IT-Compliance – der Weg zu einem IT-Gesetz der Zukunft?

Der Begriff „IT-Compliance“ wird in der Praxis sehr unterschiedlich interpretiert. Die Gesellschaft für Informatik beschreibt IT-Compliance in ihrem Informatiklexikon: „Informationstechnologie (IT) ist ein wesentlicher Bestandteil der Geschäftsstrategie vieler Unternehmen…Autor: Dr. Haiko Timm, Mai 2012

Der Begriff „IT-Compliance“ wird in der Praxis sehr unterschiedlich interpretiert. Die Gesellschaft für Informatik beschreibt IT-Compliance in ihrem Informatiklexikon: „Informationstechnologie (IT) ist ein wesentlicher Bestandteil der Geschäftsstrategie vieler Unternehmen und wird zur Unterstützung von Geschäftsprozessen eingesetzt. Durch diese starke Abhängigkeit steigen die betrieblichen Anforderungen an die IT-Unterstützung der Geschäftsprozesse. Gleichzeitig muss IT auch vermehrt gesetzliche und andere regulatorische Vorgaben erfüllen. Diese Vorgaben stellen den Gegenstand der IT-Compliance dar.“

IT-Compliance wird als Verhalten gesehen, bei dem sich alle Mitarbeiter im Umgang mit IT-Techniken regelkonform verhalten, d.h. das gesamte Regelwerk (Betriebsvereinbarungen Arbeitsanweisungen, Ablaufbeschreibungen) einhalten. Das stellt vor dem Hintergrund des schnellen technischen Fortschritts und der starken IT-Durchdringung der Geschäftsprozesse in der Bank natürlich eine hohe Anforderung an die Mitarbeiter dar. Insofern sind wiederum die Verantwortlichen bei der Gestaltung des Regelwerks gefordert, ein „lebbares“ anwendergerechtes Konzept aufzubauen und im Regelbetrieb zu erhalten.

Darüber hinaus gilt IT-Compliance auch als Zustand einer rechtskonformen Gestaltung der IT, der genau die Einhaltung des Regelwerks dokumentiert und damit eine Basis für interne und externe Prüfungen darstellt.

Es stellt sich die Frage, welche Gesetze, Vorschriften und Regelungen bei dem Umgang mit IT zu beachten sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) skizziert in ihrem Gefährdungskatalog Organisatorische Mängel im Abschnitt G 2.105 folgende Verstöße gegen gesetzliche Regelungen und vertragliche Vereinbarungen:

  • Verletzung der Bestimmungen des Bundesdatenschutzgesetzes, z.B. durch eine ungeschützte Weitergabe von personenbezogenen Daten über Kommunikationseinrichtungen,
  • keine ordnungsmäßige Verarbeitung von rechnungslegungs-relevanten Daten, z.B. Missachtung der Vorschriften des HGB oder der Abgabenordnung (AO),
  • mangelnde Beachtung einer angemessenen Sorgfaltspflicht durch den Vorstand mit Haftungsverpflichtung, z.B. keine Einrichtung eines Risikomanagements gemäß KonTraG oder
  • keine ausreichenden Sicherheitsmaßnahmen in der Technik.

Diese Liste lässt sich in vielen Bereichen noch erweitern und es gibt im Bankenumfeld noch diverse zu regelnde Sachverhalte. Oft diskutierte Beispiele hierfür sind die Regelungen für Eigenentwicklungen durch Bankmitarbeiter, dienstliche oder auch private Nutzung der Kommunikationsmedien, Schulung und Sensibilisierung der Mitarbeiter, Rechtesteuerung nach dem Minimalprinzip. Datenschutz und IT-Sicherheitsmanagement stellen aus der BSI-Übersicht zwei zentrale Säulen der IT-Compliance dar. Sie werden nachfolgend skizziert.

Die Einhaltung des Bundesdatenschutzgesetzes (BDSG) wird einerseits durch den Einsatz neuer Techniken erschwert. Mit iPhones sind zunehmend mobile Endgeräte im Einsatz, die bei dem Betrieb bestimmter Apps z.B. personenbezogene Daten wie Adressbücher, oftmals unbemerkt, auf fremde Server transferieren. Erst vor wenigen Tagen wurde von Apple festgelegt, dass zukünftig für diese Vorgehensweise eine explizite Zustimmung des Anwenders einzufordern ist. Mit der aktivierten Ortungsfunktion eines iPhones lassen sich außerdem Bewegungsprofile über die Nutzer anlegen. Der aktuell zunehmende Auftritt von Banken in sozialen Netzwerken wird ebenfalls durch weit reichende Anforderungen an den Datenschutz begleitet.

Die drei Novellen des BDSG führen anderseits zu einem erhöhten Arbeitsaufwand für die Datenschutzbeauftragten. So gibt es u.a. erweiterte Anforderungen bei der Auftragsdatenverarbeitung, die Notwendigkeit des Einsatzes gängiger Verschlüsselungstechniken bei dem Versand von E-Mails oder erweiterte Rechte der Betroffenen in Hinsicht auf die Verwendung ihrer Daten. Letzteres ist auf mehrere Datenschutzskandale zurückzuführen, bei denen Kundendaten für unterschiedliche Zwecke missbraucht worden sind. Der Kunde ist generell sensibler geworden – sicher gestützt durch umfangreiche Medienkampagnen. Gerade in Hinsicht auf Marketingaktivitäten der Bank und die Zusammenarbeit mit Verbundpartnern ergeben sich durch die Gesetzesnovellen signifikante Änderungen.

Die Einrichtung eines IT-Sicherheitsmanagements mit dem Ziel ein IT-Sicherheitskonzept aufzubauen und auf Dauer zu erhalten, ist Teil der Umsetzung des AT 7.2 Technisch-organisatorische Ausstattung der MaRisk. Während die meisten Banken ein IT-Sicherheitsteam gebildet und einen IT-Sicherheitsbeauftragten ernannt haben, stehen sie nun vor der Aufgabe IT-gestützte Geschäftsprozesse zu analysieren und Schutznahmen sowie deren Umsetzung zu dokumentieren.

Das erfolgt einmal in der IT-Sicherheitsleitlinie, die alle Mitarbeiter zur Einhaltung der Sicherheitsziele Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit in Kontext ihrer Möglichkeiten verpflichtet. Weiterhin ist ein IT-Sicherheitskonzept aufzubauen, in dem Bankprozesse und dort eingebundene Objekte aus den Bereichen Hardware, Anwendungen und Infrastruktur in Hinsicht auf ihren Schutzbedarf analysiert und passende Schutzmaßnahmen formuliert werden.

Diese sehr komplexe Aufgabe hat Genossenschaftsverbände veranlasst, Vorschläge für die Bewertungen zu erarbeiten und sie in der über Forum vertriebenen Notes-Applikation „GenoBankSafe-IT“* bereitzustellen. Auf diese Weise wird den Banken die Erstellung des IT-Sicherheitskonzepts bzw. die Umsetzung eines IT-Sicherheitsmanagements nach MaRisk deutlich erleichtert und es gibt eine einheitliche Form der Dokumentation. Nebenher entsteht eine solide Basis zur Erstellung eines Risikomanagementberichts für den Vorstand.

Die hier genannten Aspekte stellen natürlich nur einen Teil der regulatorischen Vorschriften dar. Rechtliche und aufsichtsrechtliche Anforderungen steigen ständig und stellen oftmals kleine Banken vor schwer lösbare Aufgaben. Allein im Beauftragtenwesen gibt es häufig Doppelfunktionen (z.B. ein Administrator ist gleichzeitig IT-Sicherheitsbeauftragter der Bank) oder aber die Beauftragtenstellen (Datenschutz, Geldwäsche) werden an externe Firmen gegeben.

Dr. Haiko Timm, Geschäftsführer der Forum Gesellschaft für Informationssicherheit mbH, ist als IT-Berater, IT-Prüfer und externer Datenschutzbeauftragter für Verbundbanken tätig. Er gibt gerne Auskunft zum Thema Compliance und der Software-Lösung GenoBankSafe-IT unter Telefon 0228 / 377 894 81 oder per E-Mail haiko.timm(at)forum-is.de.

Dr. Timm leitet das 9. Forum IT-Revision „Mehrwert für die IT-Sicherheit“ vom 5. – 6. September und das 13. Forum IT-Sicherheit „Mehrwert für die Bank“ vom 6. – 7. September 2012 bei der Akademie Deutscher Genossenschaften auf Schloss Montabaur.