IT-Risikomanagement – aktuelle Umsetzungsmethodik in Genossenschaftsbanken

Ein gezielter Umgang mit Risiken im IT-Bereich, ihre Bewertung und Dokumentation sind in den letzten Jahren immer mehr zum Standard bei Genossenschaftsbanken geworden…Autor: Dr. Haiko Timm, Juni 2013

Ein gezielter Umgang mit Risiken im IT-Bereich, ihre Bewertung und Dokumentation sind in den letzten Jahren immer mehr zum Standard bei Genossenschaftsbanken geworden. Nicht nur die Anforderungen aus den MaRisk und Ergebnisse aus Sonderprüfungen im IT-Bereich durch die Bundesbank haben das Thema in den Vordergrund gerückt, sondern ebenso die Ordnungsmäßigkeitshandbücher beider genossenschaftlicher Rechenzentralen, in denen intensiv auf dieses Thema eingegangen wird. Natürlich stellt sich hier immer wieder die Frage, wie sich ein entsprechendes Projekt mit vertretbarem Aufwand durchführen lässt und welcher Zeitrahmen dafür vorzusehen ist.

Ausgangspunkt für das IT-Risikomanagement ist eine Beschreibung der gesamten IT-Struktur in Form von Schutzobjekten sowie eine Identifikation aller Geschäftsprozesse der Bank. Hier sind in der Praxis sehr unterschiedliche Ansätze zu finden – die Granularität der Prozesse und Objekte variiert zum Teil erheblich. Eine Bank beschreibt z.B. neben den üblichen Softwareanwendungen jede rechnungslegungs- oder entscheidungsrelevante selbst entwickelte Excel- oder Lotus-Notes-Anwendung als eigenes Schutzobjekt, während eigenerstellte Anwendungen bei der anderen Bank gar nicht im IT-Sicherheitskonzept enthalten sind. Ebenso findet man zum Teil eine dreistellige Zahl an dokumentierten (wesentlichen und unwesentlichen) Geschäftsprozessen, während sich wiederum andere Banken auf eine Größenordnung von ca. 15 (wesentlichen) Prozessen beschränken. Hier liegt es in der Verantwortung des IT-Sicherheitsteams und der Prozessverantwortlichen, eine geeignete Detaillierungstiefe zu finden.

Die Vorgehensweise bei der Analyse der Schutzobjekte und der Prozesse hat sich in den letzten Jahren deutlich vereinfacht. In der Vergangenheit wurden den BSI-Standards 100-2 und 100-3 folgend aufwendige Szenarien zur Bewertung der Objekte durchgespielt, um einen Schutzbedarfswert der drei Stufen normal, hoch oder sehr hoch zu ermitteln. Dieser Aufwand wurde durch den Vorschlag der Bildung einer Vf-VIA Bewertung1 für GAD-Banken und analog einer A-CIN-Bewertung2 für Fiducia-Banken erheblich verschlankt. In der Praxis verwenden Banken eine 4-stufige Bewertung zur Ermittlung des Wertes für die Verfügbarkeit (Vf/A) und ebenso für die Vertraulichkeit (V/C), die Integrität (I) sowie die Authentizität bzw.Verbindlichkeit (A/N). Die auf diesem Weg ermittelten Werte sind in der Folge die Basis zur Ableitung der notwendigen IT-Sicherheitsmaßnahmen um dem jeweiligen Schutzniveau gerecht zu werden. Weiterhin steuert der genannte Wert Verfügbarkeit (VF/A) die Aufnahme des Objekts in das Notfallmanagement der Bank. Es ist klar, dass für zeitkritische Objekte und Prozesse ein Notfallplan mit den Komponenten Geschäftsfortführungs- und Wiederanlaufplan vorgehalten werden muss. Während die Notfallplanung in der Vergangenheit als separates Thema eingestuft wurde, wird sie heute vielfach in das IT-Sicherheitsmanagements der Bank integriert.

Zu den genannten Bewertungsaspekten, die zur Umsetzung der technisch-organisatorischen Anforderungen des AT 7.2 der MaRisk notwendig sind, kommt eine Identifikation von Risiken, die mit dem Betrieb bestimmter Anwendungen und IT-Techniken verbunden sind. Das Spektrum der Risiken ist vielfältig: Menschliche Fehler bei der IT-Nutzung sind ebenso zu bewerten, wie ein absichtliches Handeln gegen die Bank durch Bankmitarbeiter oder Externe. So können z.B. Banksteuerungsdaten durch Mitarbeiter durch Unachtsamkeit fehlerhaft eingegeben werden. Ebenso kann ein unzufriedener Mitarbeiter absichtlich entsprechende Fehleingaben zur Schädigung der Bank vornehmen. Bei diesem Risiko ist zu bewerten, welche Wirkung eingesetzte Kontrollmaßnahmen (4-Augen-Prinzip, automatisierte Datenkontrolle) zur Risikominderung haben und wie hoch ein finanzieller Schaden bei Eintritt ausfallen wird. Dazu kommen Risiken durch einen Ausfall von Systemen (z.B. durch Hardware-, Softwarefehler oder Stromausfall) sowie durch das Eintreten von höherer Gewalt (z.B. Gebäudeausfall durch Naturereignisse oder Personalausfall durch Pandemie).

Gemäß BTR 4 der MaRisk ist diese Risikobewertung jährlich durchzuführen. Ergibt sich hieraus eine nicht geringe Wahrscheinlichkeit des Eintretens eines Schadens und ist die damit einhergehende finanzielle Belastungen erheblich, so ist ein Risikobericht für den Vorstand zu erstellen. In diesem Bericht sind neben der Beschreibung und Bewertung des Risikos auch Maßnahmen zur Risikoreduktion und damit verbundene Kosten als Entscheidungsvorlage zu beschreiben. Dieser Risikoreport kann ein Teil des jährlich erstellten IT-Sicherheitsberichts sein. Zur Darstellung der Risiken hat sich die Einordnung in eine Risikomatrix etabliert. Aus ihr lassen sich sofort drei Risikoklassen ableiten. Das Risiko befindet sich entweder im Bereich „nicht kritisch“, es ist als „kritisch“ eingestuft oder wird als „höher kritisch“ bewertet. Entsprechend den Empfehlungen der Ordnungsmäßigkeitshandbücher der Rechenzentren sind „kritisch“ bewertete Risiken zu melden. Ergibt sich nach Bewertung eine höhere Einstufung, ist das Einholen einer Genehmigung durch den Vorstand empfohlen.

Für die Umsetzung des IT-Sicherheitsmanagements verwendet die Mehrzahl der Verbundbanken die Lotus-Notes-Applikation „GenoBankSafe-IT“. Hier sind die typischen Schutzobjekte und Geschäftsprozesse bereits enthalten. Ebenso liegen zur Vereinfachung der Bewertung in allen Bereichen Bewertungs- und Dokumentationsvorschläge vor, die durch genossenschaftliche Arbeitskreise erstellt worden sind.

Dr. Haiko Timm, Geschäftsführer der Forum Gesellschaft für Informationssicherheit mbH, ist als IT-Berater, IT-Prüfer und externer Datenschutzbeauftragter sowie externer IT-Sicherheitsbeauftragter für Verbundbanken tätig. Er gibt gerne Auskunft zum Thema IT-Risikomanagement und eine entsprechende Umsetzung mit der Software-Lösung GenoBankSafe-IT unter Telefon 0228 / 377 894 81 oder per E-Mail haiko.timm(at)forum-is.de.

Dr. Timm leitet das 10. Forum IT-Revision vom 11. –12. September und das 14. Forum IT-Sicherheit vom 12. – 13. September 2013 bei der Akademie Deutscher Genossenschaften auf Schloss Montabaur. Die Foren stehen unter dem Motto „Rechtliche, aufsichtsrechtliche Anforderungen sowie IT-Risiken und Schutzmaßnahmen sicher im Griff“.

1. Die Schutzniveaubestimmung gemäß Ordnungsmäßigkeitshandbuch GAD-Bankverfahren erfolgt analog den im AT 7.2 der MaRisk genannten Anforderungen Verfügbarkeit (Vf), Vertraulichkeit (V), Integrität (I) und Authentiziät (A).↑

2. Für Fiducia-Banken ergibt sich nach dem Handbuch Ordnungsmäßigkeitfragen der agree- Bankorganisation ein gleichartiges Bewertungsmuster mit Verfügbarlkeit (A – Availability), Vertraulichkeit (C – Confidentiality), Integrität (I – Integrity) und Verbindlichkeit / Authentizität (N – Non Repudiation).↑