Mehr Transparenz bei selbst erstellten Anwendungen

Der Einsatz von selbst erstellten Anwendungen wird seit Einführung der PC in der Bank als kritisches Thema eingestuft. Waren in der Vergangenheit nur wenige Anwender in der Lage, mit ihren Werkzeugen am Arbeitplatz eigene Datenbanksysteme …Autor: Dr. Haiko Timm, Juli 2009

Der Einsatz von selbst erstellten Anwendungen wird seit Einführung der PC in der Bank als kritisches Thema eingestuft. Waren in der Vergangenheit nur wenige Anwender in der Lage, mit ihren Werkzeugen am Arbeitplatz eigene Datenbanksysteme oder Abrechnungsblätter mit Tabellenkalkulationsprogrammen zu erstellen, sind diese Techniken über die Jahre zu gängigen Standards geworden, und sie werden umfänglich genutzt.

Viele Anwender setzen heute zur Unterstützung ihrer Arbeit selbst erstellte IT-Werkzeuge ein. Diese Anwendungen sind genau auf den Problembereich ausgerichtet und stellen eine ebenso effiziente wie wirtschaftliche Lösung in der Praxis dar.

Für die Bank stellt sich das Problem, dass eine unüberschaubare Anzahl solcher Anwendungen in unterschiedlichsten Bereichen eingesetzt wird, die weder geprüft noch dokumentiert und für die Nutzung freigegeben worden sind. Dieses Problem wird noch bedeutsamer, wenn diese Anwendungen Daten für rechnungslegungsrelevante Verfahren liefern oder Entscheidungsprozesse steuern. Teilweise werden diese Werkzeuge auch an weiteren Arbeitsplätzen genutzt und damit wird aus einer selbst erstellten Anwendung ein Programm. Über diesen Sachverhalt sind sich die Betroffenen in der Regel nicht im Klaren. Aus „Kollegialität“ werden bereitwillig Werkzeuge anderen Mitarbeitern mit vergleichbaren Arbeitsgebieten zur Verfügung gestellt. Gefahren sehen die Verantwortlichen bei dieser Vorgehensweise meistens nicht.

Seit langer Zeit bereitet dieser Sachverhalt sowohl den IT-Verantwortlichen als auch den Prüfern dieses Bereichs großes „Unbehagen“. Es ist zwar bekannt, dass derartige Techniken im Alltag eingesetzt werden, Transparenz über die Anzahl der Anwendungen, abgedeckte Aufgabengebiete oder die Anzahl der Nutzer ist häufig nicht gegeben. Weiterhin unbestimmt ist der Wirkungskreis der Anwendungen. Fehler bei der Datenselektion in Datenbanken oder im Formelwerk von Tabellenkalkulationsblättern können zu erheblichen Konsequenzen führen. Im Zuge des durch die MaRisk im Punkt 7.2. „Technisch organisatorische Ausstattung“ empfohlenen IT-Sicherheitsmanagements ist daher auch diesem Problembereich Rechnung zu tragen. Es stellt sich die Aufgabe, eine Übersicht über die selbst erstellten Unterstützungswerkzeuge zu bekommen und deren Relevanz zur Erfüllung der Mindestanforderungen zu prüfen.

Natürlich kann ein Administrator das Netzwerk nach den jeweiligen Dateitypen (z.B. xls, 123, mdb, dbf) durchsuchen. Auf diese Weise lässt sich ohne großen Aufwand eine vollständige Übersicht bekommen. Nach diesem Netzwerk-Scan berichteten Banken von einer 5-stelligen Anzahl von Dateien. Eine qualitative Aussage zum Inhalt und Wirkungskreis der Anwendung kann so allerdings nicht getroffen werden. Effektiver ist es daher, den Anwender selbst zu einer derartigen Aussage im Sinne einer Selbsterklärung zu veranlassen.

Der IT-Sicherheitsbeauftragte der Bank sollte die Mitarbeiter zunächst über die Gefahren informieren, die von selbst erstellten Anwendungen ausgehen können. Gemeint ist damit, wer ist verantwortlich für die Daten oder Ergebnisse, die in Folgeprozessen verarbeitet oder verwendet werden. Die Zielsetzung ist hier keineswegs, selbst erstellte Anwendungen komplett zu vermeiden. Vielmehr soll ein gezielter und verantwortungsvoller Einsatz gefördert werden. Erforderlich ist daher eine umfängliche Aufklärung der Betroffenen. In einem zweiten Schritt sind die Anwender aufzufordern, ihre Datenbestände in Hinsicht auf selbst erstellte Anwendungen zu durchsuchen. Dabei ergeben sich nicht selten eine erhebliche Anzahl von Excel- und/oder 123-Dateien und teilweise auch Access- und/oder Approach-Datenbanken.

Natürlich kann es nicht sinnvoll sein, alle Dateien zu melden, die mit den genannten Office- oder Smartkomponenten erzeugt wurden. Der Anwender muss in der Lage sein zu entscheiden, ob und welche seiner selbst erstellten Anwendungen Daten für die Rechnungslegung oder als Vorlage von Entscheidungsprozesse liefern. Dateien ohne diese Eigenschaften können ignoriert werden. Insofern ist eine gründliche Beratung der Mitarbeiter im Vorfeld maßgebend für den Erfolg der Erhebung.

Weiterhin ist entscheidend, ob die Anwendung für den einmaligen Einsatz oder zur wiederholten Verwendung konzipiert wurde. Bei Dateien mit Mehrfacheinsatz sind natürlich höhere Anforderungen zu setzen, da hier die in den MaRisk diskutierten Aspekte „Verfügbarkeit“ und „Integrität“ zu gewährleisten sind. Ein drittes Kriterium ist die Weitergabe der Anwendung an andere Mitarbeiter der Bank, da in diesem Falle ein Freigabeverfahren notwendig ist.

Eine erfolgreiche Erhebung bietet den Ausgangspunkt für weitere Aktivitäten der IT-Verantwortlichen und der IT-Revision. So wird für bestimmte Anwendungen eine ex-post Prüfung der Verarbeitungsfunktionen ebenso unverzichtbar sein wie eine nachträgliche Dokumentation derselben zur Erhaltung der Anwendung. Transparenz über die vorhandenen Anwendungen ermöglicht zusätzlich eine ergänzende Nutzung des Unterstützungswerkzeugs in ähnlichen gelagerten Arbeitsbereichen sowie eine revisionssichere Verwaltung der genutzten Versionen.

Eine einfache tabellarische Entscheidungshilfe für die Erhebung kann beim Verfasser dieses Dokuments in Dateiform per E-Mail angefordert werden.

Dr. Haiko Timm