Aufrufe
vor 13 Monaten

die bank 12 // 2016

  • Text
  • Banken
  • Unternehmen
  • Diebank
  • Digitalisierung
  • Institute
  • Deutschland
  • Anforderungen
  • Risiken
  • Befragten
  • Banking
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó IT & KOMMUNIKATION

ó IT & KOMMUNIKATION Zeit zu handeln INFORMATIONSSICHERHEIT Angesichts der dynamischen Cyber-Bedrohungslage sehen sich Banken nicht nur mit zunehmend mehr Cyber-Angriffen konfrontiert, auch die Auflagen nationaler wie internationaler Aufsichtsbehörden verschärfen sich stetig. Neue Richtlinien und Novellen bergen weitere Pflichten im Risikomanagement, die erheblichen Einfluss auf die Steuerung der Cyber- Sicherheit haben werden. Der Beitrag zeigt, wie Geldinstitute den wachsenden regulatorischen Anforderungen begegnen können. Hans Gabriel Keywords: Digitalisierung, IT-Management, Governance Risk & Compliance Der Druck auf Banken, die eigene IT- Governance, das IT-Risikomanagement und die Compliance-Prozesse weiter zu formalisieren und an neue Regularien sowie eine sich ändernde Bedrohungssituation anzupassen, steigt. So manches Kreditinstitut stellt das vor wachsende Herausforderungen, denn nicht immer werden IT-Risiken anhand definierter Prozesse sauber erfasst, analysiert und gesteuert. Daten aus den Bereichen IT-Risikomanagement, Business Continuity oder auch Netzwerk-Logdaten stammen aus unterschiedlichen Quellen und fachlichen Verantwortungsbereichen. Eine zentral verantwortliche Position, die diese Daten zusammenführt und regelmäßig nachverfolgt, um eine solide Basis für Entscheidungen und Aktivitäten in den Bereichen Informationssicherheit und IT- Compliance zu erstellen, ist längst noch nicht in allen Banken etabliert und scheitert im Tagesgeschäft oft an Silodenken. Erheblicher Mehraufwand durch redundante Tätigkeiten Die Folge ist oft eine erhöhte Verwundbarkeit gegenüber Cyber-Angriffen. Werden Sicherheitsvorfälle erkannt, werden sie oft ad hoc behandelt, ohne die Erkenntnisse in Sicherheitsrichtlinien und in das IT-Risikomanagement einfließen zu lassen. Auch technische Lösungen, die Cyber-Angriffe erkennen und verhindern könnten, sind nicht überall flächendeckend implementiert oder liefern keine ausreichenden Informationen über die eigentliche Geschäftskritikalität des Vorfalls. Dieses punktuelle Management von nicht oder nur unzureichend integrierten IT-GRC-Prozessen verursacht erhebliche Mehraufwände durch redundante Tätigkeiten und sich teils widersprechenden Informationen im Management-Reporting. Die fehlende Übersicht und der oftmals fehlende Bezug zum Unternehmenskontext (Wesentlichkeit für das Unternehmen), erschweren informierte Managemententscheidungen und führen zu Intransparenz hinsichtlich der richtigen Prioritäten bei der Steuerung von IT-Risiken. Als potenzielle Konsequenzen drohen im Schadensfall nicht nur empfindliche Strafen bei Verstößen gegen regulatorische Auflagen. Nicht erkannte oder falsch eingeschätzte bzw. behandelte Risiken aus Cyber-Angriffen können schwerwiegende Folgen wie etwa Betriebsausfall oder auch Imageschaden nach sich ziehen und im schlimmsten Fall den Fortbestand des Instituts gefährden. IT-Risiken kennen und Gegenmaßnahmen einleiten Ein professionelles IT-GRC-Management (IT Governance, Risk & Compliance Management) ermöglicht eine integrierte Herangehensweise, um diese Komplexität zu beherrschen und IT-Risiken nachhaltig zu steuern: Es erlaubt eine ganzheitliche Sicht auf die IT, die alle relevanten Managementsysteme und Maßnahmen im Blick hat. Das Ergebnis sind eine verbesserte Umsetzung von Informationssicherheitsmanagement, IT-Risikomanagement sowie IT-Compliance, um den unterschiedlichen Anforderungen an das aktive Risikomanagement und den geforderten Reportings bzw. Berichtspflichten effizient nachkommen zu können. Ein systematisches IT-GRC Management fußt darauf, dass das Top-Management die IT-Risiken kennt, akzeptiert und geeignete Gegenmaßnahmen einleitet. Vor allem stellt es sicher, dass diese Risiken dokumentiert und an alle relevanten Unternehmensfunktionen kommuniziert werden – was sich insbesondere in Stress- und Krisensituationen auszahlt. Die effizienteste Möglichkeit, die mangelnde Risikotransparenz zwischen IT und dem operativen Risikomanagement aufzulösen, ist ein toolgestütztes IT-GRC-Managementsystem, das Verantwortlichkeiten klar zuweist und abgrenzt. Wachsende Komplexität lässt sich meistern Die jüngste Novellierung der Mindestanforderungen an das Risikomanagement (MaRisk) hat vor allem Themen in den Vordergrund gerückt, die bislang eher weni- 52 diebank 12.2016

IT & KOMMUNIKATION ó ger Beachtung fanden, u. a. die Risikodatenaggregation, Risikoberichterstattung, eine Risikokultur sowie die Auslagerung von IT-Dienstleistungen. Ziel ist es laut Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die IT-Infrastruktur der Institute so zu verbessern, dass eine umfassende, genaue und zeitnahe Aggregation der Risikopositionen eines Instituts möglich wird und diese Informationen zeitnah und in hoher Qualität für das Berichtswesen der Bank aufbereitet werden können. Dies war in der Vergangenheit nicht immer der Fall. Eine wesentliche Rolle in diesem Zusammenhang spielt das Auslagerungsmanagement des IT-Betriebs, das erfahrungsgemäß viele Fragen in Bezug auf Notfallplanung und Compliance aufwirft. IT-Auslagerung bedeutet immer auch zusätzliches, externes Personal und weitere Schnittstellen, womit sich gleichsam die Risikosituation verändert. Mit Blick auf interne und externe Anwender entsteht eine Komplexität, die nur mit systematischem Identity- und Access-Management (IAM) professionell zu bewältigen ist. Weitere Änderungen könnten die Ergebnisse der Arbeitsgruppen der Europäischen Zentralbank (EZB) bringen, die „SSM Expert Group on IT Risk“ und die „Working Group on-site IT Risk Methodology“, sei es in Form weiterer Meldepflichten oder in Form von Methodologien für Vor-Ort-Prüfungen. Erhöhte Agilität und Effizienz der Organisation Mit einem modernen IAM sind Anwendungs- und Netzwerksicherheit aktiv zu steuern, weil sich Identitäten dynamisch pflegen und Berechtigungen automatisch provisionieren lassen. Berechtigungsvergaben und Rezertifizierungen sind jederzeit transparent nachvollziehbar – ein wichtiger Punkt bei Revisionen. Weitere Vorteile sind die Automatisierung von Prozessen, ein flexibles Management neuer wie scheidender Benutzer sowie eine konsistente Berechtigungsvergabe. Das Ergebnis: eine erhöhte Agilität und Effizienz der Organisation sowie eine deutliche Steigerung von Rechtssicherheit, Corporate Governance und nicht zuletzt auch ein Gewinn an Informationssicherheit. Meldepflichten verschärfen sich auf EU-Ebene Bis Mai 2018 wird das Bundesdatenschutzgesetz durch die EU-Datenschutzgrundverordnung (EU-DGSVO) ergänzt. Die Obergrenze für Strafzahlungen wegen Datenschutz-Verstößen steigt damit von derzeit maximal 300.000 € auf 20 Mio. € oder vier Prozent des weltweiten Vorjahresumsatzes. Ziel der Verordnung ist die Vereinheitlichung des Datenschutzrechtes innerhalb Europas. Im Mittelpunkt stehen die planmäßige Datenverarbeitung und Pflichten im Fall möglicher Datenschutzverletzungen. Meldepflichten über Verfahren automatisierter Verarbeitung und Informationspflichten bei sogenannter „unrechtmäßiger Kenntniserlangung von Daten“ – also im Fall einer Datenpanne – verschärfen sich. Unternehmen werden stärker beraten durch die Aufsichtsbehörden, aber auch stärker kontrolliert. Kommen Institute ihren Meldepflichten gegenüber Betroffenen und Aufsichtsbehörden nicht nach, drohen weitere Strafzahlungen. Neu ist u. a., dass für Unternehmen, die Niederlassungen in mehreren EU-Mitgliedstaaten führen und dort Datenverarbeitung betreiben, bei grenzüberschreitenden Datenverarbeitungen nur die Aufsichtsbehörde an ihrem Hauptsitz verantwortlich ist. Wie können Banken ihr Datenschutzmanagement systematisch auf die DGSVO ausrichten? Um auf 2018 vorbereitet zu sein, sollten sie prüfen, welche Systeme im Unternehmen von der neuen Gesetzgebung betroffen sind, und ob das bereits implementierte Datenschutzmanagement- System gesetzeskonform ist. Denn grundsätzlich sind Vorstände bzw. Geschäftsführer in der Pflicht zu wissen, welche rechtlichen, technischen und organisatorischen Anforderungen an den Datenschutz bzw. an die Datensicherheit im Unternehmen unbedingt zu beachten sind. Führungskräfte sollten ihre Rechte, Pflichten und persönlichen Haftungsrisiken kennen und sich über die Möglichkeiten und Grenzen der Delegation von Datenschutzaufgaben an Beauftragte informieren. Der Datenschutzbeauftragte muss außer der erforderlichen Zuverlässigkeit auch die entsprechende Fachkunde besitzen, die er fl Eine zentral verantwortliche Position für IT-Compliance ist längst nicht in allen Banken vorhanden und scheitert im Tagesgeschäft oft am Silodenken. z. B. in externen Weiterbildungen erwerben kann. Reichen die internen Kapazitäten nicht aus, kann es sinnvoll sein, einen externen Datenschutzbeauftragten zu beauftragen: Dieser analysiert und bewertet die Datensicherheit im Unternehmen, prüft in einem Datenschutz-Check-Up den aktuellen Stand des Datenschutzes in der Organisation, hält die notwendigen Maßnahmen nach Dringlichkeit in einer Übersicht fest und sorgt dafür, dass die offenen Punkte nacheinander abgearbeitet werden, damit das Unternehmen in punkto Datenschutz ein angemessenes Niveau erreicht. Er überwacht zudem kontinuierlich den erreichten Status des Datenschutzes und strebt danach, ihn zu verbessern. ISMS als Basis für die Erfüllung regulatorischer Anforderungen Seit 2016 gelten für systemrelevante Geldhäuser die Pflichten aus dem deutschen IT-Sicherheitsgesetz für die Betreiber kritischer Infrastrukturen (KRITIS). 12.2016 diebank 53

die bank

die bank 01 // 2019
die bank 02 // 2019
die bank 03 // 2019
die bank 04 // 2019
die bank 05 // 2019
KINOTE 01.2019
die bank 06 // 2019
diebank 07 // 2019
diebank 08 // 2019
diebank 09 // 2019
die bank 01 // 2018
die bank 02 // 2018
die bank 03 // 2018
die bank 04 // 2018
die bank 05 // 2018
die bank 06 // 2018
die bank 07 // 2018
die bank 08 // 2018
die bank 09 // 2018
die bank 10 // 2018
die bank 01 // 2017
die bank 02 // 2017
die bank 03 // 2017
die Bank 04 // 2017
die bank 05 // 2017
die bank 06 // 2017
die bank 07 // 2017
die bank 08 // 2017
die Bank 09 // 2017
die bank 10 // 2017
die bank 01 // 2016
die bank 02 // 2016
die bank 03 // 2016
die bank 04 // 2016
die bank 05 // 2016
die bank 06 // 2016
die bank 07 // 2016
die bank 08 // 2016
die bank 09 // 2016
die bank 10 // 2016
die bank 11 // 2016
die bank 12 // 2016
die bank 01 // 2015
die bank 02 // 2015
die bank 03 // 2015
die bank 04 // 2015
die bank 05 // 2015
die bank 06 // 2015
die bank 07 // 2015
die bank 08 // 2015
die bank 09 // 2015
die bank 10 // 2015
die bank 11 // 2015
die bank 12 // 2015

© die bank 2014-2018