Zeitschrift für das gesamte Kreditwesen – Ausgabe Technik – IT für Dienstleister 04/2013: IT Sicherheit in Banken – Anspruch und Wirklichkeit

Geschäftsprozesse in Banken werden seit Jahren durch leistungsstarke Informations- und Kommunikationssysteme unterstützt. Das Ergebnis sind immer komplexer werdende Systeme, …

Autor: Dr. Haiko Timm, veröffentlicht in Zeitschrift für das gesamte Kreditwesen – Ausgabe Technik – IT für Dienstleister 04/2013

Orientierung an Standards

IT ist kein Selbstzweck, sondern dient dazu, die Geschäftsprozesse bestmöglich zu unterstützen. Nach Ansicht des Autors sollte IT-Sicherheit deshalb nicht allein Aufgabe der IT-Abteilung sein, sondern als Teil der Unternehmenskultur etabliert werden. Zu beachten sind in diesem Zusammenhang selbstverständlich auch die aufsichtlichen Standards in den MaRisk. Darüber hinaus empfiehlt der Autor die Benennung eines IT-Sicherheitsbeauftragten und die Formulierung einer IT-Sicherheitsleitlinie. (Red.)

Geschäftsprozesse in Banken werden seit Jahren durch leistungsstarke Informations- und Kommunikationssysteme unterstützt. Das Ergebnis sind immer komplexer werdende Systeme, die sowohl intern als auch extern das Leistungsangebot des Kreditinstituts in erheblichem Maße beeinflussen und ein hohes Abhängigkeitspotential in sich bergen. Die IT-Verantwortlichen müssen daher für ein funktionstüchtiges IT-System sorgen, das kontinuierlich die zur Geschäftsabwicklung relevanten Ressourcen bereitstellt. Darüber hinaus muss es IT-Anwender geben, die kompetent und umsichtig  ihre Techniken einsetzen. Insgesamt hat sich der Sicherheitsansatz deutlich verändert: Es geht Banken weniger um die Sicherheit der Informationstechnologie sondern vielmehr um die Sicherheit ihrer Geschäftsprozesse.

Teil der Unternehmenskultur

Bezogen auf diese Anforderungen ist es nicht mehr zeitgemäß, IT-Sicherheit allein als Aufgabe der IT-Abteilung zu sehen. Der Anspruch an die Aufrechterhaltung eines sicheren IT-Betriebs muss vielmehr von allen Beteiligten – vom Vorstand bis zum Endanwender – getragen werden. Eine in diesem Zusammenhang genannte Empfehlung lautet, IT-Sicherheit als Teil der Unternehmenskultur zu etablieren. Auch wenn Banken häufig Komponenten der IT-Leistungen an Rechenzentren ausgelagert haben, so verbleibt doch aufgrund der Komplexität der in der Bank betriebenen Systeme ein hohes Maß an Verantwortung bei den Mitarbeitern im Hause.

Die Durchführung von Einzelmaßnahmen zur Förderung der IT-Sicherheit (zum Beispiel Virenschutz, Zugriffsschutz, Datensicherung) weicht in Banken mehr und mehr einem ganzheitlichen Ansatz: dem IT-Sicherheitsmanagement. Gemeint ist eine prozessorientierte Vorgehensweise, um in mehreren Schritten ein umfassendes Sicherheitskonzept mit allen notwendigen Maßnahmen zu erstellen, zu dokumentieren und zu überwachen. Diese Maßnahmen sind von allen Beteiligten in der Praxis umzusetzen. Sie sind außerdem durch die Revision auf Gültigkeit, Aktualität und Integrierbarkeit zu prüfen mit dem Ziel, IT-Sicherheit im Regelbetrieb dauerhaft zu gewährleisten.

Einen geeigneten Rahmen finden die Kreditinstitute in den BSI1-Standards 1001 bis 1004 und den IT-Grundschutzkatalogen. Die BSI-Veröffentlichungen haben zwar keinen verpflichtenden Charakter, werden aber gemäß der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in den Mindestanforderungen an das Risikomanagement (MaRisk) als gültiger Standard eingestuft.

Anforderungen durch MaRisk

Auf den ersten Blick stellt das Thema „Informationstechnik“ keinen Sehwerpunkt der MaRisk dar. Bei der Umsetzung der MaRisk werden jedoch hohe Anforderungen an Verfügbarkeit und Integrität der eingesetzten IT-Systeme sowie an die Vertraulichkeit und Authentizität der dort gespeicherten Daten gestellt.2 Banken sehen sich daher mit einem hohen Anspruch an IT-Sicherheit konfrontiert, der sich begründet durch

  • die starke Abhängigkeit der Geschäftsprozesse von der Informationstechnik,
  • die gerade im Wettbewerb essenzielle Forderung einer jederzeitigen Verfügbarkeit der IT-Systeme,
  • die zunehmende Komplexität der Technik und die damit verbundenen hohen Anforderungen an die Oualifikation der IT-Verantwortlichen und -Anwender sowie
  • die steigende Bedrohung durch Internetkriminalität, die sich durch erfolgreiche Betrugsfälle (Phishing, Pharming, Skimming) immer wieder bestätigt.

In diesem Zusammenhang stellt sich unter anderem die Frage nach der notwendigen Organisation zur Einführung und Aufrechterhaltung von IT-Sicherheit. Auch wenn der Aspekt Sicherheit der eingesetzten Systeme sehon immer die Handlungsweise der verantwortlichen Mitarbeiter im IT-Bereich geprägt hat, schlagen die IT-Grundschutzkataloge die Ernennung eines IT-Sicherheitsbeauftragten als „Person mit eigener Fachkompetenz zur IT-Sicherheit in einer Stabsstelle eines Unternehmens oder einer Behörde, die für alle IT-Sicherheitsfragen, Mitwirkung im IT-Sicherheitsprozess und IT-Sicherheitsmanagement-Team zuständig ist“ vor.

Notwendigkeit eines IT-Sicherheitsbeauftragten

Obwohl im Gegensatz zum Datenschutzbeauftragten kein gesetzlicher Anspruch hinsichtlich der Position des IT-Sicherheitsbeauftragten gegeben ist, sehen sich immer mehr Banken sowohl in Hinsicht auf die Umsetzung der MaRisk als auch bezüglich des eigenen Anspruchs an sichere IT-Systeme veranlasst, einen IT-Sicherheitsbeauftragten zu benennen. Da kleine bis mittlere Kreditinstitute regelmäßig keine neuen Mitarbeiter hierfür einstellen können, stellt sich die Frage, aus welchem Bereich diese Person kommen sollte und wie das Aufgabengebiet konkret aussieht.

Es ist unzweifelhaft, dass nur Mitarbeiter, deren Denk- und Arbeitsweise „technik-affin“ ausgerichtet ist, für diese Position infrage kommen. Der BSI-Standard 100-2 empfiehlt, keinen aktiven Administrator als IT-Sicherheitsbeauftragten zu benennen, da Interessenkonflikte auftreten können. Hier ist vor allem an die Problematik einer vollständigen Dokumentation zu denken.

Die gängige Praxis zeigt, dass Banken sich häufig für den Leiter IT-Orga oder einen Mitarbeiter aus diesem Bereich entschieden haben, der nicht für die Administration der Systeme zuständig ist. Andere Kreditinstitute erweitern das Aufgabengebiet des Datenschutzbeauftragten um den Bereich IT-Sicherheit. In wieder anderen Fällen kommt der IT-Sicherheitsbeauftragte aus dem Controlling.

Zu den wesentlichen Aufgaben des IT-Sicherheitsbeauftragten gehört neben der Gestaltung der IT-Sicherheitsleitlinie (auch Sicherheitspolitik oder Security Policy) und eines Notfallvorsorgekonzepts vor allem die Erstellung des IT-Sicherheitskonzepts. Zu Beginn des IT-Sicherheitsprozesses sind zusammen mit der Geschäftsleitung wesentliche Anforderungen an die IT-Sicherheit und Verantwortung aller Mitarbeiter in Form einer IT-Sicherheitsleitlinie zu formulieren und anschließend gemeinsam in die Praxis einzuführen. Durch die Beteiligung der Bankleitung soll vor allem eine starke Signalwirkung erreicht und gleichzeitig die Verpflichtung des Einzelnen deutlich werden.

Formulierung einer IT-Sicherheitsleitlinie

Bei der Formulierung dieses Dokumentes ist eine kompakte Darstellung notwendig.4 Die IT-Anwender in Banken sehen sich in der Praxis mit einer Vielzahl von Richtlinien und Arbeitsweisungen (beispielsweise PC-Richtlinie, Internet- und Kommunikationsrichtlinie, Regelungen zum Umgang mit Passwörtern) konfrontiert. Unterschiedliche Entstehungszeitpunkte dieser Dokumente, der Einsatz neuer oder veränderter Techniken und Überlappungen bei den Inhalten erschweren die Einhaltung in der Praxis. Es ist deshalb die Bereitstellung eines IT-Sicherheitshandbuchs zu empfehlen, in dem, zugeschnitten auf den jeweiligen Nutzungsgrad der IT, Vorgaben für die Anwender gemacht werden.

Für die im nächsten Schritt einzurichtende Organisation schlagen die IT-Grundschutzkataloge die Zusammenstellung eines IT-Sicherheitsteams vor. In dieser vom IT-Sicherheitsbeauftragten geführten Gruppe sollten Mitglieder der Bankleitung und des IT-Bereichs vertreten sein. Bei der Leitungsebene hat in den letzten Jahren ein deutlicher Umdenkprozess stattgefunden, der sich durch eine positive Bereitschaft zur Gestaltung des IT-Sicherheitsmanagements zeigt. Die Revision ist in Hinsicht auf die Aufrechterhaltung der IT-Sicherheit ebenso einzubinden wie Vertreter der Fachabteilungen, die von der Umsetzung der Sicherheitsmaßnahmen unmittelbar betroffen sind. Darüber hinaus kann die Beteiligung des betrieblichen Datenschutzbeauftragten sinnvoll sein.

Als hauptsächliche Aufgabe des IT-Sicherheitsteams ist die Erstellung eines IT-Sicherheitskonzepts zu sehen, dessen Umsetzung auch die meiste Zeit des IT-Sicherheitsprozesses in Anspruch nehmen wird. Dieses Konzept zeichnet sich durch eine Darstellung des gesamten IT-Systems, eine Bewertung der möglichen Risiken und eine Übersicht der zu treffenden Schutzmaßnahmen für die jeweiligen Teile des IT-Systems – die Schutzobjekte und Geschäftsprozesse – aus. Zur Bestimmung der IT-Schutzobjekte verschafft sieh der IT-Sicherheitsbeauftragte zunächst eine Übersicht über die vorhandene Infrastruktur, das heißt Gebäude, Räume und technische Ausstattung. Danach gilt es, die einzelnen technischen Systeme zu identifizieren. Dazu zählen die Standardtechniken zur Unterstützung der Bankmitarbeiter wie PC, mobiler Arbeitsplatz, PDA und Smartphone. Ergänzend sind die übergreifenden Systeme zu berücksichtigen, deren typische Vertreter das Banknetzwerk, die Netzwerkserver, Datenbankserver, TK-Anlage und SB-Geräte sind. Ebenfalls zu den Schutzobjekten gehören die eingesetzten Anwendungen, zum Beispiel Bankverfahren, Controlling-Werkzeuge, Sicherheitsprodukte, Beratungsprogramme bis hin zu selbsterstellter Software durch die Anwender.

Mögliche Gefahren von Eigenentwicklungen

Gerade der letzte Aspekt führt in Kreditinstituten immer wieder zu Problemen. Der typische IT-Anwender hat Grundlagen- bis hin zu Spezialwissen bezüglich der Einsatzmöglichkeiten von Tabellenkalkulations- und Datenbankprogrammen, und die notwendigen Werkzeuge, beispielsweise Microsoft Office, stehen zur Verfügung. Dieses Wissen wird dann für die Entwicklung von eigenen Lösungen zur Unterstützung der anfallenden Arbeiten genutzt. Die Lösungen werden unter Umständen auch von Kollegen verwendet. Aus wirtschaftlicher Sieht sind Eigenprogrammierungen sicherlich eine ebenso preiswerte wie schnelle Lösung, weil ein aufwendiger Entwicklungsprozess entfällt. Unter dem Gesichtspunkt Sicherheit sind sie jedoch kritisch zu hinterfragen, da solche Anwendungen meist nicht vor ihrem Einsatz geprüft werden und nur selten eine Dokumentation des Verfahrens angefertigt wird. Darüber hinaus dienen solche Anwendungen mitunter auch als Basis für Entscheidungsprozesse der Geschäftsleitung und/oder erzeugen rechnungslegungsrelevante Daten.

IT-Sicherheit an dieser Stelle verlangt eine umfangreiche Aufklärung über die Gefahren der selbsterstellten Anwendungen. Es geht hier keinesfalls um die Unterdrückung des kreativen Potenzials der Mitarbeiter. Es ist aber sicherzustellen, dass diese Programme korrekte, praxistaugliche Lösungen liefern, die durch die notwendige Dokumentation dauerhaft verfügbar bleiben und deren Integrität durch den Einsatz von Schutzmechanismen bei der Weitergabe nicht gefährdet ist. Insgesamt ergibt sieh für den IT-Sicherheitsbeauftragten ein enormer Aufklärungsbedarf, weil das Thema Eigenentwicklungen nur von untergeordneter Bedeutung eingestuft wird. Im Hinblick auf die weitreichenden Konsequenzen ist eine Sensibilisierung mit dem Hinweis auf die eigene Verantwortung der Mitarbeiter notwendig.

Schutzbedarfsanalyse als Basis für Maßnahmen

Für alle Schutzobjekte und Geschäftsprozesse ist dann im Rahmen einer Analyse das Schutzniveau zu bestimmen. Zu diesem Zweck erfolgt eine Bewertung von Objekten und Prozessen, inwieweit die IT-Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit gefährdet sein können. Diese Schutzbedarfsanalyse ist die Basis für das Ableiten von Schutzmaßnahmen, wobei je nach benötigtem Sicherheitsbedarf Standardmaßnahmen etwa aus den BSI-Grundschutzkatalogen ausreichen können oder aber aufgrund der Einschätzung ergänzende Maßnahmen abzuleiten sind.

IT-Sicherheitsmaßnahmen in Banken können sehr unterschiedliche Ausprägungen haben. Vertragliche Regelungen mit Rechenzentren (zum Beispiel First Level Support) oder mit Dienstleistern sind ebenso als Sicherheitsmaßnahmen zu verstehen wie interne Regelungen für die Mitarbeiter zum Umgang mit der Technik (beispielsweise PC- oder Einsatzrichtlinie, mobile Endgeräte), sofern sie auf die IT-Sicherheit abzielen. Die zielgruppenorientierte Qualifizierung und Sensibilisierung zählt dazu, weil nur so ein kompetenter Technikeinsatz sowie eine praxistaugliche Vertretungsregelung möglich sind.5 Maßnahmen zur Sicherung der Infrastruktur (zum Beispiel Zutrittsregelungen, Klimatisierung, Brandschutz) werden bei Kreditinstituten schon seit langer Zeit erfolgreich angewandt. ähnliches gilt für die technischen Sicherheitsmaßnahmen (unter anderem Virenschutz, Firewalls, Verschlüsselungsmechanismen), wobei hier das steigende Potenzial der kriminell motivierten Angriffe immer wieder neue Herausforderungen darstellen.

Die im IT-Sicherheitskonzept formulierten Maßnahmen sind anschließend in organisatorische Abläufe und Prozesse zu integrieren. Die durchzuführenden Aktivitäten werden nur teilweise durch die Sicherheitsbeauftragten erledigt. Ein Großteil der Aufgaben wird vielmehr an die Mitarbeiter delegiert, wobei es sich hierbei keineswegs ausschließlich um Mitarbeiter des IT-Bereichs handeln wird. Wichtig sind eine klare Abgrenzung von Kompetenzen und Verantwortung sowie die konsequente Überwachung der übertragenen Tätigkeiten. Vor allem muss festgelegt sein, bis wann eine Maßnahme umzusetzen und wer über den Abschluss zu informieren ist. Natürlich bietet sich für diese Aufgaben wieder der Einsatz von geeigneter Software an.

IT-Sicherheit unverzichtbar

Die Aufrechterhaltung der IT-Sicherheit im Regelbetrieb erfordert eine dauerhafte Anpassung beziehungsweise Erweiterung des IT-Sicherheitskonzepts. In Zusammenarbeit mit der Revision werden die Aktualität und Wirksamkeit der Schutzmaßnahmen geprüft und gegebenenfalls modifiziert. Zusätzlich ist das IT-Sicherheitskonzept an geänderte Rahmenbedingungen (Gesetze, Vorschriften et cetera) anzupassen. Durch die bereits genannte Einbindung des IT-Revisors in das IT-Sicherheitsteam werden einerseits die Prüfersichtweise in den IT-Sicherheitsprozess integriert und andererseits die Validierung des IT-Sicherheitskonzepts vereinfacht.

IT-Sicherheit beziehungsweise der Betrieb eines sicheren IT-Systems wird heute von Banken als unverzichtbare Forderung verstanden. Die mangelnde Verfügbarkeit von Leistungen (etwa im SB-Bereich), der Verlust von vertraulichen Daten (zum Beispiel werden Kundendaten öffentlich) oder die fehlende Integrität der Informationen (beispielsweise sind Datenbestände unvollständig) haben weitreichende Konsequenzen und ziehen regelmäßig finanzielle Verluste nach sich. Eine enge Kundenbindung und die Vermeidung von Imageproblemen erfordern stabile Geschäftsprozesse, für die eine Unterstützung durch IT-Techniken unerlässlich ist.

Große Unterschiede ergeben sich aber bei der Betrachtung der Umsetzung des IT-Sicherheitsmanagements. Während in einigen Kreditinstituten hier bereits sehr viel passiert ist (bis hin zu einer Zertifizierung des IT-Sicherheitsmanagements), stehen andere Häuser erst am Anfang. An dieser Stelle ist immer wieder zu entscheiden, mit welchen finanziellen Mitteln welches Sicherheitsniveau erreicht werden soll. Die notwendige Bewertung stellt eine schwierige Aufgabe dar. Eine Orientierung an gültigen Standards – allen voran die Grundschutzkataloge – wird hier sicherlich einen positiven Beitrag leisten.

[1] Bundesamt für Sicherheit in der Informationstechnik.↑

[2] Vgl. Allgemeiner Teil 7 Ressourcen Abschnitt 7.2. Anforderungen an die technisch-organisatorische Ausstattung Absatz 2. Die Ausführungen im Erläuterungsteil zu diesem Absatz der MaRisk weisen dann als Standards die BSI-Grundschutzkataloge und die ISO Normen 2700x aus.↑

[3] BSI IT-Grundschutz – Glossar und Begriffsdefinitionen.↑

[4[ Da es sich um ein „Top Level“-Dokument mit hohem Abstraktionsgrad handelt, hat sich für Banken eine Beschränkung auf zirka 1 bis 2 Seiten bewährt. Es wird auf jegliche Details verzichtet mit dem Nebeneffekt, dass es keinen oder nur einen geringen Änderungsbedarf gibt.↑

[5] Der allgemeine Teil der MaRisk thematisiert im Absatz 7.1. die Anforderungen an das Personal.↑
Dr. Haiko Timm, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH, Bonn