IT-Foren rund um IT-Sicherheit, IT-Revision und Datenschutz bieten ein breites Angebot

Schadprogramme führen zum Diebstahl, der Zerstörung oder der Manipulation von Datenbeständen auf Privat- und Firmenrechnern, Rechner werden bis zum Komplettausfall beeinträchtigt. Neben umfangreichen technischen Maßnahmen muss auch die Sensibilität der Mitarbeiter immer weiter verstärkt werden.

Autor: Dr. Haiko Timm

Im Herbst 2015 hat die ADG bereits zum 12. Mal ihr Forum IT-Revision und zum 16. Mal das Forum IT-Sicherheit durchgeführt. Beide Veranstaltungen werden miteinander kombiniert. Beide Angebote zeichnen sich durch einen stetig wachsenden Teilnehmerkreis aus, der sich aus Verbandsvertretern, IT-Revisoren, IT-Sicherheitsbeauftragten, Administratoren, Mitarbeitern der Organisation und Vorständen von Verbundbanken zusammensetzt. Den Anreiz, jährlich nach Montabaur zu kommen, bildet ein breites Angebot von Fachvorträgen durch Verbundmitarbeiter und externe Referenten, aber ebenso eine solide Basis für das Netzwerken im Sinne eines dauerhaften fachlichen Austauschs. In dieser Hinsicht wurden beide Foren mit einem gemeinsamen Tag angeboten.

Rechtliche Aspekte dominieren den ersten Tag des Forums IT-Revision

Marius Kramer, Genossenschaftsverband Weser-Ems e.V., hat mit seinem Beitrag „Prüfung der MaRisk-konformen IT-Organisation“ das Forum IT-Revision eröffnet. Seine Zielsetzung war die Teilnehmer für die gesetzlichen und aufsichtsrechtlichen Anforderungen zu sensibilisieren. Ergänzend enthielt der Vortrag diverse Fragestellungen, mit denen der Umsetzungsstand der relevanten Anforderungen bei IT-Prüfungen ermittelt wird. Die Arbeit des Revisors beleuchtete Dr. Philipp Kramer, Beratungsbüro Gliss & Kramer, in seinem Vortrag „Anforderungen an die IT-Revision aus juristischem Blickwinkel“. Dr. Kramer zeigte die Möglichkeiten und Grenzen bei Prüfungsaktivitäten auf. Diskutiert wurde zudem der Zugriff der Revision auf Daten von Mitarbeitern und Dritten gemäß AT 4.4.3 der MaRisk im Abgleich mit den Bestimmungen des Bundesdatenschutzgesetzes.

Ebenfalls MaRisk-orientiert setzte Martin Wiesenmaier, FORUM Gesellschaft für Informationssicherheit, die Tagung mit seinem Vortrag „Prüfung des Berechtigungsmanagements – zwischen Perfektion und Minimalismus“ fort. Den Teilnehmern wurde nach einer Betrachtung des Berechtigungsmanagements ein Ansatz für ein Rezertifizierungsmanagement mit den Aspekten „Soll-Rollenkonzepte“, „Identifizierung von kritischen Berechtigungen“ und „Durchführung des Rezertifizierungsprozesses“ vorgestellt. Den ersten Tag schloss der Führungskräftetrainer Roland Buß mit seinem Vortrag „Tatort“ Leben – was wir aus kriminalistischen Extremsituationen lernen können“ ab. Anhand von Extremsituationen verdeutlichte der Referent, wie sich Sachverhalte unterschiedlich interpretieren bzw. auswerten lassen.

Mit dem Titel „Aufsicht aktuell“ startete Jörg Bretz, Deutsche Bundesbank, den zweiten Tag. Sein erster Schwerpunkt war eine Übersicht der kommenden rechtlichen und aufsichtsrechtlichen Veränderungen im Bankenumfeld. Als persönliche Einschätzung vermittelte der Referent die anhaltende Gültigkeit der MaRisk − auch vor dem Hintergrund der europäischen Entwicklungen durch die Europäische Bankenaufsichtsbehörde (EBA) und die Europäische Zentralbank (EZB) sowie neuen Anforderungen durch die bankaufsichtlichen Anforderungen an die IT (BAIT). Mit seinem zweiten Schwerpunkt betrachtete Jörg Bretz die aktuell vielfach diskutierte Situation zu Aufgaben, Besetzung und Auslagerung des Informationssicherheitsbeauftragten.

Vortrag zum IT-Sicherheitsgesetz und zwei interaktive Workshops von Bankpraktikern

Das im Juli des Jahres verabschiedete IT-Sicherheitsgesetz thematisierte Wilhelm Dolle, KPMG AG Wirtschaftsprüfungsgesellschaft, in Hinsicht auf die „Bedeutung und Auswirkungen für Finanzinstitute“. Neben drei grundsätzlichen Anforderungen des neuen Gesetzes, wie das Betreiben von Sicherheitsstandards, ein regelmäßiger Nachweis und das Eintreten der Meldepflicht, erhielten die Teilnehmer eine zeitliche Perspektive über mehrstufige Einführung des Gesetzes und die daraus resultierenden Anforderungen.

Nach bewährtem Muster konnten sich die Teilnehmer des IT-Sicherheitsforums am Nachmittag für einen Workshop entscheiden. Zur Auswahl stand das Thema „Tipps und Hinweise für ihr Migrationsprojekt“ von Thomas Lundt, Volksbank eG Hildesheim-Lehrte-Pattensen und der Workshop von Andreas Kötter, Volksbank Mittelhessen eG, zum Thema „Erfahrungen bei der Einführung und Umsetzung des IT-Sicherheitsmanagements“.

Thomas Lundt, der die Umstellung des Bankverfahrens bank21 auf agree federführend begleitet hat, stellte neben den aufsichtsrechtlichen Anforderungen vor allem seine umfangreiche Projektorganisation vor. Jeweils zu den einzelnen Projektschritten enthielt der Vortrag Tipps und Hinweise für einen erfolgreichen Projektabschluss.

Im Vordergrund des Workshops von Andreas Kötter stand die Ausrichtung seiner Bank auf die ISO-Norm 27001 der International Organization for Standardization. Gezeigt wurden das Vorgehensmodell und die Umsetzungsmöglichkeiten des Standards orientiert anhand eines PDCA-Lifecycles. Andreas Kötter stellte analog zum letzten Teilschritt der ISO 27001 seine umfangreichen Bemühungen zur Schulung und Sensibilisierung der Mitarbeiter seiner Bank vor.

Live Hacking und Social Media am zweiten und dritten Forumstag

Mit einem Live Hacking unter dem Namen „Sensible Daten gehören in den digitalen Tresor“ rundete Sebastian Schreiber, SySS GmbH, den zweiten Tag ab. In eindrucksvoller Weise zeigte der Sicherheitsexperte, wie einfach Hacking-Werkzeuge im Internet zu finden und einzusetzen sind. Der Referent modifizierte u.a. Einkaufsdaten bei einem Online-Händler, zeigte die Möglichkeiten der Smartphone-Manipulation und ebenso Möglichkeiten Schadsoftware auch bei aktuellen Abwehrsystemen zu installieren.

Lars Bossemeyer, SBK Consulting Team GmbH, demonstrierte am dritten Tag Möglichkeiten und Potential des Social-Media-Einsatzes. Nach einem Status Quo der aktuellen Entwicklungen in diesem Bereich stand Facebook im Mittelpunkt des Vortrags. Betrachtet wurden Möglichkeiten die Privatsphäre zu gestalten sowie Aufbau und Gestaltung von Unternehmenspräsenzen in Facebook. Mit datenschutzrechtlichen Aspekten sozialer Netzwerke schloss Lars Bossemeyer seinen Vortrag ab.

Den letzten Tagungsbeitrag lieferte Björn Scherer, Geno Bank Consult GmbH, mit „Klassifizierung, Test und Freigabe von selbst erstellen Anwendungen vor dem Hintergrund der Anforderungen aus den MaRisk“. Basierend auf den Anforderungen des AT 7.2 der MaRisk zeigte Björn Scherer Öffnungsklauseln und ihre mögliche Nutzung zur Vereinfachung des Entwicklungsprozesses. Ausführlich wurde ein Test- und Freigabeverfahren als Empfehlung zur Erfüllung der Mindestanforderungen vorgestellt.

Dr. Haiko Timm, Geschäftsführer der Forum Gesellschaft für Informationssicherheit mbH, ist als IT-Berater, IT-Prüfer und externer Datenschutzbeauftragter sowie externer IT-Sicherheitsbeauftragter für Verbundbanken tätig. Er gibt gerne Auskunft zu Informationssicherheitsthemen und zur Umsetzung eines bankindividuellen Informations- und Risikomanagements unter haiko.timm@forum-is.de.

Dr. Timm leitet das 10. Forum Datenschutz und Datensicherheit vom 10. – 11. März in Montabaur sowie das 13. Forum IT-Revision vom 21. – 22. September und das 17. Forum IT-Sicherheit vom 22. – 23. September 2016 bei der Akademie Deutscher Genossenschaften auf Schloss Montabaur. Die Foren stehen unter dem Motto „Synergien durch enge Zusammenarbeit nutzen“.

ADG PDF 13. Forum IT-Revison / 17. Forum IT-Sicherheit

Diesen Artikel finden Sie auch auf den Seiten der ADG.