Source: Bundesanstalt für Finanzdienstleistungsaufsicht
Die Finanzminister und Notenbankgoverneure der G7 haben die „G7 Fundamental Elements of Collective Cyber Incident Reponse and Recovery in the Financial Sector” (FE CCIRR) verabschiedet. Dieses Grundsatzpapier für die international koordinierte Bewältigung von Cyberkrisen im Finanzsektor ist unter dem erstmaligen Vorsitz der BaFin entstanden, die die Arbeiten gemeinsam mit der Banque de France leitete. Das BaFin–Team um Abteilungsleiter Jens Obermöller koordinierte im Rahmen der deutsch-französischen Zusammenarbeit über ein Jahr hinweg die entsprechenden Arbeiten der G7 Cyber Expert Group, die sich aus hochrangigen Vertretern der Finanzministerien, Zentralbanken und nationalen Aufsichtsbehörden der G7-Staaten zusammensetzt. Beteiligt waren auf BaFin-Seite auch Dr. Simon Schumacher, Lucas Pausewang und Aaron Goldmann. „Die Cyber Expert Group ist das einzige G7-Gremium mit BaFin-Beteiligung. Umso mehr freue ich mich, dass wir mit dem gelungenen Abschluss der Arbeiten auch auf dieser Ebene einen Beitrag zur Cyberresilienz des globalen Finanzsektors leisten konnten“, sagt Jens Obermöller.
Ganzheitlicher Ansatz
Die unter BaFin-Mitvorsitz entwickelten FE CCIRR bieten erstmals eine umfassende Anleitung für den Aufbau und die zentralen Elemente einer koordinierten Reaktion auf Cybervorfälle im Finanzsektor. „Wir haben einen Instrumentenkasten entwickelt, der die wichtigsten Eckpfeiler beleuchtet und eine starke Praxisnähe hat, zugleich aber auch ausreichend Flexibilität bietet, um unterschiedliche Communities zur gemeinsam koordinierten Cybervorfallsreaktion zu etablieren – denn Cyberresilienz ist ein ganzheitliches Thema“, sagt Aaron Goldmann. Das Dokument strukturiert die kollektive Krisenreaktion entlang eines durchdachten Drei-Säulen-Modells:
- Etablieren: Klare Strukturen und Vorgaben zur Governance schaffen die organisatorischen Grundlagen für effektive Zusammenarbeit zwischen allen Beteiligten.
- Verwenden: Konkrete Protokolle für den Krisenfall ermöglichen eine schnelle und abgestimmte Reaktion auf besonders schwerwiegende Cybervorfälle. Diese operativen Elemente stellen sicher, dass alle Beteiligten wissen, wie im Ernstfall zu handeln ist.
- Aufrechterhalten: Regelmäßige Übungen und kontinuierliche Weiterentwicklung gewährleisten, dass die Koordininationsmechnismen funktionsfähig bleiben und sich an neue Bedrohungslagen anpassen können.
Diese systematische Herangehensweise fördert eine Harmonisierung der koordinierten Reaktion auf Cyberkrisen in den G7-Ländern und darüber hinaus und stärkt so die Resilienz des internationalen Finanzsektors.
Erweiterung des G7-Instrumentariums
Die FE CCIRR ergänzen die bereits bestehenden G7 Fundamental Elements z.B. zu Cybersicherheit im Finanzsektor, Ransomware, Threat-Led Penetration Testing und Cyber Exercise Programs. Als unverbindliche Grundsatzdokumente zielen sie darauf ab, eine größere Konvergenz zwischen verschiedenen nationalen Ansätzen zur Cybersicherheit zu erreichen.
Die G7 Cyber Expert Group, die seit 2015 die Cybersicherheitspolitik koordiniert und auch Industrievertreter einbezieht, stärkt mit dem unter BaFin-Mitvorsitz entwickelten Dokument ihre Rolle als zentrale Plattform für internationalen Informationsaustausch und koordinierte Vorfallsreaktion im Cyberbereich.
„Aufgrund ihrer direkten Berichtslinie an die G7-Finanzminister und -Notenbankgoverneure ist die Cyber Expert Group bei zentralen Themen ein wertvoller Impulsgeber. Durch unser intensives Engagement können wir dort wichtige Akzente setzen“, resümiert Obermöller.