FONDS professionell Österreich, Ausgabe 1/2020

Foto: © Michail Petrov | stock.adobe.com W enn die Finanzmarktaufsicht FMA ihre jährlichen Prüfschwerpunkte bekannt gibt, ist ihr Aufmerksamkeit garantiert. Schließlich arbeitet die Behörde weitgehend nach dem Prinzip „Mahnen vor Strafen“. Wer vorbereitet ist, erspart sich daher viel Aufwand. Bei der Präsentation Ende des Vorjahres machte die FMA klar, dass sie heuer den bereits länger existierenden Fokus auf die IT-Sicherheit noch einmal schärfen wird: Diesmal wollen die Prüfer besonders die obersten Führungskräfte in den beaufsichtig- ten Unternehmen unter die Lupe nehmen. Es soll analysiert werden, ob die IT-Sicherheit tatsächlich, wie von der Behörde gefordert, an der Spitze verankert ist und ob Notfallmaß- nahmen von ganz oben gesteuert werden. FONDS professionell hat nachgefragt, worauf geachtet wird. Auch Wissen gefragt Dabei wird klar, dass die Behörde nicht nur prüft, ob die Geschäftsleitung ein geeignetes strategisches Konzept für den Ernstfall in der Schublade hat. Sie erwartet offenbar auch ge- wisse Wissenskompetenzen. „Die Geschäfts- leiter müssen auf jeden Fall die diesbezügli- chen regulatorischen Vorgaben kennen“, heißt es gegenüber der Redaktion aus der zuständi- gen Fachabteilung. Was die grundsätzliche Strategie betrifft, erwartet sich die FMA, dass die Unternehmensführung über adäquate Or- ganisationsstrukturen und Ausstattung verfügt und dass Steuerung und Überwachung gere- gelt sind. Wichtig ist, dass sich die Führungs- ebene laufend berichten lassen muss. Sie muss auch selbst überwachen, ob die Vor- gaben eingehalten werden. Eigeninitiative ist also angesagt. Stellt die FMA Mängel fest, können diese innerhalb einer vorgegebenen Frist behoben werden. Ohne Verbesserung drohen Ermah- nung, später „empfindliche Verwaltungs- strafen“ und als letzte Konsequenz eine Ab- berufung der Geschäftsleiter oder überhaupt ein Konzessionsentzug. Im – für Cyberkriminelle besonders inter- essanten – Finanzdienstleistungsbereich müsse IT-Sicherheit „Chefsache“ sein, heißt es aus der Behörde. „Angesichts der rasant fort- schreitenden Digitalisierung ist IT-Sicherheit ein gravierendes operationales Risiko“, so die Experten. Das heißt übersetzt: Weil die An- griffe immer professioneller werden, droht im schlimmsten Fall ein Systemzusammenbruch. Dergleichen hat man bereits bei Industrie- unternehmen gesehen, deren gesamte Produk- tion für Tage lahmgelegt wurde. Auch im Finanzbereich werden solche Gefahren immer realer. Eine Digitalisierungsstudie der FMA zeigt, dass die Anzahl der tatsächlich erfolg- reichen Angriffe im Sektor zuletzt gesunken ist; die damit verbundenen Kosten sind hin- gegen gestiegen. Wenn also etwas passiert, dann ist der Schaden groß. Man müsse davon ausgehen, dass die Attacken immer „sophisti- zierter“ werden, sagen die FMA-Experten. VgV und WPV auch im Fokus Auf vertiefte IT-Prüfungen müssen sich nicht nur Großkonzerne wie Banken und Ver- sicherungen einstellen. Im Wertpapierdienst- leistungsbereich wird ebenso hingeschaut. Seit zwei Jahren kann die Behörde ja auch direkt bei Wertpapiervermittlern (WPV) und vertrag- lich gebundenen Vermittlern (VgV) zur Prü- fung anklopfen. Für die Aufsicht sind beson- ders die Schnittstellen zwischen Haftungsdä- chern und Vermittlern interessant. Im Bereich VgV/WPV/Haftungsdächer habe es bereits in den vergangenen zwei Jahren einigen Verbes- serungsbedarf gegeben, sagte der ehemalige FMA-Chef Klaus Kumpfmüller im Dezember gegenüber der Redaktion. Offenbar zählten auch IT-Belange dazu: Sowohl bei den Ver- triebsunternehmen als auch bei den Haftungs- dächern habe man „Awareness“ schaffen müssen für Risiken, die durch die externe Anbindung entstehen, heißt es nun gegenüber FONDS professionell. Prinzipiell werde bei den VgV und WPV geschaut, wie die Ver- Auch Wertpapiervermittler sollten sich in nächster Zeit besonders Gedanken über die IT-Sicherheit machen. Die FMA will hier im Jahr 2020 genau prüfen. Sicherheits -Inspektion Die gute alte Schreibmaschine interessiert die FMA bei den diesjährigen Vor-Ort-Prüfungen wohl weniger. Vielmehr wird die digitale Sicherheit im Jahr 2020 großgeschrieben. Auch Lebensversicherungen rücken in den Fokus. » Angesichts der rasant fortschreitenden Digitali- sierung ist IT-Sicherheit ein gravierendes operationales Risiko. « Finanzmarktaufsicht (FMA) 270 www.fondsprofessionell.at | 1/2020 steuer & recht I it-sicherheit