Dienstag, 28. Februar 2017

Aspekte der Umsetzung Risikosteuerungs- und –controllingprozesse für IT-Risiken

Die grundsätzliche Definition von Sollmaßnahmen ist etwa bei den Häusern der beiden großen Finanzverbünde in der Regel der Fall. In der Sparkassen-Finanzgruppe werden generische Sollmaßnahmen häufig bereits im Leitfaden zur Schutzbedarfsfeststellung berücksichtigt. Dies gibt die verbundspezifische Interpretation des Standards DIN:ISO 27001 für Informationssicherheit „Sicherer IT-Betrieb“ vor. Aber auch hier wurde erkannt, dass dies nicht ausreichend ist. Daher wurde im vergangenen Jahr mit einer Weiterentwicklung in Bezug auf die Detaillierung von Sollmaßnahmen begonnen. Ähnliches gilt in der Genossenschaftsorganisation. Nach der Fusion der beiden Rechenzentren Fiducia IT AG und GAD eG zur Fiducia & GAD IT AG wird die verbundspezifische Interpretation „SOIT“ ebenso eine Vielzahl von Referenzmaßnahmen enthalten, für die durch jedes Institut ein kompletter Soll-Ist-Abgleich vorzunehmen ist.

Vor diesem Hintergrund besteht für diese Institute der turnusmäßige und anlassbezogene Bedarf zur Überprüfung der eigenen Vorgehensweise und zum Komplettabgleich. Es ist die Frage zu beantworten, ob angemessene Maßnahmen in Abhängigkeit von der Schutzbedarfsfeststellung definiert sind, wo von den Referenzmaßnahmen abgewichen wird und welche Risiken daraus resultieren. Ohne die vor einigen Jahren noch von zahlreichen Instituten und Verbänden verneinte vollständige Durchführung eines solchen Soll-Ist-Abgleichs mit entsprechender Dokumentation ist das Vorgehen weder materiell noch bankenaufsichtsrechtlich haltbar.

Anders sieht es dagegen vielfach bei kleineren Spezialinstituten aus – hier fehlen entsprechende Grundsatzvorgaben und -arbeiten eines gemeinsamen Mehrmandantendienstleisters Rechenzentren oder sind zu schwach ausgeprägt…. auch hier bleibt nur die dann allerdings koordinationsintensivere Aufgabe, diesen Referenzkatalog vor dem Hintergrund von und partiell auch im Dialog mit den wesentlichen Dienstleistern zu erarbeiten, was oft zu erheblichen Aufwänden beiträgt, speziell dann, wenn es sich um Dienstleister mit entsprechender Marktmacht handelt.

Exemplarische Aspekte der Umsetzung in der Praxis


Unmittelbar einleuchtend ist, dass die individuelle Definition von Sollmaßnahmen in Abhängigkeit vom Schutzbedarf und vom jeweiligen Schutzobjekt vorzunehmen ist, also z. B. Anwendung A, System B oder Raum C. Die Maßnahmen zum Schutz eines Serverraums sind andere, als zum Schutz eines Servers oder einer Anwendung. Diese sind im Rahmen einer Strukturanalyse zu erfassen, ohne die die Umsetzung eines Informationssicherheits-Regelkreises undenkbar ist. Zur Vereinfachung ist es dabei jedoch sinnvoll, Gruppen zu bilden. So könnte beispielsweise eine Zusammenfassung aller relevanten Maßnahmen für Räume und Gebäude in Abhängigkeit von der Schutzbedarfsfeststellung vorgenommen werden. In der Praxis stellt sich jedoch die Herausforderung, dass ein IT-Verteilerraum anders zu schützen ist, als ein Serverraum oder ein Archiv. Daher ist hier die Definition eines Sicherheitszonenkonzepts zielführender als die Definition von generischen Sollmaßnahmen je Raum in Abhängigkeit vom Schutzbedarf. Dabei werden die Raumtypen in Sicherheitszonen eingeteilt und die jeweiligen physischen und organisatorischen Maßnahmen pro Zone definiert.

Da in Instituten bereits etliche Anweisungen und Konzepte bestehen, z. B. eine Passwortrichtlinie oder  ein Virenschutzkonzept, würde ein einzelner Katalog von Sollmaßnahmen in Abhängigkeit vom Schutzbedarf aufgrund der redundanten Informationen zu Doppelarbeiten führen. Daher ist es praktikabler, wenn sich die Sollmaßnahmen in einer sinnvoll definierten und aus der Informationssicherheitsleitlinie über Leitfäden und Prozesse abgeleiteten Struktur von unterschiedlichen Regelungen widerspiegeln, die jeweils den Schutzbedarf berücksichtigen. So kann ein Betriebshandbuch für die Virtualisierungsplattform Vorgaben für Gastsysteme in Abhängigkeit vom Schutzbedarf enthalten, während die Passwortrichtlinie Vorgaben je Einsatzszenario (Domäne, mobile Geräte, Anwendungen) enthält. Würden über generische Sollmaßnahmen ohne Berücksichtigung des Schutzbedarfs pauschale Forderungen aufgestellt, die individuelle Einsatzszenarien nicht berücksichtigen können, ergäben sich in der Folge ansonsten viel zu viele Abweichungen von den Sollmaßnahmen. Diese wären im Informations-Risikomanagement jeweils individuell zu bewerten und würden unnötige Zusatzaufwände und Belastungen der Risikobudgets verursachen.

Von der Risikoanalyse zum Informationsrisikomanagement


Für Prüfer weist gerade die Überleitung der Erkenntnisse des Informationssicherheitsmanagements ins Risikocontrolling und damit deren Integration in die Gesamtbank-Risikosteuerung erhebliche Schwachstellen auf. Gängige Feststellungen sind:
  • Fehlende Konsistenz der Steuerungskreise
  • Fehlende Konsistenz mit dem Prozessmanagement
  • Fehlende Konsequenz in der Umsetzung analytischer Schlussfolgerungen
  • Fehlende Operationalisierung
  • Fehlende Verbindung der IT-Steuerung/ des Informationssicherheitsmanagements mit dem Risikocontrolling

Auch hierzu werden die BAIT daher eine klare Anforderung enthalten:

„Die Risikoanalyse (Schadenspotenzial und Schadenshäufigkeit) erfolgt auf Grundlage eines Vergleichs der Referenzmaßnahmen mit den jeweils wirksam umgesetzten Maßnahmen….. Die akzeptierten und genehmigten Restrisiken werden überwacht und in den Prozess des Managements der operationellen Risiken überführt.“

Fazit


Auf Grund der immer weiter zunehmenden Bedeutung der IT in den Instituten nimmt die Bedeutung der Informationssicherheit und des Informationsrisikomanagements ebenfalls immer mehr zu. Bereits aus allgemeinen betriebswirtschaftlichen Überlegungen heraus dient eine effiziente Umsetzung der erforderlichen Schutzmaßnahmen und deren Integration in die Prozesse des Risikomanagements, des Internen Kontrollsystems und der bankfachlichen Prozessgestaltung der Sicherung der Wirtschaftlichkeit sowie der Einhaltung der aufsichtsrechtlichen Vorschriften und ist an sich bereits heute in den MaRisk, erst recht aber mit In-Kraft-Setzung der nächsten MaRisk-Novelle und der BAIT zwingend vorgeschrieben. Vor dem Hintergrund der Komplexität der Materie und der betriebswirtschaftlichen Folgekosten kommt dabei einer effizienten und methodisch zukunftsfesten Umsetzung zentrale Bedeutung zu. Dies ist durch geeignete Konzeption und Koordination der Maßnahmen sicher zu stellen. Erfreulicherweise sind entsprechende good practice und Methodenerfahrung zwischenzeitlich hierfür vorhanden.

Robert Kaltenböck, Abteilungsleiter IT-Consulting, Deutscher Sparkassenverlag
Dr. Ralf Kühn, Wirtschaftsprüfer/ CPA, ebenso CIA/CISA, Geschäftsführer Audit GmbH Karlsruhe Stuttgart WPG

Kontaktdaten:
Fon: 0711 222 13-14 83
Modulares, wirtschaftliches Unterstützungs-Angebot für Banken. Wir lösen Ihre Herausforderungen. Prüfen, beraten und unterstützen. Ihr Anliegen ist bei Audit-WPG Chefsache.

Ähnliche Beiträge