Anfrage zu IT-Mängeln bei Banken und Finanzdienstleistern

Anfrage an: Deutsche Bundesbank

ich bitte um Auskunft oder Einsicht in Prüfungsunterlagen der IT-Prüfer der Deutschen Bundesbank, welche Mängel (inkl. Bewertung) im Rahmen von Prüfungen zu IT-Systemen von Banken (inkl. Landesbanken) und Finanzdienstleistern in den Jahren 2015 und 2016 festgestellt wurden. Meine Anfrage betrifft auch Mängel, die im Rahmen einer Tätigkeit für die EZB festgestellt wurden.

Hierbei handelt es sich insbesondere um folgende Mängel:

• Stand der Umsetzung eines Informationssicherheitsmanagements / Informationsrisikomanagement
• Feststellungen zu mangelhaften Strategien (z.B. Risikostrategie, IT-Strategie, Auslagerungsstrategie, Strategien zu Softwareentwicklungen), die in Zusammenhang mit IT-Systemen stehen
• Mangelhafte Ermittlung und Steuerung von IT-Risiken
• Organisatorische Mängel
• Mängel in Verbindung mir der Umsetzung der MaRisk 2012
• Alle Mängel in Verbindung mit IT-Systemen und IT-Prüfungen (IT-Umfeld, IT-Organisation, IT-Infrastruktur, Anwendungen, IT-Betrieb / Administration, selbst erstellte Anwendungen und Eigenprogrammierung, Test- und Freigabeverfahren, Datenschutz, IT-Notfallkonzepte und Notfalltests, Ausgelagerte IT-Prozesse)
• Mängel in Zusammenhang mit der Überwachung der Datenqualität
• Nicht abgestellte Mängel aus vorangegangenen Prüfungen

Meine Anfrage bezieht sich nicht auf Mängel einzelner Institute oder Finanzdienstleister. Die Benennung von Namen der Institute ist für diese Anfrage nicht erforderlich.

Ich bitte lediglich um die Bennung / Beschreibung der festgestellten Mängel und deren Bewertung.

Anfrage abgelehnt

  • Datum
    16. Dezember 2016
  • Frist
    17. Januar 2017
  • Kosten dieser Information:
    30,00 Euro
  • 0 Follower:innen
<< Anfragesteller:in >>
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: ich bitte um Aus…
An Deutsche Bundesbank Details
Von
<< Anfragesteller:in >>
Betreff
Anfrage zu IT-Mängeln bei Banken und Finanzdienstleistern [#19594]
Datum
16. Dezember 2016 22:58
An
Deutsche Bundesbank
Status
Warte auf Antwort
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
ich bitte um Auskunft oder Einsicht in Prüfungsunterlagen der IT-Prüfer der Deutschen Bundesbank, welche Mängel (inkl. Bewertung) im Rahmen von Prüfungen zu IT-Systemen von Banken (inkl. Landesbanken) und Finanzdienstleistern in den Jahren 2015 und 2016 festgestellt wurden. Meine Anfrage betrifft auch Mängel, die im Rahmen einer Tätigkeit für die EZB festgestellt wurden. Hierbei handelt es sich insbesondere um folgende Mängel: • Stand der Umsetzung eines Informationssicherheitsmanagements / Informationsrisikomanagement • Feststellungen zu mangelhaften Strategien (z.B. Risikostrategie, IT-Strategie, Auslagerungsstrategie, Strategien zu Softwareentwicklungen), die in Zusammenhang mit IT-Systemen stehen • Mangelhafte Ermittlung und Steuerung von IT-Risiken • Organisatorische Mängel • Mängel in Verbindung mir der Umsetzung der MaRisk 2012 • Alle Mängel in Verbindung mit IT-Systemen und IT-Prüfungen (IT-Umfeld, IT-Organisation, IT-Infrastruktur, Anwendungen, IT-Betrieb / Administration, selbst erstellte Anwendungen und Eigenprogrammierung, Test- und Freigabeverfahren, Datenschutz, IT-Notfallkonzepte und Notfalltests, Ausgelagerte IT-Prozesse) • Mängel in Zusammenhang mit der Überwachung der Datenqualität • Nicht abgestellte Mängel aus vorangegangenen Prüfungen Meine Anfrage bezieht sich nicht auf Mängel einzelner Institute oder Finanzdienstleister. Die Benennung von Namen der Institute ist für diese Anfrage nicht erforderlich. Ich bitte lediglich um die Bennung / Beschreibung der festgestellten Mängel und deren Bewertung.
Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Ausschlussgründe liegen meines Erachtens nicht vor. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich bitte Sie um eine Antwort in elektronischer Form (E-Mail) gemäß § 8 EGovG. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen, Antragsteller/in Antragsteller/in <<E-Mail-Adresse>> Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Deutsche Bundesbank
Sehr geehrtAntragsteller/in wir haben Ihren Antrag vom 16.12.2017 hinsichtlich des Zugangs zu Informa…
Von
Deutsche Bundesbank
Betreff
Anfrage zu IT-Mängeln bei Banken und Finanzdienstleistern [#19594]
Datum
17. Januar 2017 14:29
Status
Anfrage abgeschlossen
Sehr geehrtAntragsteller/in wir haben Ihren Antrag vom 16.12.2017 hinsichtlich des Zugangs zu Informationen, welche Feststellungen bei IT-Prüfungen in den Jahren 2015 und 2016 getroffen wurden, erhalten. Leider können wir Ihnen die gewünschten Informationen nicht zur Verfügung stellen, da der Anspruch auf Informationszugang nach dem IFG ausgeschlossen ist. Nach § 3 Abs. 4 IFG ist Dritten der Zugang zu Informationen dann zu versagen, wenn die Information einer durch Rechtsvorschrift oder durch die Allgemeine Verwaltungsvorschrift zum materiellen und organisatorischen Schutz von Verschlusssachen geregelten Geheimhaltungs- oder Vertraulichkeitspflicht oder einem Berufs- oder besonderen Amtsgeheimnis unterliegt. Eine solche Regelung des Berufsgeheimnisses durch Rechtsvorschrift enthält § 9 Abs. 1 KWG. Danach dürfen die bei der Deutschen Bundesbank beschäftigten Personen ihnen bei ihrer Tätigkeit bekanntgewordene Tatsachen, deren Geheimhaltung im Interesse des Instituts oder eines Dritten liegt, insbesondere Betriebs- und Geschäftsgeheimnisse, nicht unbefugt offenbaren. Um solche Tatsachen, deren Geheimhaltung im Interesse der beaufsichtigten Institute liegt, handelt es sich bei etwaigen Schwachstellen im IT-Bereich dieser Institute. Sollten solche Schwachstellen vorliegen, würde deren Veröffentlichung dazu führen, dass potenzielle Angreifer erst darauf hingewiesen werden, an welchen Punkten ein Angriff lohnenswert sein könnte und zwar unabhängig von Nennung einzelner Institute, da die Feststellungen im IT-Bereich oftmals gleichgerichtet sind (Mehrmandantendienstleister) und ein paralleler Angriff auf eine Vielzahl von Instituten zeitgleich technisch möglich ist. Beispielhaft hierfür wären etwa Feststellungen in den Bereichen Informationssicherheitsmanagement, Benutzerberechtigungsmanagement oder physische Sicherheit der Rechenzentren, da deren Veröffentlichung auch in anonymer Form potenzielle Angriffsziele nach Art und Ausmaß der Verwundbarkeit offenlegen könnten. Der Anspruch auf Informationszugang ist zudem nach § 3 Nr. 1 lit. d IFG ausgeschlossen. Danach besteht der Anspruch auf Informationszugang nicht, wenn das Bekanntwerden der Information nachteilige Auswirkungen auf Kontroll- oder Aufsichtsaufgaben der Finanz-, Wettbewerbs- und Regulierungsbehörden haben kann. Die Deutsche Bundesbank wertet gemäß § 7 Abs. 1 KWG im Rahmen der laufenden Aufsicht unter anderem von Instituten regelmäßig einzureichende Berichte und Meldungen aus und prüft, ob die Eigenkapitalausstattung und die Risikosteuerungsverfahren der Institute angemessen sind. Sie ist zumindest bei der Wahrnehmung dieser Aufgaben im Rahmen der Bankenaufsicht eine Finanzbehörde im Sinne von § 3 Nr. 1 lit. d IFG. Eine Veröffentlichung von im Rahmen der Risikosteuerungsprüfung erkannten Schwachstellen im IT-Bereich würde dazu führen, dass potenzielle Angreifer erst darauf hingewiesen werden, an welchen Punkten ein Angriff lohnenswert sein könnte. Die Erreichung der Ziele der Bankenaufsicht, zu denen auch die Integrität der Institute zählt, würde durch eine solche Veröffentlichung erheblich erschwert. Rechtsbehelfsbelehrung Gegen diesen Bescheid kann innerhalb eines Monats nach Bekanntgabe Widerspruch bei der Deutschen Bundesbank, Wilhelm-Epstein-Str. 14, 60431 Frankfurt, erhoben werden. Der Widerspruch ist schriftlich oder zur Niederschrift zu erheben. Der Widerspruch kann auch auf elektronischem Weg erhoben werden. Dafür stehen folgende Möglichkeiten zur Verfügung: · Der Widerspruch kann durch E-Mail mit qualifizierter elektronischer Signatur nach dem Signaturgesetz erhoben werden. Die E-Mail-Adresse lautet: <<E-Mail-Adresse>> · Der Widerspruch kann auch durch De-Mail in der Sendevariante mit bestätigter sicherer Anmeldung nach dem De-Mail-Gesetz erhoben werden: Die De-Mail-Adresse lautet: <<E-Mail-Adresse>> Mit freundlichen Grüßen