Vor rund einem Jahr ist das IT-Sicherheitsgesetz in Kraft getreten, mit dem systemrelevante IT-Strukturen geschützt werden sollen. Auch wenn Banken von den Regelungen für kritische Infrastrukturen bis dato noch nicht betroffen sind, sollten die Verantwortlichen sich trotzdem bereits jetzt vorbereiten. Denn das Gesetz soll voraussichtlich zum 1. Juli 2017 auf den Bankensektor erweitert werden.Sobald klar ist, welche Bereiche von der Erweiterung des IT-Sicherheitsgesetzes (der sogenannten Kritis-Verordnung des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI) betroffen sind, müssen alle Banken prüfen, ob sie entsprechende Schutzmaßnahmen ergreifen müssen oder nicht. Deren Umfang wird stark davon abhängen, inwieweit es zu erheblichen Versorgungsengpässen oder zu einer Gefährdung der öffentlichen Sicherheit kommen könnte, wenn die betroffenen Dienstleistungen der Banken beeinträchtigt werden oder ganz ausfallen. Relevant sind in diesem Zusammenhang vor allem die IT-Systeme der Banken, die für die Bargeldversorgung der Bevölkerung oder den (kartengestützten) Zahlungsverkehr maßgeblich sind. Im Umkehrschluss bedeutet das jedoch, dass zum Beispiel reine Investmentbanken von der BSI-Kritis-Verordnung aller Voraussicht nach nicht betroffen sind. Gleiches gilt für kleinere Banken, da es in der Verordnung einen Schwellenwert geben wird, ab dem die IT-Systemrelevanz greift. Für Krisenfall vorsorgenBanken, die unter die Verordnung fallen, müssen ihre IT-Systeme innerhalb von zwei Jahren so schützen, dass ihre IT-Systeme, Komponenten und Prozesse auch im Krisenfall funktionieren und neben ihrer Verfügbarkeit auch die Integrität, Authentizität und Vertraulichkeit sichergestellt sind – aber nicht um jeden Preis. Das Gesetz legt fest, dass der Aufwand für die IT-Sicherheit im Verhältnis zu den Folgen einer Beeinträchtigung oder eines Ausfalls der betroffenen IT-Systeme stehen muss. Mindeststandards für die von Kritis betroffenen Banken hat das Bundesamt für Sicherheit in der Informationstechnik jedoch bis dato nicht formuliert.Letztendlich wird es daher immer eine Einzelfallentscheidung bleiben, ob eine Bank die Anforderungen des Gesetzes erfüllt oder nicht. Eines ist aber bereits jetzt sicher: Die Anforderungen an die Maßnahmen, die Banken im Zuge des IT-Sicherheitsgesetzes umsetzen müssen, werden mindestens denen entsprechen, die die Banken bei ihren bereits bestehenden Compliance-Verpflichtungen nach dem MaRisk, dem Gesetz über das Kreditwesen oder anderen Vorgaben der BaFin zu erbringen haben. Auch ist davon auszugehen, dass die einschlägigen Standards wie die verschiedenen ISO-Normen der 27000er Reihe oder der IT-Grundschutz des BSI in der entsprechenden Ausprägung für den Bankensektor ebenfalls gelten werden. Vorteil für BankenDer Vorteil für Banken ist, dass sie diese Maßnahmen im Wesentlichen bereits einhalten (müssen). Das belegt auch die Kritis-Sektorstudie, die Banken einen sehr hohen, wenn auch uneinheitlichen IT-Sicherheitsstandard bescheinigt. Fakt ist: Banken, für die das IT-Sicherheitsgesetz nach der Erweiterung greift, müssen also keine wesentlichen technischen Änderungen vornehmen. Gleichwohl müssen sie aber künftig alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen, dass sie die Anforderungen des IT-Sicherheitsgesetzes erfüllen. Zudem müssen die Banken die entsprechenden Ergebnisse an das BSI übermitteln. Meldepflicht eingeführtUnverzüglich und technisch genau müssen Banken dem BSI zudem melden, wenn es erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit bei den Systemen gibt, die unter das IT-Sicherheitsgesetz fallen. Über diese Meldepflicht war während des Gesetzgebungsverfahrens heiß diskutiert worden. Letztlich entschied sich der Gesetzgeber jedoch dafür. Denn eine Sammlung der entsprechenden Störfälle beim BSI soll helfen, großflächig angelegte Angriffe zu analysieren und bei Einzelfallangriffen der gesamten Branche zu helfen, wenn diese an einer zentralen Stelle gesammelt und analysiert werden.Im Ergebnis lässt sich sagen, dass sich für den Bankensektor nach einem Jahr IT-Sicherheitsgesetz noch keine epochalen Veränderungen ergeben haben. Das liegt zum einen daran, dass Banken im Gesetz bis dato noch gar nicht erfasst wurden. Zum anderen aber auch daran, dass Banken bereits gut auf die Anforderungen des Gesetzes vorbereitet sind. Auf diesen Lorbeeren sollten sich die Banken aber nicht ausruhen! Schon mit Blick auf seine Compliance-Verpflichtungen sollte jeder Vorstand einer Bank die Entwicklungen im IT-Sicherheitssektor immer im Blick behalten, um gegebenenfalls nachsteuern zu können. Denn auch wenn das IT-Sicherheitsgesetz für Banken aktuell noch keine unmittelbare Anwendung findet – mit der Kritis-Verordnung wird sich das ändern. Unabhängig davon verletzt ein Vorstand durch mangelhafte IT-Sicherheit immer seine Pflicht zum Risikomanagement. Dafür kann er im Fall der Fälle sogar persönlich haftbar sein.—-Dr. Philip Kempermann, LL.M., Rechtsanwalt und Partner bei Heuking Kühn Lüer Wojtek