Matrix Technology AG
Finsurance Blog > IT-Infrastrukturprojekte – Herausforderungen und Besonderheiten (Teil 2)

IT-Infrastrukturprojekte – Herausforderungen und Besonderheiten (Teil 2)

Stefan Mock

Als Director IT-Consulting ist Stefan Mock für alle Berater und Projektmanager der matrix technology AG verantwortlich. Mit seinem Team bringt er die strategische Ausrichtung des Unternehmens in der Banken- und Versicherungsbranche, im speziellen für den Bereich Cloud-Lösungen, voran.

Alle Beiträge des Autors

IT-Projekte sind heutzutage ein fester Bestandteil des Tagesgeschäfts regulierter Unternehmen. Die Institute stehen täglich vor der Aufgabe, Änderungsanforderungen an die Geschäftsmodelle rasant zu identifizieren und umzusetzen, um sich dadurch als flexibles und dynamisches Unternehmen zu positionieren. Viele Endkunden fordern dies sogar von der Bank oder Versicherung ihres Vertrauens.  

Im selben Atemzug sehen sich die Institute jedoch auch vor die Herausforderung gestellt, den steigenden regulatorischen Anforderungen an die IT gerecht zu werden und die bestehenden Umgebungen anzupassen und zu verändern.   

Die „Bankenaufsichtlichen Anforderungen an die IT“ (kurz: BAIT) sowie die „Versicherungsaufsichtlichen Anforderungen an die IT“ (kurz: VAIT) sind für Kreditinstitute, Finanzdienstleistungsinstitute und Versicherungen die erste Anlaufstelle, wenn sie sich über Richtlinien zur Ausgestaltung der Unternehmens-IT informieren wollen. Beide Regelwerke enthalten den Abschnitt „IT-Projekte, Anwendungsentwicklung“ (Stand 12/2019). Dieser umfasst insgesamt 14 Anforderungen, die Sie im Rahmen von IT-Projekten beziehungsweise Anwendungsentwicklungen beachten sollten.  

Im ersten Teil dieser Beitragsserie habe ich Ihnen bereits die BAIT-Anforderungen 31 bis 35 vorgestellt, die sich mit IT-Projekten im Allgemeinen befassen. In diesem Beitrag folgen nun die Bewertungen, die sich konkret mit der Anwendungsentwicklung beschäftigen.

BAIT-Anforderung 36

Prozesse zur Anwendungsentwicklung

Für die Anwendungsentwicklung sind angemessene Prozesse festzulegen, die Vorgaben zur Anforderungsermittlung, zum Entwicklungsziel, zur (technischen) Umsetzung (einschließlich Programmierrichtlinien), zur Qualitätssicherung sowie zu Test, Abnahme und Freigabe enthalten.  

 

Empfehlung

→ Anwendungen im Finanzsektor verarbeiten oft Daten, die eine besondere Relevanz für die Stabilität der deutschen Wirtschaft und das Vertrauen der Bürger in die öffentlichen Systeme haben. So ist zum Beispiel ein längerer Ausfall von Geldautomaten oder des Zahlungsverkehrs immer ein kritischer Zustand bzw. ein öffentliches Ärgernis, dass schnell zu einer Verunsicherung in der Bevölkerung führt. Deshalb bezeichnet man solche Anwendungen als KRITIS-Anwendungen, für die besondere Vorgaben gelten. Speziell bei der Entwicklung von bankfachlichen Anwendungen muss daher strukturiert und risikoorientiert festgelegt werden, warum und mit welchem Ziel die Veränderung erforderlich ist und mit welchen Maßnahmen eine geordnete Durchführung flankiert wird. Dazu wird ein geeignetes Projektmanagement Framework genutzt, das z.B. eine Beschreibung eines risikoorientierten Test- und Freigabeverfahrens umfasst. 

BAIT-Anforderung 37

Funktionale und Nichtfunktionale Anforderungen

Anforderungen an die Funktionalität der Anwendung müssen ebenso erhoben, bewertet und dokumentiert werden wie nichtfunktionale Anforderungen. Die Verantwortung für die Erhebung und Bewertung der Anforderungen liegt in den Fachbereichen.  

Empfehlung

→ Die Anforderungen an die Anwendung sind die Voraussetzung für die Initiierung, Durchführung und das spätere Testen derselben. Üblicherweise werden die Funktionalen Anforderungen in Fachkonzepten bzw. durch User-Stories bei agilen Projekten dokumentiert. Durch das Hinzufügen von technischen Informationen werden daraus ein DV-Konzept und Implementierungsvorgaben bzw. Product Backlogs im agilen Vorgehen erzeugt. Nichtfunktionale Anforderungen müssen ebenfalls berücksichtigt und dokumentiert werden. Hierzu sollte im ersten Schritt der Schutzbedarf der Daten im Vordergrund stehen (Schutzbedarffeststellung), um die notwendigen Maßnahmen und Vorgaben zum Schutz der betroffenen Daten ableiten zu können. Ebenso sollten Anforderungen zur Zugriffssteuerung, Ergonomie aber auch Antwortzeiten und Resilienz aufgenommen, dokumentiert und berücksichtigt werden. 

BAIT-Anforderung 38

Sicherstellung des Schutzbedarfs

Im Rahmen der Anwendungsentwicklung sind nach Maßgabe des Schutzbedarfs angemessene Vorkehrungen im Hinblick darauf zu treffen, dass nach Produktivsetzung der Anwendung die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der zu verarbeitenden Daten nachvollziehbar sichergestellt werden.

  

Empfehlung

→ Diese Anforderung ist weitestgehend selbsterklärend, dennoch wird sie trotzdem oftmals unterschätzt. Zudem ist manchmal gar nicht oder zumindest nicht exakt bekannt, welche Daten welche Anwendungen überhaupt verarbeiten. Die Antwort auf die Fragestellung, wie schützenswert meine Daten überhaupt sind, ermöglicht eine passende Antwort auf die notwendigen Maßnahmen und Aufwände, um meine Anwendung zu entwickeln. Mit der richtigen Herangehensweise im Rahmen einer Schutzbedarfsanalyse, den Schutzobjekten, Schadenpotential, Eintrittswahrscheinlichkeiten und den daraus erkannten Anforderungen und Maßnahmen können die effizientesten und passendsten Lösungen entwickelt und später auch betrieben werden. Mögliche Vorkehrungen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität könnten z.B. sein: 

  • Prüfung der Eingabedaten 
  • Systemzugangskontrollen 
  • Nutzer-Authentifizierung 
  • Protokollierung 
  • Benutzerrechtemanagement gemäß Minimalprinzip 
  • Verschlüsselung 
  • … 

BAIT-Anforderung 39

Vorkehrungen Anwendungsmanipulation

Im Rahmen der Anwendungsentwicklung müssen Vorkehrungen getroffen werden, die erkennen lassen, ob eine Anwendung versehentlich geändert oder absichtlich manipuliert wurde. 

Empfehlung

→ Auch hier ist wieder der ermittelte Schutzbedarf die Basis für die anzuwendenden Vorgehen. So können beispielsweise Zahlungsverkehrsanwendungen Kontodaten verändern. Integritätsverletzungen (also zum Beispiel verfälschte Kontostände) können das Vertrauen der Kunden sehr schnell und stark erschüttern. Dies ist unbedingt zu verhindern. Die Ergebnisse der Anwendungsentwicklung (Quellcode, Build-Prozeduren, Konfigurationsdateien, ausführbare Dateien, …) werden typischerweise in Konfigurationsmanagement-Systemen abgelegt, die vielfältige Möglichkeiten zur Zugriffsberechtigung und zum Schutz von Ergebnissen bereitstellen. Freigabe-Mechanismen sorgen dafür, dass Anwendungen kontrolliert in die Produktion überführt und geschützt werden können. Weiterhin sind technische Maßnahmen zur Härtung von Systemen sinnvoll. Mit diesen Maßnahmen sollten Manipulationen unterbunden bzw. erkannt werden können.  

BAIT-Anforderung 40

Dokumentation der Anwendung und ihrer Entwicklung

Die Anwendung sowie deren Entwicklung sind übersichtlich und für sachkundige Dritte nachvollziehbar zu dokumentieren.  

Empfehlung

→ Die Erstellung von Dokumentation ist ein wesentlicher Bestandteil der Umsetzung von Projekten im regulierten Umfeld. Ein Ziel dabei ist, dass Veränderungen jederzeit nachvollziehbar sind.  Daher ist es auch wenig verwunderlich, dass Anwendungen entsprechend zu dokumentieren (fortlaufend und mit einer Historie) sind. Natürlich muss auch sichergestellt sein, dass diese Dokumentationen entsprechend auffindbar und entsprechend Ihrer Schutzklasse (s.o.) abgelegt und gesichert sind. Der Zugriff auf die Dokumentation ist für den Besitzer und seine Nutzer im Rahmen des Berechtigungsmanagements gemäß Minimalprinzip zu definieren und umzusetzen. Auch IDV-Anwendungen, die der Fachbereich in Eigenregie erstellt hat, sind zu dokumentieren.

BAIT-Anforderung 41

Anwendungstests vor Einsatz

Es ist eine Methodik für das Testen von Anwendungen vor ihrem erstmaligen Einsatz und nach wesentlichen Änderungen zu definieren und einzuführen. Die Tests haben in ihrem Umfang die Funktionalität der Anwendung, die Sicherheitskontrollen und die Systemleistung unter verschiedenen Stressbelastungsszenarien einzubeziehen. Die Durchführung von fachlichen Abnahmetests verantwortet der für die Anwendung zuständige Fachbereich. Testumgebungen zur Durchführung der Abnahmetests haben in für den Test wesentlichen Aspekten der Produktionsumgebung zu entsprechen. Testaktivitäten und Testergebnisse sind zu dokumentieren.  

 

<p>&rarr; Das Testmanagement nimmt in den Anforderungen für regulierte Unternehmen einen wesentlichen Punkt ein. Im Testkonzept sind die wesentlichen Regelungen zu Test festgehalten. Die Testverfahren sind risikoorientiert ausgestaltet. Die Schutzbedarfsk

→ Das Testmanagement nimmt in den Anforderungen für regulierte Unternehmen einen wesentlichen Punkt ein. Im Testkonzept sind die wesentlichen Regelungen zu Test festgehalten. Die Testverfahren sind risikoorientiert ausgestaltet. Die Schutzbedarfskriterien geben hierzu die Testkriterien vor. Im Rahmen der Tests werden vor allem Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität und die Übereinstimmung mit der fachlichen Spezifikation der Anwendung geprüft. Es muss hier mit einer entsprechend nachweislichen Professionalität agiert werden, um diese zu erfüllen. So müssen entsprechende Testumgebungen mit den notwendigen Testdaten bereitgestellt werden. Sollten dabei Produktivdaten benötigt werden, muss auf die entsprechende Schutzklasse geachtet werden und entsprechende abgeleitete Maßnahmen, z.B. Daten-Anonymisierung müssen angewendet werden.   

Auch die Dokumentation der Tests ist in diesem Kontext nachweislich durchzuführen. Dazu gehören beispielsweise 

  • Testfallbeschreibung 
  • Parametrisierung des Testfalls 
  • Testdaten 
  • Erwartetes Testergebnis 
  • … 

Geeignete Testwerkzeuge unterstützen bei der Definition der Testfälle und bei der Dokumentation der Testfall-Ausführung und -Ergebnisse. 

BAIT-Anforderung 42

Überwachung von Abweichungen

Nach Produktivsetzung der Anwendung sind mögliche Abweichungen vom Regelbetrieb zu überwachen, deren Ursachen zu untersuchen und ggf. Maßnahmen zur Nachbesserung zu veranlassen.  

Empfehlung

→ Auch bei erfolgreich abgeschlossenem Test muss der Regelbetrieb der Anwendung überwacht werden. Dies kann durch entsprechende Tools oder regelmäßig wiederkehrende Testfäll-Durchführungen umgesetzt werden. Die Ergebnisse der Überwachung müssen dokumentiert und Abweichungen untersucht werden. Zum Einsatz kommen hierbei gängige ITIL-Verfahren wie Monitoring, Incident-, Problem- und Changemanagement. 

BAIT-Anforderung 43

Klassifizierung von Anwendungen

Ein angemessenes Verfahren für die Klassifizierung / Kategorisierung (Schutzbedarfsklasse) und den Umgang mit den von Endbenutzern des Fachbereichs entwickelten oder betriebenen Anwendungen ist festzulegen.  

 

Empfehlung

  • Die Schutzbedarfsklasse einer Anwendung leitet sich aus dem Schutzbedarf der Daten ab, welche die Anwendung verarbeitet. Die Fachbereiche eines Unternehmens verantworten die Anwendungen, die für ein Unternehmen und deren Kunden zum Einsatz kommen.  
  • Grundvoraussetzung ist eine eindeutige Zuordnung der Verantwortung und die Festlegung von Anwendungsklassen, die sich am Schutzbedarf der verarbeiteten Daten orientieren. Zunächst muss also sichergestellt sein, dass jede Anwendung auch einen Anwendungsverantwortlichen hat, dass diese Zuordnung dokumentiert und auch aktuell ist. Des Weiteren muss jede Anwendung kategorisiert sein. Mögliche Kategorien sind kritische Kundensysteme, Produktionsanwendungen, produktionsnahe Eigenentwicklungen, Supportersysteme. 
  • Für jede Kategorie muss beschrieben sein, wie diese Anwendungen zu behandeln sind. So kann zum Beispiel die Anzahl der Stages im Deployment (Entwicklung, Test, Pre-Prod, Prod) definiert sein. Die Einhaltung der Vorgaben ist wiederum zu prüfen.  

BAIT-Anforderung 44

Identifikation von Anwendungen

Die Vorgaben zur Identifizierung aller von Endbenutzern des Fachbereichs entwickelten oder betriebenen Anwendungen, zur Dokumentation, zu den Programmierrichtlinien und zur Methodik des Testens, zur Schutzbedarfsfeststellung und zum Rezertifizierungsprozess der Berechtigungen sind zu regeln (z. B. in einer IDV-Richtlinie). 

 

Empfehlung

  • Typischerweise stehen nicht alle Anwendungen eines Unternehmens im Kundenkontext oder unter zentraler Kontrolle. Oft haben Fachbereiche eigene Anwendungen entwickelt, um sich die tägliche Arbeit zu erleichtern. Handelt es sich um reine Supportersysteme, ist dies kein signifikantes Risiko. Sind diese Eigenentwicklungen aber zur Voraussetzung für den geregelten Betrieb von Kundensystemen oder die wirtschaftliche Existenz von Unternehmen geworden (zum Beispiel spezielle Bestellschnittstelle eines Kunden), müssen sie identifiziert und angemessen gehandhabt werden. Man spricht dann von produktionsnahen Eigenentwicklungen, die zum Beispiel ein Staging im Deployment erfordern.  
  • Im Rahmen einer Richtlinie kann das korrekte Vorgehen zur Entwicklung und Bereitstellung solcher Anwendungen geregelt werden. Zusätzlich wird ein entsprechendes Register für den Überblick erstellt. Folgende Informationen sollten z.B. im Register enthalten sein: 
  • Name und Zweck der Anwendung 
  • Versionierung, Datumsangabe 
  • Fremd- oder Eigenentwicklung 
  • Ergebnis der Risikoklassifizierung / Schutzbedarfseinstufung und ggf. die daraus abgeleiteten Schutzmaßnahmen 
  • Technologie 
  • … 

Es sollten regelmäßige Abfragen bei den Fachbereichs-Verantwortlichen stattfinden, um versehentlich nicht gemeldete IDV-Anwendungen zu inventarisieren. 

Wie können Sie den Anforderungen der BaFin innerhalb Ihrer IT-Projekte bestmöglich gerecht werden?

Auf Basis der vorangegangenen Erläuterungen möchte ich Ihnen zum Schluss fünf Aspekte mit auf den Weg geben, wie Sie als betroffenes Unternehmen den Anforderungen der BaFin für Ihre IT-Projekte bestmöglich gerecht werden können.  

1. Projektmanagement im Unternehmen

Im Sinne der regulatorischen Anforderungen ist ein professionelles Projektmanagement im Unternehmen zwingend erforderlich, sofern man eigene Projekte umsetzt. Ein paar Tipps, die dabei helfen: 

  • Verankern Sie das Projektmanagement in der Unternehmens- und IT-Strategie. 
  • Der Aufbau einer Projektmanagement-Organisation im Unternehmen als zentraler, verantwortlicher Bereich hilft, die Rollen und Verantwortlichkeiten klar zu definieren. 
  • Ich empfehle Ihnen den Einsatz von professionellen Projektmanagement-Standards wie PMI (Project Management Institute) oder IPMA (International Project Management Association). Egal über welche Methode man Projekte umsetzt (z.B. Wasserfall oder Agil) hilft es zudem, wenn das Projektteam entsprechend geschult und idealerweise zertifiziert ist. Speziell bei agilen Methoden ist dies zwingend erforderlich und Vorrausetzung für eine erfolgreiche Umsetzung. 
  • Definieren Sie eine Richtlinie oder ein Framework zur Umsetzung von Projekten basierend auf den Projektmanagement-Standards. 
  • Implementieren Sie ein Board zur zentralen Steuerung aller laufenden Projekte und Aktivitäten im Unternehmen. Dies kann z.B. ein Project Management Board (PPM) sein. 

2. Richtige Klassifizierung der Daten

Bei den Anforderungen der BaFin wird immer wieder auf die Klassifizierung der Daten bzw. der Anwendungen verwiesen. Die Daten müssen ermittelt und mit Hilfe der Schutzbedarfskategorien und des Risikomanagements klassifiziert werden (Bedrohungsanalyse). Dies ist ein wesentlicher Punkt, welcher im Unternehmen idealerweise als Standardprozess (z.B. im Rahmen des Projekt Management Frameworks) vorhanden ist. Denn nur bei richtiger Klassifizierung lassen sich entsprechende Maßnahmen ableiten und effizient umsetzen. 

3. Einbindung in das Risikomanagement des Unternehmens

Stellen Sie sicher, dass das Risikomanagement der Projekte in das unternehmensweite Risikomanagement des Unternehmens eingebunden ist. Dies kann z.B. durch den Einsatz eines definierten Projektmanagement Frameworks sichergestellt werden. 

4. Dokumentieren und strukturieren 

Eine der wichtigsten Vorrausetzungen für das erfolgreiche Bestehen eines möglichen Audits ist eine gute Dokumentationslage. Dies trifft auch entsprechend bei umzusetzenden Projekten zu, wie man bei vielen Punkten der Anforderungen erkennen kann. Daher ist es wichtig, für alle Projektschritte entsprechende Dokumentationen zu erstellen und auch strukturiert abzulegen. Ein eingeführtes einheitliches Framework mit entsprechenden Templates oder Tools ist dabei sicherlich die effizienteste Möglichkeit, um Projekte entsprechend umzusetzen.  

Wichtig dabei ist natürlich auch die Sicherstellung, dass auch Dokumente von bereits abgeschlossenen Projekten so archiviert werden, dass diese bei einer möglichen Prüfung gesichtet werden können. 

5. Bereitstellung der notwendigen Umgebungen 

Gerade bei der Anwendungsentwicklung werden für die Entwicklung und Tests entsprechende Umgebungen je nach ermitteltem Schutzbedarf (z.B. Entwicklung, Integration, Produktion) gefordert. Dies kann zum Teil hohe Investitionen für die Bereitstellung der notwendigen Umgebungen bedeuten und sollte daher ganzheitlich im Rahmen der IT-Strategie bewertet werden. Cloud-Lösungen ermöglichen z.B. die elastische Nutzung von IT-Ressourcen, denn nur die Produktionsumgebung muss immer online sein.