BankInformation 11/2013: Notfallmanagement – Sicherheit MaRisk-konform gestalten

Die Durchführung von Notfallvorsorgemaßnahmen für zeitkritische Systeme, Anwendungen und Daten gehört seit vielen Jahren zu den Standardaufgaben von IT-Verantwortlichen. Ergänzend sind aber weitere qualitative Aspekte hinzugekommen….Autor: Dr. Haiko Timm, veröffentlicht in BankInformation 11/2013

Die Durchführung von Notfallvorsorgemaßnahmen für zeitkritische Systeme, Anwendungen und Daten gehört seit vielen Jahren zu den Standardaufgaben von IT-Verantwortlichen. Ergänzend sind aber weitere qualitative Aspekte hinzugekommen.

In Banken findet eine regelmäßige Datensicherung statt. Daten werden gemäß den Vorschriften des HGB archiviert, Ersatzgeräte in gewissem Umfang für technische Störungen bereitgehalten. Es liegt ein Alarmierungsplan mit den Erreichbarkeitsdaten der Notfallverantwortlichen vor, genauso wie zyklisch Notfallübungen mit unterschiedlichen Inhalten durchgeführt werden.

Diese Aspekte des Notfallmanagements haben keineswegs an Bedeutung verloren. Es sind aber neue Anforderungen hinzugekommen, beispielsweise einen Geschäftsfortführungsplan und einen Wiederanlaufplan für zeitkritische Geschäftsprozesse vorzuhalten. Diese Anforderungen finden sich sowohl im Allgemeinen Teil 7.3 der MaRisk „Notfallkonzept“ als auch im Standard 100-4 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) „Notfallmanagement“.

Eine Definition vom Business Continuity Institute (BCI) beschreibt die Zielsetzung des Notfallmanagements: „Die Notfallplanung ist der Akt des Voraussehens von Zwischenfällen, die sich auf lebenswichtige Funktionen und Prozesse einer Organisation auswirken, und der Gewährleistung, dass die Organisation auf einen beliebigen Zwischenfall nach einem geplanten und erprobten Verfahren reagiert, während sich das Unternehmen erholt.“

Vorausschauend handeln

Um diese Stabilität zu erreichen, ist es zunächst wichtig, dass die Bank eine klare Aussage zum Eintritt eines Notfalls trifft. Ein kurzfristiger Ausfall einer zentralen Komponente wird üblicherweise nicht als Notfall, sondern als Betriebsstörung eingestuft. Hierbei handelt es sich um die meist kurzzeitige Unterbrechung des IT-Regelbetriebs. Die Unterbrechung kann entweder toleriert oder aber durch Maßnahmen zur Notfallvorsorge überbrückt werden, sodass kein oder nur geringer Schaden entsteht.

Ein Notfall tritt immer dann ein, wenn es nicht gelingt, die Verfügbarkeit der betroffenen IT-Verfahren und Systeme innerhalb der vorher festgesetzten maximal tolerierbaren Ausfallzeit wiederherzustellen. Es entsteht ein Schaden. Ist durch das Eintreten des Notfalls eine Kontinuität der Geschäftsprozesse längerfristig gefährdet, kann sich die Situation zu einer Krise ausweiten.

Banken stehen vor der Herausforderung, ihre zeitkritischen Prozesse zu identifizieren, Abhängigkeiten von IT-Objekten zu analysieren und für kritische Aspekte eine Notfallplanung vorzunehmen. Die Basis eines MaRisk-konformen Notfallmanagements ist die Aufteilung des Bankgeschäfts in Geschäftsprozesse. Kreditinstitute gehen hier sehr unterschiedlich vor. Das Spektrum reicht von einer Aufteilung in etwa zehn bis 15 Kernprozessen bis hin zu einer hohen dreistelligen Anzahl von Prozessen, bei der eine sehr filigrane Aufteilung in Teilprozesse stattgefunden hat. Kreditinstitute werden an dieser Stelle zum Teil von den Genossenschaftsverbänden unterstützt, die eine Prozessübersicht erarbeiten und als Vorschlag in der Software GenoBankSafe-IT hinterlegt haben. Die Notes-Applikation GenoBankSafe-IT hat sich als Werkzeug zur Dokumentation des IT-Sicherheits- und des Risikomanagements bei den Genossenschaftsbanken als Standard etabliert. Die Software enthält umfangreiche Vorschläge und Arbeitshilfen zur Unterstützung der Umsetzung der Inhalte des AT 7.2 MaRisk.

Im nächsten Schritt muss analysiert werden, welche Prozesse für die Bank wesentlich sind. Übliche Kriterien für die Bewertung sind die Auswirkungen des Prozesses zur Erreichung der Unternehmensziele (Vermögens- und Ertragslage).

Ebenso muss bewertet werden, ob Ergebnisse aus Prozessen die Grundlage für strategische Entscheidungen des Vorstands liefern oder ob Prozesse Bestandteil einer positiven Wahrnehmung des Instituts aus Sicht des Kunden sind und ein Ausfall ein negatives Image zur Folge haben könnte.

Ergibt sich nach diesen Kriterien eine Wesentlichkeit des Geschäftsprozesses, muss in Hinsicht auf das Notfallmanagement eine zeitliche Bewertung durchgeführt werden. Es hat sich hier die Durchführung einer Business-Impact- Analyse bewährt, die auch als Folgeschädenabschätzung oder Betriebsunterbrechungsanalyse bezeichnet wird.

Des Musters entsprechend des BSI-Standards 100-4 betrachtet man über verschiedene Zeiträume die Auswirkungen eines Ausfalls des Geschäftsprozesses. Untersucht werden dabei die Auswirkungen des Ausfalls auf den gesamten Geschäftsbetrieb, ein Verstoß gegen Gesetze und Verträge, mögliche wirtschaftliche Schäden für die Bank oder ein möglicher Reputationsschaden.

Ergibt sich, dass der untersuchte Prozess in einem bestimmten Betrachtungszeitraum als relevant eingestuft wird, muss er zeitkritisch bewertet werden. Beispielsweise könnte ein zweitägiger Ausfall eines kundenorientierten Prozesses zu einem Imageproblem führen und/oder einen wirtschaftlichen Schaden für die Bank erzeugen. Ebenso kann ein mehrtägiger Ausfall eines internen Prozesses den Bankbetrieb empfindlich stören und/oder durch eine verspätet geleistete Aktion gegen gesetzliche Auflagen verstoßen.

Der zeitlichen Kritikalität sollte die Bank durch die Darstellung von Notfallszenarien gerecht werden. Es hat sich bewährt, Prozesse, die bis zu zwei Tagen ohne signifikante Schäden in den genannten Bereichen ausfallen dürfen, genauer in Hinsicht auf eine Geschäftsfortführung zu beleuchten.

Zu diesem Zweck müssen zunächst Notfallsofortmaßnahmen formuliert werden, die bei Ausfall einer technischen Unterstützung (vom Programmausfall über systemtechnische Probleme bis hin zum Ausfall zentraler Verfahren) bankbetriebliche Abläufe über manuelle Vorgehensweisen sicherstellen. Dabei steht in erster Linie eine Absprache mit den beteiligten Dienstleistern im Vordergrund. So werden beispielsweise von den genossenschaftlichen Rechenzentren Notfallpakete für bestimmte Situationen angeboten.

Ebenso wichtig ist aber auch die Information der Mitarbeiter und gegebenenfalls der Kunden des Instituts. Hinzu kommt eine Auswahl alternativer Hilfsmittel, etwa der Einsatz von Papierbelegen, die Nutzung alternativer Kommunikationsmittel (Mobiltelefone, Faxgeräte), Botengänge bis hin zum Einbinden eines alternativen Dienstleisters. Auch das Ausweichen auf einen anderen Standort kann eine Möglichkeit für die Geschäftsfortführung darstellen. Bei diesem Schritt sind die Verantwortlichen der Bank gefordert, ihre Prozesse und erforderlichen Unterstützungswerkzeuge sehr genau zu analysieren, um ein ebenso funktionstüchtiges wie umfängliches Maßnahmenbündel für den Ernstfall bereitzuhalten.

Übung macht den Meister

Ein wichtiger Teil des Notfallmanagements ist das regelmäßige Durchführen von Notfallübungen. Hier besteht oftmals eine große Unsicherheit, welche Aspekte im Sinne einer Notfallübung zu untersuchen sind und in welchem Umfang diese Übungen durchgeführt werden müssen. Das BSI hat ein Notfallvorsorge-Musterkonzept erarbeitet und dort Übungsinhalte vorgeschlagen, die sowohl angekündigt als auch unangekündigt durchgeführt werden sollten.

Das BSI schlägt vor, Notfallübungen jährlich durchzuführen. Zur Erhaltung der Aktualität des Alarmierungsplans empfehlen Bundesbankprüfer sogar einen vierteljährlichen Übungstakt. Entscheidend ist die Dokumentation der Übungen und der Ergebnisse, die wiederum als Anlass zur Modifikation und Verfeinerung der Notfallplanung dienen sollen. Zur Gewährleistung der regelmäßigen Durchführung wird als Organisationsinstrument ein dreijähriger Übungsplan empfohlen.

Das Ergebnis eines praxisgerechten Notfallmanagements ist ein dreiteiliges Notfallhandbuch. Für alle Mitarbeiter der Bank ist der Alarmierungsplan mit Notfallverantwortlichen, Notrufnummern, externen Partnern und Firmen bereitzuhalten. Das Notfallteam, oftmals bestehend aus Vorstand, IT/Orga und Mitarbeitern aus zentralen Bereichen, hat Zugriff auf Notfallpläne bei Ausfall von Anwendungen, Systemen und Infrastrukturkomponenten.

Darüber hinaus müssen Notfallsofortmaßnahmen für zeitkritische Prozesse zur Gewährleistung der Geschäftsfortführung vorliegen. Den dritten Teil des Notfallhandbuchs bildet eine Zusammenstellung aller vorsorgenden Maßnahmen – Vertretungsregelungen, Einsatz von Schadsoftware-Abwehr, Serviceverträge mit Dienstleistern, USV (=unterbrechungsfreie Stromversorgung)-Systeme, Datensicherung und -archivierung sowie Maßnahmen zur Schulung und Sensibilisierung der Mitarbeiter.

Das Notfallhandbuch liegt bei den meisten Instituten in Papierform in zentralen Bereichen und in den Filialen der Bank vor. Im Standard 100-4 weist das BSI darauf hin, dass bei Einsatz von unabhängigen mobilen Endgeräten (Notebooks, PDA oder USB-Sticks), speziellen Softwaretools oder Internettechnologien auf eine papierhafte Version des Notfallmanagements verzichtet werden kann. Viele Volksbanken und Raiffeisenbanken nutzen daher die Software GenoBankSafe-IT nicht nur zur Dokumentation ihrer IT-Sicherheit und des Risikomanagements, sondern gleichermaßen als bankweit verfügbares Notfallhandbuch mit den genannten drei Komponenten.

Wegen der zunehmenden Bedeutung und Komplexität des Notfallmanagements wird Forum, die Gesellschaft für Informa- tionssicherheit, ab dem Jahr 2014 eine Erweiterung von GenoBankSafe-IT anbieten. Sie umfasst ein ganzheitliches Notfallmanagement, das neben den zeitkritischen Prozessen gemäß MaRisk AT 7.3 auch das allgemeine Krisenmanagement nach BSI-Standard 100-4 sowie die notfallrelevanten Aspekte der Unfallverhütungsvorschriften (UVV) abdeckt.

Neben dem szenario- und prozessorientierten Notfallhandbuch wurde ein Schwerpunkt auf die Planung, Durchführung und Nachbereitung der Notfallübungen gelegt. So ist ein Mehrjahresübungsplan mit abgestimmten Übungsarten und -intervallen integriert. Die Entwicklung des Notfallmoduls ForumBCM erfolgte in enger Abstimmung mit Bankpraktikern und Verbandsvertretern. BI

Notfallvorsorge-Musterkonzept

  • Überprüfung der Datensicherung durch das Rückspielen von Daten: Hier stellt sich die Frage des Umfangs und des Anlasses. Im Bankalltag wird immer wieder die Notwendigkeit der Rücksicherung von Dateien entstehen, weil Anwender Daten gelöscht oder ungewollt verändert haben. Diese aus dem Alltag entstehende Rücksicherung reicht jedoch nicht aus. Es sind vielmehr größere Datenbestände zu einem Stichtag testweise zurückzusichern.
  • USV-Geräte müssen daraufhin überprüft werden, ob durch den bereitgestellten Reservestrom ein ordnungsgemäßer Systemabschluss der zentralen Komponenten gewährleistet ist.
  • Der Ausfall eines zentralen Systems muss testweise überprüft werden, beispielsweise ob nach der Bereitstellung eines Ersatzsystems im Sinne eines Wiederanlaufs die volle Funktionalität wiederhergestellt und der gesamte Datenbestand verfügbar gemacht werden können.
  • Ausgewählte Notfallpläne und/oder Notfallszenarien sollten regelmäßig dahingehend überprüft werden, ob hinterlegte Inhalte im Bedarfsfall praktikabel sind. Bei Ausweichräumlichkeiten muss die Infrastruktur getestet werden.
  • Die technische Ausstattung mit Netzdosen, Stromanschlüssen und IT-Komponenten sollte ebenso überprüft werden wie die Möglichkeit, ausreichende Arbeitsplätze bereitzustellen. Für die Durchführung von Geschäftsprozessen müssen gegebenenfalls Papierbelege bevorratet sein oder Mobiltelefone und Faxgeräte bereitstehen. Für einen großflächigen Personalausfall im Sinne einer Pandemie sollten ein Notfallszenario mit Ersatz- und Aushilfskräften sowie Möglichkeiten alternativer Arbeitsstandorte (Heimarbeitsplatz) bereitgehalten werden.
  • Das Eintreten einer Notfallsituation mit den notwendigen Alarmierungswegen sollte trainiert werden. Dabei kommt es nicht nur auf eine lückenlose Informationskette mit aktuellen (privaten) Mitarbeiterdaten an, sondern auch auf die Erreichbarkeit von externen Unterstützungskräften (etwa Mediziner, Handwerker oder Stadtwerke).
  • Banken sind angehalten, regelmäßig Brandschutzübungen durchzuführen. Geplant oder ungeplant werden Räumungsübungen teilweise mit Unterstützung der örtlichen Feuerwehr durchgeführt. Diese Übungen finden zum Teil während der Öffnungszeit des Instituts, also unter Einbeziehung der Kunden, statt. Ergänzend wird bei solchen Übungen auch der Einsatz von Löschmitteln trainiert.

Seminarhinweis

10. Zertifizierter IT-Manager ADG
Start: 17.März 2014

10. Zertifizierter IT-Sicherheitsmanager ADG
Start: 19.Mai 2014

Ansprechpartnerin bei der ADG:
Inken Hallberg, E-Mail: inken_hallberg(at)adgonline.de

Dr. Haiko Timm ist Geschäftsführer der Forum Gesellschaft für Informationssicherheit mit Sitz in Bonn. Seine beruflichen Schwerpunkte sind IT-Beratung, -Schulung, -Prüfung, Unterstützung von IT-Sicherheits- und Risikomanagement. Er ist zudem externer Datenschutz- und IT-Sicherheitsbeauftragter in Banken.