Dazu gehört auch der Schutz ihrer Umgebungen vor Malware, Phishing und unbefugtem Zugriff. Die Akamai Security Solutions bieten Informationen und End-to-End-Schutz, um Finanzdaten vor Angriffen und unbeabsichtigter Offenlegung zu schützen und so Risiken im Zusammenhang mit MaRisk-Cybersicherheitskontrollen zu minimieren. Die Sicherheitsplattform von Akamai bietet die dynamische Sicherheit, die für die Bereitstellung von Zero-Trust-Prinzipien zum Datenschutz in der erweiterten Lieferkette erforderlich ist. Akamai unterstützt Ihre Sicherheitsteams dabei, die Effektivität und den ROI Ihrer Sicherheitsinvestitionen zu maximieren, indem es über die herkömmliche Endpoint Detection hinausgeht und eine leistungsstarke Zero-Trust-Lösung für die Sicherheit und den Datenschutz bereitstellt. 

Akamai bietet:

• Eine globale Sicherheitsplattform, die Zero-Trust-Sicherheit mit umfassender Abdeckung Ihrer IT-, IoT- und OT-Umgebung durchsetzt
• Umfassende Transparenz von Assets, Zugriffen und Netzwerkflüssen
• Detaillierte Durchsetzung von Sicherheitsrichtlinien

Die MaRisk wurden erstmals im Dezember 2005 veröffentlicht. Grund für die Veröffentlichung war das Rahmenwerk Basel II des Baseler Ausschusses für Bankenaufsicht. Die Grundsätze von Basel II und jetzt auch von Basel III spiegeln sich in § 25a Abs. 1 KWG und den MaRisk wider.

Die MaRisk waren eine Initiative der BaFin, in der vorhergehende Rahmenwerke zum Risikomanagement in einem umfassenden Rahmenwerk zum Risikomanagment zusammengeführt wurden. Darüber hinaus wollte die BaFin diese anderen Nischenrahmenwerke unter Einbeziehung der Regelungen aus Basel II und der Bankenrichtlinie modernisieren.

Seit 2005 wurden mehrere Änderungen vorgenommen und neue Anforderungen eingeführt. Die aktuellsten drei umfassen:

• Technische Anforderungen an die Risikodatenaggregation und Aktualisierungen mit Fokus auf dem Outsourcing von Risiken mit einer neuen zentralen Anforderung an das Outsourcing-Management-System. (MaRisk-Änderung 2017) 
• Anpassung der MaRisk an die Richtlinien der EBA, die einige ICT-Cybersicherheitsrisiken umfassten. (MaRisk-Änderung 2021)

Integration der ESG-Anforderungen der an das Risikomanagement in das allgemeine Rahmenwerk zum Risikomanagement. Die Einbeziehung kleiner und mittlerer Banken und Finanzinstitute in die Kreditüberwachungsanforderungen der MaRisk im Rahmen der Richtlinien der EBA (MaRisk-Änderung 2022: Aktuelle und siebte Version der MaRisk)

Angriffe auf die Lieferkette und Datenrisiken sind ein Kernelement eines stringenten Managements der Auslagerung von Risiken in der MaRisk. AT 9 Auslagerung der MaRisk (Mindestanforderungen an das Risikomanagement) bietet FIs eine Anleitung zur Erfüllung der gesetzlichen Vorgaben zum Thema Auslagerungen gemäß § 25b des Kreditwesengesetzes. Das Kreditwesengesetz sieht vor, dass Finanzinstitute bei der Auslagerung von Projekten und Aufgaben „angemessene Vorkehrungen“ treffen, um Risiken zu vermeiden.

Das Risiko im Finanzsektor ist auf einem Rekordhoch: Hinweise auf Bedenken in Bezug auf Risiken stammen aus einer Umfrage der Bank of Englandin 79 % der Befragten Cyberangriffe als das besorgniserregendste Risiko für das britische Finanzsystem einstufen. Die MaRisk versucht durch ein Rahmenwerk, das den Bankensektor und die damit verbundenen Unternehmen dabei unterstützt, die Risiken ihrer Aktivitäten zu reduzieren, Abhilfe zu schaffen.

Banken und die MaRisk

Deutsche Banken haben in den letzten Jahren einen erheblichen Diebstahl von Daten erlebt. Ein Beispiel hierfür ist der Cyberangriff auf die Deutschen Bank aus dem Jahr 2022, bei dem 60 GB Kundendaten gestohlen wurden. Banken und andere Finanzunternehmen fallen unter das Kreditwesengesetz, die Kontrolle der BaFin und die MaRisk. Innerhalb der MaRisk legt das Dokument „Aufsichtsrechtliche Anforderungen an die IT in Finanzinstituten“ die Maßnahmen zur Erfüllung der Anforderungen an die IT-Sicherheit von Banken dar. Darüber hinaus verlangt die MaRisk von deutschen Banken die Sicherung ihrer Datenflüsse. Eine der jüngsten Änderungen der Verordnung beinhaltet die Ergänzung der Sicherheit im Bereich „Handelsgeschäfte im Home Office“, die einen Mindeststandard der IT-Sicherheit zur Gewährleistung der Vertraulichkeit der Daten erfordert. Über Zero-Trust-Prinzipien mit den geringstmöglichen Berechtigungen können Zugriffskontrollen an jedem Standort durchgesetzt werden, einschließlich Home Offices.

Cloudservice-Anbieter für Banken

„Die Lieferkette der Cloudservice-Anbieter im Bankensektor in Deutschland unterliegt der MaRisk. Cloudservice-Anbieter müssen die aufsichtsrechtlichen Anforderungen im Bereich IT erfüllen, um sicherzustellen, dass Kunden (Banken oder andere Finanzinstitute) Risikokontrollen implementieren, um sie ebenfalls einzuhalten. Eine Risikobewertung soll zeigen, dass Informationsrisikomanagement, Informationssicherheit und Notfallmaßnahmen vorhanden sind und der MaRisk und den damit verbundenen BAIT, sowie den Anforderungen der BaFin entsprechen. Cloud- und IT-Service-Anbieter bauen diese Bewertungen in der Regel in Kundenverträge ein. Cloudservice-Anbieter sollten für zuverlässige Zugriffskontrollen in einer verteilten Service-Architektur die Möglichkeiten von Zero-Trust-Ansätzen ausloten.

Finanzinstitute müssen sich an die umfassende Regelungen zum Risikomanagement in der MaRisk, den BAIT und anderen Initiativen der BaFin halten: Mit diesen Rahmenwerken steuert und verwaltet die BaFin die Risiken im Finanzsektor.

Die MaRisk ist eine Schwesterverordnung der BAIT (Bankaufsichtliche Anforderungen an die IT), wobei die BAIT auf Teilen der MaRisk aufbaut. In der BAIT werden die geeigneten technischen und organisatorischen Ressourcen für IT-Systeme, insbesondere die Informationssicherheits- und Notfallpläne im Finanzsektor, beschrieben. 2021 wurden die BAIT und Version 6 der MaRisk aktualisiert. 

Die Einhaltung der BAIT umfasst das Einhalten von Anforderungen der Leitlinien für das IKT- und Sicherheitsrisikomanagement der EBA (EBA/GL/2019/04), die 2020 in Kraft getreten sind. Die EBA-Leitlinien stellen eine Reaktion auf die wachsende Anzahl, Komplexität und das steigende Niveau von Cyberangriffen auf FIs dar. Darüber hinaus wurde in den aktualisierten Leitlinien der EBA auch die Vernetzung der Banken untereinander berücksichtigt.

Zwei neue Bereiche wurden in die BAIT integriert:

• Operative Informationssicherheit: Anforderungen an die Überwachung und Kontrolle der Informationssicherheit
• IT-Service-Kontinuitätsmanagement: Mindestanforderungen an das Geschäftskontinuitätsmanagement gemäß MaRisk AT 7.3

MaRisk 7.3 „Geschäftsfortführungsmanagement“ umfasst den Ausfall von IT-Systemen durch Cyberangriffe.

Die BaFin arbeitet daran, die Vernetzung der Anforderungen von EBA, BAIT und MaRisk sicherzustellen. So umfassen die Erweiterungen der neuesten Version der MaRisk Outsourcing-Leitlinien; daher erstreckt sich das IKT-Risikomanagement auch auf Anbieter der Lieferkette im Finanzsektor.

Die Vorschriften der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) überschneiden sich in vielen Bereichen. Dazu gehört auch der Schutz von IT-Systemen und Daten. Risikomanagement ist eine zentrale Eigenschaft von zuverlässiger Cybersicherheit. Die Sicherung der Finanzsysteme ist bei einem risikogesteuerten Ansatz im Bereich Finanzinfrastrukturen und -daten entscheidend. Die Lösungssuite von Akamai in den Bereichen Betrugsbekämpfung, Einhaltung gesetzlicher Anforderungen und Sicherheit bietet Ihnen die Tools, mit denen Sie die Einhaltung der MaRisk gewährleisten. Die preisgekrönten Sicherheitslösungen von Akamai umfassen Folgendes:

• Schutz von Anwendungen und APIs: DDoS verhindern und Vermögenswerte schützen
• Akamai Account Protector: Proaktive Erkennung und Blockierung betrügerischer menschlicher Aktivitäten und Kontoübernahmen unter Einsatz von fortschrittlichem maschinellem Lernen, Verhaltensanalysen und Reputationsheuristiken. 
• Zugriff und Autorisierung: Zero-Trust-Architektur vereinfacht die Compliance.