IT-Sicherheit in Banken – Anspruch und Wirklichkeit

Dieser Artikel erschien als Beitrag der Festschrift zum 60. Geburtstag von Roland Gabriel „Schlaglichter der Wirtschaftsinformatik“ von Peter Gluchowski, Peter Chamoni, Martin Gersch, Stefan Krebs, Martina Reinersmann (Hrsg.), Verlag der Gesellschaft für Unternehmensrechnung und Controlling m.b.H; 2007, ISBN 978-3-934235-58-8
Autor: Dr. Haiko Timm, November 2007

1. Einleitung

Geschäftsprozesse in Banken werden durch leistungsstarke Informations- und Kommunikationssysteme unterstützt. Die Folge sind immer komplexer werdende Netzwerke, die sowohl intern als auch extern das Leistungsangebot des Kreditinstituts in erheblichem Maße beeinflussen und ein hohes Abhängigkeitspotential in sich bergen. Die IT-Verantwortlichen müssen daher für ein funktionstüchtiges IT-System sorgen, das kontinuierlich die zur Geschäftsabwicklung relevanten Leistungen bereitstellt. Darüber hinaus muss es IT-Anwender geben, die kompetent und umsichtig die Systemleistungen in ihrer Praxis einsetzen. Insgesamt hat sich die Sichtweise deutlich erweitert: Es geht Banken weniger um die Sicherheit der Informationstechnologie, sondern vielmehr um die Sicherheit ihrer Geschäftsprozesse.

Bezogen auf diese Anforderungen ist es nicht mehr zeitgemäß, IT-Sicherheit allein als Aufgabe der IT-Abteilung zu sehen. Der Anspruch an die Aufrechterhaltung eines sicheren IT-Betriebs muss vielmehr von allen Beteiligten – vom Vorstand bis zum Endanwender – getragen werden. Eine in diesem Zusammenhang genannte Empfehlung lautet, IT-Sicherheit als Teil der Unternehmenskultur zu etablieren. Auch wenn Banken häufig Teile der IT-Leistungen an ein Rechenzentrum ausgelagert haben, so verbleibt doch aufgrund der Komplexität der im Haus betriebenen Systeme ein hohes Maß an Verantwortung für alle Mitarbeiter.

Die Durchführung von Einzelmaßnahmen zur Förderung der IT-Sicherheit (z.B. Virenschutz, Zugriffsschutz, Datensicherung) weicht in Banken mehr und mehr einem ganzheitlichen Ansatz: Dem IT-Sicherheitsmanagement. Gemeint ist eine prozessorientierte Vorgehensweise um in mehreren Schritten ein umfassendes Sicherheitskonzept mit allen notwendigen Maßnahmen zu erstellen und zu dokumentieren. Diese Maßnahmen sind von allen Beteiligten in der Praxis umzusetzen. Sie sind außerdem durch die Revision auf Gültigkeit, Aktualität und Integrierbarkeit zu prüfen mit dem Ziel, IT-Sicherheit im Regelbetrieb dauerhaft zu gewährleisten.

2. Aufsichtsrechtliche Anforderungen und Vorgaben

Einen geeigneten Rahmen finden die Kreditinstitute in den Standards vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) 100-1 bis 100-3 und den IT-Grundschutzkatalogen [BSIT06]. Ebenso ist eine Orientierung an der ISO-Norm 17799 und dem British Standard BS 7799 möglich.

Das Institut der Wirtschaftsprüfer (IDW) thematisiert in seinen Veröffentlichungen Rechnungslegungsstandard FAIT 1 und Prüfungsstandard 330 ebenfalls Vorgaben an die IT-Sicherheit [IDWP05]. Sie sind zwar für die Banken nicht bindend, stellen aber die berufsständische Meinung der Wirtschaftsprüfer dar. Eine Jahresabschlussprüfung wird sich insofern daran orientieren.

Die BSI-Veröffentlichungen haben ebenso keinen verpflichtenden Charakter, werden aber als gültiger Standard eingestuft. Und genau dieser Standard wird Banken bei der Umsetzung der 2. Säule von Basel II – der Anforderungen an eine ganzheitliche Risikobetrachtung, empfohlen. Die Bankenaufsicht hat die Anforderungen in den „Mindestanforderungen an das Risikomanagement“ veröffentlicht [BaFi07].

Auf den ersten Blick stellt das Thema „Informationstechnik“ keinen Schwerpunkt der MaRisk dar. Bei der Umsetzung der MaRisk werden jedoch hohe Anforderungen an Verfügbarkeit und Integrität der eingesetzten IT-Systeme sowie an die Vertraulichkeit und Authentizität der dort gespeicherten Daten gestellt [BaFi07, 10]. Banken sehen sich daher mit einem hohen Anspruch an IT-Sicherheit konfrontiert, der sich begründet durch

  • die starke Abhängigkeit der Geschäftsprozesse von der Informationstechnik,
  • die gerade im Wettbewerb unverzichtbare Forderung einer jederzeitigen Verfügbarkeit der IT-Systeme,
  • die zunehmende Komplexität der Technik und der damit verbundenen hohen Anforderungen an die Qualifikation der IT-Verantwortlichen und Anwender sowie
  • die steigende Bedrohung durch Internetkriminalität, die sich durch erfolgreiche Betrugsfälle (Phishing, Pharming) immer wieder bestätigt.

3. Organisation des IT-Sicherheitsprozesses

In diesem Zusammenhang stellt sich die Frage nach der notwendigen Organisation zur Einführung und Aufrechterhaltung der IT-Sicherheit. Auch wenn der Aspekt Sicherheit der eingesetzten Systeme schon immer die Handlungsweise der verantwortlichen Mitarbeiter im IT-Bereich geprägt hat, schlagen die IT-Grundschutzkataloge die Ernennung eines IT-Sicherheitsbeauftragten als „Person mit eigener Fachkompetenz zur IT-Sicherheit in einer Stabsstelle eines Unternehmens oder einer Behörde, die für alle IT-Sicherheitsfragen, Mitwirkung im IT-Sicherheitsprozess und IT-Sicherheitsmanagement-Team zuständig ist“ vor. Das BSI nennt weder Branche, Umsatzgröße noch Mitarbeiterzahl als Bestimmungsgrößen für die Ernennung eines IT-Sicherheitsbeauftragten. Es geht vielmehr davon aus, dass Unternehmen eine entsprechende Position eingerichtet haben. Eine klare Zuordnung soll helfen zu vermeiden, dass IT-Sicherheit grundsätzlich als Aufgabe der ‚Anderen’ gesehen wird und keiner sich selbst in der Verantwortung hierfür fühlt.

Obwohl im Gegensatz zum Datenschutzbeauftragten keine gesetzliche Verpflichtung hinsichtlich der Position des IT-Sicherheitsbeauftragten gegeben ist, sehen sich immer mehr Banken sowohl in Hinsicht auf die Umsetzung der MaRisk als auch bezüglich des eigenen Anspruchs an sichere IT-Systeme veranlasst, einen IT-Sicherheitsbeauftragten zu benennen. Da kleine bis mittlere Kreditinstitute regelmäßig keine neuen Mitarbeiter hierfür einstellen können, stellt sich die Frage, aus welchem Bereich diese Person kommen sollte und wie deren Aufgabengebiet konkret aussieht.

Es ist unzweifelhaft, dass nur Mitarbeiter deren Denk- und Arbeitsweise „technik-affin“ ausgerichtet sind, für diese Position in Frage kommen. Der BSI-Standard 100-2 empfiehlt, keinen aktiven Administrator als IT-Sicherheitsbeauftragten zu benennen, da Interessenkonflikte auftreten können. Hier ist vor allem an die Problematik einer vollständigen Dokumentation zu denken.

Die gängige Praxis zeigt, dass Banken sich häufig für den Leiter IT-Orga oder einen Mitarbeiter aus diesem Bereich entschieden haben, der nicht für die Administration der Systeme zuständig ist. In der Tätigkeit als IT-Sicherheitsbeauftragter wird diese Person als Stabsstelle in die Organisation integriert. Andere Kreditinstitute erweitern das Aufgabengebiet des Datenschutzbeauftragten um den Bereich IT-Sicherheit. In wieder anderen Fällen kommt der IT-Sicherheitsbeauftragte aus dem Controlling. Natürlich können die Aufgaben auch dem allgemeinen Sicherheitsbeauftragten übertragen werden. Er hat zwar grundsätzlich andere Betätigungsfelder (z.B. Förderung der Arbeitsplatzsicherheit), es gibt aber auch für ihn immer wieder Schnittstellen zu IT-Techniken.

Gerade für kleine Banken stellt die Auswahl des IT-Sicherheitsbeauftragten eine besondere Herausforderung dar. Hier entfällt gegebenenfalls sogar eine Auswahl, da nur ein Mitarbeiter in Personalunion alle Aufgaben im IT-Bereich wahrnimmt. Die Forderung nach der Benennung eines ‚gültigen’ Vertreters des IT-Sicherheitsbeauftragten lässt sich nicht mehr erfüllen. Natürlich kann auch eine Auslagerung der Tätigkeiten sinnvoll sein.

Bei der Entscheidung sollten auf jeden Fall die anfallenden Aufgaben, die Methodik zur Umsetzung von Schutzmaßnahmen und verfügbare Werkzeuge zur Unterstützung berücksichtigt werden. Ein universelles Werkzeug für Unternehmen und Behörden zum Aufbau eines IT-Sicherheitsmanagements bietet das BSI mit dem GS-Tool an. Eine banken-spezifische Lösung stellt das Werkzeug ForumBankSafe-IT der Firma Forum für Informationstechnologie dar.

Außerdem zählen neben dem allgemeinen Anspruch „Technik-Affinität“ die persönliche Qualifikation und das Durchsetzungsvermögen des Mitarbeiters. Erforderlich sind eine persönliche Identifikation mit den IT-Sicherheitszielen, aber auch Kooperations- und Teamfähigkeit sowie Erfahrungen im Projektmanagement.

4. Dokumentation des IT-Sicherheitsprozesses

Zu den wesentlichen Aufgaben des IT-Sicherheitsbeauftragten gehört neben der Gestaltung der IT-Sicherheitsleitlinie (auch als „Sicherheitspolitik“ oder „Security Policy“ bezeichnet) und eines Notfallvorsorgekonzepts vor allem die Erstellung des IT-Sicherheitskonzepts.

4.1 Aufbau und Einführung der IT-Sicherheitsleitlinie

Zu Beginn des IT-Sicherheitsprozesses sind zusammen mit der Geschäftsleitung wesentliche Anforderungen an die IT-Sicherheit und Verantwortung aller Mitarbeiter in Form einer IT-Sicherheitsleitlinie zu formulieren und anschließend gemeinsam in die Praxis einzuführen. Durch die Beteiligung der Bankleitung soll vor allem eine starke Signalwirkung erreicht und gleichzeitig die Verpflichtung des Einzelnen deutlich werden.

Untersuchungen der Praxis zeigen in Kreditinstituten immer wieder das mangelnde Bewusstsein der IT-Anwender bezüglich der Sicherheit ihrer Systeme. Selbst die Verpflichtung, die betriebliche PC-Richtlinie einzuhalten, tritt im Alltag des Anwenders nicht selten in den Hintergrund oder wird sogar völlig ignoriert. So ist z.B. technisch die Möglichkeit beliebiger Downloads gegeben. Eine Nutzung privater Daten und Programme ist untersagt. An dieser Stelle gibt es häufig erhebliche Unsicherheit über die Zulässigkeit bestimmter Downloads. Mit der Einführung einer IT-Sicherheitsleitlinie wird der Anwender zur Förderung der IT-Sicherheit verpflichtet. Es wird dort explizit festgelegt, dass er persönlich für die Einhaltung der Sicherheitsziele mitverantwortlich ist und eine Missachtung zu Konsequenzen führt.

Bei der Formulierung dieses Dokumentes ist eine kompakte Darstellung notwendig. Da es sich um ein ‚Top Level’-Dokument mit hohem Abstraktionsgrad handelt, hat sich für Banken eine Beschränkung auf ca. 2-4 Seiten bewährt. Es wird auf jegliche Details verzichtet mit dem Nebeneffekt, dass es keinen oder nur einen geringen Änderungsbedarf gibt.

Die IT-Anwender in Banken sehen sich in der Praxis mit einer Vielzahl von Richtlinien und Arbeitsweisungen (z.B. PC-Richtlinie, Internet- und Kommunikationsrichtlinie, Regelungen zum Umgang mit Passwörtern) konfrontiert. Unterschiedliche Entstehungszeitpunkte dieser Dokumente, der Einsatz neuer oder veränderter Techniken und Überlappungen bei den Inhalten erschweren die Einhaltung in der Praxis. Es ist deshalb die Bereitstellung eines IT-Sicherhandbuchs zu empfehlen, in dem zugeschnitten auf den jeweiligen Nutzungsgrad der IT Vorgaben für die Anwender gemacht werden. Eine Verwaltung und zielgruppenorientierte Verteilung dieser Dokumente erfolgt regelmäßig durch den Einsatz von Datenbanktechniken.

Es hat sich bewährt, das Sicherheitshandbuch mit der IT-Sicherheitsleitlinie einzuleiten. Ihre abstrakte Formulierung gibt für die Anwender (nur) eine Richtung zur Erreichung der genannten IT-Sicherheitsziele, aber keine konkreten Vorgehensweisen vor. Da Endanwender mit Begriffen wie ‚Integrität’ oder ‚Authentizität’ in der Regel weniger vertraut sind, sollte hier jeweils eine Erklärung mit Beispielen (z.B. im Glossar) verfügbar sein. Neben der Verpflichtung des Einzelnen, die Sicherheitsziele zu fördern, ist ein Hinweis auf die zyklische Überprüfung der Einhaltung der Sicherheitsmaßnahmen und die Einleitung von Strafmaßnahmen bei Verstößen unverzichtbar.

Um eine bestmögliche Signalwirkung zu erreichen, empfiehlt sich eine offizielle Einführung der IT-Sicherheitsleitlinie durch die Geschäftsleitung. Die bloße Bereitstellung z.B. mit Hilfe elektronischer Medien kann kaum die gesetzten Erwartungen erfüllen, weil die IT-Sicherheitsleitlinie dann nur eine ‚beliebige’ weitere Regelung darstellt. Teilweise wird die IT-Sicherheitsleitlinie von den Betroffenen unterschrieben und der Personalakte hinzugefügt.

Für die im nächsten Schritt einzurichtende Organisation schlagen die IT-Grundschutzkataloge die Zusammenstellung eines IT-Sicherheitsteams vor. In dieser vom IT-Sicherheitsbeauftragten geführten Gruppe sollten Mitglieder der Bankleitung und des IT-Bereichs vertreten sein. Bei der Leitungsebene hat in den letzten Jahren ein deutlicher Umdenkprozess stattgefunden, der sich durch eine positive Bereitschaft zur Gestaltung des IT-Sicherheitsmanagements zeigt. Die Revision ist in Hinsicht auf die Aufrechterhaltung der IT-Sicherheit ebenso einzubinden wie Vertreter der Fachabteilungen, die von der Umsetzung der Sicherheitsmaßnahmen unmittelbar betroffen sind. Darüber hinaus kann die Beteiligung des betrieblichen Datenschutzbeauftragten sinnvoll sein.

4.2 Gestaltung des IT-Sicherheitskonzepts

Als hauptsächliche Aufgabe des IT-Sicherheitsteams ist die Erstellung eines IT-Sicherheitskonzepts zu sehen, dessen Umsetzung auch die meiste Zeit des IT-Sicherheitsprozesses in Anspruch nehmen wird. Dieses Konzept zeichnet sich durch eine Darstellung des gesamten IT-Systems, eine Bewertung der möglichen Risiken und eine Übersicht der zu treffenden Schutzmaßnahmen für die jeweiligen Teile des IT-Systems – die Schutzobjekte – aus.

Zur Bestimmung der IT-Schutzobjekte verschafft sich der IT-Sicherheitsbeauftragte zunächst eine Übersicht über die vorhandene Infrastruktur, d.h. Gebäude, Räume und technische Ausstattung. Danach gilt es, die einzelnen technischen Systeme zu identifizieren. Dazu zählen die Standard-Techniken zur Unterstützung der Bankmitarbeiter wie PC, mobiler Arbeitsplatz, PDA und Handy. Ergänzend sind die übergreifenden Systeme zu berücksichtigen, deren typische Vertreter das Banknetzwerk, die Netzwerkserver, Datenbankserver, TK-Anlage und SB-Geräte sind. Ebenfalls zu den Schutzobjekten gehören die eingesetzten Anwendungen, z.B. Bankverfahren, Controlling-Werkzeuge, Sicherheitsprodukte, Beratungsprogramme bis hin zu selbsterstellter Software durch die Anwender.

Gerade der letzte Aspekt führt in Kreditinstituten immer wieder zu Problemen. Der typische IT-Anwender hat Grundlagen- bis hin zu Spezialwissen bezüglich der Einsatzmöglichkeiten von Tabellenkalkulations- und Datenbankprogrammen und die notwendigen Werkzeuge, z.B. Microsoft Office oder vergleichbare Programme stehen zur Verfügung. Dieses Wissen wird dann für die Entwicklung von eigenen Lösungen zur Unterstützung der anfallenden Arbeiten genutzt. Die Lösungen werden unter Umständen auch von Abteilungskollegen genutzt. Aus wirtschaftlicher Sicht sind Eigenprogammierungen sicherlich eine ebenso preiswerte wie schnelle Lösung, weil ein aufwendiger Entwicklungsprozess entfällt. Unter dem Gesichtspunkt Sicherheit sind sie jedoch kritisch zu hinterfragen, da solche Anwendungen meist nicht vor ihrem Einsatz geprüft werden und nur selten eine Dokumentation des Verfahrens angefertigt wird. Darüber hinaus dienen solche Anwendungen mitunter auch als Basis für Entscheidungsprozesse und / oder erzeugen rechnungslegungsrelevante Daten.

IT-Sicherheit an dieser Stelle verlangt eine umfangreiche Aufklärung über die Gefahren der selbsterstellten Anwendungen. Es geht hier keinesfalls um die Unterdrückung des kreativen Potentials der Mitarbeiter. Es ist aber sicherzustellen, dass diese Programme korrekte, praxistaugliche Lösungen liefern, die durch die notwendige Dokumentation dauerhaft verfügbar bleiben und deren Integrität durch den Einsatz von Schutzmechanismen bei der Weitergabe nicht gefährdet ist. Insgesamt ergibt sich für den IT-Sicherheitsbeauftragten ein enormer Aufklärungsbedarf, weil das Thema Eigenentwicklungen nur von untergeordneter Bedeutung eingestuft wird. In Hinblick auf die weit reichenden Konsequenzen ist eine Sensibilisierung mit dem Hinweis auf die eigene Verantwortung der Mitarbeiter notwendig.

Für alle Schutzobjekte ist im Rahmen einer Analyse der Schutzbedarf zu bestimmen. Zu diesem Zweck erfolgt eine Bewertung der Schutzobjekte, inwieweit die IT-Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit gefährdet sein können. Diese Schutzbedarfsanalyse ist die Basis für das Ableiten von Schutzmaßnahmen, wobei je nach benötigtem Sicherheitsbedarf Standardmaßnahmen, z.B. aus den BSI-Grundschutzkatalogen, ausreichen können oder aber aufgrund der Einschätzung ergänzende Maßnahmen abzuleiten sind.

Gegenstand der Analyse nach BSI-Standard 100-2 ist eine Bewertung, inwieweit ein Verlust von Vertraulichkeit und / oder Integrität bzw. eine mangelnde Verfügbarkeit der Schutzobjekte

  • ein Verstoß gegen Gesetze, Vorschriften oder Verträge darstellen;
  • gegen die Bestimmungen des Datenschutzes verstoßen;
  • die Erfüllung der Aufgaben beeinträchtigen;
  • negative Außenwirkungen mit sich bringen und / oder
  • finanzielle Auswirkungen zur Folge haben.

Das Ergebnis ist eine Bewertung des Schutzbedarfs der betrachteten Objekte. Für die Praxis hat sich eine Aufteilung in geringer – mittlerer Schutzbedarf (z.B. eine Nichtverfügbarkeit von einem Tag oder mehr verursacht keine wesentlichen Schäden) und in hoher – sehr hoher Schutzbedarf (schon eine Ausfallzeit von einer Stunde bis zu einem Tag hat weit reichende Konsequenzen) bewährt. Eine Schutzbedarfsanalyse von Banken wird zusätzlich geprägt durch die Herkunft der betrachteten IT-Leistungen. Es ist klar, dass andere Maßnahmen für eigenbetriebene Systeme und Anwendungen zu formulieren sind als für an Rechenzentren ausgelagerte Schutzobjekte. Die Aufteilung nach Schutzbedarf und Schutzobjekten im Eigen- oder ausgelagertem Betrieb verdeutlicht die folgende Abbildung.

Abb. 1: IT-Schutzbedarfsanalyse mit ForumBankSafe-IT

Der Maßnahmenkatalog der BSI-Grundschutzkataloge deckt (nur) den geringen bis mittleren Schutzbedarf ab. Ein höherer Schutzbedarf erfordert Ergänzungsmaßnahmen, die zum einen auf die spezifischen Gegebenheiten der Bank anzupassen sind und andererseits mit einem vertretbaren wirtschaftlichen Einsatz geleistet werden können. So bleiben immer wieder Restrisiken bestehen, da die Einführung von Gegenmaßnahmen einfach zu kostenaufwendig ist.

IT-Sicherheitsmaßnahmen in Banken können sehr unterschiedliche Ausprägungen haben. Vertragliche Regelungen mit Rechenzentren (z.B. 1st Level Support) oder mit Dienstleistern (z.B. Auftragskontrolle) sind ebenso als Sicherheitsmaßnahmen zu verstehen wie interne Regelungen für die Mitarbeiter zum Umgang mit der Technik (z.B. PC- oder Notebookeinsatzrichtlinie) sofern sie auf die IT-Sicherheit abzielen. Die zielgruppenorientierte Qualifizierung und Sensibilisierung zählt dazu, weil nur so ein kompetenter Technikeinsatz möglich sowie eine praxistaugliche Vertretungsregelung möglich ist. Der allgemeine Teil der MaRisk [BaFi07, 9f].thematisiert im Absatz 7.1. die Anforderungen an das Personal. Maßnahmen zur Sicherung der Infrastruktur (z.B. Zutrittsregelungen, Klimatisierung, Brandschutz) werden bei Kreditinstituten schon seit langer Zeit erfolgreich angewandt. Ähnliches gilt für die technischen Sicherheitsmaßnahmen (u.a. Virenschutz, Firewalls, Verschlüsselungsmechanismen), wobei hier das steigende Potential der kriminell motivierten Angriffe immer wieder eine neue Herausforderung darstellt.

Die im IT-Sicherheitskonzept formulierten Maßnahmen sind anschließend in organisatorische Abläufe und Prozesse zu integrieren. Die durchzuführenden Aktivitäten werden nur teilweise durch die Sicherheitsbeauftragten erledigt. Ein Großteil der Aufgaben wird vielmehr an die Mitarbeiter delegiert, wobei es sich hierbei keineswegs ausschließlich um Kollegen des IT-Bereichs handeln wird. Wichtig sind eine klare Abgrenzung von Kompetenzen und Verantwortung sowie die konsequente Überwachung der übertragenen Tätigkeiten. Vor allem muss festgelegt sein, bis wann eine Maßnahme umzusetzen ist und wer über den Abschluss zu informieren ist. Natürlich bietet sich für diese Aufgaben wieder der Einsatz von IT-Techniken an.

Eine weitere Aufgabe für den IT-Sicherheitsbeauftragten stellt die Konzeption und evtl. auch die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen für die IT-Anwender dar. Hier haben sich in der Vergangenheit immer wieder Schwächen gezeigt, denen nur durch ein höheres Bewusstsein für IT-Sicherheit zu begegnen ist. Gleichzeitig kann durch Ausbildungsmaßnahmen die Verantwortung des einzelnen Mitarbeiters deutlich aufgezeigt werden. Bei Problemen im Umfeld der IT-Sicherheit soll der IT-Sicherheitsbeauftragte dem Anwender unterstützend zur Seite stehen. Eine aktive Einbindung in die Schulung ist geeignet, hier eine solide Basis zu schaffen. Generell handelt es sich bei der Ausbildung nicht um eine einmalige Aktion. Empfohlen ist vielmehr, Kompetenz und Sensibilität der Anwender durch Seminare und Workshops im Jahrestakt zu fördern. Auf diese Weise lässt sich auch den immer wieder neuen Formen des Aushorchens – dem ‚Social Engineering’ entgegenwirken.

4.3 Notfallvorsorge und IT-Sicherheit im Regelbetrieb

Die Aufrechterhaltung der IT-Sicherheit im Regelbetrieb erfordert eine dauerhafte Anpassung bzw. Erweiterung des IT-Sicherheitskonzepts. In Zusammenarbeit mit der Revision werden die Aktualität und Wirksamkeit der Schutzmaßnahmen geprüft und gegebenenfalls modifiziert. Zusätzlich ist das IT-Sicherheitskonzept an geänderte Rahmenbedingungen (Gesetze, Vorschriften etc.) anzupassen. Durch die bereits genannte Einbindung des IT-Revisors in das IT-Sicherheitsteam wird einerseits die Prüfersichtweise in den IT-Sicherheitsprozess integriert und andererseits die Validierung des IT-Sicherheitskonzepts vereinfacht.

Die Erstellung und Pflege eines Notfallvorsorgekonzepts wird von Banken seit langer Zeit gefordert und zählt ebenfalls zu den Aufgaben des IT-Sicherheitsbeauftragten. Auch hier existieren Vorgaben der BaFin im allgemeinen Teil 7.3. der MaRisk [BaFi07, 10]. Seine Pflicht ist es, ein Handbuch mit geeigneten Maßnahmen für die Geschäftsfortführung und den Wiederanlauf bereitzustellen. Die Praxistauglichkeit der formulierten Maßnahmen zur Fortführung der Geschäftsprozesse ist durch jährliche Notfalltests ebenso zu prüfen und zu dokumentieren wie die Eignung der technischen Sicherungsvorkehrungen.

5 Zusammenfassung

IT-Sicherheit bzw. der Betrieb eines sicheren IT-Systems wird heute von Banken als unverzichtbare Forderung verstanden. Die mangelnde Verfügbarkeit von Leistungen (z.B. defekte Geräte im SB-Bereich), der Verlust von vertraulichen Daten (z.B. Kundendaten werden öffentlich) oder die fehlende Integrität der Informationen (z.B. Datenbestände sind unvollständig) haben weit reichende Konsequenzen und ziehen regelmäßig finanzielle Verluste nach sich. Eine enge Kundenbindung und die Vermeidung von Imageproblemen erfordern stabile Geschäftsprozesse, für die eine Unterstützung durch IT-Techniken unerlässlich ist.

Große Unterschiede ergeben sich aber bei der Betrachtung der Umsetzung des IT-Sicherheitsmanagements. Während in einigen Kreditinstituten hier bereits sehr viel investiert wurde (bis hin zu einer Zertifizierung des IT-Sicherheitsmanagements nach dem BSI), stehen andere Häuser erst am Anfang. An dieser Stelle ist immer wieder zu entscheiden, mit welchen finanziellen Mitteln welches Sicherheitsniveau erreicht werden soll. Die notwendige Bewertung stellt eine schwierige Aufgabe dar. Eine Orientierung an gängigen Standards – allen voran den Grundschutzkatalogen – wird hier sicherlich einen positiven Beitrag leisten.

Literatur

[BaFi07] Bundesanstalt für Finanzdienstleistungsaufsicht – Rundschreiben 6 vom 30. Oktober 2007 „Mindestanforderungen an das Risikomanagement“

[BSIT06] Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheitsmanagement und IT-Grundschutz, Bundesanzeigerverlag 2006, ISBN 3-898-17547-2

[IDWP05] Institut der Wirtschaftsprüfer: Rechnungslegung und Prüfung beim Einsatz von Informationstechnologie, IDW Verlag 2005, ISBN: 3-8021-1167-2

Dr. Haiko Timm