Aufrufe
vor 3 Jahren

diebank 07 // 2020

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG des

REGULIERUNG des IT-Systems zur Kryptoverwahrung werden bei der indirekten Variante die folgenden Mindestinhalte gefordert: Z Darstellung der bei der Ausgestaltung des zu prüfenden IT-Systems verwendeten Kriterien, Z Darstellung der Grundsätze, Verfahren und Maßnahmen zur Steuerung und Überwachung des zu prüfenden IT-Systems zur Einhaltung der Kriterien, Z Aussage der gesetzlichen Vertreter, dass die eingerichteten Grundsätze, Verfahren und Maßnahmen zur Einhaltung der Kriterien angemessen und – sofern zutreffend – in der Prüfungsperiode wirksam gewesen sind und Z Veränderungen des zu prüfenden IT-Systems bezogen auf die Prüfungsperiode, sofern zutreffend. Eine ganzheitliche Betrachtung des Prüfungsgegenstands verlangt die Berücksichtigung der technischen Systemebene (IT-Infrastruktur), der Applikationsebene (IT-Anwendungen) sowie der Geschäftsprozessebene (Cycles). Neben dem IT-System im engeren Sinn ist das vom IT- Umfeld und der IT-Organisation abhängende IT-Kontrollsystem bei der Prüfung zu würdigen. Ziel der Prüfung ist die Ableitung eines Urteils, ob die Dokumentation des IT-Systems zur Kryptoverwahrung im Hinblick auf die Zulassungsanforderungen der BaFin mit hinreichender Sicherheit frei von wesentlichen Fehlern ist. Dabei kann sich der Umfang der Prüfung nicht ausschließlich mit einer Angemessenheitsprüfung erschöpfen, die einzig auf die Eignung des dokumentierten IT-Systems ausgerichtet ist. Vielmehr ist auch die Wirksamkeit des tatsächlich implementierten IT-Systems zu prüfen. Hiermit sind die formellen Anforderungen an den Prüfungsansatz dargestellt. Der nächste Schritt besteht in der Entwicklung eines adäquaten Prüfungsprogramms. Hierzu haben wir in Übereinstimmung mit dem IDW PS 860 den RiSi2Ko-Prüfungsansatz entwickelt (ÿ 1). Dieser ganzheitliche Ansatz besteht aus vier Kernelementen: 1. Risiko: Fokus auf das Risikoumfeld 2. Sicherheit: Fokus auf Informationssicherheit 3. Kontrollen: Fokus auf Kontrollmaßnahmen 4. Konformität: Fokus auf Compliance a) Risiko Die Risikoorientierung steht im Mittelpunkt des Prüfungsansatzes und zieht sich wie ein roter Faden durch die gesamte Prüfung. Die Leitfrage lautet: Wurden die (IT-)Risiken vollständig ermittelt, und sind die für ihre Beherrschung eingerichteten Kontrollen angemessen und wirksam? Mit Hinblick auf den Prüfungsgegenstand bedeutet Risikoorientierung, dass der Prüfer (1) ausgehend vom gewonnenen Geschäftsverständnis die Risiken der Kryptoverwahrung, denen sich der Kryptoverwahrer ausgesetzt sieht, erkennt, versteht und ihren Einfluss auf das Prüfungsrisiko beurteilt. Dazu ist (2) eine Prüfung der internen Kontrollen einschließlich des Risikomanagements erforderlich. Basierend auf der erlangten Risikoeinschätzung werden (3) Prüfungshandlungen geplant und durchgeführt, um ein Prüfungsurteil mit hinreichender Sicherheit treffen zu können. Zusammengefasst basieren Art und Umfang der durchzuführenden Prüfungshandlungen (3) auf der vorläufigen Risikoeinschätzung der Schritte (1) und (2). Die Risikoorientierung ist auch eine Vorgabe der BaFin an die Ausgestaltung der internen Revision von Finanzinstituten (vgl. MaRisk AT 2.2, AT 7.2, BT 2.1, BT 2.3). Insofern harmoniert dieser Ansatz auch mit der etablierten Aufsichtspraxis der BaFin. b) (Informations-)Sicherheit Gerade bei digitalen Dienstleistungen wie der Kryptoverwahrung liegt in der Informationssicherheit ein sensibler Bereich. Sicherheit als Prüfungsziel umfasst den Schutz der für die Kryptoverwahrung zum Einsatz kommenden IT vor Beeinträchtigungen. Diese können dabei auf den Ebenen IT-Infrastruktur, Applikationen und Geschäftsprozesse hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit auftreten. Wichtig ist hervorzuheben, dass Sicherheit kein starrer Zustand ist, vielmehr unterliegt Sicherheit dynamischen Veränderungen. Änderungen von Organisationsstrukturen, Geschäftsprozessen und der IT führen genauso wie externe Einflüsse zu der Notwendigkeit, Informationssicherheit proaktiv zu gestalten. Dazu gehört neben anlassbezogenen Untersuchungen die wiederkehrende Untersuchung der Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen. Im Folgenden wird auf das Kryptokonzept eingegangen, dem potenziell bedeutsamsten Bestandteil zur Gewährleistung von Informationssicherheit bei der Kryptoverwahrung. Ein Kryptokonzept dient der Evaluierung der zum Einsatz kommenden kryptografischen Verfahren, einschließlich der abgeleiteten Maßnahmen zum Schutz verschlüsselter Informationen. Dabei ist hervorzuheben, dass neben dem technischen Blickwinkel auch die organisatorische und prozessuale Ebene betrachtet wird. Dieser aus der Risikoebene bekannte Dreiklang wird für die Sicherheitsebene üblicherweise in einen Dreiklang aus Technik, Organisation und Mensch überführt.

REGULIERUNG 1 | Der RiSi2Ko-Prüfungsansatz in Übereinstimmung mit IDW PS 860 Konformität Risiko Sicherheit Kontrollen In der Folge wird erst die Gefährdungslage und dann das Anforderungsprofil an ein Kryptokonzept dargestellt. Ein unzureichendes Schlüsselmanagement riskiert, dass das angestrebte Schutzniveau unterlaufen wird. Folgende Situationen können dazu führen: (i) die Erzeugung und Aufbewahrung der kryptografischen Schlüssel in einer unsicheren Umgebung; (ii) die geografische Konzentration der Schlüsselaufbewahrung; (iii) die unautorisierte Nutzung der Schlüssel. Bei den Anforderungen an ein Kryptokonzept unter Berücksichtigung eines geeigneten Schlüsselmanagements ist an folgende technischen (T), organisatorischen (O) und menschlichen (M) Aspekte zu denken (nicht abschließende Aufzählung): 1. (T) Wie und wo werden die privaten Schlüssel erzeugt und verwahrt? 2. (O) Besteht eine geografische Verteilung, um Risiken äußerer Einflüsse vorzubeugen? 3. (O, M) Wie wird der Verlust oder Missbrauch der Schlüssel verhindert? 4. (O) Welche physischen Sicherungsmaßnahmen bestehen? 5. (O, M) Bestehen organisatorische Kontrollen? 6. (O) Besteht ein Notfallkonzept? c) Kontrollen (Controls) Kontrollen sind im internen Kontrollsystem (IKS) eingebettete Steuerungs- und Überwachungsmaßnahmen. Das IT-Kontrollsystem (als Element des unternehmensweiten IKS) stellt das Bindeglied der drei Ebenen IT-Infrastruktur, Applikationen und Geschäftsprozesse dar. Dieses wird von dem IT-Kontrollumfeld und der IT-Organisation beeinflusst und ist auf die IT-Risiken gerichtet. Unter High-Level-Controls versteht man Aktivitäten, die eine Beurteilung erlauben, ob das einge- richtete Kontrollsystem die Erreichung der Unternehmensziele angemessen und wirksam sichert. Nach den Vorgaben des IDW PS 860 ist ein angemessenes Verständnis über das IKS unerlässlich zur Ableitung des geeigneten Prüfungsprogramms. Unsere Risikobeurteilung umfasst insbesondere das IT-Risikomanagementsystem (IT-RMS) des Kryptoverwahrers. Dabei ist es erforderlich, dass ein roter Faden (u. a. Informationswerte –> Risiken –> Maßnahmen –> Residualrisiko) entlang des gesamten Prüfungsprozesses erkennbar bleibt. Der Zusammenhang zwischen RMS und IKS lässt sich wie folgt erläutern: Im Rahmen des IT-Risikomanagements findet eine Identifikation (Erstellung einer Gefährdungsübersicht), Bewertung (Ermittlung von Eintrittshäufigkeit, Schadenshöhe und Risikokategorie) und Steuerung (Vermeidung, Akzeptanz, Reduktion, Transfer) von IT-Risiken statt. Das Ergebnis findet sich im IKS sowie in einem Berichtsprozess wieder und wird – in Anlehnung an einen klassischen PDCA-Zyklus – durch Kontrollen fortlaufend überwacht und verbessert. Somit fördert die Untersuchung des IT-RMS implizit die Gewinnung eines notwendigen IKS-Verständnisses. Die Prüfung des Risikomanagementsystems ist insbesondere bei neuen Geschäftsfeldern essenziell, da für die Identifikation, Beurteilung und Mitigation der Risiken noch keine Erfahrungswerte existieren. d) Konformität (Compliance) Kryptoverwahrer sind als Finanzinstitute im Sinne des KWG einzustufen. Hieraus leitet sich eine hohe Sorgfaltspflicht der gesetzlichen Vertreter im Bereich Compliance ab. Gemäß den Vorgaben des IDW PS 860 umfasst die Beurteilung der Eignung der Kriterien als Beurteilungsmaßstab auch die Feststellung, ob adäquate gesetzliche und sons- 27

die bank