Aufgaben und Integration des IT-Sicherheitsbeauftragten in Genossenschaftsbanken

Bankinformation 03/2007: Auf den ersten Blick stellt das Thema „Informationstechnik“ keinen Schwerpunkt der „Mindestanforderungen an das Risikomanagement“ (MaRisk) dar. Bei der Umsetzung der MaRisk werden jedoch hohe Anforderungen an Verfügbarkeit und Integrität der eingesetzten IT-Systeme …
Autor: Dr. Haiko Timm, veröffentlicht in BankInformation 03/2007

Auf den ersten Blick stellt das Thema „Informationstechnik“ keinen Schwerpunkt der „Mindestanforderungen an das Risikomanagement“ (MaRisk) dar. Bei der Umsetzung der MaRisk werden jedoch hohe Anforderungen an Verfügbarkeit und Integrität der eingesetzten IT-Systeme sowie an die Vertraulichkeit und Authentizität der dort gespeicherten Daten gestellt. Auf diese sollte man bankseitig mit der Integration eines IT-Sicherheitsbeauftragten reagieren.

Im Abschnitt 7.2. zur technisch-organisatorischen Ausstattung des allgemeinen Teils der MaRisk wird die Orientierung an gängigen Standards bei der Ausgestaltung der IT-Systeme empfohlen. Der Erläuterungsteil enthält mit dem IT-Grundschutzhandbuch (seit 2005 als „IT-Grundschutzkataloge“ bezeichnet) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) oder dem internationalen Standard 17799 der International Standards Organisation überdies entsprechende Vorschläge.

Banken sehen sich daher mit einem hohen Anspruch an IT-Sicherheit konfrontiert. Dieser begründet sich durch:

  • die starke Abhängigkeit der Geschäftsprozesse von der Informationstechnik,
  • den Anspruch an die jederzeitige Verfügbarkeit von IT-Systemen,
  • eine zunehmende Komplexität der Technik und
  • die steigende Bedrohung durch Internetkriminalität.

Zentrale Frage ist, wie man bankintern die notwendige Einführung und Aufrechterhaltung von IT-Sicherheit organisiert. Auch wenn die Sicherheit der eingesetzten Systeme schon immer die Handlungsweise der verantwortlichen Mitarbeiter im IT-Bereich geprägt hat, schlagen die IT-Grundschutzkataloge die Ernennung eines IT-Sicherheitsbeauftragten als „Person mit eigener Fachkompetenz zur IT-Sicherheit in einer Stabsstelle eines Unternehmens oder einer Behörde, die für alle IT-Sicherheitsfragen, Mitwirkung im IT-Sicherheitsprozess und IT-Sicherheitsmanagement-Team zuständig ist“ (BSI: IT-Grundschutz – Glossar und Begriffsdefinitionen) vor. Das BSI nennt weder Branche, Umsatzgröße noch Mitarbeiterzahl als Bestimmungsgrößen für die Ernennung, vielmehr geht es davon aus, dass Unternehmen eine entsprechende Position etabliert haben.

Obwohl noch kein gesetzlicher Anspruch gegeben ist, sehen sich immer mehr Banken bezüglich der Umsetzung der MaRisk wie auch hinsichtlich des eigenen Anspruchs an sichere IT-Systeme veranlasst, einen IT-Sicherheitsbeauftragten zu benennen. Da oft keine neuen Mitarbeiter hierfür eingestellt werden, stellt sich die Frage, aus welchem Bereich diese Person kommen sollte und wie das Aufgabengebiet konkret aussieht.

Diverse Modelle

Grundsätzlich kommen nur technikaffine Mitarbeiter für diese Position infrage. Dabei empfiehlt der BSI-Standard 100-2, keinen aktiven Administrator als IT-Sicherheitsbeauftragten zu benennen, da Interessenkonflikte auftreten können. Hier ist vor allem an die Problematik einer vollständigen Dokumentation zu denken.

Die Praxis zeigt, dass Banken des Finanz-Verbunds sich häufig für den Leiter IT-Orga oder einen Mitarbeiter aus diesem Bereich entscheiden. In der Tätigkeit als IT-Sicherheitsbeauftragter wird diese Person dann als Stabsstelle in die Organisation integriert. Andere Banken erweitern das Aufgabengebiet des Datenschutzbeauftragten um den Bereich IT-Sicherheit, oder aber der IT-Sicherheitsbeauftragte kommt aus dem Controlling.

Gerade für kleine Banken stellt die Auswahl des IT-Sicherheitsbeauftragten eine besondere Herausforderung dar. Hier entfällt gegebenenfalls sogar eine Auswahl, da nur ein Mitarbeiter in Personalunion alle Aufgaben im IT-Bereich wahrnimmt. Natürlich kann auch ein Outsourcing dieser Tätigkeiten sinnvoll sein.

Bei der Entscheidung sollten auf jeden Fall alle Aufgaben, die Methodik zur Umsetzung von Schutzmaßnahmen und verfügbare Werkzeuge zur Unterstützung berücksichtigt werden. Außerdem zählen neben der Technik-Affinität die persönliche Qualifikation und das Durchsetzungsvermögen des Mitarbeiters. Erforderlich sind eine persönliche Identifikation mit den IT-Sicherheitszielen, aber auch Kooperations- und Teamfähigkeit sowie Erfahrungen im Projektmanagement.

Beteiligung der Bankleitung

Zu den wesentlichen Aufgaben des IT-Sicherheitsbeauftragten gehört neben der Gestaltung der IT-Sicherheitsleitlinie (auch als „Sicherheitspolitik“ oder „Security Policy“ bezeichnet) und eines Notfallvorsorgekonzepts vor allem auch die Erstellung eines umfassenden IT-Sicherheitskonzepts. Zu Beginn des IT-Prozesses sind mit der Leitung wesentliche Anforderungen an die IT-Sicherheit und Verantwortung aller Mitarbeiter in Form einer IT-Sicherheitsleitlinie zu formulieren und anschließend gemeinsam in die Praxis einzuführen. Durch die Beteiligung der Bankleitung soll vor allem eine starke Signalwirkung erreicht und gleichzeitig die Verpflichtung des Einzelnen deutlich werden.

Bei der folgenden Umsetzung empfehlen die IT-Grundschutzkataloge die Zusammenstellung eines IT-Sicherheitsteams. In dieser vom IT-Sicherheitsbeauftragten geführten Gruppe sollten Mitglieder der Bankleitung und des Bereichs IT-Organisation vertreten sein. Die Revision ist hinsichtlich der Aufrechterhaltung der IT-Sicherheit ebenso einzubinden wie Anwendervertreter, die von der Umsetzung der Sicherheitsmaßnahmen unmittelbar betroffen sind. Darüber hinaus kann die Beteiligung des betrieblichen Datenschutzbeauftragten sinnvoll sein.

Hauptaufgabe ist die Erstellung eines IT-Sicherheitskonzepts, deren Erfüllung auch die meiste Zeit im IT-Sicherheitsprozess in Anspruch nehmen wird. Dieses Konzept zeichnet sich durch eine Beschreibung der IT-Struktur, eine Bewertung der Risiken und eine Übersicht der zu treffenden Schutzmaßnahmen aus. Zur Bestimmung der IT-Schutzobjekte verschafft sich der IT-Sicherheitsbeauftragte zunächst eine Übersicht über die Infrastruktur (Gebäude, Räume, technische Ausstattung). Danach gilt es, die einzelnen Systemtypen zu identifizieren. Dazu zählen mit PC, mobilem Arbeitsplatz PDA und dem Handy Standard-Techniken zur Unterstützung der Mitarbeiter. Ergänzend sind die übergreifenden Systeme wie das Banknetzwerk, die Netzwerkserver, Lotus Domino Server, TK-Anlage und SB-Geräte zu berücksichtigen. Ebenfalls zu den Schutzobjekten gehören die eingesetzten Anwendungen wie Bankverfahren, Controlling-Werkzeuge, Sicherheitsprodukte, Beratungsprogramme bis hin zu selbsterstellter Software durch die Anwender.

Für die Schutzobjekte ist dann im Rahmen einer Analyse der Schutzbedarf zu bestimmen. Zu diesem Zweck erfolgt eine Bewertung der Schutzobjekte, inwieweit die BSI-Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit gefährdet sein können. Diese Analyse ist die Basis für das Ableiten von Schutzmaßnahmen.

Die im IT-Sicherheitskonzept formulierten Maßnahmen sind anschließend in organisatorische Abläufe zu integrieren. Diese Aktivitäten werden nur teilweise durch den Sicherheitsbeauftragten erledigt. Ein Großteil der Aufgaben wird vielmehr an die Mitarbeiter delegiert, wobei es sich hierbei keineswegs ausschließlich um Kollegen des IT-Bereichs handeln wird. Wichtig sind eine klare Abgrenzung von Kompetenzen und Verantwortung sowie die konsequente Überwachung der übertragenen Tätigkeiten.

Eine weitere Aufgabe für den IT-Sicherheitsbeauftragten stellt die Konzeption und gegebenenfalls auch die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen für die IT-Anwender dar. Gerade im Umgang mit IT-Techniken haben sich in der Vergangenheit immer wieder Schwächen gezeigt, denen nur durch ein ausgeprägteres Bewusstsein für IT-Sicherheit zu begegnen ist. Gleichzeitig kann durch Ausbildungsmaßnahmen die Verantwortung des einzelnen Mitarbeiters deutlich aufgezeigt werden. Bei Problemen im Umfeld der IT-Sicherheit soll der IT-Sicherheitsbeauftragte dem Anwender unterstützend zur Seite stehen. Eine aktive Einbindung in die Schulung schafft hier eine solide Basis. Generell handelt es sich bei der Ausbildung nicht um eine einmalige Aktion. Empfohlen wird, die Kompetenz und Sensibilität der Anwender durch Seminare im Jahrestakt zu fördern.

Ständige Anpassung

Die Aufrechterhaltung der IT-Sicherheit im Regelbetrieb erfordert eine dauerhafte Anpassung und Erweiterung des IT-Sicherheitskonzepts. In Zusammenarbeit mit der Revision werden Aktualität und Wirksamkeit der Schutzmaßnahmen geprüft und gegebenenfalls modifiziert. Zusätzlich ist das IT-Sicherheitskonzept an geänderte Rahmenbedingungen anzupassen.

Die Erstellung des im allgemeinen Teil 7.3 angesprochenen Notfallvorsorgekonzepts der MaRisk zählt ebenfalls zu den Aufgaben des IT-Sicherheitsbeauftragten. Seine Pflicht ist es, ein Handbuch mit geeigneten Maßnahmen für die Geschäftsfortführung und den Wiederanlauf bereitzustellen. Die Praxistauglichkeit der formulierten Maßnahmen zur Fortführung der Geschäftsprozesse ist durch jährliche Notfalltests ebenso zu prüfen wie die Eignung der technischen Sicherungsvorkehrungen.

Für die Praxis des IT-Sicherheitsbeauftragten stellt sich die Frage, welche Werkzeuge zur Unterstützung seines umfangreichen Aufgabenspektrums eingesetzt werden können.

Im FinanzVerbund wird zu diesem Zweck verbreitet die Lotus Domino Anwendung GenoBankSafe-IT eingesetzt. Sie wurde speziell für genossenschaftliche Kreditinstitute entwickelt und unterstützt den Aufbau und die Durchführung eines den aufsichtsrechtlichen Vorgaben entsprechenden IT-Sicherheitsmanagements einschließlich der dazugehörenden Notfallplanung. In die Anwendung ist bereits ein vollständiges IT-Sicherheitskonzept integriert.

Sie stellt ein Mittel dar, den gestiegenen Anforderungen an die IT-Sicherheit gezielt zu begegnen. Dabei ist es richtig, dass die Anforderungen an das Risikomanagement und an das IT-Risikomanagement neue Aufgaben und neue Rollen für die Bank bedeuten. Gleichzeitig stehen im Verbund aber bereits geeignete Hilfen bereit, um diese neuen Aufgaben kompetent und mit vertretbarem Aufwand zu bewältigen. BI

Dr. Haiko Timm