Aufrufe
vor 2 Jahren

die bank 05 // 2021

  • Text
  • Deutsche
  • Nachhaltigkeit
  • Deutschen
  • Zudem
  • Institute
  • Deutschland
  • Risiken
  • Fintechs
  • Unternehmen
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

MANAGEMENT

MANAGEMENT MANAGEMENTSYSTEME FÜR INFORMATIONSSICHERHEIT UND DATENSCHUTZ Mit konzentrierter Arbeit zu sicheren Prozessen gelangen Datenschutz und Informationssicherheit sind zwei Seiten einer Medaille, die am besten mit Managementsystemen umgesetzt werden. Informationssicherheit mit einem ISMS (Informationssicherheits-Managementsystem) gemäß ISO 27001, Datenschutz über ein DSMS (Datenschutz-Managementsystem) gemäß der Datenschutzgrundverordnung DSGVO. Beide Systeme können über drei Stufen vollständig aufgebaut und in eine Gesamtstrategie integriert werden, die sowohl Business- als auch IT-Strategie umfasst. An dieser Stelle beschreibt unser Autor den praxisbewährten Aufbau eines ISMS. 18 05 // 2021

MANAGEMENT Betrachtet man die Zahlen der nach ISO 27001 zertifizierten Unternehmen in Deutschland, kann man sich über die geringe Verbreitung dieses so wichtigen Zertifikats durchaus wundern. Im Jahr 2019 verfügten gerade einmal 1.175 Unternehmen über ein gültiges ISO 27001-Zertifikat. Woran liegt das? Drei Ursachen für die geringe Verbreitung des ISO 27001-Zertifikats Es ist von drei Ursachen auszugehen: Erstens wird oft nicht verstanden, dass das Zertifikat nicht für ein Unternehmen, sondern für Prozesse erlangt wird. Es gibt kein „27001-Zertifikat für die Deutsche Bank“, aber es könnte eines geben für den Kreditprozess der Deutschen Bank, wenn sie das anstrebte. Dafür wird vor dem Beginn des Audits der sogenannte Scope des Zertifikats festgelegt. Das kann ein bestimmter Kernprozess eines Unternehmens sein, für den der Nachweis einer angemessenen Informationssicherheit Vorteile auf Kunden-, Investoren-, Partner- und Aufsichtsseite verspricht. Zweitens scheuen die Beteiligten den Aufwand zur Erlangung des Zertifikats. An dieser Stelle sei rudimentär der Ablauf eines Audits erläutert. Er besteht aus den zwei Prüfungen Stage 1 und Stage 2. Bei der ersten Prüfung wird die Zertifizierungsfähigkeit überprüft: Sind alle wesentlichen Policies gemäß ISO 27001 High Level Structure (HLS) und den Sicherheitszielen A.5 bis A.18 vorhanden, und sind alle wesentlichen Prozesse beschrieben? Stage 1 ist eine Theorieprüfung. Die Policies werden dem Zweck entsprechend in vier Typen entwickelt, siehe dazu auch Abbildung ÿ 1. Wird die Zertifizierungsfähigkeit festgestellt, geht es weiter mit der Vorbereitung auf die Stage 2-Prüfung. Dazu werden die Findings aus Stage 1 an der technischen Infrastruktur im zu zertifizierenden Prozess behoben, dazu gehören fehlende und anzupassende Policies oder Anpassungen an der Governance, wie die ausreichende Ausstattung mit Kontrollfunktionen (ISB, DSB, Geldwäsche etc.). Bis zur zweiten Prüfung vergehen normalerweise einige Monate. Stage 2 ist dann die Überprüfung der in Stage 1 behaupteten Theorie in der Praxis. Es werden somit die in den Policies beschriebenen Prozesse im täglichen Geschäft überprüft. Das geschieht durch simples Vorführen: Wie funktionieren die Prozesse Joiner, Mover, Leaver im Zusammenspiel zwischen Personal-, IT- und Fachabteilung? Wie sieht konkret die Informationsklassifizierung bei Papierdokumenten und bei Dateien aus? Wie wird der Zugriff der Entwickler auf das Produktivsystem überwacht? Diese Praxisprüfung dauert je nach Größe des Unternehmens, der Abteilung und Anzahl der Prozessbeteiligten mehrere Tage und wird durch mehrere Auditoren durchgeführt. Die Stage 1-Prüfung bedarf bei mittleren Größen ein bis drei Tage. Die Kosten für das Audit sind standardisiert gemäß ISO 27006. Das ist gut, um Dumping und damit einhergehend eine sinkende Qualität und eine geringere Aussagekraft eines Zertifikats von vornherein zu unterbinden. Eine Vorbereitung auf eine ISO 27001-Zertifizierung muss ein Hauptprojekt sein, um in der benötigten Qualität (also mit dem geeigneten Personal) und Quantität (d. h. mit genügend Arbeitszeit versehen) durchgeführt zu werden. Somit verbietet sich eine randständige Projektorganisation, die unter ferner liefen im Tagesgeschäft „miterledigt“ werden muss. In diesem Fall böte sich eine Externalisierung an. Als dritte Ursache gilt die Geringschätzung oder auch das Unwissen über die Bedeutung eines ISO 27001-Zertifikats. Denn es fungiert nicht nur als Nachweis einer gewissen Mindestsicherheit nach außen, sondern vor allem auch als Organisations- und Disziplinierungsinstrument nach innen. Nur der Druck einer nahenden Überprüfung der eigenen Informationssicherheit in Technik, Organisation und Personal vermag es, alle Beteiligten an einen Tisch zu bringen und Kräfte und Aufmerksamkeit zu bündeln – und zwar bis zum Management, denn ohne dessen nachweisbare Unterstützung, die im Audit ebenfalls bewiesen werden muss, wird dem Vorhaben nicht die für den Erfolg nötige 05 // 2021 19

die bank