Matrix Technology AG
Blog > IT-Infrastrukturprojekte – Herausforderungen und Besonderheiten (Teil 2)
Regulatorik & Compliance

IT-Infrastrukturprojekte – Herausforderungen und Besonderheiten (Teil 2)

matrix Redaktionsteam

Dieser Beitrag entstand in Zusammenarbeit mehrerer Autoren, die für den matrix Blog aktiv sind. Dies sind Consultants, Account und Marketing Manager aus allen Hierarchieebenen mit fundiertem und übergreifendem IT-Knowhow. Zudem pflegt das Team eine redaktionelle Partnerschaft mit der X1F Unternehmensgruppe.

Alle Beiträge des Autors

IT-Projekte sind heutzutage ein fester Bestandteil des Tagesgeschäfts regulierter Unternehmen. Die Institute stehen täglich vor der Aufgabe, Änderungsanforderungen an die Geschäftsmodelle rasant zu identifizieren und umzusetzen, um sich dadurch als flexibles und dynamisches Unternehmen zu positionieren. Viele Endkunden fordern dies sogar von der Bank oder Versicherung ihres Vertrauens.  

Im selben Atemzug sehen sich die Institute jedoch auch vor die Herausforderung gestellt, den steigenden regulatorischen Anforderungen an die IT gerecht zu werden und die bestehenden Umgebungen anzupassen und zu verändern.   

Die „Bankenaufsichtlichen Anforderungen an die IT“ (kurz: BAIT) sowie die „Versicherungsaufsichtlichen Anforderungen an die IT“ (kurz: VAIT) sind für Kreditinstitute, Finanzdienstleistungsinstitute und Versicherungen die erste Anlaufstelle, wenn sie sich über Richtlinien zur Ausgestaltung der Unternehmens-IT informieren wollen. Beide Regelwerke enthalten den Abschnitt „IT-Projekte, Anwendungsentwicklung“ (Stand 12/2019). Dieser umfasst insgesamt 14 Anforderungen, die Sie im Rahmen von IT-Projekten beziehungsweise Anwendungsentwicklungen beachten sollten.  

Im ersten Teil dieser Beitragsserie habe ich Ihnen bereits die BAIT-Anforderungen 31 bis 35 vorgestellt, die sich mit IT-Projekten im Allgemeinen befassen. In diesem Beitrag folgen nun die Bewertungen, die sich konkret mit der Anwendungsentwicklung beschäftigen.

BAIT-Anforderung 36

Prozesse zur Anwendungsentwicklung

Für die Anwendungsentwicklung sind angemessene Prozesse festzulegen, die Vorgaben zur Anforderungsermittlung, zum Entwicklungsziel, zur (technischen) Umsetzung (einschließlich Programmierrichtlinien), zur Qualitätssicherung sowie zu Test, Abnahme und Freigabe enthalten.  

puzzlestücke

 

Empfehlung

Anwendungen im Finanzsektor verarbeiten oft Daten, die eine besondere Relevanz für die Stabilität der deutschen Wirtschaft und das Vertrauen der Bürger in die öffentlichen Systeme haben. So ist zum Beispiel ein längerer Ausfall von Geldautomaten oder des Zahlungsverkehrs immer ein kritischer Zustand bzw. ein öffentliches Ärgernis, dass schnell zu einer Verunsicherung in der Bevölkerung führt. Deshalb bezeichnet man solche Anwendungen als KRITIS-Anwendungen, für die besondere Vorgaben gelten. Speziell bei der Entwicklung von bankfachlichen Anwendungen muss daher strukturiert und risikoorientiert festgelegt werden, warum und mit welchem Ziel die Veränderung erforderlich ist und mit welchen Maßnahmen eine geordnete Durchführung flankiert wird. Dazu wird ein geeignetes Projektmanagement Framework genutzt, das z.B. eine Beschreibung eines risikoorientierten Test- und Freigabeverfahrens umfasst. 

BAIT-Anforderung 37

Funktionale und Nichtfunktionale Anforderungen

Anforderungen an die Funktionalität der Anwendung müssen ebenso erhoben, bewertet und dokumentiert werden wie nichtfunktionale Anforderungen. Die Verantwortung für die Erhebung und Bewertung der Anforderungen liegt in den Fachbereichen.  

Empfehlung

Die Anforderungen an die Anwendung sind die Voraussetzung für die Initiierung, Durchführung und das spätere Testen derselben. Üblicherweise werden die Funktionalen Anforderungen in Fachkonzepten bzw. durch User-Stories bei agilen Projekten dokumentiert. Durch das Hinzufügen von technischen Informationen werden daraus ein DV-Konzept und Implementierungsvorgaben bzw. Product Backlogs im agilen Vorgehen erzeugt. Nichtfunktionale Anforderungen müssen ebenfalls berücksichtigt und dokumentiert werden. Hierzu sollte im ersten Schritt der Schutzbedarf der Daten im Vordergrund stehen (Schutzbedarffeststellung), um die notwendigen Maßnahmen und Vorgaben zum Schutz der betroffenen Daten ableiten zu können. Ebenso sollten Anforderungen zur Zugriffssteuerung, Ergonomie aber auch Antwortzeiten und Resilienz aufgenommen, dokumentiert und berücksichtigt werden. 

IT-Services

Cloud-Nutzung im regulierten Umfeld

Der Spagat zwischen alter und neuer, digitaler Welt wird immer größer -
nicht zuletzt bei historisch gewachsenen IT-Strukturen.
Die steigende Komplexität stellt auch Finanzdienstleister
immer stärker vor spürbare Herausforderungen. 

Jetzt informieren!

BAIT-Anforderung 38

Sicherstellung des Schutzbedarfs

Im Rahmen der Anwendungsentwicklung sind nach Maßgabe des Schutzbedarfs angemessene Vorkehrungen im Hinblick darauf zu treffen, dass nach Produktivsetzung der Anwendung die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der zu verarbeitenden Daten nachvollziehbar sichergestellt werden.

IT-Consulting

  

Empfehlung

Diese Anforderung ist weitestgehend selbsterklärend, dennoch wird sie trotzdem oftmals unterschätzt. Zudem ist manchmal gar nicht oder zumindest nicht exakt bekannt, welche Daten welche Anwendungen überhaupt verarbeiten. Die Antwort auf die Fragestellung, wie schützenswert meine Daten überhaupt sind, ermöglicht eine passende Antwort auf die notwendigen Maßnahmen und Aufwände, um meine Anwendung zu entwickeln. Mit der richtigen Herangehensweise im Rahmen einer Schutzbedarfsanalyse, den Schutzobjekten, Schadenpotential, Eintrittswahrscheinlichkeiten und den daraus erkannten Anforderungen und Maßnahmen können die effizientesten und passendsten Lösungen entwickelt und später auch betrieben werden. Mögliche Vorkehrungen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität könnten z.B. sein: 

  • Prüfung der Eingabedaten 
  • Systemzugangskontrollen 
  • Nutzer-Authentifizierung 
  • Protokollierung 
  • Benutzerrechtemanagement gemäß Minimalprinzip 
  • Verschlüsselung 
  • … 

BAIT-Anforderung 39

Vorkehrungen Anwendungsmanipulation

Im Rahmen der Anwendungsentwicklung müssen Vorkehrungen getroffen werden, die erkennen lassen, ob eine Anwendung versehentlich geändert oder absichtlich manipuliert wurde. 

Empfehlung

Auch hier ist wieder der ermittelte Schutzbedarf die Basis für die anzuwendenden Vorgehen. So können beispielsweise Zahlungsverkehrsanwendungen Kontodaten verändern. Integritätsverletzungen (also zum Beispiel verfälschte Kontostände) können das Vertrauen der Kunden sehr schnell und stark erschüttern. Dies ist unbedingt zu verhindern. Die Ergebnisse der Anwendungsentwicklung (Quellcode, Build-Prozeduren, Konfigurationsdateien, ausführbare Dateien, …) werden typischerweise in Konfigurationsmanagement-Systemen abgelegt, die vielfältige Möglichkeiten zur Zugriffsberechtigung und zum Schutz von Ergebnissen bereitstellen. Freigabe-Mechanismen sorgen dafür, dass Anwendungen kontrolliert in die Produktion überführt und geschützt werden können. Weiterhin sind technische Maßnahmen zur Härtung von Systemen sinnvoll. Mit diesen Maßnahmen sollten Manipulationen unterbunden bzw. erkannt werden können.  

BAIT-Anforderung 40

Dokumentation der Anwendung und ihrer Entwicklung

Die Anwendung sowie deren Entwicklung sind übersichtlich und für sachkundige Dritte nachvollziehbar zu dokumentieren.  

Empfehlung

Die Erstellung von Dokumentation ist ein wesentlicher Bestandteil der Umsetzung von Projekten im regulierten Umfeld. Ein Ziel dabei ist, dass Veränderungen jederzeit nachvollziehbar sind.  Daher ist es auch wenig verwunderlich, dass Anwendungen entsprechend zu dokumentieren (fortlaufend und mit einer Historie) sind. Natürlich muss auch sichergestellt sein, dass diese Dokumentationen entsprechend auffindbar und entsprechend Ihrer Schutzklasse (s.o.) abgelegt und gesichert sind. Der Zugriff auf die Dokumentation ist für den Besitzer und seine Nutzer im Rahmen des Berechtigungsmanagements gemäß Minimalprinzip zu definieren und umzusetzen. Auch IDV-Anwendungen, die der Fachbereich in Eigenregie erstellt hat, sind zu dokumentieren.

IT-Services

Agile Quick Check

Unser Agile Quick Check unterstützt Sie dabei, das richtige Vorgehen für Ihr
Projekt zu finden. Beantworten Sie 13 Fragen und erfahren Sie in unter 10
Minuten, ob der Rahmen für ein Agiles Projektvorgehen bereits gegeben ist
oder ob Sie sich doch lieber für eine andere Projektmethode entscheiden
sollten. Ihr persönliches Ergebnis erhalten Sie direkt im Anschluss per E-Mail.

Zum kostenlosen Agile Quick Check

BAIT-Anforderung 41

Anwendungstests vor Einsatz

Es ist eine Methodik für das Testen von Anwendungen vor ihrem erstmaligen Einsatz und nach wesentlichen Änderungen zu definieren und einzuführen. Die Tests haben in ihrem Umfang die Funktionalität der Anwendung, die Sicherheitskontrollen und die Systemleistung unter verschiedenen Stressbelastungsszenarien einzubeziehen. Die Durchführung von fachlichen Abnahmetests verantwortet der für die Anwendung zuständige Fachbereich. Testumgebungen zur Durchführung der Abnahmetests haben in für den Test wesentlichen Aspekten der Produktionsumgebung zu entsprechen. Testaktivitäten und Testergebnisse sind zu dokumentieren.  

zahnräder

Empfehlung

Das Testmanagement nimmt in den Anforderungen für regulierte Unternehmen einen wesentlichen Punkt ein. Im Testkonzept sind die wesentlichen Regelungen zu Test festgehalten. Die Testverfahren sind risikoorientiert ausgestaltet. Die Schutzbedarfskriterien geben hierzu die Testkriterien vor. Im Rahmen der Tests werden vor allem Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität und die Übereinstimmung mit der fachlichen Spezifikation der Anwendung geprüft. Es muss hier mit einer entsprechend nachweislichen Professionalität agiert werden, um diese zu erfüllen. So müssen entsprechende Testumgebungen mit den notwendigen Testdaten bereitgestellt werden. Sollten dabei Produktivdaten benötigt werden, muss auf die entsprechende Schutzklasse geachtet werden und entsprechende abgeleitete Maßnahmen, z.B. Daten-Anonymisierung müssen angewendet werden.   

Auch die Dokumentation der Tests ist in diesem Kontext nachweislich durchzuführen. Dazu gehören beispielsweise 

  • Testfallbeschreibung 
  • Parametrisierung des Testfalls 
  • Testdaten 
  • Erwartetes Testergebnis 
  • … 

Geeignete Testwerkzeuge unterstützen bei der Definition der Testfälle und bei der Dokumentation der Testfall-Ausführung und -Ergebnisse. 

Straßenverkehr symbolisch für Infrastruktur

BAIT-Anforderung 42

Überwachung von Abweichungen

Nach Produktivsetzung der Anwendung sind mögliche Abweichungen vom Regelbetrieb zu überwachen, deren Ursachen zu untersuchen und ggf. Maßnahmen zur Nachbesserung zu veranlassen.  

Empfehlung

Auch bei erfolgreich abgeschlossenem Test muss der Regelbetrieb der Anwendung überwacht werden. Dies kann durch entsprechende Tools oder regelmäßig wiederkehrende Testfäll-Durchführungen umgesetzt werden. Die Ergebnisse der Überwachung müssen dokumentiert und Abweichungen untersucht werden. Zum Einsatz kommen hierbei gängige ITIL-Verfahren wie Monitoring, Incident-, Problem- und Changemanagement. 

BAIT-Anforderung 43

Klassifizierung von Anwendungen

Ein angemessenes Verfahren für die Klassifizierung / Kategorisierung (Schutzbedarfsklasse) und den Umgang mit den von Endbenutzern des Fachbereichs entwickelten oder betriebenen Anwendungen ist festzulegen.  

Gespräch zwischen zwei Menschen

 

Empfehlung

  • Die Schutzbedarfsklasse einer Anwendung leitet sich aus dem Schutzbedarf der Daten ab, welche die Anwendung verarbeitet. Die Fachbereiche eines Unternehmens verantworten die Anwendungen, die für ein Unternehmen und deren Kunden zum Einsatz kommen.  
  • Grundvoraussetzung ist eine eindeutige Zuordnung der Verantwortung und die Festlegung von Anwendungsklassen, die sich am Schutzbedarf der verarbeiteten Daten orientieren. Zunächst muss also sichergestellt sein, dass jede Anwendung auch einen Anwendungsverantwortlichen hat, dass diese Zuordnung dokumentiert und auch aktuell ist. Des Weiteren muss jede Anwendung kategorisiert sein. Mögliche Kategorien sind kritische Kundensysteme, Produktionsanwendungen, produktionsnahe Eigenentwicklungen, Supportersysteme. 
  • Für jede Kategorie muss beschrieben sein, wie diese Anwendungen zu behandeln sind. So kann zum Beispiel die Anzahl der Stages im Deployment (Entwicklung, Test, Pre-Prod, Prod) definiert sein. Die Einhaltung der Vorgaben ist wiederum zu prüfen.  

BAIT-Anforderung 44

Identifikation von Anwendungen

Die Vorgaben zur Identifizierung aller von Endbenutzern des Fachbereichs entwickelten oder betriebenen Anwendungen, zur Dokumentation, zu den Programmierrichtlinien und zur Methodik des Testens, zur Schutzbedarfsfeststellung und zum Rezertifizierungsprozess der Berechtigungen sind zu regeln (z. B. in einer IDV-Richtlinie). 

share communication

 

Empfehlung

  • Typischerweise stehen nicht alle Anwendungen eines Unternehmens im Kundenkontext oder unter zentraler Kontrolle. Oft haben Fachbereiche eigene Anwendungen entwickelt, um sich die tägliche Arbeit zu erleichtern. Handelt es sich um reine Supportersysteme, ist dies kein signifikantes Risiko. Sind diese Eigenentwicklungen aber zur Voraussetzung für den geregelten Betrieb von Kundensystemen oder die wirtschaftliche Existenz von Unternehmen geworden (zum Beispiel spezielle Bestellschnittstelle eines Kunden), müssen sie identifiziert und angemessen gehandhabt werden. Man spricht dann von produktionsnahen Eigenentwicklungen, die zum Beispiel ein Staging im Deployment erfordern.  
  • Im Rahmen einer Richtlinie kann das korrekte Vorgehen zur Entwicklung und Bereitstellung solcher Anwendungen geregelt werden. Zusätzlich wird ein entsprechendes Register für den Überblick erstellt. Folgende Informationen sollten z.B. im Register enthalten sein: 
  • Name und Zweck der Anwendung 
  • Versionierung, Datumsangabe 
  • Fremd- oder Eigenentwicklung 
  • Ergebnis der Risikoklassifizierung / Schutzbedarfseinstufung und ggf. die daraus abgeleiteten Schutzmaßnahmen 
  • Technologie 
  • … 

Es sollten regelmäßige Abfragen bei den Fachbereichs-Verantwortlichen stattfinden, um versehentlich nicht gemeldete IDV-Anwendungen zu inventarisieren. 

Wie können Sie den Anforderungen der BaFin innerhalb Ihrer IT-Projekte bestmöglich gerecht werden?

Auf Basis der vorangegangenen Erläuterungen möchte ich Ihnen zum Schluss fünf Aspekte mit auf den Weg geben, wie Sie als betroffenes Unternehmen den Anforderungen der BaFin für Ihre IT-Projekte bestmöglich gerecht werden können.  

1. Projektmanagement im Unternehmen

Im Sinne der regulatorischen Anforderungen ist ein professionelles Projektmanagement im Unternehmen zwingend erforderlich, sofern man eigene Projekte umsetzt. Ein paar Tipps, die dabei helfen: 

  • Verankern Sie das Projektmanagement in der Unternehmens- und IT-Strategie. 
  • Der Aufbau einer Projektmanagement-Organisation im Unternehmen als zentraler, verantwortlicher Bereich hilft, die Rollen und Verantwortlichkeiten klar zu definieren. 
  • Ich empfehle Ihnen den Einsatz von professionellen Projektmanagement-Standards wie PMI (Project Management Institute) oder IPMA (International Project Management Association). Egal über welche Methode man Projekte umsetzt (z.B. Wasserfall oder Agil) hilft es zudem, wenn das Projektteam entsprechend geschult und idealerweise zertifiziert ist. Speziell bei agilen Methoden ist dies zwingend erforderlich und Vorrausetzung für eine erfolgreiche Umsetzung. 
  • Definieren Sie eine Richtlinie oder ein Framework zur Umsetzung von Projekten basierend auf den Projektmanagement-Standards. 
  • Implementieren Sie ein Board zur zentralen Steuerung aller laufenden Projekte und Aktivitäten im Unternehmen. Dies kann z.B. ein Project Management Board (PPM) sein. 

2. Richtige Klassifizierung der Daten

Bei den Anforderungen der BaFin wird immer wieder auf die Klassifizierung der Daten bzw. der Anwendungen verwiesen. Die Daten müssen ermittelt und mit Hilfe der Schutzbedarfskategorien und des Risikomanagements klassifiziert werden (Bedrohungsanalyse). Dies ist ein wesentlicher Punkt, welcher im Unternehmen idealerweise als Standardprozess (z.B. im Rahmen des Projekt Management Frameworks) vorhanden ist. Denn nur bei richtiger Klassifizierung lassen sich entsprechende Maßnahmen ableiten und effizient umsetzen. 

3. Einbindung in das Risikomanagement des Unternehmens

Stellen Sie sicher, dass das Risikomanagement der Projekte in das unternehmensweite Risikomanagement des Unternehmens eingebunden ist. Dies kann z.B. durch den Einsatz eines definierten Projektmanagement Frameworks sichergestellt werden. 

4. Dokumentieren und strukturieren 

Eine der wichtigsten Vorrausetzungen für das erfolgreiche Bestehen eines möglichen Audits ist eine gute Dokumentationslage. Dies trifft auch entsprechend bei umzusetzenden Projekten zu, wie man bei vielen Punkten der Anforderungen erkennen kann. Daher ist es wichtig, für alle Projektschritte entsprechende Dokumentationen zu erstellen und auch strukturiert abzulegen. Ein eingeführtes einheitliches Framework mit entsprechenden Templates oder Tools ist dabei sicherlich die effizienteste Möglichkeit, um Projekte entsprechend umzusetzen.  

Wichtig dabei ist natürlich auch die Sicherstellung, dass auch Dokumente von bereits abgeschlossenen Projekten so archiviert werden, dass diese bei einer möglichen Prüfung gesichtet werden können. 

5. Bereitstellung der notwendigen Umgebungen 

Gerade bei der Anwendungsentwicklung werden für die Entwicklung und Tests entsprechende Umgebungen je nach ermitteltem Schutzbedarf (z.B. Entwicklung, Integration, Produktion) gefordert. Dies kann zum Teil hohe Investitionen für die Bereitstellung der notwendigen Umgebungen bedeuten und sollte daher ganzheitlich im Rahmen der IT-Strategie bewertet werden. Cloud-Lösungen ermöglichen z.B. die elastische Nutzung von IT-Ressourcen, denn nur die Produktionsumgebung muss immer online sein. 

IT-Services

Keine Neuigkeiten mehr verpassen!

Melden Sie sich jetzt für unseren Newsletter InsighT an, und profitieren Sie von:

Vielfältigen Fachbeiträgen zu den Themen Cloud, IT-Outsourcing, Regulatorik …
- Wertvolle Tipps für Ihre Cyber-Security
- Hilfestellungen zu den neusten Veröffentlichungen der Aufsichtsbehörden
- Kostenlose Webinare, Checklisten, Whitepaper ...

Jetzt monatlich die neusten Fachbeiträge erhalten

Das könnte Sie auch interessieren

Cloud

Cloud BI: Den Datenschatz effizient heben

Cloud BI bringt neue Lösungen und auch Einsparpotenziale für Business Intelligence Anforderungen. Um den Datenschatz im Unternehmen effizient zu heben, sind aber auch bewährte Prinzipien für die Verwaltung und Organisation der Unternehmensdaten gefragt.

06.05.2022

Christian Saul

Regulatorik & Compliance

Die Unternehmens-IT in Abhängigkeit von den BAIT | Informationssicherheitsmanagement

In Kapitel vier der BAIT werden die Anforderungen an das Informationssicherheitsmanagement für regulierte Unternehmen definiert. Lesen Sie im Beitrag, welche Aspekte Sie beleuchten sollten, um ein BaFin-konformes Informationssicherheitsmanagement zu etablieren.

01.07.2022

Thomas Deppisch

IT-Sicherheit

IT Security Software – kein Ersatz für Risikomanagement

Geschäftsführer mittelständischer Unternehmen kennen diese Situation: Die Nachrichten über Ransomware-Angriffe und gekaperte Unternehmens-IT reißen nicht ab. Software-Hersteller möchten das Problem mit Komplettlösungen für Cybersecurity lösen – teilweise sogar „as a Service“ aus der Cloud. Warum das meist nicht ausreicht.

31.03.2022

Jürgen Brombacher