Die Finanzminister und Notenbankgoverneure der G7 haben die „G7 Fundamental Elements of Collective Cyber Incident Reponse and Recovery in the Financial Sector” (FE CCIRR) verabschiedet. Dieses Grundsatzpapier für die international koordinierte Bewältigung von Cyberkrisen im Finanzsektor ist unter dem Vorsitz der BaFin entstanden, die die Arbeiten gemeinsam mit der Banque de France leitete. Das BaFin-Team koordinierte im Rahmen der deutsch-französischen Zusammenarbeit über ein Jahr hinweg die entsprechenden Arbeiten der G7 Cyber Expert Group, die sich aus hochrangigen Vertretern der Finanzministerien, Zentralbanken und nationalen Aufsichtsbehörden der G7-Staaten zusammensetzt.
Ganzheitlicher Ansatz
Die FE CCIRR sollen erstmals eine umfassende Anleitung für den Aufbau und die zentralen Elemente einer koordinierten Reaktion auf Cybervorfälle im Finanzsektor bieten. Das Dokument strukturiert die kollektive Krisenreaktion entlang eines durchdachten Drei-Säulen-Modells:
- Etablieren: Klare Strukturen und Vorgaben zur Governance schaffen die organisatorischen Grundlagen für effektive Zusammenarbeit zwischen allen Beteiligten.
- Verwenden: Konkrete Protokolle für den Krisenfall ermöglichen eine schnelle und abgestimmte Reaktion auf besonders schwerwiegende Cybervorfälle. Diese operativen Elemente stellen sicher, dass alle Beteiligten wissen, wie im Ernstfall zu handeln ist.
- Aufrechterhalten: Regelmäßige Übungen und kontinuierliche Weiterentwicklung gewährleisten, dass die Koordininationsmechnismen funktionsfähig bleiben und sich an neue Bedrohungslagen anpassen können.
Diese Herangehensweise soll eine Harmonisierung der koordinierten Reaktion auf Cyberkrisen in den G7-Ländern fördern und so die Resilienz des internationalen Finanzsektors stärken.
Erweiterung des vorhandenen G7-Instrumentariums
Die FE CCIRR ergänzen die bereits bestehenden G7 Fundamental Elements z.B. zu Cybersicherheit im Finanzsektor, Ransomware, Threat-Led Penetration Testing und Cyber Exercise Programs. Als unverbindliche Grundsatzdokumente zielen sie darauf ab, eine größere Konvergenz zwischen verschiedenen nationalen Ansätzen zur Cybersicherheit zu erreichen.
Die G7 Cyber Expert Group, die seit 2015 die Cybersicherheitspolitik koordiniert und auch Industrievertreter einbezieht, stärkt mit dem unter BaFin-Mitvorsitz entwickelten Dokument ihre Rolle als zentrale Plattform für internationalen Informationsaustausch und koordinierte Vorfallsreaktion im Cyberbereich.