Aufrufe
vor 5 Jahren

die bank 02 // 2018

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

MANAGEMENT

MANAGEMENT die direkte Auswahl eines Programms wählt er die zu beantragende Förderung. Sämtliche notwendigen Daten, die im System bereits bekannt sind, sollten im folgenden Schritt nicht erneut erfasst werden müssen. Erfassung durch Dritte: In Kooperation mit Hausbanken oder Finanzvermittlern ist auch die Situation denkbar, dass die Daten durch einen Dritten im Namen des Kunden eingegeben werden und später einem personalisierten Account zugeordnet werden müssen. Sicherheit: Portal-Systeme angemessen absichern Für die Portalsysteme müssen Schutzbedarfskategorien für deren Verfügbarkeit, Vertraulichkeit und Integrität festgelegt werden. 1 Diese haben gravierende Auswirkungen auf die notwendigen technischen Absicherungsmaßnahmen. Eine Einstufung sollte daher nicht leichtfertig pauschal mit „sehr hoch“ erfolgen. Sinnvoll ist eine realistische und kritische Bewertung zu Beginn des Projekts: Verfügbarkeit: Für Firmen, deren gesamtes Geschäftsmodell von der Verfügbarkeit des Portals abhängt (z. B. Google oder Amazon) ist die sehr hohe Verfügbarkeit Pflicht. Dies bedingt den Aufbau weltweiter Servercluster, Deployment-Prozesse ohne Downtime etc. Für das Web-Portal einer Förderbank ist eine Verfügbarkeit von 8 bis 22 Uhr meist ausreichend und ein sporadischer Ausfall bleibt ohne großen Schaden. Vertraulichkeit: Auch hier gilt es, gut abzuwägen. Natürlich darf kein Kunde die Daten eines anderen Kunden sehen. Das ist jedoch bereits im Level „Normal“ abgedeckt. In höheren Schutzkategorien kann es notwendig werden, dass auch Administratoren keinen Zugriff auf Daten (z. B. in der Datenbank) haben. Integrität: Normale Integrität deckt die Grundbedürfnisse eines Web-Portals ab. Bei höheren Anforderungen müssen jegliche gespeicherten Daten z. B. durch signierte Prüfsummen gegen Manipulation gesichert werden. Darüber hinaus müssen alle Datenströme, die das System verlassen, ebenfalls gegen Manipulation geschützt werden. Identität: Elektronische Identifikation und Autorisierung nutzen Elektronische Identitätsnachweise sowie elektronische Signaturen zur Autorisierung von Transaktionen in einem Kundenportal sind wesentliche Voraussetzung dafür, dass die mit der Digitalisierung verbundenen positiven Effekte wie Kosteneinsparungen tatsächlich eintreten können. Die beiden Bereiche müssen grundsätzlich hinsichtlich ihres Nutzens und dem Einsatzzweck unterschieden werden. Über die elektronische Identifikation lässt sich die Identität der angemeldeten Person eindeutig feststellen. Dies ist insbesondere bei der Erstregistrierung in einem Portal von Bedeutung, während für alle Folgeprozesse häufig eine Kombination aus dem Usernamen und dem Passwort ausreichend ist. Eine elektronische Identifikation ersetzt somit bestehende Verfahren wie die persönliche Vorstellung des Betreffenden oder das PostIdent-Verfahren. Aktuell stehen dafür Möglichkeiten wie die eID-Funktionalität im neuen Personalausweis sowie Video-Identifikationsdienste zur Verfügung. Somit gibt es auch für Banken / öffentliche Stellen probate Möglichkeiten, auf persönlichen Kontakt und Papier zu verzichten. Über digitale Signaturen ist es möglich, den Sender eindeutig zu identifizieren und seine Unterschrift in elektronischen Dokumenten zu ersetzen. Sie eignet sich somit, um Transaktionen innerhalb eines Portals rechtsverbindlich zu machen. Derzeit werden dazu drei Verfahren als rechtssicher im digitalen Verkehr mit Verwaltungsorganen definiert: die Qualifizierte elektronische Signatur (QES), die Nutzung von DE-Mail mit Versandoption „absenderbestätigt / sichere Anmeldung“ sowie Web-Anwendungen in Verbindung mit der eID-Funktion des neuen Personalausweises. FAZIT Die Konzeption und Einführung erfolgreicher Förderportale ist eine herausfordernde und komplexe Aufgabenstellung. Häufig wird dabei im ersten Schritt eine Herangehensweise gewählt, die auf die Auswahl und den Kauf eines fertigen Softwareprodukts zugeschnitten ist. Die dargelegten Leitlinien zeigen, warum dieser Ansatz viel zu kurz gegriffen ist und gerade in der frühen Phase wichtige und notwendige Entscheidungen „nach hinten“ verlagert. Dies kann in Summe zu erhöhten Kosten und nicht erreichten Projektzielen führen. Die Auswahl einer Frontend-/Portal-Software ist dabei vergleichbar mit dem Eisberg-Modell ÿ 1 und steht sinnbildlich für den sichtbaren und für jeden verständlichen Teil. Wirklich erfolgreich werden nur Förderinstitute sein, die auch den „Unterwasseranteil“ verstehen und in ihre Strategie einbeziehen. Autoren Arne Schultz, Leiter Development & Integration Services bei der innobis AG, ist in der SAP-Beratung und -Entwicklung tätig. Neben der Betreuung strategischer Kundenverhältnisse sowie der Qualitätssicherung ist er in Projekten hauptsächlich mit der Projektleitung und Architekturberatung betraut. Björn Kibbel, Diplom-Physiker, ist als Manager Development & Integration Services bei der innobis AG tätig. Er analysiert bankfachliche Geschäftsprozesse und die damit verbundenen Anforderungen an die IT-/SAP-Landschaft und übernimmt die Architekturberatung bei Banken. 1 BSI Grundschutz: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html. 28 02 // 2018

BV Report Die Meldeplattform Der Bank-Verlag ist ein etablierter Spezialist im Bereich der Sicherheit. Aus jahrzehntelanger Erfahrung mit Debit- und Kreditkarten sowie dem Online Banking wurde das Angebot an Dienstleistungen kontinuierlich weiterentwickelt und ausgebaut. Das Jahr 2018 wird das Jahr der Regularien. Organisationen und speziell Zahlungsdienstleister müssen ver- Features der Meldeplattform • Geführte Meldung gemäß Best-Practice nach IT-SiG, PSD2, MaSI, DGSVO und weiteren modular • • Anonyme Meldung sofern dies gesetzlich legitimiert ist • Revisionssichere Dokumentation der Vorfälle mit und ohne Meldung • Vertrauliche Speicherung der Daten in einer Hochsicherheitsumgebung beim Bank-Verlag • • • • Mehrwertservices des Bank-Verlags: • Geführte Meldung mit Best-Practice-Ansatz und Transparenz über die Meldeerfordernisse • • Aggregator zur Verteilung von Branchen-Lagebildern Kontakt: vertrieb@bank-verlag.de report 02 // 2018 29

die bank