Matrix Technology AG
Blog > Informationsverbund: Basis für Informationssicherheit
IT-Sicherheit

Informationsverbund: Basis für Informationssicherheit

Thomas Deppisch

Thomas Deppisch

Senior Project Manager

https://www.linkedin.com/in/thomas-deppisch-622939224/
http://www.xing.com/profile/Thomas_Deppisch4/cv

Thomas Deppisch ist seit über 20 Jahren als Leiter von IT-Projekten in der Finanzdienstleistungs- und Versicherungsbranche tätig und kennt die Anforderungen an die IT, die durch die Regulatorik entstehen.

Alle Beiträge des Autors

Banken und Finanzinstitute müssen ihre Informationen und Daten ganz besonders sorgfältig schützen. Dazu müssen nicht nur einzelne IT-Systemkomponenten, sondern auch die Abhängigkeiten und Schnittstellen überwacht werden – bis über die Grenzen der eigenen Unternehmung hinaus. Genau dieses Prinzip beschreibt der Informationsverbund.

Der Informationsverbund ist ein von der Bankaufsicht BaFin propagiertes Prinzip, um die Risiken für die Informationssicherheit optimal im Überblick und unter Kontrolle zu behalten. Zusammen mit anderen Vorgaben für das Informationsrisikomanagement hat die BaFin dieses Prinzip in den Bankaufsichtlichen Anforderungen an die IT (kurz: BAIT) niedergelegt (Stand 2022: im BAIT-Kapitel 3). 
 

„Geschäftsprozess“ und „IT-Prozess“ inzwischen untrennbar

Die novellierten BAIT tragen insgesamt der Tatsache Rechnung, dass die Unterschiede zwischen „Geschäftsprozess“ und „IT-Prozess“ immer mehr verwischen – und im digitalen Zeitalter oft bereits kongruent sind. Das heißt konkret: Was eine Bank zu leisten vermag, basiert auf den für das Erreichen der Geschäftsziele optimierten IT-Strukturen. Beispiele: 

  • Das Kerngeschäft im Kreditwesen hängt davon ab, dass Informationen schnell bereitgestellt und verarbeitet werden können.  
  • In der zunehmend digital vermittelten Vermögensanlage vermengen sich personenbezogene Daten mit Konto- und Depotinformationen.  

In weniger komplexen Unternehmen könnte das gesamte Geschäft in einem einzigen Informationsverbund abgebildet werden. In Banken bietet es sich jedoch an, einzelne Geschäftsbereiche wie das eben genannte Kreditvergabe- und Factoring-Geschäft oder das private Vermögensmanagement als Informationsverbünde aufzufassen.  

Darüber hinaus bietet es sich aus Sicht der Informationssicherheit an, jene IT-Leistungen, die gemeinsam mit Dritten erbracht werden sowie jene Anwendungen, die auch für externe Nutzer (d.h. Bankkunden und Geschäftspartner) geöffnet werden, als Informationsverbünde in Betracht zu ziehen.

Wie die BaFin einen Informationsverbund definiert

Die BaFin definiert einen Informationsverbund wie folgt: 

Zu einem Informationsverbund gehören beispielsweise geschäftsrelevante Informationen, Geschäfts- und Unterstützungsprozesse, IT-Systeme und die zugehörigen IT-Prozesse sowie Netz- und Gebäudeinfrastrukturen. Abhängigkeiten und Schnittstellen berücksichtigen auch die Vernetzung des Informationsverbundes mit Dritten.  

Diese Definition stellt klar: Um die Schutzziele der Informationssicherheit (Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit) zu gewährleisten, reicht es nicht aus, die Daten selbst zu schützen, sondern der Schutz – und die Risikobewertung – muss sich auf die Gesamtheit der IT beziehen, die zur Verwaltung und Verbreitung dieser Informationen beiträgt. Und wenn diese Gesamtheit auch ausgelagerte Services umfasst, müssen dieselben Schutzmaßnahmen auch darauf ausgedehnt werden.

Das Informationsverbund-Prinzip in der Praxis

Banken müssen ihre Tätigkeitsfelder nach dem Informationsbund-Prinzip gliedern und anschließend schrittweise ein Schutzniveau etablieren, dass zum Risikoprofil passt. Als Zwischenschritt muss der Schutzbedarf festgestellt werden, den einzelne Komponenten im Informationsverbund aufweisen.

 

 

Informationsverbund im Kontext Risikomanagement

 

Um welche Risiken geht es? 

Informationsverbünde sind Bedrohungen ausgesetzt, die die Verfügbarkeit und die Sicherheit von Informationen beeinträchtigen können. Dazu gehören: 

  • Technische oder naturgegebene Bedrohungen wie technische Defekte, Hochwasser, Brand, Blitzschlag oder Erdbeben 
  • Höhere Gewalt wie Streik bis hin zu einer kriegerischen Auseinandersetzung 
  • Bedrohungen durch eigene Mitarbeiter, durch Hacker, Saboteure oder Geheimdienste  
  • Unbewusst herbeigeführte Bedrohungen durch menschliches Versagen 

Wie lässt sich der Schutzbedarf ermitteln? 

Die Banken und Finanzinstitute müssen als Informationseigentümer den Schutzbedarf ermitteln und dokumentieren. Die Einstufung in die verschiedenen Schutzbedarfskategorien (z.B. „niedrig“, „mittel“, „hoch“ und „sehr hoch“) muss nachvollziehbar, schlüssig und konsistent sein. Je höher die Schutzbedarfskategorie ist, desto höher ist der Aufwand, um das Schutzniveau zu erreichen und zu halten.
 

Beispiel zentraler Mailserver: 

Ein praxisrelevantes Szenario: Der zentrale Mailserver fällt aus. Die gespeicherten Informationen sind nicht mehr verfügbar – das Schutzziel „Verfügbarkeit“ würde also verfehlt. Anhand strukturierter Fragen zum Gefahrenpotenzial für dieses Szenarios lässt sich der Schutzbedarf ermitteln. Beispiele:  

Können wir unsere Aufgaben weiterhin erfüllen, wenn der Mailserver ausfällt?  
=>Wenn keine Geschäftsprozesse behindert würden, folgt daraus der Schutzbedarf „mittel“ oder „niedrig“ 

Wir groß wäre der potenzielle monetäre bzw. wirtschaftliche Schaden? 
=> Wenn dringende Mails nicht bearbeitet werden könnten, folgt daraus ein hoher Schutzbedarf. 

Würden wir durch den Ausfall gegen Gesetze verstoßen?  
=> Wenn Bereitstellungsfristen nicht eingehalten werden könnten, wäre die Schutzbedarfskategorie „hoch“.  

Würde das Image unseres Unternehmens leiden? 
=> Wenn die unterbrochene Kommunikation des Unternehmens publik wird, kann daraus ein hoher Imageschaden entstehen, daher folgt daraus ein hoher Schutzbedarf. 

Wie sehen mitigierende (risiko-senkende) Maßnahmen aus?

Wenn der Schutzbedarf für die Komponenten im Informationsverbund geklärt ist (d.h., wenn die IST-Analyse geleistet ist), können entsprechende Maßnahmen zum Schutz abgeleitet und in einen Katalog übernommen werden (d.h. in einen SOLL-Katalog). 

Der Katalog beschreibt Maßnahmen, die zum Schutz der Informationen und der jeweils genutzten IT-Infrastruktur angemessen sind. Der Katalog geht aber noch nicht ins Detail bezüglich der Art und Weise, wie die Maßnahmen umgesetzt werden (d.h. noch ohne Nennung von konkreten Technologien und ohne Zuweisung von Zuständigkeiten und Rollen an konkrete Personen). Outsourcing-Partner und Partner, die durch Weiterverlagerungen beauftragt sind, müssen ebenfalls Maßnahmen beschreiben. 

Mögliche Maßnahmen sind beispielsweise: 

  • Eine strukturierte Vergabe von Zugriffsrechten und Identitäten zum Schutz der Informationen in Systemen mit hohem Schutzbedarf
  • Ein kontinuierliches Monitoring, regelmäßige Systemchecks und Updates inklusive geeigneter Berichte
  • Die Definition und Dokumentation der Aufgaben, Zuständigkeiten und Kontrollen
  • Die Auflistung aller Partner und weiterverlagerten Partner, die zum Informationsverbund beitragen
  • Physische und technische Maßnahmen zum Schutz eigener Infrastrukturen sowie zum Schutz fremdbezogener Server und Speicher. Dazu gehören auch regelmäßige Tests im Rahmen eines Notfallmanagements.

Expertentipp: IT-Risiken durch Homeoffice 

Das verstärkte Arbeiten im Homeoffice erzeugt neue Risiken für die Informationssicherheit – dieser Trend betrifft viele Informationsverbünde. Daher sollten Institute prüfen, ob weitere Maßnahmen erforderlich sind.

Wie matrix technology unterstützen kann

Als IT-Dienstleister mit Fokus auf regulierte Unternehmen und Mittelständler mit hohem Anspruch an die IT kennen wir die Anforderungen, die von Aufsichtsbehörden wie der BaFin an Banken, Versicherungen und Finanzdienstleister gestellt werden. 

Daher können wir Sie umfassend unterstützen: Als Partner für IT-Outsourcing mit eigenen Rechenzentren sowie als Berater für ein IT-Outsourcing nach Regulatorik-Vorgaben. Gerne arbeiten wir auch eine Cloud-Strategie für Sie aus oder unterstützen Sie in der Wahl des richtigen Cloud-Providers.

Das könnte Sie auch interessieren

IT-Sicherheit

BAIT-Novelle 2021: IT-Sicherheit erhält größeren Rahmen

Die BAIT-Novelle vom 16. August dokumentiert den erweiterten Blick der Bankenaufsicht auf IT- und andere Sicherheitsrisiken: Banken müssen auch vor- und nachgelagerte Prozesse absichern, wie auch das Zusammenspiel mit externen Dienstleistern und Sub-Dienstleistern.

08.12.2021

Wolfgang Müller

Regulatorik & Compliance

VAIT-Novelle: Vom Orientierungs- zum Handlungsrahmen

Die BaFin hat die „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) überarbeitet und zur Konsultation gestellt. Die VAIT-Novelle behält den Fokus auf die Sicherheit von Informationen und IT-Systemen bei. Eine Analyse geänderter und neuer Abschnitte lässt aber tief blicken.

31.05.2022

Wolfgang Müller

Regulatorik & Compliance

VAIT umsetzen: Optimierung auf Basis von IT-Standards

Jedes Versicherungsunternehmen, das die VAIT umsetzen will, steht erst einmal vor einigen Fragezeichen. Denn das Regelwerk schweigt sich dazu aus, wie die individuelle Umsetzung erfolgen soll. Hier zeigen wir, wie unsere Experten Ihnen helfen können, die VAIT auf Basis etablierter IT-Standards umzusetzen!

12.05.2022

Wolfgang Mokosch