Aufrufe
vor 2 Jahren

die bank 03 // 2022

  • Text
  • Wwwbankverlagde
  • Deutschland
  • Digitalen
  • Mobile
  • Unternehmen
  • Zahlungsverkehr
  • Deutsche
  • Deutschen
  • Digitale
  • Digitalisierung
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG

DIGITALISIERUNG INFORMATIONSSICHERHEIT WEITER AUSBAUEN Auch den Kunden als Teil der Bank betrachten … In Erweiterung des Kreditwesengesetzes und aufbauend auf den Mindestanforderungen an das Risikomanagement (MaRisk) umschreibt die Finanzaufsicht mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) seit 2017 ihre Erwartungen an deutsche Kreditinstitute für die sichere Ausgestaltung der IT-Systeme und -Prozesse. Schon 2018 wurden die BAIT aktualisiert und u. a. um den Abschnitt zum Thema Kritische Infrastrukturen ergänzt. Die im November 2019 veröffentlichten EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken trugen dann dazu bei, dass die BAIT erneut überprüft und schließlich Mitte August 2021 novelliert wurden. Die BaFin hat darin bestehende Vorgaben konkretisiert, und die Neufassung trat ohne Übergangsfristen in Kraft. 32 03 | 2022

DIGITALISIERUNG 1 | BAIT-Novelle – Schwerpunkte für die Informationssicherheit Geringe Änderung Geringe Änderung Wesentliche Änderung Wesentliche Änderung 1. IT-Strategie » Strategische Entwicklung des IT-Aufbaus und der IT-Ablauforganisation des Instituts sowie IT-Dienstleistungen und sonstige wichtige Abhängigkeit von Dritten » Gängige Standards für Bereiche der IT und Informationssicherheit » Ziele, Zuständigkeiten und Einbindung der Informationssicherheit » Aussagen zu IT-Notfallmanagement und IDV 2. IT-Governance » Informationsrisikomanagement » Informationssicherheitsmanagement » IT-Betrieb » Anwendungsentwicklung » Vermeidung von Interessenskonflikten 3. Informationsrisikomanagement » System zum Management der Informationsrisiken » Überblick über den Informationsverbund und die Schnittstellen » Methodik zur Ermittlung des Schutzbedarfs » Sollmaßnahmenkatalog zur Umsetzung der Schutzziele » Risikoanalyse (insb. Soll-Ist-Vergleich) 4. Informationssicherheitsmanagement » Informationssicherheitsleitlinie » Informationssicherheitsbeauftragter » Interessenskonfliktvermeidung » Management der Informationssicherheitsvorfälle » Kontinuierliches Sensibilisierungs- und Sicherheitsprogramm » Berichtswesen Neues Kapitel Wesentliche Änderung 5. Operative Informationssicherheit » Umsetzung der Anforderungen des Informationssicherheitsmanagements » Angemessene und dem Stand der Technik entsprechende, operative Informationssicherheitsmaßnahmen und Prozesse » Regelportfolio für Sicherheitsereignisse 6. Identitäts- und Rechtemanagement » Berechtigungskonzepte » Prozesse zur Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen inkl. Genehmigungs- und Kontrollprozesse » Rezertifizierungsprozesse » TOM zur Vermeidung der Umgehung der Vorgaben Geringe Änderung 7. IT-Projekte und Anwendungsentwicklung » Portfolio der IT-Projekte » Prozess der Anwendungsentwicklung 8. IT-Betrieb Geringe Änderung » Verwaltung und Portfoliosteuerung der IT-Systeme (Lebenszyklusmanagement) » Anpassungs- und Störungsmanagement » Datensicherungsmanagement » Leistungs- und Kapazitätsmanagement Neues Kapitel 10. IT-Notfallmanagement Neues Kapitel Geringe Änderung 9. Auslagerung und sonstiger Bezug von IT-Dienstleistungen » Risikoanalysen » Risikobewertung und Management der operationellen Risiken » Ziele und Rahmenbedingungen aus übergeordnetem Notfallmanagement » IT-Notfallpläne und jährliche Notfalltests » Separates Rechenzentrum für Ausfall von kritischen Aktivitäten und Prozessen 11. Management der Beziehung mit Zahlungsdienstnutzern » Unterstützung und Beratung von Endnutzern bzgl. Zahlungsdienstrisiken » Angemessene eigenständige Kontrollen für Zahlungsdienstnutzer Geringe Änderung 12. Kritische Infrastrukturen » Risikoanalysen » Risikobewertung und Management der operationellen Risiken Quelle: Protiviti / Bolender. Die Novelle enthält unter anderem Anforderungen für die Wirksamkeitskontrolle bereits umgesetzter Informationssicherheitsmaßnahmen. Zur Überprüfung ihrer Maßnahmen sollen die Institute regelmäßig Tests und Übungen durchführen, um Schwachstellen aufzudecken. Die Ergebnisse der Tests müssen analysiert werden, um daraus ableitend Verbesserungen voranzutreiben und die vorhandenen Risiken wirksam zu steuern. Unter dem Stichwort „Informationssicherheitsmanagement“ fordert die Aufsicht von den Instituten, die neuen Anforderungen in einer internen Richtlinie zu fixieren. Hier taucht auch das neue Wording auf: die frühere IT-Sicherheit wurde erweitert zur Informationssicherheit. Diese, so die BaFin, umfasse nämlich nicht nur das Handlungsfeld Informationstechnik, sondern den kompletten Schutz von relevanten Informationen, unabhängig von der Form, in der sie vorliegen. Da- mit sei alles eingeschlossen, was im Zusammenhang mit Informationsverarbeitung stehe. Im Rahmen des Informationssicherheitsund Informationsrisikomanagements (ISM/ IRM) reiche es nicht mehr aus, lediglich den IT- Betrieb und die Anwendungsentwicklung mit angemessenen Ressourcen auszustatten, vielmehr müssten die Institute nunmehr auch ein umfassendes Programm zur Schulung und Sensibilisierung ihrer Beschäftigten rund um das Thema Informationssicherheit bereitstellen. 03 | 2022 33

die bank