Matrix Technology AG
Finsurance Blog > Die Unternehmens IT in Abhängigkeit von den BAIT | Informationsrisikomanagement

Die Unternehmens-IT in Abhängigkeit von den BAIT | Informationsrisikomanagement

Thomas Deppisch

Thomas Deppisch ist seit über 20 Jahren als Leiter von IT-Projekten in der Finanzdienstleistungs- und Versicherungsbranche tätig und kennt die Anforderungen an die IT, die durch die Regulatorik entstehen.

Alle Beiträge des Autors

Für die IT von Kredit- und Finanzdienstleistungsinstituten in Deutschland gelten regulatorische Vorgaben, wie die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT). Nachdem wir im letzten Beitrag beleuchtet haben, was die BAIT für die IT-Governance bedeutet, möchte ich Ihnen nun aufzeigen, was die BAIT für das Informationsrisikomanagement und das Informationssicherheitsmanagement bereithält.

BAIT-Anforderungen, Kapitel 3. Informationsrisikomanagement

BAIT Anforderung 8:

Die Informationsverarbeitung und -weitergabe in Geschäfts- und Service-prozessen wird durch datenverarbeitende IT-Systeme und zugehörige IT-Prozesse unterstützt. Deren Umfang und Qualität ist insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie an der Risikosituation zu orientieren (vgl. AT 7.2 Tz. 1 MaRisk). IT-Systeme und zugehörige IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen (vgl. AT 7.2 Tz. 2 MaRisk). Das Institut hat die mit dem Management der Informations-risiken verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikations-wege zu definieren und aufeinander abzustimmen (vgl. AT 4.3.1 Tz 2 MaRisk). Hierfür hat das Institut angemessene Überwachungs- und Steuerungsprozesse einzurichten (vgl. AT 7.2 Tz. 4 MaRisk) und diesbezügliche Berichtspflichten zu definieren (vgl. BT 3.2. Tz. 1 MaRisk).

 

Gerade in Kredit- und Finanzdienstleistungsinstituten hängt das operative Geschäft von einer funktionierenden Bereitstellung und Verarbeitung von Informationen ab. Ein Ausfall auch nur von wenigen Stunden würde schwerwiegende Probleme verursachen. Daher sind die Verfügbarkeit und die Sicherheit von Informationen essenziell für die Geschäftstätigkeit von Kredit- und Finanzdienstleistungsinstituten.

IT-Systeme müssen angemessen sein, um die Geschäftsanforderungen, die operativen Anforderungen und die Risikomanagementanforderungen einer Bank zu erfüllen. Die Regelungen zum Informationsrisikomanagement werden üblicherweise in einer Arbeitsanweisung festgehalten. Ein wichtiges Ziel der BAIT ist es auch, das Risikobewusstsein in der IT und in den Fachbereichen zu erhöhen. Dies gilt ebenso für die Dienstleistungsunternehmen, an die IT-Leistungen ausgelagert wurden.

In der BAIT-Anforderung 9 wird darauf hingewiesen, dass nicht die IT, sondern die Fachabteilungen die Eigentümer der Informationen sind. Die Fachabteilungen müssen daher auch in das Informations-risikomanagement involviert werden. Sie definieren die fachlichen Vorgaben. Neben den Fachab-teilungen wirken alle relevanten Stellen und Funktionen mit.

Weiterhin fordert die BAIT, dass alle maßgeblichen Stellen und Funktionen kompetenzgerecht und frei von Interessenkonflikten umzusetzen sind. Da sich der Informationssicherheitsbeauftragte (ISB) organisatorisch außerhalb der operativen IT befindet, besteht hier kein Interessenkonflikt.

Expertentipp: Risiko-und Informationsmanagement

Der Aufbau und der Betrieb eines MaRisk- und BAIT-konformen Risiko- und Informationssicherheitsmanagements kann durch ein Werkzeug bzw. eine Anwendung erleichtert werden. Ein Beispiel hierfür ist „ForumISM“

In der BAIT-Anforderung 10 wird der Begriff „Informationsverbund“ eingeführt:

Zu einem Informationsverbund gehören beispielsweise geschäftsrelevante Informationen, Geschäftsprozesse, IT-Systeme sowie Netz- und Gebäudeinfrastrukturen.

Ein Informationsverbund in einer Bank könnte z.B. das Kreditvergabe- oder das Factoring-Geschäft sein. Pro Informationsverbund müssen die fachlichen Vorgaben, eine Übersicht über die fachlichen und technischen Bestandteile, sowie deren Abhängigkeiten und Schnittstellen vorhanden sein. Besonderes Augenmerk muss auf eine saubere Beschreibung der Schnittstellen zwischen Anwendungen gelegt werden.

Wenn alle Bestandteile aller Informationsverbünde beschrieben wurden, dann liegt damit auch ein Verzeichnis aller Komponenten der IT Infrastruktur vor. Auch die Auslagerungspartner und Partner, die durch Weiterverlagerungen beauftragt sind, müssen diese Darstellung erstellen und vorhalten.

Informationsverbünde sind Bedrohungen ausgesetzt, die die Verfügbarkeit und die Sicherheit von Informationen beeinträchtigen können. Dies können technische oder naturgegebene Bedrohungen sein, wie technische Defekte, Hochwasser, Brand, Blitzschlag oder Erdbeben. Auch höhere Gewalt wie Streik bis hin zu einer kriegerischen Auseinandersetzung sind denkbar. Weiterhin sind auch Bedrohungen durch eigene Mitarbeiter, durch Hacker, Saboteure oder Geheimdienste möglich, sowie unbewusst herbeigeführte Bedrohungen durch menschliches Versagen.

Schaubild Bedrohungen, denen Informationsverbünde ausgesetzt sind

Expertentipp: Mitarbeiterschulungen zur Risikominimierung

Die Mitarbeiter sollten regelmäßig zum sicheren Umgang mit Computern, zu Bedrohungen sowie zum Social Engineering sensibilisiert werden. Dies kann durch Online-Trainings oder Schulungen geschehen und sollte die Wahrscheinlichkeit eines Fehlverhaltens verringern.

Aus den Bedrohungen resultiert ein bestimmter Schutzbedarf für die Bestandteile von Informationsverbünden.

Zur Bestimmung des Schutzbedarfs bieten sich folgende Fragen an:

  • Wo werden personenbezogene oder vertrauliche Daten verarbeitet?
  • Welche Geschäftsprozesse können ohne die Bereitstellung von Informationen nicht durchgeführt werden, bzw. bei welchen würde ein erheblicher Mehraufwand entstehen?
  • Für welche Entscheidungen sind korrekte und aktuelle Daten erforderlich bzw. sind Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität erforderlich?
  • Wie wirken sich Sicherheitszwischenfälle auf die Informationssysteme aus?

Ermittlung des Schutzbedarfs auf Basis der Schutzziele Integrität, Verfügbarkeit, Vertraulichkeit, Authentizität

Der Schutzbedarf wird festgestellt und dokumentiert. Dies geschieht durch die Informationseigentümer durch eine entsprechende Methodik. Die Einstufung in die verschiedenen Schutzbedarfskategorien (z.B. „Niedrig“, „Mittel“, „Hoch“ und „Sehr hoch“) muss nachvollziehbar, schlüssig und konsistent sein (BAIT-Anforderung 11). Je höher die Schutzbedarfskategorie ist, desto höher ist der Aufwand zum Erreichen und Halten dieses Schutzniveaus.

Bei der Ermittlung des Schutzbedarfs werden insbesondere diese vier Schutzziele berücksichtigt.

Integrität:
Unbefugte sollen Informationen nicht unbemerkt verändern können, z.B. Kontostände in einem Kreditinstitut. Eine Information gilt als integer, wenn sie ihren ursprünglichen Inhalt besitzt und nicht unbefugt verändert wurde. Eine Integritätsprüfung zu einer Information erlaubt die Beurteilung, ob die Information integer ist oder nicht.

Verfügbarkeit:
Ein IT-System und die darin enthaltenen Daten sollen verfügbar, d.h. zugreifbar sein. Die Verfügbarkeit wird typischerweise als Prozentwert angegeben, z.B. bedeutet 99,9%, dass das System eine Ausfallzeit von 8,76 Stunden im Jahr hat.

Vertraulichkeit:
Viele Informationen sollen nur für einen bestimmten Nutzerkreis verfügbar gemacht werden. Die Vertraulichkeit wird mit Hilfe von Vertraulichkeitsstufen definiert, z.B. öffentlich, intern, vertraulich und streng vertraulich. Ein umgesetztes Berechtigungskonzept sorgt für die Einhaltung dieser Vertraulichkeitsstufen.

Authentizität:
Bei einer Mail-Nachricht könnte ein bestimmter Absender vorgetäuscht werden. Durch eine Authentifizierung, wie z.B. eine digitale Signatur erhöht sich die Wahrscheinlichkeit, dass die Mail von der Person stammt, die sich als der Urheber der Mail ausgibt. Die Authentizität beschreibt, in wie weit man sich darauf verlassen kann, dass eine Information tatsächlich vom Urheber stammt.

Ein zentraler Mail-Server kann als Beispiel zum Feststellen des Schutzbedarfs hinsichtlich des Schutzziels „Verfügbarkeit“ dienen. Hier ergeben sich die Fragen:

  • Wie groß ist die Gefahr für Personen oder Systeme beim Ausfall des zentralen Mail-Servers? Wenn eine Alarmierung für den Schutz von Produktionsanlagen ausfallen würde, dann entspricht dies der Schutzbedarfskategorie „Hoch“ oder „Sehr hoch“.
  • Wie wird die Aufgabenerfüllung ver- oder behindert? Wenn der Ausfall keine Geschäftsprozesse behindern würde, dann entspricht dies „Mittel“ oder „Niedrig“.
  • Wie groß wären monetäre Schäden? Wenn dringliche Mails nicht bearbeitet werden könnten, dann entspricht dies „Hoch“.
  • Wird durch den Ausfall gegen Gesetze verstoßen? Wenn Bereitstellungsfristen nicht eingehalten werden könnten, dann wäre die Schutzbedarfskategorie „Hoch“.
  • Wie stark leidet das Image des Unternehmens? Wenn dringliche Mails nicht bearbeitet werden könnten und dies publik wird, dann entspricht dies „Hoch“.

Expertentipp: Bedrohungen für die Schutzziele durch Homeoffice-Tätigkeiteit erkennen

Das verstärkte Arbeiten im Homeoffice bzw. das Telearbeiten erzeugt neue Bedrohungen für die Schutzziele, gilt für viele Informationsverbünde und ist daher eine Herausforderung für die Informationssicherheit. Hier ist zu prüfen, ob weitere Maßnahmen erforderlich sind.

Aus dem festgestellten Schutzbedarf heraus werden für jede Schutzbedarfskategorie die Soll-Maßnahmen abgeleitet und in den Soll-Maßnahmenkatalog aufgenommen (BAIT-Anforderung 12). Es wird beschrieben, welche Maßnahmen zum Schutz der Informationen und der jeweils genutzten IT-Infrastruktur angemessen ist, aber noch nicht, wie diese Maßnahmen umgesetzt werden. Auslagerungspartner und Partner, die durch Weiterverlagerungen beauftragt sind, müssen dies ebenfalls beschreiben und daher auch über einen Soll-Maßnahmenkatalog verfügen.

Die schutzbedarfsspezifische Definition von Maßnahmen sollte durch den Grundschutz-Ansatz des BSI ergänzt werden.

Weitere Informationen zum Grundschutz-Ansatz des BSI

Im Institut wird es zum Schutz von Informationen bereits Maßnahmen geben, die wirksam umgesetzt wurden (Ist-Maßnahmen). Diese werden im nächsten Schritt im Rahmen der BAIT-Anforderung 13 mit dem Soll-Maßnahmenkatalog abgeglichen.

Dieser Abgleich geschieht in zwei Punkten:

  1. Schutzniveau-Analyse: Der von den Geschäftsprozessen und von Daten-Klassen geforderte Schutzbedarf wird anhand nachvollziehbarer Kriterien mit dem tatsächlich bestehenden Schutzniveau abgeglichen. Hierfür werden selbst erstellte oder durch die jeweiligen Hersteller gelieferte Sicherheitskonzepte zu Grunde gelegt. Wenn das Schutzniveau kleiner als der geforderte Schutzbedarf ist, wird eine Gap-Analyse erstellt, im Rahmen derer der Sicherheitsverantwortliche des Schutzobjekts das Risiko analysiert, welches sich aus dem nicht hinreichenden Schutzniveau ergibt.
  2. BSI-Checklisten: Hier werden die umzusetzenden Maßnahmen mit den tatsächlich im Kreditinstitut bzw. durch den IT-Dienstleister oder das Rechenzentrum umgesetzten Maßnahmen abgeglichen. Für nicht umgesetzte Maßnahmen der Kategorien A, B oder C werden Restrisikoanalysen durchgeführt.

Durch nicht vollständig umgesetzte Maßnahmen sind bestimmte Risiken vorhanden. Für diese müssen im Rahmen einer Risikoanalyse Maßnahmen definiert, umgesetzt und überwacht werden oder man entscheidet sich, diese Risiken bewusst einzugehen („Risikoappetit“). Die Ergebnisse der Risikoanalyse werden mit den Informationseigentümern abgestimmt, die verbleibenden Risiken werden genehmigt und in den Prozess des Managements der operationellen Risiken des Instituts überführt.

Die BAIT-Anforderung 14 verlangt, dass die Geschäftsleitung...

...regelmäßig, mindestens jedoch vierteljährlich, insbesondere über die Ergebnisse der Risikoanalyse sowie Veränderungen an der Risikosituation zu unterrichten...

...ist. Der Vorstand wird z.B. im Rahmen der quartalsmäßigen Risikoberichterstattung durch das Risikocontrolling über bestehende IT-Risiken unterrichtet. Darüber hinaus findet - in Abhängigkeit von der Risikohöhe - eine Ad-hoc-Meldung von als genehmigungspflichtig klassifizierten IT-Risiken unmittelbar nach deren Identifizierung statt. Am Jahresende erfolgt im Jahresbericht des Informationssicherheitsbeauftragten (ISB) darüber hinaus eine Zusammenfassung der Inhalte aus den vorigen Quartalsberichten sowie ein Ausblick auf den kommenden Berichtszeitraum.

Damit entsteht bei der Geschäftsleitung Transparenz und eine Akzeptanz zu den verbleibenden Risiken, was eine Schärfung des IT-Risikobewusstseins bewirkt.