Matrix Technology AG
Lösungen > matrix iQs > matrix iQ Bedrohungsanalyse

Die Welt der Cyber-Security ist heutzutage deutlich komplexer geworden – ein funktionierendes Risikomanagement wird immer wichtiger. Aufgrund der regulatorischen Vorgaben der BaFin und anderer Instanzen ist es für Banken und Versicherungen Pflicht, sich mit den Bedrohungen auseinanderzusetzen, denen das Institut und die Daten täglich ausgesetzt sind.

IT-Risiken erst zu identifizieren, wenn eine BaFin-Prüfung in´s Haus steht, ist in der Regel viel zu spät. Deshalb stehen IT-Verantwortliche und CIOs mittelständischer Finanzinstitute vor der Herausforderung, alle IT-Risiken stets im Auge zu haben. Aufgrund der Dynamik und Komplexität ist es eine enorme Aufgabe, umfassendes Regulatorik-Know-how aufzubauen – und das neben dem Alltagsgeschäft. Die Realität zeigt, dass die Zeit hierfür fehlt. In vielen Fällen hat der CIO deshalb keinen oder nur einen groben Überblick, welche Gefährdungen seiner IT drohen und ob wirksame Maßnahmen dagegen aufgesetzt wurden.

Andererseits ist es ein enormer Wettbewerbsvorteil, wenn ein Finanzdienstleistungsunternehmen zeigen kann, dass es seine Hausaufgaben in Sachen Risiken und Regulatorik schon gemacht bzw. damit angefangen hat. IT-Entscheider benötigen hierfür im ersten Schritt eine Einschätzung der Readiness in ihrem Verantwortungsbereich sowie daraus abgeleitet konkrete Handlungsoptionen in puncto Risikomanagement. Auf diese Weise wird transparent, in welchen Bereichen die nächsten Schritte angegangen werden müssen.

Leistungsmerkmale

Die matrix technology unterstützt Sie bei der Erkennung Ihrer IT-Risiken und erarbeitet mit Ihnen im Rahmen einer Bedrohungsanalyse konkrete Handlungsoptionen.

  • DIN EN 27001-zertifizierter, mittelständischer IT-Dienstleister mit umfassendem Regulatorik Know-how
  • Durchführung zahlreicher Kundenprojekte im regulierten Umfeld
  • Langjährige Erfahrung in der Vorbereitung und Begleitung von BaFin-Prüfungen
  • Beratung durch zertifizierte Auditoren

Leistungsangebot

Der matrix iQ „Bedrohungsanalyse“ hilft Ihnen, einen ersten Überblick über den Status Quo Ihres Instituts zu erhalten und liefert Ansatzpunkte und Handlungsfelder, bei denen Sie im Rahmen Ihres Risikomanagements aktiv werden müssen. Unsere matrix Experten führen ein Assessment durch: Auf Basis von Interviews und vorhandenen Dokumenten erarbeiten wir eine Vorgehensweise, um die Aspekte IT-Strategie, regulatorische Anforderungen sowie Datenschutz und Cyber Security-Maßnahmen in einen Kontext zu bringen.  Ziel ist es zu validieren, ob die bereits umgesetzten oder geplanten Maßnahmen zu den Anforderungen passen sowie weitere Maßnahmen zu identifizieren.

Vorgehen: 

  1. Bestandsanalyse
  2. Risikobewertung bekannter Bedrohungen bezogen auf das Unternehmen
  3. Ableitung relevanter Gefährdungen
  4. Empfehlung mitigierender Maßnahmen

Die matrix Bedrohungsanalyse im Überblick

Vorgehensmodell Bedrohungsanalyse

Grundlage für die Bestandsanalyse bildet das IT-Grundschutzkompendium des BSI, welches die möglichen Bedrohungen für die IT-Sicherheit Ihres Instituts listet. Unsere Experten analysieren und bewerten alle das Institut bzw. die Finanzdienstleistungsbranche betreffenden Bedrohungen. Dabei orientieren wir uns an der Vorgehensweise der ISO2700X-Prüfung und beantworten folgende Kernfragen:

  • Kennen Sie Ihre Daten?

  • Sind Ihre Daten nach Schutzbedarf klassifiziert?
  • Sind Prozesse wie ein Security Incident Management oder ein Schwachstellenmanagement vorhanden?
  • Welche sonstigen Sicherheitsmechanismen wurden schon umgesetzt?

Die aus der Bestandsanalyse gewonnenen Informationen werden in dem von der matrix entwickelten Template, in dem die Schutzbedarfsrelevanz je Bedrohung vorbewertet ist, zusammengetragen. Das Template wurde auf Basis der Bedrohungen aus dem BSI-Grundschutz entwickelt und kann kundenspezifisch angepasst werden. Sie erhalten für jede Bedrohung eine Risikoeinschätzung bezogen auf Ihr Institut. Dabei wird jede relevante Bedrohung zur Gefährdung. Das dokumentierte Ergebnis ist eine Gefährdungsübersicht und es werden mitigierende Maßnahmen je Gefährdung empfohlen.

Use Case

Der CIO eines kleinen Finanzdienstleister hat gelesen, dass gerade wieder eine Bank Besuch von  BaFin-Prüfern bekommen und im Anschluss sehr gravierende Feststellungen erhalten hat.

Der CIO hat schon von der BAIT und der VAIT gelesen und weiß, dass er diese Anforderungen im Grunde genommen umsetzen muss. Seine Fachabteilung versichert ihm immer wieder, dass das Unternehmen mit Kaspersky ein hervorragendes Virenschutzprodukt hat und auch die Firewall auf dem neuesten Stand ist.

Die Fachkollegen können ihm zwar sagen, dass technische Lösungen da sind. Jedoch wurde nicht hinreichend festgehalten, ob und welche Risiken die benannten Maßnahmen mitigieren. Er weiß erst recht nicht, ob die umgesetzten Maßnahmen alle seine Risiken adressieren und ausreichend sind. Deshalb möchte der CIO ein besseres Gefühl dafür bekommen, wo er wirklich steht und an welchen Stellen Handlungsbedarf besteht. Er schreckt aber vor einem größeren teuren Projekt zur Standortbestimmung zurück, weil er dafür sein Jahresbudget erhöhen müsste.

Der matrix iQs „Bedrohungsanalyse“ kann an dieser Stelle Abhilfe schaffen. Er ermöglicht dem CIO eine schnelle und kostengünstige Indikation, wo er mit dem IT-Risikomanagement seines Instituts steht und wo die Pain Points und Handlungsfelder liegen. Nach erfolgter Beratung hat er einen Überblick über seine Gefährdungen und kann ihnen wirkungsvoll begegnen.

Use Case matrix iQ Bedrohungsanalyse
Zitat Bedrohungsanalyse Jürgen Brombacher
» Mit dem iQ Bedrohungsanalyse können IT-Verantwortliche einen ersten Schritt in die Welt des IT-Risikomanagements und der zugehörigen regulatorischen Anforderungen machen. Es ist zudem ein gutes Instrument, um die bereits aufgesetzten ersten Schritte zu validieren. «
Jürgen Brombacher
Senior Strategy Consultant bei der matrix technology GmbH

Whitepaper

Basiswissen Cloud Computing

Cloud-Modelle – Anbieter – Use Cases
Das Whitepaper hilft Ihnen, ein Verständnis für den schwer greifbaren und inflationär verwendeten Begriff „Cloud Computing“ aufzubauen und Chancen und Risiken zu evaluieren. Außerdem lernen Sie die verschiedenen Cloud-Modelle und Anbieter kennen. Die enthaltenen Use Cases zeigen Ihnen zudem, wie andere Finanz- und Versicherungsunternehmen die Cloud-Theorie in die Praxis umgesetzt haben. 

Jetzt Whitepaper herunterladen →

Basiswissen Cloud Computing

Der Weg in Cloud – von der Idee zur Strategie

Anforderungen – Cloud-Strategie – Datensicherheit
Viele regulierte Unternehmen stehen vor der Frage, welche Anforderungen bereits im Vorfeld umgesetzt werden müssen, um einen aufsichtskonformen Cloud-Einsatz zu ermöglichen. Das Whitepaper unterstützt Sie bei der Herstellung der Cloud Readiness und zeigt Ihnen schrittweise auf, wie Sie zu einer umfassenden Cloud-Strategie gelangen. Zudem erfahren Sie, was Sie nach der Inbetriebnahme berücksichtigen sollten, um die Sicherheit Ihrer Daten zu gewährleisten. 

Zum Whitepaper →

Der Weg in Cloud – von der Idee zur Strategie

Checklisten

Checkliste: Public Cloud im BaFin-regulierten Umfeld

In dieser Checkliste haben wir Ihnen die wichtigsten regulatorischen Anforderungen für eine aufsichtskonforme Cloud Nutzung zusammengefasst. Sie enthält die Empfehlungen der BaFin und die Anforderungen, die in den BAITs bzw. VAITs sowie dem C5-Katalog des BSI niedergeschrieben sind. So haben Sie alle Anforderungen im Blick und können einfach abhacken, welche Sie bereits erfüllen sowie feststellen, wo gegebenenfalls Handlungsbedarf besteht. 

Jetzt Checkliste downloaden →

Checkliste: Public Cloud im BaFin-regulierten Umfeld

Checkliste: Identitäts- und Berechtigungsmanagement

Das Identitäts- und Berechtigungsmanagement ist eine sehr wichtige Grundlagen Ihres aufsichtskonformen Cloud-Einsatzes, der auch im C5-Anforderungskatalog vom BSI eine besonders hohe Bedeutung zukommt. Die Checkliste zeigt Ihnen die wichtigsten Aspekte, um unberechtigte Zugriffe zu verhindern und gibt Ihnen Tipps, wie Sie diese Vorgaben in Microsoft 365 erfüllen können.

Jetzt Checkliste herunterladen →

Checkliste: Identitäts- und Berechtigungsmanagement

IT-Risikomanagement

Banken und Versicherungen sind tagtäglich einer großen Anzahl von Risiken ausgesetzt. Diese zu kennen ist für die Existenzsicherung des Instituts essenziell, um erfolgreich am Markt bestehen zu können. Deshalb ist ein umfassendes Risikomanagement unabdingbar. Es hilft den Instituten, den Umgang mit Risiken zu planen und beinhaltet alle Aktivitäten, mit denen die Eintrittswahrscheinlichkeit eines Risikos bzw. das Schadensausmaß minimiert werden können. Im Rahmen des Risikomanagements werden zudem Maßnahmen hinsichtlich Datenschutz evaluiert und festgehalten. Es hilft regulierten Unternehmen dabei, ihren Schutzbedarf zu kennen und entsprechende Handlungsoptionen zu erarbeiten und umzusetzen.  

Erfahren Sie mehr dazu in unserem Blogbeitrag

Mindestanforderung an das Risikomanagement (MaRisk)

Den Rahmen für das Management wesentlicher Risiken bei regulierten Unternehmen hat die BaFin mit den Mindestanforderungen an das Risikomanagement im Rundschreiben 09/2017 festgelegt. Sie dienen als Instrument zur Ausgestaltung des Risikomanagements und verwandter Bereiche bei deutschen Finanzinstituten und Versicherungen. Die MaRisk untergliedert sich in einen „Allgemeinen Teil“ (Modul AT) sowie in einen „Besonderen Teil“ (Modul BT). Sie enthalten zudem Vorgaben zur internen Revision.

Der hier angebotene iQ Bedrohungsanalyse wirft natürlich keinen Blick auf das gesamte Risikomanagement eines regulierten Unternehmens, sehr wohl aber auf die auch aus Sicht der Aufsicht so wichtigen IT-Risiken.

Erfahren Sie mehr dazu in unserem Blogbeitrag

Haben Sie Fragen?
Wir helfen Ihnen gerne weiter!

Stefan Mock
Ihr Ansprechpartner
Stefan Mock
Managing Partner
matrix technology GmbH
T
+49 89 589395-600
kontakt@matrix.ag