die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen.
Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.
ó IT & KOMMUNIKATION
ó IT & KOMMUNIKATION lung werden dem Kunden mit Darlehenszusage standardisierte Formulare zur Verfügung gestellt, die über einen zentralen Posteingang zum Einscannen geroutet werden. Durch die Erkennungssoftware der Massenscanner werden die Daten der Standardformulare ausgelesen und analog der Eingangskanäle für Filiale und Online Banking aufbereitet. Automatisierung: Nachdem die Daten nun über alle Eingangskanäle identisch strukturiert zur Verfügung stehen, können regelbasierte Automatisierungspattern greifen, diedie Prüfung der Auszahlungsvoraussetzungen, die Belastung des Darlehenskontos, die Durchführung der Überweisung sowie die abschließende Information des Kundenberaters und des Kunden ohne weitere manuelle Eingriffe erlauben. Workflow und Produktionssteuerung – effiziente Steuerung des gesamten Produktionsprozesses Neben den voll automatisiert verarbeitbaren Aufträgen ist eine effiziente Bearbeitung manueller Aufträge und Teilaufträge erfolgskritisch. Im Mittelpunkt steht hier der Einsatz eines integrierten Workflow-Systems, welches eine industrialisierte Auftragssteuerung und -bearbeitung gewährleistet. Mit dem Einsatz eines Workflow-Systems wird gewährleistet, dass Aufträge ihrer Priorität entsprechend abgearbeitet werden, an „den richtigen“ Bearbeiter transportiert werden und eine übergreifende Produktionssteuerung gewährleistet ist. Organisations-Benchmarks zeigen, dass insbesondere bei der Bearbeitung standardisierter Aufträge wesentliche Synergien durch die Spezialisierung nach Auftragsarten realisierbar sind. Um dies technisch zu unterstützen, werden im Workflowsystem Arbeitslisten je Auftragsart angelegt und ein automatisches Routing eingehender Aufträge nach zuvor festgelegten Parametern in die richtige Arbeitsliste vorgenommen. Je nach Spezialisierung und Skill-Level werden den Mitarbeitern Arbeitslisten zugeordnet und Aufträge nach dem Push-Verfahren zugeteilt. Bei der Auftragszuordnung wird die Priorität des Auftrags sowie die Auslastung der Mitarbeiter berücksichtigt. Der Nutzen des Workflow-Systems liegt aber nicht nur im Auftragstransport, sondern insbesondere in der Führung der Mitarbeiter durch den gesamten Bearbeitungsprozess. Jederzeit ist transparent, in welchem Status der Auftrag sich gerade befindet und bei wem dieser zur Bearbeitung liegt. Im Idealfall sind Back-End-Systeme und Archiv-Systeme angebunden, sodass das Workflow-System die Arbeitsoberfläche für den Bearbeiter darstellt und die für die Auftragsbearbeitung notwendigen Daten und Informationen aus den Back-End- und Archi- Systemen bereitgestellt werden. Da alle Eingangskanäle an das Workflow-System angebunden sind und jeder Auftrag über das Workflow-System zum Bearbeiter transportiert wird, liegen hier alle Informationen vor, die für die operative Produktonssteuerung sowie das Messen und Reporten von z. B. Durchlaufzeiten, Bearbeitungszeiten und Fehlerquoten notwendig sind. Die Priorisierung und Bearbeitung von Aufträgen sollte sich an vereinbarten Service- Level-Agreements (SLA) orientieren, und Produktionssteuerung sowie Ressourceneinsatzplanung sollten hierauf ausgerichtet sein. Fazit Projekterfahrungen zeigen sich wiederholende Muster, die schneller zum Ziel führen und bei größeren IT-Projekten die üblichen Risiken deutlich minimieren: Eine erfolgreiche Realisierung der mit dem Thema Digitalisierung verbundenen Potenziale setzt voraus, dass vorhandene Prozesse grundlegend hinterfragt und end to end sowie aus Kundenperspektive betrachtet werden. Natürlich gibt es Grenzen der Umsetzbarkeit, die in gesetzlichen Vorgaben oder den Weiterentwicklungsmöglichkeiten der jeweiligen (Alt-)IT-Systeme liegen. Diese Beschränkungen sollten aber erst im zweiten Schritt betrachtet werden. Der engen Zusammenarbeit der Fach- und IT-Bereiche kommt dabei eine herausragende Bedeutung zu. Häufig gilt es, gemeinsam kreative Lösungen zu finden, da kein regelmäßiger, kompletter Neubau des IT-Systems geplant ist. Dies ist ohne gegenseitiges inhaltliches Verständnis nicht möglich. Diese Forderung mag banal klingen, entspricht in vielen Banken aber noch nicht der gelebten Praxis. Darüber hinaus ist auch ein kultureller Wandel nötig: Eine Bank muss heute innovative Ansätze im Rapid-Prototyping- Vorgehen entwickeln, konkret am Kunden verproben und weiter entwickeln oder auch wieder einstellen können. Dies erfordert veränderte Governance-Strukturen und Methoden, die kreative Ideen, schnelle Entscheidungen und Parallelentwicklungen zulassen. Einige Unternehmen bauen hierfür Parallelorganisationen auf, die an Start-up-Unternehmen erinnern und mit Vertretern aus Fachbereichen, Operations und IT besetzt sind. Um eine so schnelle Marktreife zu erreichen wie sie Amazon & Co. vorlegen, ist es sinnvoll, einzelne Pakete zu schnüren, die unabhängig voneinander umsetzbar sind und somit parallel entwickelt und eingesetzt werden können. Nur wenn sich Banken grundsätzlich bezüglich ihrer Reaktionsweise auf digitale Herausforderungen – auch und gerade in ihren Operationsbereichen – verändern, können sie diese meistern und mit der neuen digitalen Konkurrenz auf Augenhöhe agieren. ó Autoren: Dr. André Ehlerding ist Partner, Andreas Bräutigam ist Senior Manager bei zeb. 58 diebank 1.2015
IT & KOMMUNIKATION ó Neue Rechtsentwicklungen zur IT-Sicherheit CYBER-KRIMINALITÄT Cyber-Angriffe nehmen weltweit zu. Die Finanzbranche ist davon in besonderer Weise betroffen. Nun liegt ein Referentenentwurf für ein neues IT-Sicherheitsgesetz vor, das für bessere Standards sorgen soll. Die Diskussion darum hat gerade begonnen. André Niedostadek Keywords: IT-Sicherheit, Big Data, Internetkriminalität Das Thema IT-Sicherheit ist schon seit Längerem gerade auch ein Anliegen der Politik. Bereits in der vorausgegangenen Legislaturperiode hatte die damalige Koalition einen Entwurf für ein IT-Sicherheitsgesetz vorgelegt. Der Anlauf stieß allerdings auf Widerstände aus der Wirtschaft. Zu groß war die Sorge um Reputationsrisiken, wenn Hackerangriffe zu offenbaren sind. Nachdem der erste Vorstoß mehr oder weniger sang- und klanglos im Sande verlief, liegt inzwischen als Teil der digitalen Agenda ein neuer Vorschlag für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz) auf dem Tisch. Er soll nun den Schutz vor Cyber-Angriffen verbessern. Kritische Systeme im Blick Das Gesetz nimmt dabei in erster Linie die sogenannten „Kritischen Infrastrukturen“ (KRITIS) in den Blick. Die beschränken sich nicht allein auf die Telekommunikation. Ganz explizit werden vielmehr Einrichtungen unterschiedlicher Branchen angesprochen. Die Palette reicht von Energie und Gesundheit über Transportunternehmen, die Wasserversorgung und Ernährung bis hin zu Banken und Versicherungen. Von Bedeutung sind solche Unternehmen deshalb, weil sie samt und sonders in einer besonderen gesellschaftlichen Verantwortung stehen. Ob beruflich oder privat, ob als Betrieb oder Behörde – die Gesellschaft profitiert von ihnen in vielfältiger Weise und das in allen Lebensbereichen. Ausfälle gerade solcher Einrichtungen, so wird befürchtet, könnten womöglich dramatische Folgen für das Gemeinwohl nach sich ziehen, gelten sie doch als die Lebensadern unserer Gesellschaft. Und die IT-Sicherheitslage scheint hierzulande durchaus angespannt: Cyber-Angriffe, Cyber-Spionage oder andere Formen von Computer- und Internetkriminalität steigen und lassen sich keineswegs als Bagatellen abtun. Hinzu kommt, dass die Angriffe selbst professioneller, technologisch immer ausgereifter und raffinierter werden. Mit der Relevanz des Internets und sonstiger informationstechnischer Systeme einerseits und andererseits dem Umstand, dass solche Infrastrukturen aus unserem Alltag gar nicht mehr wegzudenken sind, stellen sich vor allem zwei Fragen: Wie lässt sich ein gewisses Schutzniveau sicherstellen? Und was ist insofern vom Gesetzgeber zu erwarten? Während sich die Bundesregierung in ihrem Koalitionsvertrag zunächst nur auf gewisse gesetzliche Mindestanforderungen beschränkt hatte, versteht sich der jetzt von Bundesinnenminister Thomas de Maizière vorgelegte Entwurf als ein umfassenderer Ansatz. Es soll, so das Ziel, um die Sicherheit der Systeme und um den Schutz der Bürgerinnen und Bürger generell gehen. Die gesetzlichen Regelungen knüpfen dabei maßgeblich an den drei Punkten Risiko, Schutz und Verantwortung an. Vereinfacht ausgedrückt lässt sich das auf die Formel bringen: Wer IT einsetzt, und damit Risiken für andere schafft, trägt die Verantwortung für den Schutz vor diesen Risiken. Und je gravierender diese Risiken für unsere Gesellschaft sind, desto höhere Anforderungen sind an die erforderlichen Schutzvorkehrungen zu stellen. Wesentliche Eckpunkte des Entwurfs Was bedeutet das nun konkret? Im Wesentlichen lassen sich drei Aspekte ausmachen: Erstens möchte der Gesetzgeber die Beteiligten selbst, und hier vor allem die Betreiber und Anbieter von Telekommunikations- und Telemediendiensten, stärker in die Pflicht nehmen. Dem Stand der Technik entsprechend sollen sie die IT-Sicherheit nicht nur im Hinblick auf den Schutz der Vertraulichkeit und personenbezogener Daten gewährleisten. Ihnen obliegt auch der Schutz von Telekommunikationsund Datenverarbeitungssystemen gegen unerlaubte Zugriffe. Erst dadurch, so die Überlegung, wird die Kommunikationsinfrastruktur insgesamt widerstandsfähiger. Und nur so werden die Verfügbarkeit, 1.2015 diebank 59
