Aufrufe
vor 2 Jahren

die bank 03 // 2022

  • Text
  • Wwwbankverlagde
  • Deutschland
  • Digitalen
  • Mobile
  • Unternehmen
  • Zahlungsverkehr
  • Deutsche
  • Deutschen
  • Digitale
  • Digitalisierung
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG

DIGITALISIERUNG Stärkung der Informationssicherheit Die Stärkung der Informationssicherheit in allen Facetten, und insbesondere die IT-Resilienz von Banken, stand im Mittelpunkt der großen Fachtagung „Informationssicherheit 2022“ des Bank-Verlags. In einer Vielzahl von Referaten und Vorträgen konnten sich die Teilnehmer über neue Anforderungen und Herausforderungen für die Institute informieren, und sich sowohl untereinander als auch mit Moderatorin Andrea van Kessel über praxisnahe Hinweise zur Umsetzung austauschen. „die bank“ hatte im Rahmen der Konferenz Gelegenheit, mit Bastian Bolender zu sprechen, der die Zuhörer über Schwerpunkte für die Informationssicherheit bei der Umsetzung der BAIT-Novelle informierte. Bolender ist als Head of Information Security bei der UBS Europe SE tätig; der studierte Informatiker verfügt aber auch über Branchenerfahrung bei Unternehmen aus den Bereichen Pharma, Lebensmittelhandel und IT- Service. Er gliederte die BAIT anhand ihres Betroffenheitsgrads durch die Neufassung und konzentrierte sich in seinem Vortrag auf die Kapitel, die durch die Novelle wesentlich geändert oder neu hinzugefügt wurden. die bank: Herr Bolender, einige Bereiche der BAIT wurden im Rahmen der Novelle weniger stark geändert, wie beispielsweise die IT-Strategie, der IT-Betrieb und die Auslagerungen, andere hingegen erfuhren stärkere Überarbeitungen oder wurden gar neu eingeführt. Um welche Aspekte handelt es sich dabei? Bastian Bolender: Wesentliche Änderungen haben u. a. die Kapitel Informationsrisikomanagement (3) und Informationssicherheitsmanagement (4) erhalten. Das können Sie auch ganz übersichtlich in der Darstellung ÿ 1 nachvollziehen. Im Kapitel 3 ist der „Informationsverbund“ jetzt wesentlich präsenter als noch in der letzten BAIT. Außerdem wurde er im Vergleich zum alten Umfang (Applikationen, (Netz-)Infrastrukturen, Gebäude) um wesentliche Elemente wie z. B. IT-Prozesse und Drittparteien erweitert, die jetzt ebenfalls in Beziehung zum jeweiligen Geschäftsprozess gesetzt werden müssen. Weiterer zentraler Bestandteil des Kapitels bleibt der Regelkreis (3.4-3.9), der das Herz eines jeden Managementsystems ist und z. B. auch aus der ISO 27001 als PDCAoder Deming-Cycle bekannt ist. Das Kapitel 4 konkretisiert einige bereits vorhandene Anforderungen, so wird die Gesamtverantwortung der Geschäftsführung für die Informationssicherheit (4.2) noch stärker betont. Das ist natürlich nichts komplett neues, aber aus meiner Sicht ein wichtiges Zeichen für den Stellenwert des Themas in der Organisation. Der „Plan-Do-Check-Act“- oder kurz PDCA- Cycle aus Kapitel 3 wird auch durch die neue Anforderung 4.8 stärker hervorgehoben. Sie verlangt nun eine Richtlinie zum Testen und Überprüfen der Maßnahmen, also dem „Check“. Weiterhin sind Sensibilisierungs- und Schulungsmaßnahmen jetzt unter einem eigenen Punkt (4.9) genannt. Auch das sehe ich als ein gutes Zeichen, da die meisten erfolgreichen Angriffe und Datenverluste immer noch auf menschliches Fehlverhalten zurückzuführen sind. die bank: Sie sagten bei unserer Konferenz, „IT ist kein Selbstzweck, sondern die Basis, um die Geschäftsprozesse sicher betreiben zu können“, und beschrieben die Notwendigkeit, Informationsrisiken ganzheitlich zu betrachten. 34 03 | 2022

DIGITALISIERUNG 2 | Abhängigkeiten im Informationsverbund Information(sverbund) Geschäftsprozess Applikationen (Netz-)Infrastruktur Gebäudeinfrastruktur IT-Prozesse Unterstützungsprozesse Drittparteien Quelle: Bolender. Was hat es damit auf sich, wie meinen Sie das im Detail? Bolender: Meinen ersten Studentenjob hatte ich in einem Team, das Linux-Server für einen großen Finanzdienstleister betreut hat. Das Wichtigste war dort immer „dass die Maschinen sauber laufen“, weil sonst keine Geschäfte gemacht werden konnten. Das sagt eigentlich schon alles … Ein Unternehmen hat eine IT und auch ein ISO (Information Security Office), damit seine Geschäftsprozesse stabil, schnell und sicher funktionieren. Und weil Betrieb und Schutz der Geschäftsprozesse das zentrale Ziel sind, muss sich die Informationssicherheit auch an diesen orientieren. Es macht also keinen Sinn, in einer isolierten Betrachtung zu sagen: „Diese Applikation ist besonders schützenswert“. Sie müssen ein Rahmenwerk schaffen, in dem sie zunächst mit dem Verantwortlichen für einen Geschäftsprozess festlegen, wie schützenswert dieser ist. Das letzte Wort hat hier immer derjenige, der auch für den Prozess verantwortlich ist. Siehe dazu auch ÿ 2. Dieser Schutzbedarf muss dann in Form von Maßnahmen für die einzelnen Komponenten des Informationsverbunds angewandt werden, die für den Betrieb des Prozesses benötigt werden. Wichtig hierbei sind Vollständigkeit und Konsistenz. Nur wenn alle Komponenten gleich gut geschützt sind, ist der Prozess wirklich stabil und widerstandsfähig. die bank: Das klingt nach einer recht komplexen Aufgabenstellung… Bolender: Natürlich ist das alles andere als einfach. Die erste Voraussetzung ist, dass die Geschäftsprozesse aktuell und sauber dokumentiert sind. Zu diesen müssen dann die notwendigen Komponenten in Verbindung gesetzt werden. Ein Geschäftsprozess kann schnell mehr als 100 Applikationen haben, die für seine vollständige Durchführung zwingend notwendig sind. Dazu kommen dann noch Komponenten wie technische Infrastruktur, Dienstleister, IT-Prozesse usw. Das zu dokumentieren bedeutet natürlich erheblichen Aufwand, Kosten und hohe Komplexität. Leider müssen manche Institute schon bei der Frage nach vollständig dokumentierten Geschäftsprozessen passen. Dabei ist es natürlich nicht nur die Informationssicherheit, die davon profitiert. Das Institut hat dadurch auch die Möglichkeit, Dinge wie z. B. die Effizienz seiner Prozesse oder seine Abhängigkeit von Dienstleistern besser zu analysieren. Steht man noch am Anfang, wäre mein Rat, mit den zwei oder drei wichtigsten Geschäftsprozessen zu starten und den Informationsverbund dann schrittweise zu erweitern. die bank: Sie führten u. a. an, dass es im Bereich des Informationssicherheitsmanagements (Kapitel 4) wesentliche Änderungen gegeben hat. Ist die Wichtigkeit des Themas mittlerweile bei den Geschäftsführungen angekommen, die ja letzten Endes die Gesamtverantwortung für die Informationssicherheit in ihrem Haus tragen? Bolender: Bis ich vor zwei Jahren zur UBS kam, habe ich zwölf Jahre in der Be- 03 | 2022 35

die bank