Die Unternehmens-IT in Abhängigkeit von den BAIT | Informationssicherheitsmanagement
Die Bankaufsichtlichen Anforderungen an die IT (BAIT) definieren die in Deutschland geltenden regulatorischen Vorgaben für die IT von Kredit- und Finanzdienstleistungsinstituten. Nachdem wir im letzten Beitrag beleuchtet haben, was die BAIT für das Informationsrisikomanagement bedeutet, möchte ich in diesem Beitrag darauf eingehen, was die BAIT für das Informationssicherheitsmanagement bereithält.
Los geht es mit der BAIT-Anforderung 15, die festlegt, was Kern des Informationssicherheitsmanagements ist. Das Informationssicherheitsmanagement kann als fortlaufender Prozess angesehen werden, der aus den Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung bzw. Verbesserung besteht. Es definiert also Prozesse der Informationssicherheit und steuert diese (vgl. AT 7.2 Tz. 2 MaRisk).
Die IT ist ein unverzichtbarer Bestandteil von Kredit- und Finanzdienstleistungsinstituten. Gleichzeitig suchen Angreifer immerfort nach neuen Möglichkeiten, IT-Systeme für ihre Zwecke zu missbrauchen. Die Beherrschbarkeit von IT-Systemen und der Schutz der verarbeiteten Informationen gestaltet sich zunehmend schwieriger, da…
- … die Informationen und die Fachlichkeit immer komplexer werden und dadurch auch die Komplexität von IT-Systemen steigt.
- … die Veränderungsgeschwindigkeit bei den Geschäftsprozessen ständig zunimmt.
- … verschiedene IT-Systeme miteinander über Schnittstellen verknüpft werden und unerwünschte Abhängigkeiten und Nebeneffekte nicht ausreichend betrachtet werden.
- … die Zyklen, in denen neue Versionen und Fehlerbehebungen geliefert werden, immer kürzer werden.
- … immer mehr Informationen nicht mehr innerhalb des Unternehmens und der dortigen IT verbleiben, sondern nach außen gegeben werden, z.B. über das Internet zum Kunden, so dass ein Kunde mit der IT direkt interagieren kann.
- … mittels neuer Techniken immer neue Anwendungsgebiete für Daten und für die IT erschlossen werden, z.B. über das Internet of Things (IOT).
- … unzureichende Qualifikation des IT-Personals, Leichtsinn und Inkompatibilitäten zu Problemen führen können.
Daher müssen geeignete Prozesse und Maßnahmen zur Informationssicherheit, wie auch zur Sicherheit von IT-Systemen implementiert, durchgeführt, geprüft und optimiert werden.
Damit können folgende Zwecke verfolgt werden:
Schaden abwenden
Das Kredit- oder Finanzdienstleistungsinstitut soll vor Beeinträchtigungen und Schäden bewahrt werden, indem Maßnahmen das Eintreten von Schadensereignissen verhindern
Schaden begrenzen
Falls doch ein Schaden entsteht, dann soll dieser z.B. durch das Abarbeiten von Notfallplänen, durch das Abwehren von Internet-Attacken oder durch das Einlesen von Backup-Daten begrenzt werden
Qualitätsmerkmal und Image-Vorteil
Die sichere Verarbeitung von Informationen wird insbesondere von Kunden der Kredit- und Finanzdienstleistungsinstitute vorausgesetzt. Falls es zu einem größeren Sicherheitsvorfall käme, dann würde das Image des Unternehmens stark leiden.
Leseempfehlung: Der Weg in die Cloud - von der Idee zur Strategie
Anforderungen – Cloud-Strategie – Datensicherheit
Viele regulierte Unternehmen stehen vor der Frage, welche Anforderungen bereits im Vorfeld umgesetzt werden müssen, um einen aufsichtskonformen Cloud-Einsatz zu ermöglichen. Das Whitepaper unterstützt Sie bei der Herstellung der Cloud Readiness und zeigt Ihnen schrittweise auf, wie Sie zu einer umfassenden Cloud-Strategie gelangen. Zudem erfahren Sie, was Sie nach der Inbetriebnahme berücksichtigen sollten, um die Sicherheit Ihrer Daten zu gewährleisten. "
Die BAIT-Anforderung 16 verlangt:
„Die Geschäftsleitung hat eine Informationssicherheitsleitlinie zu beschließen und innerhalb des Instituts angemessen zu kommunizieren. Die Informationssicherheits-leitlinie hat im Einklang mit den Strategien des Instituts zu stehen.“
In der Informationssicherheitsleitlinie werden die Geltungsbereiche und die Schutzziele beschrieben, die aus der Geschäftsstrategie abgeleitet wurden. Die Informationssicherheitsleitlinie wird regelmäßig sowie anlassbezogen überprüft und ggf. angepasst.
Die BAIT-Anforderung 17 fordert:
„Auf Basis der Informationssicherheitsleitlinie sind konkretisierende, den Stand der Technik berücksichtigende Informationssicherheitsrichtlinien und Informationssicherheitsprozesse mit den Teilprozessen Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung zu definieren.“
Typischerweise sind die konkreten Richtlinien, Prozesse und Maßnahmen in den Arbeitsanweisungen des operativen IT-Betriebs festgehalten. Damit sollen die Schutzziele erreicht und Informationssicherheitsvorfällen soll vorgebeugt werden. Falls doch ein Sicherheitsvorfall auftritt, so soll dieser zumindest erkannt werden, so dass er im Rahmen eines Managements von Sicherheitsvorfällen behandelt werden kann.
Die BAIT-Anforderungen 18, 19 und 20 konkretisieren die Rolle des Informationssicherheitsbeauftragten sowie deren Aufgaben. So verlangt die BAIT-Anforderung 18, dass die Funktion des Informationssicherheitsbeauftragten (ISB) eingerichtet wird und konkretisiert die Aufgaben, die diesem Gremium zukommen.
Der ISB...
- …ist zuständig für alle Belange der Informationssicherheit eines Kredit- und Finanzinstituts.
- …muss sicherstellen, dass die in der IT-Strategie, Informationssicherheitsrichtlinie sowie Informationssicherheitsleitlinie definierten Ziele und Maßnahmen sowohl intern als auch gegenüber Dritten transparent gemacht, eingehalten und überwacht werden.
- ...steuert und koordiniert den Informationssicherheitsprozess innerhalb des Unternehmens sowie gegenüber den IT-Dienstleistern
- …begleitet Notfallübungen und sorgt für die Durchführung von internen Informationssicherheitsschulungen für die Mitarbeiter des Instituts.
Die BAIT-Anforderungen 19 definiert, dass die Funktion des ISB organisatorisch und prozessual unabhängig sein muss, damit das Aufkommen von Interessenkonflikten vermieden werden kann. Gleichzeitig definiert die BAIT-Anforderung 20, dass der ISB im eignen Haus vorzuhalten ist. Oftmals ist ein Mitarbeiter mit diesen Tätigkeiten voll ausgelastet. Ein Vertreter des ISB sollte benannt sein. Die Weiterbildungsmaßnahmen für den ISB und seinen Vertreter werden geplant als auch anlassbezogen durchgeführt. Der ISB hat das Recht und auch die Pflicht, direkt an den Vorstand zu berichten. Die Funktion des ISB ist nicht in den operativen IT-Betrieb eingebunden und es besteht auch keine Zugehörigkeit zur Internen Revision.
Bei IT-Projekten wird der ISB vor Projektbeginn und während des Projektverlaufs über alle Themen und Vorgänge informiert, die die Informationssicherheit betreffen. Als Ansprechpartner für Fragen der Informationssicherheit bewertet er geplante Maßnahmen aus Sicht der Informationssicherheit und berät bei der Umsetzung.
In den BAIT-Anforderungen 21 ist definiert:
„Nach einem Informationssicherheitsvorfall sind die Auswirkungen auf die Informationssicherheit zu analysieren und angemessene Nachsorgemaßnahmen zu veranlassen.“
Nach dem Auftreten eines Informationssicherheitsvorfalls geht es zunächst um Schadensbegrenzung, indem geeignete Nachsorgemaßnahmen durchgeführt werden. Danach wird geprüft, ob der vorgesehene Prozess zum Sicherheitsvorfall (Security Incident) eingehalten wurde. Ggf. muss die Beschreibung des Prozesses verbessert werden. Letztlich schließt die Kapitel 4 der BAIT mit der BAIT-Anforderung 22 ab, die erklärt:
Der Informationssicherheitsbeauftragte hat der Geschäftsleitung regelmäßig, mindestens vierteljährlich, über den Status der Informationssicherheit sowie anlassbezogen zu berichten.
Das bedeutet, dass der ISB dem Vorstand quartalsweise, als auch anlassbezogen über den Stand der Informationssicherheit berichten muss. Dabei wird auch ein Blick auf eventuelle aufgetretene Vorfälle sowie aktuell laufende Projekte zur Informationssicherheit geworfen. Zudem findet ein Abgleich mit den Inhalten des Vorberichts statt.
In meinem nächsten Beitrag werden wir uns detaillierter mit den Anforderungen, welche laut BAIT an das Benutzerberechtigungsmanagement gestellt werden, beschäftigen.
