REGULIERUNG 1 |
REGULIERUNG 1 | Überblick der BAIT-Themenfelder Governance 2. IT-Governance 1. IT-Strategie Steuerung 4. Informationssicherheitsmanagement 3. Informationsrisikomanagement 8. Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen Operativ 5. Benutzerberechtigungsmanagement 6. IT-Projekte und Anwendungsentwicklung 7. IT-Betrieb (inkl. Datensicherung) Quelle: BaFin. In diesem Zusammenhang ist auch eine personelle Komponente zu beachten: Jede Bank muss zur Erfüllung der BAIT-Compliance künftig einen Informationssicherheitsbeauftragten benennen. Er trägt die Verantwortung für die Wahrnehmung aller Aspekte der IT-Sicherheit sowohl im Institut als auch gegenüber Dritten, er muss Ziele und Maßnahmen intern und extern transparent machen und deren Einhaltung überprüfen und überwachen. Zu den Aufgaben des Informationssicherheitsbeauftragen gehört es, IT-Sicherheitskonzepte zu erstellen und fortzuschreiben, die diesbezüglichen Prozesse im Haus zu koordinieren, die Realisation geeigneter Maßnahmen anzustoßen und zu überwachen sowie die Untersuchung aller IT-Sicherheitsvorfälle mitsamt eines unverzüglichen Berichts an die Geschäftsleitung. Diese Position sei nicht zu verwechseln mit den Aufgaben der internen Revision, hieß es auf der BaFin-Konferenz. Wichtig ist auch: Die Funktion des Sicherheitsbeautragten ist organisatorisch unabhängig anzusiedeln, um Interessenkonflikte zu vermeiden, d. h. er darf nicht aus den Bereichen kommen, die für Betrieb und Entwicklung der IT zuständig sind. Sowohl die internen Mitarbeiter als auch die beauftragten Dienstleister müssen den Sicherheits- beauftragen unverzüglich über alle sicherheitsrelevanten Vorfälle umfassend unterrichten. Grundsätzlich muss jedes Institut einen eigenen Informationssicherheitsbeauftragten im Haus haben; Ausnahmen gelten für kleine (gruppenangehörige) Institute und solche, die regional (im Verbund) tätig sind und keinen wesentlichen IT-Eigenbetrieb haben. Unstimmigkeiten gibt es noch darüber, ob der Datenschutzbeauftragte eines Instituts zugleich Informationssicherheitsbeauftragter sein darf. Jens Obermöller verneinte dies im Bezug auf den Bundesdatenschutzbeauftragten; es gibt zu diesem Thema aber wohl auch bereits anderslautende Aussagen diverser Landesdatenschützer. Eine Einigung sollte also möglichst zügig erfolgen. ZIm Z Benutzerberechtigungsmanagement werden der Umfang und die Nutzungsbedingungen der Berechtigungen dem Schutzbedarf gegenübergestellt. Es gilt das Prinzip der minimalen Rechtevergabe und der Funktionstrennung; miteinander unvereinbare Tätigkeiten und Interessenkonflikte sind zu vermeiden. Alle Änderungen, Löschungen etc. müssen protokolliert werden. Z Z IT-Projekte und Anwendungsentwicklung: Alle Projekte müssen angemessen gesteuert werden. Dazu gehört es, die Risiken zu berücksichtigen, die sich im Hinblick auf die Dauer, den Ressourcenverbrauch und die Qualität der IT-Projekte ergeben. Angemessene Steuerung bedeutet hier aber auch, dass jede neu entwickelte bzw. veränderte Anwendung vor ihrer Produktivsetzung angemessen und unter verschiedenen Stressbelastungsszenarien zu testen ist. Wie dies beispielsweise mit agilen Entwicklungsmethoden in Einklang zu bringen ist, konnte im Rahmen der Informationsveranstaltung noch nicht zufriedenstellend erklärt werden; eine möglichst rasche Definierung ist angeraten. ZZ Im IT-Betrieb müssen alle verwendeten Komponenten verwaltet und regelmäßig aktualisiert werden. Besonderes Augen- 34 05 // 2017
REGULIERUNG 2 | Die größten Risiken aus Sicht der Aufseher IT-Governance IT-Notfallmanagement Einfluss von FinTechs Hauptrisiken für die IT Cyber- /Informationssicherheit Legacy-Systeme Outsourcing von IT Quelle: BaFin. ZZ merk gilt dabei den Risiken aus dem System-Portfolio, Stichwort Lebens-Zyklus-Management: Welche Komponenten müssen wann als veraltet aussortiert werden? Bei neuen Komponenten entscheiden Art und Umfang, Komplexität und Risikogehalt über die Ausgestaltung der Änderungsprozesse. Störungen des Regelbetriebs müssen erfasst, ihre Ursachen analysiert werden. Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen: Grundsätzlich unterliegt das Outsourcing den Anforderungen der MaRisk, AT 9, ebenso die Auslagerung von IT-Dienstleistungen. Vor jedem Outsourcing muss eine Risikobewertung durchgeführt werden, diese ist regelmäßig zu überprüfen und die Vertragsinhalte müssen ggf. angepasst werden. Natürlich muss ebenso überwacht werden, dass die Externen ihre Leistung vertragsgemäß erbringen. Alle Anforderung an Auslagerungen beziehen sich auch auf Dienstleistungen, die im Rahmen einer Cloud-Lösung erbracht werden. Finanzdienstleistungsaufsicht und Bundesbank haben die Themenfelder der BAIT seit dem Frühling 2016 in insgesamt drei Sitzungen des Fachgremiums IT mit Vertretern aus der Industrie und den kreditwirtschaftlichen Verbänden ausführlich diskutiert. Die Betroffenen konnten im Januar 2017 zum ersten Gesamtdokument Stellung beziehen und ihre Kommentare einbringen. Die öffentliche Konsultationsphase wurde kurz nach der Informationsveranstaltung in Bonn gestartet und läuft noch bis zum 5. Mai. Die Veröffentlichung des entsprechenden Rundschreibens soll voraussichtlich in der Jahresmitte erfolgen. Wahrscheinlichkeit eines schwerwiegenden IT-Vorfalls ist hoch Auch die BAIT stehen natürlich nicht allein, sondern sind im größeren Zusammenhang zu sehen. ÿ 2 Die BaFin hatte ihre Informationsveranstaltung deshalb ausgeweitet und zeitgleich die aktuelle Prüfungspraxis der Bundesbank und das BSI-Gesetz thematisiert. Mit den BAIT will die BaFin das IT-Risikobewusstsein bei den Instituten generell erhöhen. Bislang ist es in Deutschland noch nicht zu einem schwerwiegenden Sicherheitsvorfall gekommen – zumindest ist noch keiner bekannt geworden. Daraus dürfe man aber nicht schlussfolgern, dass Deutschland eine Insel der Glückseligen sei, sagte Felix Hufeld. Schwachstellen in der IT seien eines der größten Risiken für die deutsche Finanzwirtschaft, kein Thema nur für IT-Nerds und „pingelige Aufseher“, und die Gefahr sei allgegenwärtig. Die BaFin mache bei ihren Tests regelmäßig schwerwiegende Feststellungen, verriet Raimund Röseler, Exekutivdirektor Bankenaufsicht, bei einem Pressegespräch. Er bescheinigte den europäischen Banken „enorm viel Nachholbedarf “ im IT-Bereich, und die Wahrscheinlichkeit, dass es irgendwann zu einem gravierenden Vorfall kommen werde, sei hoch. Bei den Prüfungen in den Banken erkennt er durchaus noch Luft nach oben: „In Schulnoten ausgedrückt: Besser als ‚vier‘ ist da keiner!“ Die BAIT lieferten die notwendige Transparenz darüber, was die Aufseher von den Instituten erwarte, fasste BaFin-Präsident Felix Hufeld zusammen. Dies wird kombiniert mit dem technischen Wissen, das im Bundesamt für Sicherheit in der Informationstechnik vorhanden ist. Hufeld zeichnete das Bild einer Kombination aus Wissen und Aufsicht, um der „Kreativität der bösen Jungs“ immer einen Schritt voraus zu sein. Dass es dabei manchmal zu einer dualen Aufsicht kommt, etwa im Bereich der Meldepflichten, ist ihm bewusst und wohl auch gewollt. Manche Abläufe müssen sich auch erst noch genauer einspielen, so Hufeld, denn: „We are building the plane by flying it!“ Autorin: Anja U. Kraus. 05 // 2017 35
