Hannemann/Biewer/Kocatepe/Zaruk/Weigl, MaRisk AT 7.2 Tec ... / 4.6 Aufsichtliche Überprüfung

Rz. 200

Die Aufsichtsbehörden nutzen verschiedene Möglichkeiten, um sich über den Umgang der Institute mit IKT- und Sicherheitsrisiken zu informieren. Neben Vor-Ort-Prüfungen und der Berücksichtigung im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (Supervisory Review and Evaluation Process, SREP) verschicken sowohl die EZB als auch die BaFin an die von ihnen beaufsichtigten Institute Fragebögen, mit deren Hilfe das Management dieser Risiken auf Basis einer Selbsteinschätzung näher beleuchtet wird. Wie nicht zuletzt aus diesen Umfragen ersichtlich ist, werden die von der EBA vorgegebenen fünf Risikokategorien (IKT-Sicherheitsrisiko, IKT-Änderungsrisiko, IKT-Datenintegritätsrisiko, IKT-Verfügbarkeits- und Kontinuitätsrisiko, IKT-Auslagerungsrisiko) von den Aufsichtsbehörden berücksichtigt.

Rz. 201

Die Ergebnisse einer EZB-Umfrage im Rahmen des SREP ("IT Risk Questionnaire", ITRQ), die im ersten Quartal 2019 durchgeführt wurde, sind am 24. Juli 2020 veröffentlicht worden.^[1] Zudem hat die EZB die Institute und Verbände am 19. November 2020 im Rahmen einer Videokonferenz detailliert über die wesentlichen Erkenntnisse aus dieser Umfrage informiert. Verbesserungsbedürftig sind demnach insbesondere das Datenqualitätsmanagement und das IT-Risikomanagement. Als bedenklich werden der Einsatz und das Management von End-of-Life-Systemen (EOL-Systemen) für kritische Prozesse eingeschätzt. Zudem wird auf die besonderen Gefahren hingewiesen, die mit IT-Auslagerungen inklusive Cloud-Aktivitäten verbunden sind, sowohl durch Verluste aufgrund der Nichtverfügbarkeit oder schlechten Qualität der ausgelagerten Dienstleistungen als auch durch damit verbundene Risikokonzentrationen. Die EZB bezeichnet es daneben als wünschenswert, dass alle kritischen IT-Funktionen der Insti...