Die Österreichische Finanzmarktaufsichtsbehörde (FMA) hat zwei neue Leitfäden herausgegeben, in denen sie zum einen Verwaltungsgesellschaften und zum anderen Wertpapierdienstleistern (WPDLU) und Wertpapierfirmen (WPF) vorschreibt, wie sie ihre IT-Sicherheit gestalten müssen. Demnach sind die Unternehmen nicht nur verpflichtet, ein Informationssicherheitsmanagement und Notfallpläne einzurichten. Vor allem müssen sie auch gewährleisten, dass die Daten bei Drittanbietern sicher sind.

Von App-Sicherheit bis Passwortmanagement
Explizit stellt die FMA zum Beispiel klar, dass Wertpapierdienstleister, die mit vertraglich gebundenen Vermittlern (VGV) oder Wertpapiervermittlern (WPV) zusammenarbeiten, dafür sorgen müssen, dass diesen zur Verfügung gestellte Kundendaten ausreichend geschützt werden. Konkret muss ein WPDLU oder WPF zum Beispiel hinterfragen: Sind die beim VGV und WPV verwendeten Apps, WLAN oder mobile Geräte als sicher zu beurteilen? Werden dort die Systeme regelmäßig gewartet? Hat der VGV ein angemessenes Passwortmanagement (Komplexität, Länge,…), und viele weitere Details.

Ähnliches gilt für Verwaltungsgesellschaften, die zum Beispiel dafür sorgen müssen, dass Kundeninformationen, die sie einer Depotbank übermitteln, dort sicher sind, heißt es.

Entsprechende Leitfäden hat die FMA bereits für Banken und Versicherungen herausgegeben. "Kunden müssen sicher sein können, dass ihre Daten vor Missbrauch geschützt sind und die angebotenen digitalen Services durchgehend zur Verfügung stehen, egal ob ihr Anbieter eine Bank, Versicherung, oder Wertpapierfirma ist", so die FMA Vorstände Helmut Ettl und Klaus Kumpfmüller. IT-Sicherheit ist einer der FMA-Aufsichts- und Prüfschwerpunkte für das Jahr 2018. 

Die Leitfäden richten sich an Alternative Investmentfonds-Manager, Betriebliche Vorsorgekassen, und Verwalter von Kapitalanlagefonds und Immobilienfonds, sowie an Wertpapierdienstleister. Sie sind auf der Homepage der FMA verfügbar. (eml)