Herr Hufeld, sind Sie schon einmal Opfer einer Cyberattacke geworden?Ich wurde tatsächlich schon von Cyberkriminellen angegriffen. Aber das war vor Jahren. Ich habe einmal nicht aufgepasst und mir eine Verschlüsselungs-Software auf den PC geladen – und sollte 250 Euro zahlen, um meine Daten wiederzuerhalten. Sie sehen: Solche Ransomware wie den jetzt Schlagzeilen produzierenden WannaCry-Virus gibt’s schon lange.

Und? Haben Sie bezahlt?Natürlich nicht!

Sie wissen somit aus eigener Erfahrung, dass Cyberkriminalität kein neues Phänomen ist. Warum kümmert sich die BaFin erst jetzt intensiver um das Thema?Die IT-Risiken haben noch einmal erheblich an Bedeutung gewonnen – bis hin zu systemweiten Bedrohungslagen. Wir müssen jetzt den Regler bei den Vorsorgemaßnahmen hochfahren und brauchen konkretere Standards und aufsichtsrechtliche Anforderungen. Das Risikomanagement für IT-Sicherheit muss auf ein anderes Normalnull-Niveau angehoben werden. So funktioniert Aufsicht in einer regulierten Industrie: Man versucht, bestimmte Niveaus zu etablieren. Das haben wir bei klassischen Finanzaufsichtsthemen ja auch getan. Es wäre ein gewaltiger Fehler, wenn wir das bei der IT-Sicherheit unterlassen würden.

Sie haben jüngst ja schon scharfe Kritik an der IT-Sicherheit im Finanzsektor geübt …Diese Aussagen beziehen sich zunächst einmal allein auf die Banken. Dort haben die Bundesbank und wir bereits eine ganze Reihe von Überprüfungen durchgeführt. Und der Befund ist eindeutig: Es gibt erheblichen Nachholbedarf in Sachen IT-Sicherheit.

Das Risikomanagement für IT-Sicherheit muss auf ein neues Niveau angehoben werden

Felix Hufeld, Präsident der BaFin

Stehen die Versicherer besser da?Wir haben bei den Versicherungsunternehmen bisher noch keine spezifischen Sicherheitsprüfungen durchgeführt. Damit werden wir erst noch starten. Allerdings haben wir eine eindeutige Arbeitshypothese.

Die da lautet?Dass wir dort exakt die gleichen Befunde haben werden wie auf der Bankenseite.

Warum? Die Assekuranz ist – anders als Banken, die online ständig große Summen bewegen – wohl kaum so bedroht von Cyber-Gangstern.Ich kann keine grundsätzlich andere Bedrohungslage erkennen. Wenn ein Versicherer keine Schäden mehr abwickeln kann, weil Daten gelöscht oder verschlüsselt sind, bedeutet das ein großes Erpressungspotenzial. Abgesehen davon hat auch ein Versicherer ziemlich viel Cash. Was allerdings bei den Banken – anders als bei Versicherern – noch hinzukommt, da gebe ich Ihnen recht, ist der Zahlungsverkehr.

Bislang teilen sich die Aufsichtsbehörden die Aufgabe: Für die IT-technische Sicherheit ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig, um die finanziellen und organisationstechnischen Belange kümmert sich Ihr Amt. Ändert sich das jetzt?Grundsätzlich nicht. Die Rollen sind komplementär: Das BSI ist das Kompetenzzentrum für die IT-Technik. Wir verkörpern die finanzaufsichtliche Perspektive. Dazu gehört der Blick auf das große Ganze…

… zu dem plötzlich technische Aspekte zählen?Uns interessiert daran das Risikomanagement. Der WannaCry-Virus hat uns wieder einmal vor Augen geführt, wie verletzlich IT-Systeme sein können. Es geht dabei nicht alleine um reine Gefahrenabwehr, sondern um umfassende digitale Sicherheit: Bedrohungen für die Stabilität einzelner Finanzunternehmen oder gar des gesamten Systems können sich ja nicht nur durch kriminelle Attacken ergeben. So hatten wir vor einigen Wochen in einem großen Bankhaus durch eine unglückliche Verkettung von Umständen eine Dauerschleife von Überweisungen, die zunächst niemand stoppen konnte. Wenn dann zum Beispiel alle 60 Sekunden große Beträge überwiesen werden, kann sich das schnell auf Milliardensummen aufaddieren – und die Bank als solche bedrohen. Der Fall zeigt: Wir brauchen mehr Standards für den verlässlichen Betrieb von IT-Systemen, für Controlling-Routinen sowie auch für Notfälle und Schadenbeseitigung.

Diese Standards haben Sie kürzlich für die Banken in eine Form gegossen: Mit den „Bankaufsichtlichen Anforderungen an die IT“, kurz BAIT, will die BaFin künftig die Kreditinstitute in die Pflicht nehmen. Kommen die Versicherungen auch dran? Ich hoffe, wir können bis Ende 2018 einen entsprechenden Anforderungskatalog auch für Versicherungen verabschieden.

Deutsche Versicherer legen ihr Augenmerk auf höchste IT-Sicherheit. Mit einem eigenen Krisenreaktionszentrum für Cybergefahren oder der sicherheitszertifizierten Cloud TGIC marschiert die Branche voran. Sehen Sie da keine Unterschiede?Es kann sein, dass es durch die langjährigen Vorarbeiten des GDV und seiner Gremien bei den Versicherern in Teilbereichen besser aussieht. Aber ich wäre sehr verwundert, wenn wir quer über Hunderte von Unternehmen nicht auch ein sehr heterogenes Bild bei der IT-Sicherheit vorfinden. Wir haben es eben mit einer relativ neuen und unglaublich schnell wachsenden Bedrohungslage zu tun. Deswegen bin ich mir absolut sicher, dass auch bei den Versicherern einiges zu tun ist.

Hat die Branche also bislang zu wenig getan?Der GDV und seine Tochtergesellschaften haben ganz sicher positive Benchmarks für Datensicherheit, Datenübertragungsqualität bis hin zur Krisenreaktion gesetzt. Das steht ganz außer Frage. Ich gehe auch davon aus, dass wir dort weitere Dinge aufsatteln können, die dringend gebraucht werden – und das ist positiv. Worüber wir aber jetzt zusätzlich reden müssen, ist eine Weiterentwicklung regulatorischer Anforderungen, das Setzen neuer Anforderungen.

Wo vermuten Sie die größten Lücken bei der IT- Sicherheit von Versicherungsunternehmen?Es gibt – wie auch bei den Banken – einen extremen Wildwuchs alter Systeme. Diese haben in Sachen Betriebssicherheit oder auch Verlässlichkeit der Ergebnisse eine kaum mehr händelbare Komplexität entstehen lassen. Ich vermute, dass wir auch deshalb in der Versicherungswelt eine gewisse Störanfälligkeit haben.

Gerade IT-Altsysteme gelten ja eigentlich als vergleichsweise sicher, weil sie meist noch nicht mit dem Internet verbunden sind.Ich habe da meine Zweifel. Es geht weniger um das Gekapselte oder das Alte, sondern um die Komplexität, die über die Jahre in den Häusern entstanden ist. Zudem müssen Versicherer sich ja heute ganz anders vernetzen: per Internet-Applikationen jeglicher Art und Güte, egal ob an der Kundenschnittstelle oder mit Dienstleistern im Backoffice-Bereich. Dritt-Dienstleister wie Rechenzentren können ebenfalls zu einem gestiegenen Risiko führen. Das ist bei Versicherungen grundsätzlich nicht anders als bei den Banken.

Auch Ihre Behörde hortet jede Menge sehr sensibler Daten. Wie ist es denn eigentlich um die IT-Sicherheit der BaFin bestellt?Wir bemühen uns selbstverständlich, immer auf dem aktuellen Stand zu bleiben. Die Anforderungen sind hoch. Wir geben auch viel Geld für IT-Sicherheit und Gefahrenabwehr aus. Natürlich können auch wir Ziel von Attacken werden. Im Kleinen sind wir das übrigens pausenlos: Ich erhalte pro Woche fünf bis zehn Spam-Mails, die nicht von unseren Schutzfiltern herausgefischt werden – aus welchen Gründen auch immer. Wenn ich das nicht erkenne und versehentlich auf den Anhang klicke, würde ich mir sofort wieder irgendeine Schadsoftware einhandeln. Aber inzwischen bin auch ich schlauer geworden.

Felix Hufeld ist Präsident der Bundesanstalt für Finanzdienstleistungsaufsicht, kurz BaFin. Die Behörde überwacht die Geschäfte der deutschen Banken und Versicherer. Der 56-jährige Jurist war bei der BaFin für die Versicherungsaufsicht zuständig, bevor er 2015 ihr neuer Präsident wurde. Hufeld arbeitete lange Jahre als Unternehmensberater, dann von 2001 bis 2010 als CEO von Marsh.