MFSA veröffentlicht Diskussionspapier zu Cybersecurity-Vorschriften für Blockchain Unternehmen und VFA-Agenten

Kaum eine Branche ist von der Dig­i­tal­isierung mehr betrof­fen als die Finanzin­dus­trie. Ger­ade in Mal­ta zeigt sich dies angesichts viel­er Fin­tech-Start-ups und natür­lich des Booms rund um die inno­v­a­tive Blockchain-Tech­nolo­gie. Damit ein­her geht die Erstel­lung von Vir­tu­al Finan­cial Assets und das Anbi­eten dig­i­taler Finanz­di­en­stleis­tun­gen unter Nutzung von Dis­trib­uted Ledger Tech­nol­o­gy (DLT).

Doch nicht nur Finanz­di­en­stleis­ter, Fin­tech-Start-ups und Banken haben dieses immense Poten­zial erkan­nt. Auch Betrüger, Hack­er und Cyber-Krim­inelle aus aller Welt arbeit­en daran, die Risiken und Gefahren ein­er dig­i­tal­isierten Finanzin­dus­trie auszubeuten. Dies bet­rifft nicht nur seit Jahren andauernde Phish­ing-Attack­en, son­dern auch ver­suchte Hacks von Kryp­to-Exchanges oder Blockchain-Star­tups.

Zen­trale Kryp­to-Exchanges sind ein attrak­tives Angriff­sziel für Hack­er, weil es bei einem erfol­gre­ichen Hack gelin­gen kann, Kryp­towährungs-Ein­la­gen von Nutzern des Exchanges aus deren Wal­lets zu entwen­den. Zudem kann man Zugriff auf Pri­vate Keys von Benutzern erhal­ten, um anschließend Kryp­towährungs-Ein­la­gen zu plün­dern. Bei laufend­en Ini­tial Coin Offer­ings oder Secu­ri­ty Token Offer­ings sollen Web­seite oder Telegram-Chan­nel des Anbi­eters gehackt wer­den, um durch Angabe ein­er falschen Wal­let-Adresse das „Inve­storen­geld“ in das eigene Wal­let abzuzweigen.

Kurzum: wo Licht ist, da fällt auch Schat­ten. Die Finanzbranche in Mal­ta ste­ht – wie in allen anderen Län­dern der Welt – vor der Her­aus­forderung, diese neuen Sicher­heit­srisiken und -gefahren zu bewälti­gen.

Für die mal­te­sis­che Finan­za­uf­sicht MFSA war dies Grund genug, nun ein neues Guide­book zum The­ma Cyber­se­cu­ri­ty zu pub­lizieren. Das knapp 20-seit­ige Doku­ment bietet umfassende Richtlin­ien und Anweisun­gen für die Ein­rich­tung von Schutz­maß­nah­men, regelmäßige Über­prü­fung deren Imple­men­tierung, Zuweisung von Ver­ant­wortlichkeit­en inner­halb der Organ­i­sa­tion sowie den Auf­bau von Strate­gien gegen Cyber­risiken.

Vorgeschlagene Vorschriften für Unternehmen in Maltas boomender Blockchain-Branche

Doch für wen ist das Doku­ment eigentlich bes­timmt? Es richtet sich nicht alle Unternehmen, die in Mal­ta tätig sind. Vielmehr richtet sich das Doku­ment direkt an jene Unternehmen, die mit Vir­tu­al Finan­cial Assets (VFAs) zu tun haben. Dies umfasst zum einen die Ser­vice Provider, die sich um eine der 4 VFAA-Lizen­zen bewor­ben haben. Eben­so find­en die Vorschriften auch Anwen­dung auf die VFA-Agen­ten, welche als zer­ti­fizierte rechtlich­er Berater den Bewer­bung­sprozess um eine VFAA-Lizenz und etwaiger weit­er­er Schritte wie die Durch­führung eines Ini­tial Coin Offer­ing (ICO) oder Secu­ri­ty Token Offer­ing (STO) begleit­en.

Wom­öglich ist die jet­zige Pub­lika­tion des Guide­books auch zum Teil eine Reak­tion auf den kür­zlichen Besuch des Inter­na­tionalen Währungs­fonds auf der Blockchain Island. Bei diesem rou­tinemäßi­gen Ter­min zwis­chen dem IWF und den mal­te­sis­chen Behör­den im Jän­ner 2019 wurde seit­ens des IWF auch auf mögliche Risiken der Blockchain-Tech­nolo­gie hingewiesen. Dabei standen vor allem wichtige Sicher­heit­saspek­te und die Ver­hin­derung von Geld­wäsche im Vorder­grund.

Mit dem neuen Diskus­sion­spa­pi­er zeigt die mal­te­sis­che Auf­sichts­be­hörde ganz klar, dass man mit streng­sten Sicher­heits­bes­tim­mungen und Über­prü­fun­gen dafür sor­gen möchte, dass der Blockchain Island Mal­ta ihr Ruf als anerkan­nter Finanz­s­tan­dort mit pos­i­tivem und inno­va­tions­fre­undlichem Image erhal­ten bleibt.

Empfehlungen in Ergänzung zu zahlreichen bestehenden Regelwerken und Vorschriften

Wichtig ist auch anzumerken, dass die genan­nten Sicher­heit­sempfehlun­gen und Vorschriften nicht in leerem Raum ste­hen, son­dern viel mehr als Ergänzung zu bere­its beste­hen­den Regel­w­erken und Rah­men­werken umzuset­zen sind. So merkt der Reg­u­la­tor mehrfach an (z.B. 2.1.3., 2.1.8., 2.1.9.), dass man die vor­liegen­den Vorschriften bloß als Ergänzung zu beste­hen­den Regel­w­erken wie der DSGVO, PSD2, und unter anderem auch den Cryp­toCur­ren­cy Secu­ri­ty Stan­dard (CCSS) sieht.

Zudem han­delt es sich (noch) nicht um verpflich­t­ende Vorschriften, vielmehr ste­ht das Guide­book nun zur öffentlichen Diskus­sion. Konkret bit­ten die mal­te­sis­chen Auf­sichts­be­hör­den um Feed­back und Input aus der Pri­vatwirtschaft und haben hier­für eine Dead­line vom 8. März 2019 vorge­se­hen. Bis dahin kön­nen also noch hil­fre­iche Vorschläge und Ein­wände von betrof­fe­nen Unternehmen und Experten aus der Blockchain-Szene eingeschickt wer­den.

Richtiges Investment und Einführung von Verfahren

Die Auf­sichts­be­hörde emp­fiehlt, dass Unternehmen von Beginn des Unternehmens an einen angemesse­nen Betrag in die erforder­lichen Sicher­heits­maß­nah­men investieren. Konkret heißt es, dass das Unternehmen die notwendi­gen Sicher­heit­sproze­duren und Ver­fahren bere­its im Entwick­lungs- und der Start-up-Phase imple­men­tieren sollte.

Zu diesen Maß­nah­men zählt auch die Ernen­nung eines „Chief Infor­ma­tion Secu­ri­ty Offi­cer“ (CISO) inner­halb des Unternehmens. Auf 2 Seit­en des Doku­mentes erläutert der Reg­u­la­tor klar, welche Ver­ant­wortlichkeit­en für diesen Mitar­beit­er Anwen­dung find­en. In sein­er Rolle als CISO hat er nicht nur für die Ein­hal­tung dieser Vorschriften Sorge zu tra­gen, son­dern auch als intern­er Ansprech­part­ner zu dienen und soweit erforder­lich, Mitar­beit­er hin­sichtlich der anwend­baren Regelun­gen zu schulen.

In ein­er aus­führlichen Auflis­tung der Auf­gaben­bere­iche des CISO wer­den unter anderem genan­nt: Umset­zung und Inte­gra­tion des Cyber Risk Man­age­ment inner­halb des Unternehmens, Beratung des oberen Man­age­ments der Organ­i­sa­tion hin­sichtlich Cyber Risk Man­age­ment, Bewusst­sein schaf­fen für und Schu­lung anbi­eten in den umzuset­zen­den Sicher­heit­sprozessen für weit­ere Mitar­beit­er des Unternehmens. Führen und Leit­en von Koor­di­na­tion­sprozessen zur Umset­zung dieser Richtlin­ien, Durch­führung von regelmäßi­gen Tests und Evaluierun­gen hin­sichtlich der erfol­gre­ichen Umset­zung der gewün­scht­en Maß­nah­men.

Regulator behält sich Einführung zukünftiger Tests vor

Wichtig ist auch: die Auf­sichts­be­hörde behält sich vor, in Zukun­ft wom­öglich auch ein stan­dar­d­isiertes Ver­fahren zur Über­prü­fung der Com­pli­ance mit diesen Sicher­heits­maß­nah­men einzuführen. Dies wird expliz­it im Punkt 2.1.10.11 genan­nt, wo es heißt

[…], the Author­i­ty reserves the right to con­duct, in the future, an exer­cise aim­ing at assess­ing  Enti­ties’ lev­els of cyber­se­cu­ri­ty.

Um für diese möglichen Über­prü­fun­gen best­möglich gerüstet zu sein, vor allem aber, um die Effek­tiv­ität der ergrif­f­e­nen Maß­nah­men zu über­prüfen, emp­fiehlt man Unternehmen in dem Guide­book, regelmäßig Selb­sttests vorzunehmen. Vor allem sollte die Architek­tur der Cyber­se­cu­ri­ty-Maß­nah­men aus­gew­ertet wer­den, wobei zwis­chen reg­ulären und irreg­ulären Risiken unter­schieden wer­den sollte. Zudem soll­ten die wahrschein­lich­sten Risikoszenar­ien definiert, erforder­liche Gegen­maß­nah­men doku­men­tiert und diese in der Über­prü­fung getestet wer­den.

Einrichtung eines Cybersecurity-Rahmenwerks stark empfohlen

Zudem emp­fiehlt die Auf­sichts­be­hörde den Unternehmen ganz klar, ein eigenes Cyber­se­cu­ri­ty-Rah­men­werk zu definieren, welch­es auf Größe und indi­vidu­elle Fak­toren des Unternehmens einge­ht und spez­i­fis­che Sicher­heit­srisiken berück­sichtigt. Im Groben soll dieses Rah­men­werk eine Vielzahl von Stan­dard­prozessen und Ver­fahren definieren, die die Ein­hal­tung der genan­nten Sicher­heits­bes­tim­mungen auf allen Ebe­nen der Organ­i­sa­tion sich­er­stellt, und auch klare Ver­ant­wortlichkeit­en abge­se­hen von der Per­son des CISO vorgibt.

Mehr als eine Seite des Doku­mentes wid­met sich auch dem The­ma des Gefahren­man­age­ments bzw. es wird vorgeschrieben, dass das Unternehmen einen klaren „Inci­dent Response Plan“ haben muss, der vorgibt, wie im Ein­treten des Extrem­fall­es – einem Sys­temhack – vorzuge­hen ist. Hier gibt es auch starke Über­schnei­dun­gen mit den Richtlin­ien der DSGVO, welche hier bere­its ganz klare Vor­gaben macht.

Sicher gerüstet, um die Vorteile der Blockchain Island Malta zu nützen

Mit Ein­hal­tung dieser Sicher­heits­bes­tim­mungen ist man gegen mögliche Cyber­risiken und Angriffe best­möglich gerüstet. So kön­nen sich Unternehmen darauf konzen­tri­eren, von Mal­tas klarem rechtlichen Rah­men­werk für DLT-Tech­nolo­gie, der Möglichkeit des Erwerbs ein­er von 4 Arten von VFAA-Lizen­zen und dem wach­senden Blockchain-Hub zu prof­i­tieren. Ja, viele gute Gründe sprechen für eine Ansied­lung auf der Blockchain Island Mal­ta.

Um eine VFAA-Lizen­zierung zu beantra­gen, oder einen ICO/STO in Mal­ta durch­führen zu kön­nen, benöti­gen Sie einen reg­istri­erten VFA-Agen­ten. Hier kom­men wir ins Spiel. Als konzen­tri­ert­er VFA-Agent und erfahrene Anwalt­skan­zlei in Mal­ta unter­stützen wir sie mit unserem umfan­gre­ichen Beratungsleis­tun­gen rund um Blockchain- und Kryp­toser­vices. Kon­tak­tieren Sie uns jet­zt für eine Ter­min­vere­in­barung.

About Dr. Jörg Werner

Dr. jur. Jörg Wern­er, born 27 May 1971, attend­ed the law school of the Uni­ver­si­ty of Leipzig and passed his first state exam­i­na­tion in the State of Sax­ony in 1996. After suc­cess­ful­ly com­plet­ing his manda­to­ry legal intern­ship, he suc­cess­ful­ly passed the sec­ond state exam­i­na­tion of the State of Sax­ony-Anhalt in 1998 and was admit­ted to the bar and began to prac­tice as a Ger­man attor­ney (Recht­san­walt) before the court of Magde­burg the same year. He worked as an attor­ney at the Law Offices of Prof. Dr. Fre­und & Kol­le­gen until he formed the firm of Wrede & Wern­er. He was also admit­ted to prac­tice before the Supe­ri­or Court of Naum­burg. In 2001, he moved the firm’s offices to Cen­tral Berlin, where he was admit­ted to prac­tice before the Courts of Berlin. Dr. jur. Jörg Wern­er then com­plet­ed his doc­tor­al stud­ies at the Uni­ver­si­ty of Ham­burg and grad­u­at­ed as a Dok­tor der Rechtswis­senschaften (Doc­tor of Laws).

View All Posts

Kommentar hinterlassen

Ihre E-Mail Adresse wird nicht veröffentlicht.