COMPLIANCEdigital
Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast

Neu auf COMPLIANCEdigital

Compliance-Partner intern

mehr …

Literatur-News

mehr …

MaRisk: Beaufsichtigte Unternehmen bei Heartbleed Bug & Co. in der Pflicht

In einer aktuellen Stellungnahme konkretisiert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihre Erwartung an beaufsichtigte Unternehmen, mit angemessenen Sicherheitsmaßnahmen auf IT-Sicherheitslücken wie - im aktuellen Anlass - dem Heartbleed-Bug zu reagieren.

Bezugnehmend auf die Anfang April bekannt gewordene, schwerwiegende Sicherheitslücke in bestimmten Versionen der Verschlüsselungssoftware OpenSSL könnten insbesondere Zugangsdaten wie Benutzernamen oder Passwörter ausgespäht werden. Auch sei es unter bestimmten Voraussetzungen möglich, Datenverkehr nachträglich zu lesen, falls man sich Zugang zu privaten Schlüsseln verschafft habe – dabei seien alle Dienste von Email-Verkehr bis Online-Banking betroffen. Ein Ausspionieren dieser Daten hinterlasse nur in seltensten Fällen Spuren auf betroffenen Systemen.

Finanzdiensleister über MaRisk BA/VA und InvMaRisk in der Verantwortung

Für die Banken-, Versicherungs- und Wertpapieraufsicht, so der explizite Hinweis der Bundesanstalt, seien die Anforderungen an die IT-Sicherheit der beaufsichtigten Unternehmen in den Rundschreiben „Mindestanforderungen an das Risikomanagement“ (MaRisk BA/VA) bzw. „Mindestanforderungen an das Risikomanagement für Investmentgesellschaften (InvMaRisk)“ gefasst. Insbesondere werde darin unter Verweis auf gängige Standards ein angemessenes IT-Sicherheitsmanagement gefordert. Neben der Erwartung an einschlägige Unternehmen, angemessene IT-Sicherheitsmaßnahmen zu definieren und umzusetzen seien alle entsprechenden Maßnahmen regelmäßig und anlassbezogen zu überprüfen. Dies beinhalte gegebenenfalls auch, Krypto-Konzepte, Systemarchitektur und die Implementierung der Anwendungen zu überprüfen.

Auskunftserwartung bei kritischen IT-Sicherheitsvorfällen

Falls durch den Heartbleed-Bug oder auch vergleichbare Sicherheitslücken wesentliche Schäden bzw. kritische IT-Sicherheitsvorfälle aufgetreten seinen, heißt es in der Meldung weiter,  so erwarte man, dass die beaufsichtigten Unternehmen die zuständige Fachaufsicht informieren.

Das aktuelle Schreiben im Wortlaut können Sie auf den Seiten der BaFin abrufen.

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2025 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Erich Schmidt Verlag        Zeitschrift für Corporate Governance        Consultingbay        Zeitschrift Interne Revision        Risk, Fraud & Compliance