Erneute Untersuchung des Beratungsprozesses

BaFin findet auch 2019 noch großes Verbesserungspotential bei Geeignetheitserklärungen.

Stefan Kortenbusch LL.M. (com.), Financial Services Compliance, Beratung – Projektunterstützung – Interim-Management

Wie aus einem Fachartikel im BaFin-Journal 05/2019 (S. 20 ff.) hervorgeht, findet die BaFin auch nach 18 Monaten MiFID II noch viel Verbesserungsbedarf, insbesondere im Bereich der Geeignetheitserklärungen. Die BaFin hat hierzu die im Jahr 2018 durchgeführte Untersuchung wiederholt und ähnliche Mängel festgestellt. Während die anfänglichen Unklarheiten bei den Themen Sprachaufzeichnung und Kostenausweisen offenbar weitgehend aufgeklärt sind, finden sich bei Geeignetheitserklärungen weiterhin deutliche Lücken. Hier zeigt sich die Schwierigkeit, den Beratungsprozess so zu gestalten und systemseitig zu unterstützen, dass er unter Einhaltung aller Dokumentationsvorgaben dennoch betriebswirtschaftlich vertretbar durchgeführt werden kann. Hier die wesentlichen Kritikpunkte der BaFin:

Unvollständiger Abgleich von Kundenvorgaben und Produkteigenschaften

Der größte in der BaFin-Untersuchung festgestellte Mangel fand sich beim Abgleich der Kundenvorgaben (geplante Anlagedauer, Risikobereitschaft, Kenntnisse und Erfahrungen und Verlusttragefähigkeit) mit den Produkteigenschaften: nur 11,3 % der Geeignetheitserklärungen erfüllten diese Vorgabe vollständig. Seitens der Aufsicht ist jedoch gewollt, dass die Geeignetheitserklärung einen Mehrwert für den Kunden bietet, indem zu jedem der Aspekte seiner Vorgaben durch den Berater eine individuelle Aussage getroffen wird.

Unspezifische Standardformulierungen und Textbausteine

Ein weiterer Mangel in den untersuchten Geeignetheitserklärungen bestand darin, die Geeignetheit mittels unspezifischer Standardformulierungen zu dokumentieren. Hier waren knapp 40 % der untersuchten Exemplare fehlerhaft.

Unspezifische Standardformulierungen entstehen auch durch Textbausteine, insbesondere dort, wo der Abgleich zwischen den Zielmarktkriterien des Produkts und den Kundenvorgaben systemgestützt vorgenommen wird und das Ergebnis in vorgefertigten Textbausteinen dargestellt wird. Textbausteine sollen auch dazu dienen, die Erstellung der Geeignetheitserklärung zu beschleunigen und um eine gewisse Vereinheitlichung zu erreichen. Die BaFin lehnt jedoch die Verwendung von Textbausteinen ab.

Nutzen von Depotumschichtungen nicht ausreichend dokumentiert

Im Jahr 2019 haben lt. BaFin-Untersuchung immerhin 40,6 % der Marktteilnehmer damit begonnen, einen vollständigen Nachweis des Kundennutzens zu erbringen, wenn sie eine Depotumschichtung empfehlen. Hier besteht also weiterhin großer Handlungsbedarf, denn eine plausible und transparente Dokumentation des Kundennutzens ist wichtig, um Kunden vor Gebührenschneiderei zu schützen, insbesondere dort, wo mit einem Wechsel hohe Eintrittskosten entstehen, z. B. bei Investmentfonds.

 

 

 

 

 

 

PRAXISTIPPS

  • Es ist wichtig, den Abgleich zwischen den Kundenvorgaben und den Produkteigenschaften umfassend durchzuführen und nachvollziehbar zu dokumentieren.
  • Auch die Basisdaten zum Kunden, z. B. sein Alter, müssen zu den Aussagen der Geeignetheitserklärung passen. Zum Beispiel erscheint die Aussage „Anlagehorizont >5 Jahre“ bei einer 85-jährigen, gebrechlichen und alleinstehenden Person per se fragwürdig und stellt die Richtigkeit der gesamten Geeignetheitserklärung infrage.
  • Auf Textbausteine sollte komplett verzichtet werden, denn sie führen zu formelhaften Pauschalformulierungen, mit denen das konkrete Beratungsergebnis nicht ausreichend individuell dargestellt werden kann. In diesem Punkt haben sich ESMA und BaFin klar positioniert (vgl. ESMA Q&A 35-43-349, S. 41 f.).

FCH MiFID II Web Based Training

  • FCH MiFID II SACHKUNDE (Erstschulung)
  • FCH MiFID II SACHKUNDE UPDATE (aktuelle Neuerungen)

Infos unter: https://www.fc-heidelberg.de/produkt/mifid/

 

Beitragsnummer: 75904

 

ESMA Q&As als Instrument der Aufsichtskonvergenz



ESMA updates Q&As on MiFID II and MiFIR investor protection and intermediaries – Überlegungen zu den Updates zu ESMA35-43-349 vom 29.05.2019.

Stefan Frisch, Director, WM Compliance Germany, Deutsche Bank AG.

I. ESMA – Aufsichtskonvergenz

Bekanntlich spielt die 2011 gegründete ESMA[1] als Behörde bei der Schaffung einer gemeinsamen Aufsichtskultur in der Union und einer Kohärenz der Aufsichtspraktiken sowie bei der Gewährleistung einheitlicher Verfahren und kohärenter Vorgehensweisen in der gesamten Union eine aktive Rolle[2], was gerade auch an der Vielzahl ihrer Publikationen deutlich wird. Die Behörde kann zur Förderung gemeinsamer Aufsichtskonzepte und -praktiken gegebenenfalls neue praktische Hilfsmittel und Instrumente entwickeln, die die Konvergenz erhöhen[3]. Der „question and answer (Q&A) mechanism” ist ein solches praktisches Hilfsmittel und Instrument, um die Konvergenz zu erhöhen. Die ESMA überprüft die Q&As regelmäßig periodisch, um sie zu aktualisieren, falls erforderlich. Zudem möchte die ESMA identifizieren, ob es nicht Themen gibt, die in ESMA-Richtlinien und Empfehlungen überführt werden müssen. Dann folgt die ESMA allerdings dem üblichen Prozedere, d. h. sie führt offene öffentliche Anhörungen zu den Leitlinien und Empfehlungen durch und analysiert die damit verbundenen potenziellen Kosten und den damit verbundenen potenziellen Nutzen[4]. ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Vergütungscompliance



Die Rolle der Compliance-Funktion nach MaRisk und MaComp in den Vergütungssystemen nach KWG/WpHG.

Hendrik Schwedewsky, Senior Referent Compliance, IKB Deutsche Industriebank AG[1].

I. Einleitung

Im vorliegenden Beitrag werden potentielle Aufgaben der Compliance-Funktion nach MaRisk und der Compliance-Funktion nach Art. 22 DelVO 2017/565[2] dargestellt. Zunächst wird auf die wesentlichen rechtlichen Grundlagen eingegangen. Anschließend werden die Notwendigkeit des institutsinternen fachlichen Austausches dargestellt sowie potentielle Tätigkeiten, jeweils der Compliance-Funktion nach MaRisk und der Compliance-Funktion nach MaComp, auf Basis der InstitutsVergV bzw. der DelVO 2017/565 beschrieben.

II. Rechtliche Grundlagen

Die allgemeinen Anforderungen jeweils zur Compliance-Funktion nach MaRisk und Compliance-Funktion nach MaComp sind in AT 4.4.2 MaRisk[3] bzw. Art. 22 DelVO 2017/565 sowie BT 1 MaComp[4] geregelt. Im Hinblick auf die Vergütungssysteme ergeben sich die Aufgaben der Compliance-Funktionen im Wesentlichen aus der InstitutsVergV, DelVO 2017/565 sowie den MaComp[5]. Für die Auslegung der genannten Anforderungen können die unterschiedlichen Schutzzwecke zugrunde gelegt werden. MiFID II[6] und die konkretisierende DelVO 2017/565 zielen vorrangig auf den Kundenschutz (z. B. Anlegerschutz) bei der Erbringung von Wertpapier(neben)dienstleistungen[7]. Die InstitutsVergV dient hingegen vorrangig dem Schutz des Instituts[8]. Mit der nationalen ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Das Tool-Set der WpHG-Compliance-Funktion im Fokus der Internen Revision



Effektive Verzahnung von Risikoanalyse, Überwachungsplan und Überwachungshandlungen.

Ralf Barsch, FCH Consult GmbH, Geschäftsführer, CIA und Prüfer für Interne Revisionssysteme sowie WpHG-Compliance-Beauftragter.

I. Einheitliches Risikoverständnis und Risikobewertung als Basis erfolgreicher Compliance-Arbeit

Ein einheitliches Risikoverständnis – aller Kontrollebenen in einem Institut – erleichtert nicht nur die Arbeit der Betroffenen, sondern ist eine wesentliche Voraussetzung zur Homogenisierung unterschiedlicher Risikoparamenter und damit einher gehender Bewertungen. Umso erstaunlicher ist es, dass dieser Punkt in der Praxis vieler Institute teilweise nicht die Aufmerksamkeit und letztendlich die Umsetzung erfährt, die seitens der Aufsicht immer wieder eingefordert wird.

Fakt ist, dass in der Praxis nach wie vor eine Vielzahl unterschiedlicher Risikoanalysen bestehen, u. a. für die Entscheidungsprozesse nach MaRisk AT 8.1 (Neu-Produkt-Prozess) und AT 8.2 (Änderungen betrieblicher Prozesse und Strukturen), Auslagerungen, Risikomodell Revision, Risikomodell Geldwäsche/sonstige strafbare Handlungen, Risikomodell MaRisk-Compliance, etc.

Die Auswirkungen sind so vielfältig wie fatal: Die Entscheider in den Unternehmen erhalten unterschiedliche Ergebnisse, es existieren unterschiedliche Schwellenwerte. In der Summe findet kein wirkliches Zusammenarbeiten statt und schließlich wird die Steuerung des Instituts durch die entsprechenden Top-Entscheider deutlich erschwert.

Die Anforderungen zur Ausgestaltung der Risikokultur im Allgemeinen Teil 3 der aktuellen MaRisk können hier i. V. ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Versehentliche werbliche Ansprache ohne Einwilligungserklärung ist vermeidbar

Thomas Breitkreuz, Geschäftsführer, emagixx GmbH

Frage Heidi Bois (Leiterin Vertrieb, FCH Gruppe AG):

Die DSGVO regelt klar: Bis auf wenige Ausnahmen ist die werbliche Ansprache von Kunden ohne das Vorliegen einer unterschriebenen Einwilligungserklärung nicht zulässig! Trotzdem werden immer wieder Fälle bekannt, in denen sich Betroffene beschweren, dass sie von ihrer Bank angeschrieben oder gar angerufen wurden, obwohl sie hierfür keine Zustimmung gegeben haben oder sogar explizit einen Werbeausschluss vorgenommen haben. Können Sie erklären, wie es hierzu kommt?

Antwort Thomas Breitkreuz:

Ich kann natürlich nicht ausschließen, dass sich das eine oder andere Finanzinstitut über die Regelungen der DSGVO hinwegsetzt. Es gibt aber durchaus auch Fälle, wo das Problem in unpräzisen Prozessen zu finden ist, die Ansprache also eher versehentlich erfolgt.

Frage Heidi Bois:

Können Sie uns genauer erläutern, wie es hierzu kommen kann?

Antwort Thomas Breitkeuz:

Wir arbeiten sehr viel mit Sparkassen zusammen. Hier werden die Einwilligungserklärungen in einem elektronischen Dokumentenarchiv abgelegt. Parallel hierzu erfolgt ein Eintrag im operativen System, dass die Erklärung vorliegt. Bereits hierbei kann es zu Fehlern kommen, indem z. B. ein Dokument falsch klassifiziert im Archiv abgelegt wird, oder dass der Eintrag im operativen System erfolgt, ohne dass ein Dokument vorhanden ist. Hier konnten wir bereits beliebige denkbare fehlerhafte Kombinationen feststellen. Zusätzlich besteht natürlich auch die Möglichkeit, dass ein Kunde zeitversetzt einen Werbeauschluss beantragt. Auch diese Information muss wieder ins operative System eingepflegt werden und auch hierbei kann es wieder zu Fehlern kommen. Hinzu kommt noch, dass es bestimmte technische Konstellationen gibt, die ebenfalls zu Fehlverschlüsselungen von Datensätzen führen können.

Frage Heidi Bois:

Heißt das, dass die Ansprache von Kunden ohne Einwilligungserklärung technisch nicht vermeidbar ist?

Antwort Thomas Breitkreuz:

Die völlig fehlerfreie Hinterlegung stellt sicher eine große Herausforderung dar. Hier wird es meiner Meinung nach immer wieder zu Fehler kommen, die dazu führen, dass im operativen System Kunden fälschlicherweise eine Einwilligungserklärung zugeordnet wird, die nicht vorhanden ist. Das operative System wird so zu einer eher suboptimalen Quelle für Marketingkampagnen. Diese Situation bedeutet aber nicht gleichzeitig, dass es auch zwingend zu einer versehentlichen Ansprache kommen muss. Wir bieten z. B. Sparkassen die Möglichkeit an, die relevanten Daten zu überprüfen. Hierfür benötigen wir nur einen oder zwei Tage, sodass die Daten auch kurz vor einer Marketingkampagne noch korrigiert werden können.

Frage Heidi Bois:

Ist dies für die Sparkassen ein aufwendiges Verfahren?

Antwort Thomas Breitkreuz:

Nein. Der Abgleich zwischen den Einträgen im operativen System und dem Dokumentenarchiv sowie die Untersuchung bzgl. Werbeausschluss erfolgt softwaregestützt automatisch. Wir bereiten die Ergebnisse außerdem so auf, dass ein Großteil der Fälle maschinell bereinigt werden kann. Für einzelne komplexere Sachverhalte ist allerdings die Expertise der Sparkassenmitarbeiter gefragt. Wenn eine Bereinigung zeitnah nicht mehr möglich ist, haben Sparkassen auch die Möglichkeit, unklare Fälle von werblichen Maßnahmen solange auszuschließen, bis der Status der betroffenen Kunden geklärt ist.

Frage Heidi Bois:

Würden Sie sagen, dass das versehentliche Anschreiben von Kunden ohne Einwilligungserklärung aus ihrer Sicht deshalb nicht entschuldbar ist?

Thomas Breitkreuz:

Entschuldbar ist es sicherlich, wir sind alle nur Menschen. Aus technischer Sicht gibt es aber heutzutage Lösungen, die weder viel kosten noch wertvolle Ressourcen binden und so zu einer deutlichen Verbesserung der Situation beitragen können.

Heidi Bois:

Herr Breitkreuz, wir danken Ihnen für dieses Gespräch.

 

Beitragsnummer: 75592

 

Datenportabilität: Neue Anforderung der DSGVO



Auch relevant für Verarbeitungen im Personalbereich?

Ulrike Seip, Senior Referentin Datenschutz, DZ BANK AG Deutsche Zentral-Genossenschaftsbank

I. Datenportabilität – Voraussetzungen und Begriffe

Mehr als ein Jahr ist die EU-Datenschutzgrundverordnung (DSGVO) nun in Kraft und entsprechend umzusetzen, aber noch längst besteht nicht zu allen Details Klarheit.

Die Ziele, die Betroffenenrechte und die Transparenz bei der Verarbeitung personenbezogener Daten zu stärken, bedürfen in verschiedenen Aspekten der weiteren Ausgestaltung und der praxisorientierten Erarbeitung.

Bei den Betroffenenrechten nach Art. 12 bis 22 DSGVO wurde insbesondere das Recht auf Datenübertragbarkeit oder Datenportabilität als absolute Innovation gesehen. In den Zeiten der Nutzung datenintensiver Internetplattformen und -portale erscheint es sehr benutzerfreundlich, wenn ermöglicht wird, dass bei einem Wechsel zu einem anderen Anbieter alle Daten mitgenommen werden können. Nutzer, die z.B. auf Facebook zahlreiche Kontakte pflegen und umfangreiche Informationen teilen, könnten davon besonders profitieren. Auf einer neuen Plattform könnten alle bisher vorhandenen Daten einfach eingespielt und so weiter genutzt und geteilt werden.

Im beruflichen Umfeld stellt sich die Frage, ob auch ein Arbeitnehmer beim Wechsel des Arbeitsgebers ein Interesse daran haben könnte, seine Daten mitzunehmen und beim neuen Arbeitgeber in EDV-Systeme zu importieren.

Welche Relevanz dem neuen Betroffenenrecht ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Auswirkungen der Neuregelungen in der CRD V auf die Vergütung

Marcus Michel, Vorstand, FCH Gruppe AG

Die Neuregelungen der CRD V und der CRR II treten jeweils am 27.06.2019 in Kraft. Die EU-Mitgliedstaaten haben die Neuregelungen der CRD V binnen 18 Monaten nach ihrem Inkrafttreten bis spätestens 28.12.2020 in das nationale Recht umzusetzen.Die deutsche Bankenaufsicht muss daher die InstitutsVergV aufgrund der Neuregelungen der CRD V jedenfalls in der Vergütungs-Freigrenze für die variable Vergütung der Risk Taker anzupassen.

Insbesondere wird dies wahrscheinlich Auswirkungen auf die bisherige 15-Mrd.-Euro-Grenze haben. Institute, die keine großen Institute i. S. d. Art. 4 Abs. 145 lit. b) CRR II sind und deren Bilanzsumme in den letzten vier Jahren durchschnittlich maximal fünf Mrd. € betragen hat (Instituts-Freigrenze), können gem. Art. 94 Abs. 3 CRD V von der Anwendung der besonderen Risk Taker-Vorgaben für die variable Vergütung von Risk Takern absehen (Vergütungs-Freigrenze).

BUCHTIPP

Kuhn/Thaler (Hrsg.), BankPersonaler-Handbuch, 2016.

 

 

Die EU-Mitgliedstaaten können die Instituts-Freigrenze in Bezug auf die Bilanzsumme auf einen geringeren Wert festsetzen oder auf maximal 15 Mrd. € erhöhen. Für den Fall einer Erhöhung der Instituts-Freigrenze bestimmt die CRD V als besondere weitere Anforderung, dass nur Institute mit einer höheren Bilanzsumme vom materiellen Verhältnismäßigkeitsgrundsatz Gebrauch machen können, welche die vereinfachten Anforderungen an die Sanierungs- und Abwicklungsplanung gem. Art. 4 der Richtlinie 2014/59/EU erfüllen, ein kleines Handelsbuch nach Art. 94 CRR II führen und bei denen der Gesamtwert der derivativen Positionen im Handelsbuch zwei Prozent und der Gesamtwert aller derivativen Positionen fünf Prozent des bilanziellen und außerbilanziellen Vermögens nach Maßgabe des Art. 4 Abs. 145 lit. e) CRR II nicht übersteigt.

Zudem sollen die EU-Mitgliedstaaten einzelne Gruppen von Risk Takern von der Vergütungs-Freigrenze ausnehmen können, wenn dies mit Blick auf die konkrete Funktion oder Verantwortlichkeit oder die marktübliche Vergütungssystematik angezeigt ist.

Die CRD V schließt mit zwei Handlungsaufträgen an die EU-Kommission und an die European Banking Authority (EBA): Die EU-Kommission soll, in enger Zusammenarbeit mit der EBA, vier Jahre nach Inkrafttreten der CRD V die Effektivität der Neuregelungen zum materiellen Verhältnismäßigkeitsgrundsatz untersuchen. Die EBA soll die Neuregelungen in ihre Leitlinien zur soliden Vergütungspolitik (EBA Guidelines on Sound Remuneration) einarbeiten.

BERATUNGSTIPP

Umsetzung-Check Institutsvergütungsverordnung – Auch für kleinere Institute.

 

Abzuwarten bleibt der Umgang des Verordnungsgebers mit der Instituts-Freigrenze gem. der CRD V. Außerdem ist bei der Überarbeitung der InstitutsVergV zu berücksichtigen, dass die CRD V den materiellen Verhältnismäßigkeitsgrundsatz nicht auf einen möglichen Verzicht auf die Identifizierung von Risk Takern erstreckt – Institute haben nach der CRD V auch bei Anwendung des materiellen Verhältnismäßigkeitsgrundsatzes Risk Taker zu identifizieren. Die Identifizierung der Risk Taker ist aus aufsichtsrechtlicher Sicht, unabhängig von den besonderen Risk Taker-Regelungen zur variablen Vergütung, erforderlich, um die in Art. 450 CRR bestimmten Pflichten zur Offenlegung der Vergütungssysteme zu erfüllen.

Praxistipps:

  • Die bereits mehrfach von der Bankenaufsicht thematisierte Absenkung der 15-Mrd.-Euro-Grenze bei der Risk Taker-Identifizierung würde für eine Vielzahl von Instituten zu einer deutlichen Ausweitung der Pflichten aus der IVV führen.
  • Institute mit Bilanzsummen zwischen fünf Mrd. und 15. Mrd. sollten den Gesetzgebungsprozess beobachten, um rechtzeitig die entsprechenden Prozesse in den Häusern zu etablieren.

 

Beitragsnummer: 75254

 

Referentenentwurf zur Umsetzung der 5. EU-Geldwäscherichtlinie

Tobias Gronemann, Rechtsanwalt, Thümmel, Schütze & Partner

Am 20.05.2019 hat das Bundesfinanzministerium (BMF) einen ersten Referentenentwurf für das „Gesetz zur Umsetzung der Änderungsrichtlinie zur vierten EU-Geldwäscherichtlinie (Richtlinie (EU) 2018/843)“ (RefE) vorgelegt. Hintergrund für den RefE sind zahlreiche Neuerungen durch die 5. Geldwäscherichtlinie (5AMLD), die bis zum 10.01.2020 in nationales Recht umzusetzen ist. Die im RefE vorgesehenen Änderungen sind umfassend und gehen teilweise auch weiter als von der 5AMLD vorgesehen, was dafür sorgt, dass die Regelungen bei den nach dem Geldwäschegesetz (GwG) Verpflichteten einen erheblichen Mehraufwand verursachen werden. Dabei stehen nicht nur Kreditinstitute und Versicherungen im Fokus. So sind die Regelungen zum Transparenzregister auch für andere Unternehmen bedeutsam.

SEMINARTIPP

Knackpunkte der Geldwäschebekämpfung, 13.11.2019, Würzburg.

 

 

Der RefE sieht u. a. neue Regelungen vor für die

  • Erweiterung des geldwäscherechtlichen Verpflichtetenkreises,
  • Vereinheitlichung der verstärkten Sorgfaltspflichten bei Hochrisikoländern,
  • Konkretisierung des Personenkreises „politisch exponierte Person“,
  • öffentliche Zugangsmöglichkeit zum elektronischen Transparenzregister sowie die Vernetzung der europäischen Transparenzregister.

Hinsichtlich des geldwäscherechtlichen Verpflichtetenkreises ist besonders hervorzuheben, dass im RefE geregelt wird, dass Dienstleister im Bereich der Kryptowährungen als verpflichtete Institute gelten sollen. Dieses Ziel soll aber nicht mit einer Änderung des GwG erreicht werden. Vielmehr sollen „Kryptowerte“ ausdrücklich als Finanzinstrument in das Kreditwesengesetz (KWG) aufgenommen werden, was bedeutet, dass die Dienstleister im Bereich der Kryptowährungen als Finanzinstitut i. S. d. KWG gelten. Diskussionen um die aufsichtsrechtliche Einordnung von Kryptowährungen dürfte so zukünftig der Boden entzogen werden. Zusätzlich soll eine besondere Form der Finanzdienstleisung in das KWG, das sog. „Kryptoverwahrgeschäft“ eingeführt werden, was ebenfalls den Kreis der geldwäscherechtlich Verpflichteten erweitert.

Im Nichtfinanzsektor sieht der RefE ebenfalls eine Erweiterung des Kreises der geldwäscherechtlich verpflichteten Unternehmen vor. So sollen zukünftig auch Mietmakler und Personen, die mit Kunstwerken Handeln oder Kunstwerke vermitteln, umfasst sein. Nach dem RefE sollen hier allerdings Transaktionen oder eine Reihe verbundener Transaktionen, die eine Betrag von 10.000 € nicht überschreiten, ausgenommen sein.

Weitere Neuerungen finden sich im Zusammenhang mit den Zugangsmöglichkeiten zum Transparenzregister, welches nun – den Vorgaben der 5AMLD entsprechend – „allen Mitgliedern der Öffentlichkeit“ offenstehen soll. Bisher musste zumindest ein berechtigtes Interesse dargelegt werden. Neu ist auch die – bußgeldbehaftete – Pflicht zur Meldung von „Unstimmigkeiten“, die der Verpflichtete bei Einsichtnahme in das Transparenzregister feststellt.

Nach dem RefE sollen hinsichtlich der kundenbezogenen Sorgfaltspflichten schärfere Regelungen eingeführt werden. Dies trifft insbesondere die Verpflichtung des Verpflichteten zu Beginn einer neuen Geschäftsbeziehung die im Transparenzregister hinterlegten Daten des Kunden abzurufen.

Für die Praxis dürften die im RefE angedachten Änderungen zu den Bußgeldvorschriften von großer Relevanz sein. So ist neben der Erweiterung des Bußgeldkatalogs auch eine Herabsetzung im subjektiven Tatbestand von grober Fahrlässigkeit hin zu einfacher Fahrlässigkeit vorgesehen.

PRAXISTIPP

Der RefE setzt die in der 5AMLD gemachten Vorgaben konsequent um und geht teilweise sogar darüber hinaus. Für die geldwäscherechtlich Verpflichteten wird sich insbesondere im Zusammenhang mit der verpflichtenden Nutzung und der Meldung von Unstimmigkeiten im Transparenzregister ein Mehraufwand ergeben. Die internen Prozesse sollten ständig angepasst und überprüft werden, da mit Absenkung der Schwelle im subjektiven Tatbestand auf einfache Fahrlässigkeit mit einer häufigeren Verhängung von Bußgeldern zu rechnen ist.

Dienstleister im Bereich der Kryptowährungen dürften die geplanten Änderungen in doppelter Hinsicht treffen: Neben geldwäscherechtlichen Vorgaben würden sie nach dem RefE nun auch die nach dem KWG vorgesehen aufsichtsrechtlichen Vorgaben zu erfüllen haben. Dementsprechend sollten die entsprechenden Unternehmen ihre Geschäftsmodelle überprüfen und gegebenenfalls an die aufsichtsrechtlichen Vorgaben anpassen.

 

Beitragsnummer: 74165

 

Rechtsmonitoring Interne Revision

Lukas Walla, Berater, FCH Consult GmbH

Dieses Rechtsmonitoring erfasst eine auszugsweise Darstellung der relevanten Änderungen mit Relevanz für die Interne Revision. Als Auswertungszeitraum wurde der 28.02.–30.04.2019 betrachtet.

Nr. Aufsichtliche Neuerungen
1 Der BDB veröffentlichte am 20.03.2019 eine Stellungnahme zur Konsultation des Bundesministeriums der Finanzen zu Erfahrungen und möglichem Änderungsbedarf im Hinblick auf die EU-Finanzmarktrichtlinie (MiFID II) und die EU-Finanzmarktverordnung (MiFIR).
2 Die BaFin veröffentlichte am 27.03.2019 die Konsultation 05/2019 zu Änderungen der Institutsvergütungsverordnung.
3 Die BaFin veröffentlichte am 29.03.2019 die Konsultation 06/2019 zu Zinsänderungsrisiken im Anlagebuch.
4 Die BaFin veröffentlichte am 18.04. die Konsultation 08/2019 zur Festlegung des Mindestbetrages an Eigenmitteln und berücksichtigungsfähigen Verbindlichkeiten für Institute, bei denen ein Insolvenzverfahren als Abwicklungsstrategie glaubwürdig und durchführbar ist.
5 Die BaFin veröffentlichte am 25.04.2019 die Konsultation 09/2019 zum Entwurf der MaSanV und eines Merkblatts zur Sanierungsplanung.
6 Die BaFin veröffentlichte am 29.04.2019 die Konsultation 10/2019 zum Entwurf eines Merkblattes zur externen Bail-in-Implementierung.
7 Die Deutsche Kreditwirtschaft veröffentlichte am 12.04.2019 eine Stellungnahme zu den Eckpunkten elektronische Wertpapiere und Krypto-Token.
8 Die Bundesbank veröffentlichte am 20.03.2019 die Ergebnisse des Basel III-Monitoring für deutsche Institute zum Stichtag 30.06.2018.
9 Der BDB veröffentlichte am 18.03.2019 eine Stellungnahme zum Konsultationspapier des Baseler Ausschusses zur Überarbeitung der Offenlegungsanforderung für die Leverage Ratio.
10 The Joint Committee of the ESAs publishes its 2018 Annual Report, 09.04.2019.
11 EBA publishes final draft standards on the conditions to allow institutions to calculate capital requirements of securitised exposures (Kirb) in accordance with the purchased receivables approach, 08.04.2019.
12 EBA updates methodological guidance on risk indicators and analysis tools, 20.03.2019.
13 EBA publishes final Guidelines on the estimation of LGD under an economic downturn, 06.03.2019.

 

Beitragsnummer: 73642

 

Künstliche Intelligenz im SIEM-Umfeld

kuenstliche_intelligenz_mensch_maschine

Wie Machine Learning die IT-Sicherheit in Unternehmen erhöhen kann.

Michael Frühauf, Student, FOM Hochschule für Oekonomie & Management Frankfurt/M.

Dr. Patrick Hedfeld, Deutsche Leasing

Prof. Dr. Bernd Ulmann

Tagtäglich entstehen neue Bedrohungen für eine der wichtigsten Ressourcen vieler Unternehmen: ihre sensiblen Daten. Die Angriffe werden immer ausgeklügelter und sind immer schwieriger festzustellen. Um dieser Gefahr etwas entgegenzusetzen, kann eine SIEM-Lösung in Verbindung mit Künstlicher Intelligenz (KI) eingesetzt werden.

Einleitung

Durch Industrie 4.0 und Internet of Things (IoT) nimmt die Vernetzung in Unternehmen stetig zu. Dadurch steigt auch der Datenverkehr im Unternehmensnetzwerk an; der IT-Security-Aspekt wird jedoch oftmals vernachlässigt. Durch die weltweit zunehmenden IT-Security-Vorfälle wird eine Überwachung des Datenverkehrs allerdings immer wichtiger. Diese Aufgabe kann ein SIEM-System übernehmen. Wie wichtig diese Aufgabe ist, zeigen die folgenden Zahlen: Jeden Tag kommen etwa 350.000 bis 400.000 neue Schadprogramme hinzu[1]. Aus diesem Grund ist eine rein regelbasierte Überwachung inzwischen unzureichend. Moderne SIEM-Lösungen verwenden daher selbstlernende Algorithmen, besser bekannt als Künstliche Intelligenz (KI), oder Machine Learning.

SEMINARTIPPS

6. Fachtagung IT-Revision, 05.–06.06.2019, Frankfurt/M.

FCH Innovation Days 2019, 24.–25.06.2019, Berlin.

Hackerangriffe & Cyber-Attacken: Reaktion und Prävention, 25.09.2019, Frankfurt/M.

Digitalisierung im Konten-/Zahlungsverkehr: Praxis & Prüfung, 26.09.2019, Frankfurt/M.

KI und SIEM

Moderne SIEM-Systeme, auch Next-Generation-SIEM genannt, verfolgen einen proaktiven, vorausschauenden Ansatz und verwenden dazu Techniken wie User and Entity Behaviour Analytics (UEBA) und Security Orchestration, Automation and Response (SOAR). UEBA nutzt Machine-Learning-Algorithmen, um Anomalien des Netzwerkverkehrs zu erkennen. Verhaltensmuster von Endgeräten oder Endanwendern werden dazu zunächst erlernt, um daraufhin Abweichungen erkennen zu können. Werden Auffälligkeiten festgestellt, können Benachrichtigungen in Form eines Incident Tickets erstellt oder Aktionen ausgelöst werden. Somit können bspw. Netzwerkzugänge automatisiert gesperrt werden. Ein verdächtiges Verhalten wäre z. B. das Anmelden eines VPN-Benutzers zu einer ungewöhnlichen Uhrzeit oder von einem ungewöhnlichen Standort aus. Ein großer Vorteil von Verhaltensanalysen auf Basis von Machine Learning ist die dadurch entstehende Möglichkeit, auch Zero-Day-Attacken zu erkennen[2].

Eine automatische Reaktion auf potentielle Bedrohungen ist dabei aufgrund der Fülle der auftretenden Anomalien besonders wichtig[3]. Diese Aufgabe kann SOAR übernehmen. Ein praktisches Beispiel wäre das Auftreten einer Sicherheitslücke auf einem Server, die durch einen Schwachstellen-Scan entdeckt wurde. Durch SOAR kann bspw. ein Drittanbieter-Update-System dazu veranlasst werden, den betroffenen Server zu aktualisieren und so die Anfälligkeit für einen Exploit eliminieren[4]. Dabei muss selbstverständlich zwischen kritischen und unkritischen Systemen unterschieden werden – nicht auf jede Anomalie kann automatisiert reagiert werden. Handelt es sich jedoch um ein unkritisches System, kann bspw. ein Kommando an die Firewall den Netzwerkzugang dieses Systems sperren, bis das Problem behoben ist[5]. Zum aktuellen Zeitpunkt sind jedoch meist menschliche Analysten erforderlich, um auf die durch Machine-Learning-Algorithmen gefundenen Anomalien zu reagieren[6].

KI in der IT-Security

Neben dem Einsatz in SIEM-Systemen gibt es vielfältige Einsatzgebiete für KI in der Cyber-Security. Besonders bei polymorphen Angriffen, die signaturbasiert nicht erkannt werden können, kann Machine Learning weiterhelfen[7]. Laut Gartner werden daher bis zum Jahre 2020 rd. 75 % der SIEM-Systeme Machine Learning– und Big-Data-Technologien verwenden, um ihre Erkennungsraten zu erhöhen[8]. Auch einige Antivirensoftwareanbieter verwenden bereits Machine-Learning-Ansätze, da sich diese im Vergleich zu klassischen Methoden als zuverlässiger erwiesen haben[9]. Malware, die bspw. an Phishing-Mails angehängt wird, wird durch signaturbasierte Antivirensoftware häufig nicht erkannt. Mitunter erkennen lediglich zehn Prozent der Antivirenprogramme eine Malware, da eine kleine Änderung der Schadsoftware eine Erkennung auf Basis von Signaturen bereits unmöglich macht[10]. Durch verhaltensbasierte Analysen kann dieses Problem behoben werden, was auch bei einer Quellcode-Veränderung der Malware eine hohe Zuverlässigkeit ermöglicht[11]. Aus diesem Grund setzt bspw. die Antivirensoftware Cylance auf eine Erkennung von Malware ohne die Verwendung von Signaturen[12].

Mit zunehmendem Einsatz von KI in Sicherheitssoftware steigt jedoch auch das Interesse Cyberkrimineller an den dahinterliegenden Technologien. Mit Hilfe sog. Generative Adversarial Networks (GANs) können KNNs trainiert werden. Das lernende Netz wird dabei mit schwer zu identifizierenden Eingabewerten konfrontiert und kann dabei aus fehlerhaften Klassifizierungen lernen, um sich kontinuierlich zu verbessern. Ebenso sind damit jedoch Angriffe auf Machine-Learning-Algorithmen möglich, die Missklassifikationen bewirken können[13]. Problematisch ist dabei, dass solche Missklassifikations-Angriffe mitunter auf andere KNNs übertragbar sind und somit weitrechende potentielle Sicherheitsrisiken darstellen können. Solche Angriffe können bspw. dazu verwendet werden, um Spamfilter, Antivirensoftware oder IDS-Software zu umgehen[14]. Eine Abwehrmaßnahme dagegen wäre das wiederholte Durchführen von Trainings zur Verbesserung der Genauigkeit der KNNs[15].

PRAXISTIPPS

  • In der klassischen Programmierung und klassischen, regelbasierten SIEM-Lösungen werden aus Regelwerken und Daten Entscheidungen abgeleitet. Machine Learning ermöglicht es hingegen, auf unbekannte Umgebungsvariablen zu reagieren und kann so mitunter noch unbekannte Bedrohungen abwenden. Auch das Erkennen von Mustern in großen Datenmengen ist durch Machine Learning möglich. Das lernende System erkennt dabei selbstständig Gesetzmäßigkeiten in Daten und kann daraus einen „Normalzustand“ ableiten. Dies kann bspw. im Bankensektor für die Analyse der Transaktionsvorgänge von Girokonten genutzt werden[16]. Somit können bspw. Betrugsversuche zuverlässiger erkannt werden.
  • Der Einsatz von Machine Learning in Sicherheitssoftware wird voraussichtlich ansteigen. Aus diesem Grund wird dieses Gebiet auch für Cyberkriminelle zunehmend attraktiver. Je früher auf diesem Gebiet im Unternehmen Kompetenzen aufgebaut werden, desto zuverlässiger kann potentiellen Gefahren entgegengewirkt werden.
  • Intelligente SIEM-Lösungen wie IBM QRadar, LogRhythm oder Splunk, die u. a. UEBA einsetzen, existieren bereits. Die eingesetzte Intelligenz der Systeme kann schneller, effektiver und zuverlässiger als Menschen reagieren und darüber hinaus größere Datenmengen verarbeiten. Anomalien, die durch Menschen nicht erkannt werden, können durch den Einsatz maschineller Lernverfahren identifiziert und verarbeitet werden.
  1. Vgl. AV-TEST GmbH (2018), o. S.; Mandl (2016), S. 509; Tschersich (2017), S. 122.
  2. Vgl. Day (2017), S. 1.013; Sipola (2015), S. 201.
  3. Vgl. Bertino (2012), S. 37.
  4. Vgl. Rubens (2018), o. S.
  5. Vgl. Chuvakin, Phillips, Schmidt (2013), S. 140.
  6. Vgl. Chio, Freeman (2018), S. 119.
  7. Vgl. ebd., S. 194.
  8. Vgl. Bussa, Kavanagh (2017), o. S.
  9. Vgl. Kabanga, Kang, Kim (2018), S. 41.
  10. Vgl. Fry, Nystrom (2009), S. 4 f.
  11. Vgl. Béjar et al. (2017), S. 222.
  12. Vgl. Gaßner (2019), S. 84.
  13. Vgl. Kirste, Schürholz (2019), S. 33.
  14. Vgl. Dreossi, Jha, Seshia (2018), S. 13.
  15. Vgl. Kantarcioglu, Vorobeychik (2018), S. 126.
  16. Vgl. Dutta (2018), S. 48; Lenzen (2018), S. 51.

 

Beitragsnummer: 73370

 

Beitragsnummer: 73370

 

Beitragsnummer: 73370