Cybersicherheit und IT-Fraud im Fokus der Aufsichtund Internen Revision in Kreditinstituten

Beschreibung

Cybersicherheit/ IT-Fraud führt in der deutschen Wirtschaft zu hohen Schäden in
den Unternehmen unterschiedlichster Branchen (203 Mrd. EUR in 2022 – Quelle
Bitcom e.V.). Sowohl für die Bereiche der Informationssicherheit und der
Internen Revision zwingt die IT-Risikolage – die mittlerweile auch aus Sicht der
Aufsicht ein bedeutendes Risiko darstellt – zum Umdenken.

In Konsequenz wird gerade die Finanzindustrie mit höheren regulatorischen
Anforderungen wie DORA konfrontiert. Auch das Bundesamt für
Informationssicherheit hat aufgrund der Bedrohungslage ein Handbuch für das
Management von Cyber-Risiken in 2023 mit wertvollen Umsetzungshinweisen
veröffentlicht. Die aus dem DIIR-Standard Nr. 5 dargestellte Konzept zum Anti-
Fraud Management wird in Bezug auf Cyberrisiken/ IT-Fraud dargestellt.

Abgeleitet werden Handlungs- und Prüfungsansätze für die Bereiche
Informationssicherheit, Interne Revision und Fraud-Prävention. Praktische
Erfahrung ergänzen die Ausführungen.

Inhalte

Einleitung/ Aktuelles

  • Entwicklung IT-Fraud
  • Erkenntnisse

Neue regulatorische Entwicklungen (DORA)/ Abgleich mit den BAIT

  • IT-Risikomanagement
  • IT-Vorfallmeldewesen
  • Tests der digitalen operationalen Resilienz
  • IKT-Drittparteirisikomanagement

BSI-Handbuch Cybersecurity

  • Cyber-Sicherheit nicht nur als IT-Thema, sondern als Baustein des unternehmensweiten Risikomanagements
  • Rechtliche Auswirkungen von Cyber-Risiken verstehen
  • Zugang zu Cyber-Sicherheitsexpertise sowie regelmäßigen Austausch sicherstellen
  • Umsetzung geeigneter Rahmenbedingungen sowie Ressourcen für das Cyber-Risikomanagement sicherstellen
  • Risikoanalyse erstellen sowie Definition von Risikobereitschaft in Abhängigkeit von Geschäftszielen und -strategien
  • Unternehmensweite Zusammenarbeit und den Austausch von Best Practice fördern

Anti Fraud-Management Systeme

  • Fraud vorbeugen (Fraud Prevention)
  • Fraud aufdecken (Fraud Detection)
  • Fraud bei Hinweisen oder im Verdachtsfall strukturiert aufarbeiten
  • Auf offenbar gewordene Fraud-Fälle angemessen reagieren
  • AFM als integraler Bestandteil eines organisationsweiten Compliance- Management-Systems mit präventiver, proaktiver und reaktiver Komponente

To-Do´s

  • Verstärkung der Fraud-Prävention
  • Verstärkte IT-Risikoorientierung
  • Anpassung der regulatorischen Compliance
  • Anpassung des risikoorientierten Prüfungsplans der Internen Revision
  • Verstärkung der Informationssicherheit

    Teilnehmerkreis: Vorstände, Aufsichtsräte (Verwaltungsräte), Führungskräfte/Mitarbeiter der Internen Revision, Informationssicherheitsbeauftragte, externe Revision, Aufsicht, Mitarbeiter von Beratungsunternehmen

    Voraussetzungen: Basiswissen im Bereich der IT und IT-Regulatorik sind für die Teilnahme von Vorteil.