Schutzbedarfsfeststellungen und Risikoanalysen - Held (Hrsg.) - FCH Gruppe

Die Seite wird erstellt Arthur Link

Finanzen

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

Schutzbedarfsfeststellungen und Risikoanalysen - Held (Hrsg.) - FCH Gruppe

Held (Hrsg.)

Schutzbedarfsfeststellungen
und Risikoanalysen

Finanz Colloquium Heidelberg, 2020

Zitiervorschlag:
Autor in: Held (Hrsg.): Schutzbedarfsfeststellungen und Risikoanalysen, Seite XX.

ISBN:       978-3-95725-144-2
© 2020      Finanz Colloquium Heidelberg GmbH
            Im Bosseldorn 30, 69126 Heidelberg
            www.FCH-Gruppe.de
            info@FC-Heidelberg.de
Satz:       Finanz Colloquium Heidelberg
Druck:      Printing Company, Bad Mergentheim

Held (Hsrg.)

Schutzbedarfsfeststellungen
    und Risikoanalysen

                   Dr. Markus Held (Hrsg.)
   Referatsleiter Mindeststandards und Produktsicherheit
  Bundesamt für Sicherheit in der Informationstechnik (BSI)
                            Bonn

                        Heiko Jacob
                     Leiter IT-Assurance
                           Deloitte

                          Jens Kock
     Leiter Operational Risk, Financial Services, Hamburg
                           Deloitte

                          Frank Lutter
Leiter Betriebsorganisation & IT-Administration IT-Management
                  Volksbank Bigge-Lenne eG
                        Schmallenberg

                       Dirk Optebeck
      Informationssicherheits- und Notfallbeauftragter
                     Sparkasse Bochum
                          Bochum

                    Bianca Schliebener
                 Revision IT/Digitalisation
          Norddeutsche Landesbank - Girozentrale -
                       Braunschweig

Peter J. Wirnsperger
     Leiter Cyber Risk Deloitte

            Jan Zurek
Informationssicherheitsbeauftragter
           ReiseBank AG
        Frankfurt am Main

    Finanz Colloquium Heidelberg, 2020

Inhaltsverzeichnis

A. Schutzbedarfsfeststellungen, IT-Risikoanalysen, IT-Risikoma-
   nagement – eine Einführung im Kontext der BAIT (Held)9
   I.   Einleitung                                                9

   II. Zur Bedeutung von Schutzbedarfen und Risikoanalysen       11

   III. Was sind IT-Risiken?                                     12

   IV. Regulatorische Grundlagen des IT-Risikomanagements        16

   V. Praktische Umsetzung am Beispiel der BSI-Standards         22

   VI. Typische Fallstricke in der Praxis                        48

   VII. Abschließende Praxistipps                                49

B. Strukturanalyse, Schutzbedarfskategorien und Informations-
   sicherheits-Risikomanagement (Zurek)51
   I.   Einleitung                                               51

   II. Strukturanalyse                                           51

   III. Schutzbedarfsklassifizierung                             52

   IV. Risiko- und Restrisikoanalysen                            56

   V. OpRisk – Reporting                                         60

   VI. Wichtige Praxistipps                                      61

C. Vom Schutzbedarf zu den Sollmaßnahmen in der Praxis (Optebeck)62
   I.   Schutzbedarfsdefinition                                  62

   II. Probleme bei der Schutzbedarfsdefinition                  65

   III. Feststellungen und Begründungen des Schutzbedarfs        66

   IV. Umsetzung des Schutzbedarfs in konkrete Sollmaßnahmen     75

   V. Zusammenfassung                                            77

D. Rolle der IT-Abteilung und Verantwortung der Fachbereiche
   (Lutter)78
  I.   Regelung der Aufbau- und Ablauforganisation                                78

  II. Welche Rolle spielt der Informationssicherheitsbeauftragte (ISB)            84

  III. Prozessuale Verantwortung der Fachabteilungen und der IT-Abteilungen       89

E. Prüfungserfahrung und Hinweise aus Sicht der Internen
   Revision (Schliebener)94
  I.   Mindestinhalte der Schutzbedarfsanalyse aus Sicht der Internen Revision    94

  II. Prüfung der Organisation und Methodik der Schutzbedarfsanalyse              96

  III. Problemfeld Fremdbezug                                                    106

  IV. Handlungsempfehlungen für eine „prüfungssichere“ Schutzbedarfsanalyse      108

F. Externe Prüfungs- und Beratungserfahrungen
   (Jacob/Kock/Wirnsperger)112
  I.   Worauf schaut der Prüfer und was interessiert den Berater?                112

  II. Die Rolle der Risikoanalyse in der IT-Prüfung                              113

  III Erfahrungsbericht aus der IT-Jahresabschlussprüfung                        114

  IV. Erfahrungsbericht aus der IT-Security-Beratung                             127

Held

Schutzbedarfsfeststellungen und
Risikoanalysen
A. Schutzbedarfsfeststellungen, IT-Risikoanalysen, IT-Risikomanagement –
eine Einführung im Kontext der BAIT

I. Einleitung Für sehr viele Institute besteht zudem ein hoher
Druck, mit technisch besonders gut aufgestell-
Die bewusste Übernahme von Risiken gehört ten Wettbewerbern mithalten zu können. In der
zum Kern des Bankgeschäfts. Nur durch die auf gesamten Finanzwirtschaft ist hier der Marktein-
die Ermöglichung von Gewinnen gerichtete tritt von sogenannten FinTechs zu nennen, die
Übernahme von Adressausfall-, Liquiditäts- und über technologiegetriebene Geschäftsmodelle
Marktrisiken ist es überhaupt möglich, Gewinne Finanzgeschäfte anbieten. Auch Großkonzerne
zu erwirtschaften. Daher ist die Bewertung aus der Technologiebranche bieten mittlerweile
dieser Risiken wesentlich für die Banksteuerung. Dienstleistungen an, die in das Kerngeschäft der
Notwendigerweise ergeben sich auch aus den Institute eindringen (z. B. Amazon, Ali Baba oder
erforderlichen betrieblichen Prozessen zudem Apple bei Zahlungsdienstleistungen).
operationelle Risiken. Zu diesen operationellen
Risiken gehören die IT-Risiken. Effizienzgewinne aus der Digitalisierung
geschehen nur unter dem Eingehen von IT-Risi-
Den IT-Risiken kommt seit mehreren Jahren ken. Die Gleichung „Höhere IT-Risiken = Höhere
eine besondere Rolle zu, weil das Bankgeschäft Effizienz“ ist jedoch falsch. Denn IT-Infrastruktu-
seit den 1970er Jahren immer stärker IT-getrie- ren mit besonders hohen IT-Risiken sind mittel-
ben funktioniert. Diese Entwicklung beschleu- bis langfristig auch besonders ineffizient. Damit
nigt sich seit der Jahrtausendwende und wird gewinnt das IT-Risikomanagement für die Effizi-
in den vergangenen Jahren unter dem Stich- enz des Bankgeschäfts an Bedeutung.
wort „Digitalisierung“ diskutiert. Gemeint ist
damit die intensive Ausgestaltung aller bank- In den vergangenen Jahren hat die BaFin suk-
geschäftlichen Aktivitäten und Prozesse durch zessive ihre Anforderungen an das IT-Risiko-
IT-Systeme, die Forcierung digitaler Kundenka- management verschärft und verdeutlicht. Den
näle (vom World Wide Web bis zu Smartphone- Höhepunkt stellt dabei das Rundschreiben BAIT
Apps) und die zunehmende wirtschaftliche Nut- vom 03.11.2017 dar. Im Anschreiben dazu heißt
zung der generierten Daten. es:1

1
https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2017/rs_1710_BAIT_anschreiben.html

www.FCH-Gruppe.de 9

Schutzbedarfsfeststellungen, IT-
Risikoanalysen, IT-Risikomanagement

   „In einer globalisierten Finanzwelt, in der                                fehler, unzureichende Qualitätssicherung
   immer mehr Menschen digital bezahlen bzw.                                  und eine fehlende Abschaltfunktion der
   Geld transferieren und in der viele Anleger ihre                           Software.
   Geldanlage online bestreiten, sind IT-Gover-                             2008 führte ein Stromausfall in Hanno-
   nance und Informationssicherheit keine Randt-                              ver zum Ausfall eines Rechenzentrums
   hemen mehr, sondern haben auch für die Auf-                                des IT-Dienstleisters Finanz Informatik. In
   sicht inzwischen den gleichen Stellenwert, wie                             der Konsequenz standen den Kunden von
   die Ausstattung der Institute mit Kapital und                              150 Sparkassen für ca. 8 Stunden Geldauto-
   Liquidität.“                                                               maten, Kontodrucker und Online-Banking
                                                                              nicht zur Verfügung. Ursache war, dass ein
   Daraus lässt sich lesen, dass die Aufsicht den                             Marder ein Stromkabel in einem Hannover-
   IT-Risiken heute den gleichen Stellenwert zuord-                           aner Umspannwerk durchgebissen hatte.
   net wie Kredit- und Liquiditätsrisiken. Dass                             In 2016 erbeuteten Hacker 81 Millionen US-§
   dies eine sachgerechte Betrachtung ist, lässt                              von der Notenbank von Bangladesch, indem
   sich leicht erkennen, wenn man sich auch nur                               sie Überweisungen initiierten.2 Ursprünglich
   einige öffentlich bekannte Beispiele für schla-                            wollten die Hacker ca. 1 Mrd. US-$ stehlen.
   gend gewordene IT-Risiken vor Augen führt:                                 Der Cyber-Angriff wurde nur gestoppt, weil
                                                                              einer Bank, an die Geld überwiesen wurde,
    2012 kam es bei einem Software-Update des                               ein Tippfehler im Überweisungsformular auf-
      Kernbanksystems der Royal Bank of Scotland                              gefallen ist.
      zu Bedienfehlern von IT-Administratoren.                              Im Februar 2019 wurde die Bank von Valetta
      Infolgedessen konnten zahlreiche Kunden                                 in Malta gehackt. Zwar konnte die Bank die
      der RBS und zweier Tochterfirmen längere                                gestohlenen ca. 13 Millionen € wiedererlan-
      Zeit nicht auf ihre Zahlungsverkehrskonten                              gen. Doch einen Tag lang musste sie sämt-
      zugreifen. Der Vorfall bekam im Vereinig-                               liche Filialen schließen und den Betrieb von
      ten Königreich sehr hohe Medienaufmerk-                                 Geldautomaten und Point-of-Sale-Geräten
      samkeit und wurde von der Presse als „RBS                               einstellen.3
      IT Glitch“ bezeichnet. Der Fall wurde von                             2008 wurde bekannt, dass der Trader Jerome
      den Finanzaufsichtsbehörden und vom bri-                                Kerviél durch unzulässige Handelsgeschäfte
      tischen und irischen Parlament untersucht.                              der Societé General Verluste in Höhe von
      In 2014 verhängte die Financial Conduct                                 4,82 Milliarden Euro verursacht hatte. Die
      Authority eine Strafe in Höhe von 42 Milli-                             Handelsgeschäfte konnte er tätigen, indem
      onen Pfund.                                                             er die Benutzerberechtigungen der IT-Sys-
    Ebenfalls 2012 erwirtschaftete ein Algo-                                teme des Instituts umgangen ist.4
      rithmushandelssystem der Kapitalanlage-
      gesellschaft Knight Capital innerhalb von                            Aus diesen Beispielen wird deutlich, wie viel-
      ca. 45 Minuten einen Verlust von 440 Mil-                            fältig Schadensereignisse in der IT sich darstel-
      lionen US-$. Ursächlich waren ein Bedien-                            len können. Von höherer Gewalt, über Quali-
   2
       http://www.spiegel.de/netzwelt/web/bangladesch-tippfehler-verhindert-milliarden-raub-bei-zentralbank-a-1081679.html
   3
       https://www.zdnet.com/article/hackers-tried-to-steal-eur13-million-from-maltas-bank-of-valletta/
   4
       https://de.wikipedia.org/wiki/J%C3%A9r%C3%B4me_Kerviel

   10            Schutzbedarfsfeststellungen und Risikoanalysen, Finanz Colloquium Heidelberg, 2020.

Held

tätsmängel in IT-Systemen und IT-Prozessen,            keine Randthemen mehr, sondern haben
bis hin zu Cyber-Angriffen durch Externe und           auch für die Aufsicht inzwischen den glei-
Manipulationen durch Innentäter sind ver-              chen Stellenwert, wie die Ausstattung der
schiedenste Szenarien denkbar und auch                 Institute mit Kapital und Liquidität.“
schon eingetreten.
                                                    Die große Bedeutung, die die BaFin der Infor-
In seiner Rede am 27.09.2018 anlässlich der         mationstechnik der Institute beimisst, wird
BaFin-Informationsveranstaltung IT-Aufsicht         auch daran deutlich, dass im BaFin-Jour-
äußerte der in der BaFin für Bankenaufsicht         nal vom 15.12.2017 Erleichterungen für die
zuständige Exekutivdirektor Raimund Röseler         Bestellung eines dedizierten IT-Vorstands vor-
sich sehr ausführlich zur IT-Risikolage:            gestellt wurden. Demnach ist bei Bestellung
                                                    eines IT-Vorstands eine Reduzierung der erfor-
 „Ich sage es in aller Deutlichkeit: Die Gefah-   derlichen bank- bzw. versicherungsprakti-
   ren, die sowohl durch interne IT-Probleme        schen Erfahrung auf 6 Monate möglich, sofern
   wie durch externe Cyber-Angriffe auf die         dieser über profunde theoretische und prak-
   Finanzunternehmen einwirken können, sind         tische Kenntnisse im IT-Bereich verfügt. Als
   eine fundamentale Bedrohung. Nicht nur           Nachweis eignen sich dem Artikel zufolge ein-
   für das einzelne Unternehmen, sondern je         schlägiger akademischer Qualifikationen und
   nach Ausmaß auch für die Finanzstabilität        Berufserfahrung.
   insgesamt. Denn in der klassischen Risiko-
   matrix finden Sie IT-Risiken rechts oben, das    Aus Perspektive der Finanzaufsicht müssen Kre-
   heißt: Die Wahrscheinlichkeit, dass es zu        ditinstitute sich also intensiv mit ihren IT-Risiken
   Angriffen auf die IT kommt, ist 1 – es gibt      auseinandersetzen. Dieser Artikel gibt eine Ein-
   sie jeden Tag. Und die Schadenshöhe kann         führung in das IT-Risikomanagement bei Kredi-
   gravierend sein. “                               tinstituten und betrachtet schwerpunktmäßig
 „[Von den Vorfällen] resultieren die aller-      die Kernelemente des IT-Risikomanagements in
   meisten gar nicht aus externen Cyber-An-         Form der Prozesselemente des Informationssi-
   griffen, sondern aus Fehlern der internen        cherheitsmanagements, insbesondere Schutz-
   IT-Strukturen.“                                  bedarfsfeststellungen und IT-Risikoanalysen.

Im Anschreiben an die Verbände zur BAIT stellt      II. Zur Bedeutung von Schutzbedarfen
Röseler die Fragen von IT-Governance und Infor-         und Risikoanalysen
mationssicherheit sogar auf die gleiche Stufe
wie Kapital und Liquidität:                         Über die Feststellung von Schutzbedarfen legen
                                                    die für einen Geschäftsprozess verantwortlichen
 „In einer globalisierten Finanzwelt, in der      Stellen fest, in welchem Maße Verletzungen der
   immer mehr Menschen digital bezahlen bzw.        Verfügbarkeit, Integrität, Vertraulichkeit und
   Geld transferieren und in der viele Anle-        Authentizität der Daten den Geschäftserfolg
   ger ihre Geldanlage online bestreiten, sind      beeinträchtigen können, sodass ableitbar wird,
   IT-Governance und Informationssicherheit         welcher Aufwand zum Schutze des betrachte-

www.FCH-Gruppe.de                                                                                   11

Schutzbedarfsfeststellungen, IT-
Risikoanalysen, IT-Risikomanagement

ten Geschäftsprozess wirtschaftlich vertretbar Daraufhin betrachten wir das Informationssi-
und erforderlich ist. cherheitsmanagement, Schutzbedarfsfeststel-
lungen und IT-Risikoanalysen. Das Kapitel wird
Diese Ableitung wird in Form einer IT-Risikoana- abgerundet durch Betrachtungen zu Projektri-
lyse vorgenommen. Denn in der IT-Risikoanalyse siken, zu IT-Risiken bei Auslagerungen, Nutzung
werden aus der Betrachtung eines Geschäfts- externer Cloud-Dienste und sonstigem Fremd-
prozesses und der ihn unterstützenden Systeme bezug. Die Darstellungen werden anhand von
die erforderlichen Sicherheitsmaßnahmen und Beispielen erläutert, die fiktive, aber realistische
die verbleibenden Risiken bestimmt. Szenarien abbilden.

Damit bilden Schutzbedarfsfeststellungen und III. Was sind IT-Risiken?
IT-Risikoanalysen den Link zwischen der bank-
fachlichen Bedeutung eines Geschäftsprozesses 1. Strategischer und operationeller
und der Planung von Sicherheitsmaßnahmen Kontext
für diesen Prozess. Ohne korrekte Durchfüh-
rung besteht daher einerseits die Gefahr, erfor- Für das Verständnis der IT-Risiken ist es hilfreich,
derliche Maßnahmen zu unterlassen, anderer- sich zu vergegenwärtigen, wie Kreditinstitute
seits die Gefahr, unwirtschaftliche und sinnlose aus der IT-Perspektive aufgebaut sind. Einen
Maßnahmen zu initiieren. ersten Eindruck hiervon vermittelt Abbildung 1.

Schutzbedarfsfeststellungen und IT-Risiko- Die Abbildung illustriert, dass die Geschäftsstra-
analysen können ohne die Einordnung ihrer tegie und die Risikostrategie des Instituts durch
Anwendung im IT-Risikomanagement, Infor- die Geschäftsprozesse des Instituts umgesetzt
mationssicherheitsmanagement und ggf. im werden, die ihrerseits durch Anwendungen
Projektmanagement nicht richtig verstanden unterstützt werden. Diese Unterstützung geht
werden. Ebenso ist ein tiefgreifendes Verständnis in der Praxis so weit, dass zahlreiche Geschäfts-
davon erforderlich, was IT-Risiken eigentlich sind. prozesse ohne die Anwendungen nur äußerst
eingeschränkt oder gar nicht durchführbar
Im Folgenden befassen wir uns zunächst mit sind. Insbesondere stellen die Anwendungen
der Frage, was IT-Risiken eigentlich sind und die geschäftlichen Daten zur Verfügung und
betrachten dann die bankregulatorischen ermöglichen die geordnete Kommunikation
Anforderungen an das IT-Risikomanagement. im Hause und mit Geschäftspartner.

12 Schutzbedarfsfeststellungen und Risikoanalysen, Finanz Colloquium Heidelberg, 2020.

Held

Abbildung 1: Ein Kreditinstitut aus IT-Perspektive

Die Anwendungen werden durch IT-Systeme ausgelagerte IT-Systeme oder Netzwerke handelt
bereitgestellt, die durch Netzwerke verbunden sind. und treffen immer das Institut.
Die Verwaltung der IT-Systeme und der Netzwerke
erfolgt durch die Prozesse der IT-Organisation, also Die Eintrittswahrscheinlichkeit von IT-Risiken
die IT-Prozesse. Sämtliche Leistungen können auch hängt insbesondere davon ab, in welchem qua-
durch Auslagerungen erbracht werden. litativen Zustand die IT-Systeme und Netzwerke
sich befinden und inwieweit sie durch besondere
Das Interne Kontrollsystem (IKS) selbst ist in Sicherheitsmaßnahmen gegen Cyber-Angriffe
erheblichem Maße durch Kontrollen in den und andere Schadensereignisse geschützt sind.
Geschäftsprozessen selbst, sowie durch IKS-ei-
gene Geschäftsprozesse realisiert. Daher hängt Abbildung 2 illustriert die Wirkungskette
auch die Integrität des IKS wesentlich von der IT ab. von IT-Risiken von den IT-Systemen auf die
Geschäftsprozesse exemplarisch. In einem
IT-Risiken entstehen in dieser Vorstellung dadurch, IT-Prozess erfolgt eine Fehlentscheidung, die
dass Schadensereignisse beim Betrieb der IT-Sys- zu einer fehlerhaften Konfiguration des IT-Sys-
teme und der Netzwerke vorkommen können, z.B. tems I1 führt. I1 stellt I2 Daten zur Verfügung,
eine Fehlfunktion oder ein erfolgreicher Cyber-An- die aufgrund der Fehlkonfiguration verfälscht
griff. Die Auswirkungen des Schadensereignisses übertragen werden. I2 bedient die Anwendung
treffen wiederum die von den Anwendungen A, welche in den Geschäftsprozessen P1 und P2
unterstützten Geschäftsprozesse und ihre Daten. genutzt wird. Diese Geschäftsprozesse arbeiten
Die IT-Risiken entstehen unabhängig davon, ob es nun aufgrund eines Fehlers in dem genannten
sich um durch das Institut selbst betriebene oder IT-Prozess auf Basis fehlerhafter Daten.

www.FCH-Gruppe.de 13

Schutzbedarfsfeststellungen, IT-
Risikoanalysen, IT-Risikomanagement

   Abbildung 2: Wirkungskette von IT-Risiken auf die Geschäftsprozesse

   2. Definitionen                                                           die IT-Steuerung, die Verfügbarkeit, Vertrau-
                                                                             lichkeit, Integrität und Authentizität der Daten,
   Eine für die Bedürfnisse der Kreditwirtschaft pas-                        das interne Kontrollsystem der IT-Organisation,
   sende Definition muss die besonderen Anforde-                             die IT-Strategie, -Leitlinien und -Aspekte der
   rungen der Aufsicht an das Management ope-                                Geschäftsordnung oder den Einsatz von Infor-
   rationeller Risiken, an das strategische und                              mationstechnologie betreffen.“
   operative Management von Banken, sowie an
   die IT-Prozesse und IT-Systeme berücksichtigen.                           Diese Definition lehnt sich sehr eng an die zehn
                                                                             Jahre zuvor entstandene Definition der CEBS
   2013 haben Kokert und Held IT-Risiken im BaFin-                           an:6
   Journal wie folgt gefasst:5
                                                                             „IT risk: subcategory of operational risk: the
   „Unter dem Begriff „IT-Risiko“, den die MaRisk                            current or prospective risk to earnings and capi-
   nicht definieren, versteht die Bankenaufsicht                             tal arising from inadequate information tech-
   alle Risiken für die Vermögens- und Ertragslage                           nology and processing in terms of managea-
   der Institute, die aufgrund von Mängeln entste-                           bility, exclusivity, integrity, controllability and
   hen, die das IT-Management beziehungsweise                                continuity, or arising from an inadequate IT

   5
       https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2013/fa_bj_2013_11_it_sicherheit.html;jsessionid=AC2B-
       C47A5043D86295036F36F3610CBB.2_cid290?nn=7847010#
   6
       Guidelines on the Application of the Supervisory Review Process under Pillar 2 (GL03), https://eba.europa.eu/regulation-and-policy/super-
       visory-review-and-evaluation-srep-and-pillar-2/guidelines-on-the-application-of-the-supervisory-review-process-under-pillar-2

   14            Schutzbedarfsfeststellungen und Risikoanalysen, Finanz Colloquium Heidelberg, 2020.

Held

strategy and policy or from inadequate use of                    Neben den bankaufsichtlichen Definitionen sind
the institution’s information technology.“                       die Definitionen aus Standards zum Informati-
                                                                 onssicherheitsmanagement von Bedeutung.
In den neueren „Guidelines on ICT Risk Assess-                   Die ISO-Norm 27005 etwa definiert IT-Risiken
ment under the Supervisory Review and Evalua-                    IT risk als die Möglichkeit, dass eine Bedrohung
tion process (SREP)“ der EBA findet man hinge-                   Schwächen eines Assets oder einer Gruppe von
gen Definitionen einzelner Arten von „ICT risks“,                Assets ausnutzen und dadurch einer Organisa-
nämlich:7                                                        tion Schaden zufügen kann. Der ISO zufolge
                                                                 wird diese Möglichkeit durch eine Kombination
 ICT availability and continuity risk, d.h. Risi-              der Eintrittswahrscheinlichkeit und der Folgen
      ken durch den Ausfall von IT-Systemen                      gemessen.8 Zwar ist diese Definition anhand
 ICT security risk, d.h. Risiken durch unbe-                   von Eintrittswahrscheinlichkeit und potenzieller
   fugte Zugriffe (sowohl durch Cyber-Angrei-                    Schadenshöhe sehr eingängig. Im Vergleich zu
   fer oder Innentäter)                                          den zuvor genannten bankaufsichtlichen Defi-
 ICT change risk, d.h. Risiken, die sich aus Ver-              nitionen hat sie jedoch zwei Nachteile. Einer-
   änderungen in der IT ergeben, wenn diese                      seits fokussiert sie zu stark auf die Ebene unter-
   nicht hinreichend schnell oder nicht hinrei-                  nehmerischer Assets, sodass die strategische
   chend geplant und kontrolliert umgesetzt                      Dimension von IT-Risiken schnell aus dem Blick
   werden                                                        gerät. Andererseits sind Eintrittswahrschein-
 ICT data integrity risk, d.h. Risiken der                     lichkeit und Schadenshöhe in vielen Fällen nur
   Unvollständigkeit, Falschheit oder Inkon-                     äußerst ungenau bestimmbar.
   sistenz der Daten des Unternehmens
 ICT outsourcing risk, d.h. IT-Risiken die sich                In der Praxis wird häufig vom „IT-Risikomanage-
   bei Auslagerungsnehmern ergeben                               ment“ gesprochen. Die BAIT sprechen hingegen
                                                                 von „Informationsrisikomanagement“. Hierdurch
Bemerkenswert ist, dass die verschiedenen auf-                   wird eine leichte Erweiterung des Fokus ange-
sichtlichen Definitionen nicht nur die Informa-                  deutet, denn „Informationen“ werden nicht nur
tionssicherheit in den Blick nehmen, sondern                     IT-gestützt verarbeitet. Beispielsweise ändert
darüber hinaus auch strategische Fragen und                      sich die Erfordernis, eine als „vertraulich“ ein-
mögliche Mängel in der IT Governance und im                      gestufte Datei gegenüber Dritten geheim zu
IT-Management betrachten. Dies ist insofern                      halten, auch dann nicht, wenn ein Ausdruck der
von Bedeutung, als dass eine ausschließliche                     Datei (z. B. für eine Sitzung) erstellt wird. Als Kon-
Orientierung der Institute an gängigen Stan-                     sequenz sollten z. B. bei Sensibilisierungsveran-
dards für Informationssicherheitsmanagement                      staltungen Mitarbeiterinnen und Mitarbeiter
oder IT-Risikomanagement ohne Reflexion auf-                     nicht nur zum sorgfältigen Umgang mit elektro-
sichtlicher Publikationen die Gefahr beinhaltet,                 nischen Daten, sondern auch zum ebenso sorg-
dass Aufsicht und Institute beim Thema „IT-Risi-                 fältigen Umgang mit Schriftstücken aufgefor-
ken“ schnell aneinander vorbeireden können.                      dert werden. Fallen in einem Geschäftsprozess

7
    https://eba.europa.eu/documents/10180/1841624/Final+Guidelines+on+ICT+Risk+Assessment+under+SREP+%28EBA-GL-2017-05%29.pdf
8
    Zitiert nach: https://en.wikipedia.org/wiki/IT_risk#ISO

www.FCH-Gruppe.de                                                                                                       15

Schutzbedarfsfeststellungen, IT-
Risikoanalysen, IT-Risikomanagement

Medienbrüche an (z. B. notwendige Papierfor- Auch aus einer perfekten Portfolio-Sicht der
mulare) so muss auch berücksichtigt werden, ob eigenen IT-Systeme und ihrer Beziehungen
deswegen zusätzliche Sicherheitsmaßnahmen lässt sich keine automatisierte Quantifizierung
zu treffen sind (z. B. abschließbare Schränke, der IT-Risikolage ableiten. Stets ist eine sorg-
Aufdrucke wie z. B. „intern“ auf nicht zur Veröf- fältige qualitative Analyse durch Menschen
fentlichung bestimmten Papieren). erforderlich, um IT-Risiken zu erkennen und zu
bewerten.
3. Besonderheiten im Vergleich zu ande-
ren Risikoarten IV. Regulatorische Grundlagen des
IT-Risikomanagements
Aus den bisherigen Ausführungen wird deut-
lich, dass IT-Risiken rein mathematisch nicht zu 1. Überblick
fassen sind. Insgesamt ist eine Quantifizierung ex
ante sehr schwierig. Selbst eine Bestimmung aller Die Institute werden aus mehreren Rechtsquel-
finanziellen Schäden durch ein schlagend gewor- len direkt oder indirekt zum IT-Risikomanage-
denes IT-Risiko kann eine Herausforderung sein. ment verpflichtet.

Für das Erkennen von IT-Risiken gibt es in der Aus § 25 a KWG lässt sich eine Pflicht zum
Praxis im Wesentlichen folgende Quellen: IT-Risikomanagement als Teil des allgemei-
nen Risikomanagements und einer ord-
Qualitativ ausgerichtete IT-Risikoanalysen, nungsgemäßen Geschäftsorganisation her-
wie sie im Folgenden erläutert werden leiten. Durch § 25 b KWG wird das Institut
IT-Prüfungen bei denen organisatorische verpflichtet, dies auch bei Auslagerungen
oder technische Mängel erkannt werden zu berücksichtigen. Aus den §§ 25 a und
Die Erkenntnis von Sicherheitslücken durch 25 b KWG sind die BaFin-Rundschreiben
Penetrationstests, d.h. die Untersuchung Mindestanforderungen an das Risikoma-
von IT-Systemen und Netzwerken mittels nagement (MaRisk) und Bankaufsichtliche
der gleichen Methoden die ein Cyber-An- Anforderungen an die IT (BAIT) abgeleitet,
greifer verwenden würde in denen die Anforderungen an die IT und
Expertenmeinungen, die im Rahmen von das IT-Risikomanagement in Instituten kon-
Projekten geäußert werden; Hier ist eine kretisiert werden.
Verknüpfung zum Projektrisikomanage- Für Zahlungsdienstleister ergibt sich aus
ment gegeben. § 53 eine Pflicht zur Beherrschung operatio-
Die regelmäßige Überwachung der IT-Land- neller und sicherheitsrelevanter Risiken und
schaft im Rahmen von IT-Prozessen oder aus § 54 eine Pflicht zur Meldung schwer-
durch automatisierte Überwachungsan- wiegender Betriebs- oder Sicherheitsvor-
wendungen. fälle. In beiden Fällen betrifft dies in der
Teilweise: Externe Quellen, z.B. Warnungen Praxis sehr stark IT-Risiken.
von CERTs, können Anlass für die Erkenntnis Weiterhin verpflichtet § 8 a BSIG solche Ins-
eigener IT-Risiken sein (z.B. in einer anlass- titute, die Betreiber kritischer Infrastruktu-
bezogenen IT-Risikoanalyse). ren sind, Betreiber Kritischer Infrastrukturen

16 Schutzbedarfsfeststellungen und Risikoanalysen, Finanz Colloquium Heidelberg, 2020.

Held

   sind, „angemessene organisatorische und            „die Einrichtung interner Kontrollverfah-
   technische Vorkehrungen zur Vermeidung               ren mit einem internen Kontrollsystem und
   von Störungen der Verfügbarkeit, Integri-            einer Internen Revision“
   tät, Authentizität und Vertraulichkeit ihrer
   informationstechnischen Systeme, Kompo-           Das interne Kontrollsystem „IKS“ wird näher
   nenten oder Prozesse zu treffen, die für die      erläutert, und beinhaltet unter anderem „eine
   Funktionsfähigkeit der von ihnen betriebe-        angemessene personelle und technischorga-
   nen Kritischen Infrastrukturen maßgeblich         nisatorische Ausstattung des Instituts“ sowie
   sind. Dabei soll der Stand der Technik ein-       „die Festlegung eines angemessenen Notfall-
   gehalten werden.“ Welche Institute solche         konzepts, insbesondere für IT-Systeme“.
   Betreiber Kritischer Infrastrukturen sind,
   wird durch die Verordnung zur Bestim-             Implizit wird also bereits im § 25 a KWG fest-
   mung Kritischer Infrastrukturen geregelt.         gelegt, dass IT-Risiken Teil der von einem Ins-
                                                     titut zu betrachtenden Risiken sind. Denn eine
Im Folgenden betrachten wir die regulatorisch        angemessene „technischorganisatorische Aus-
aufeinander aufbauenden Normen §§ 25 a KWG           stattung“ kann nur unter Berücksichtigung der
und 25 b KWG, MaRisk und BAIT und werden             IT-Risiken gewährleistet werden.
erläutern anschließend, wie die Standards des
BSI genutzt werden können, um ein IT-Risikoma-       § 25b KWG stellt, dass auch bei einer Auslage-
nagement im Sinne dieser Normen zu etablieren.       rung die Verantwortung für die Risiken in dem
                                                     auslagernden Institut verbleibt und dass die
2. §§ 25 a KWG und 25 b KWG                          Rechte der Aufsicht nicht durch die Auslage-
                                                     rung beschränkt werden dürfen.
§ 25 a KWG verplichtet die Institute zu einer ord-
nungsgemäßen Geschäftsorganisation, die die          3. MaRisk
Einhaltung der vom Institut zu beachtenden
gesetzlichen Bestimmungen und der betriebs-          Die Verantwortung für das Risikomanage-
wirtschaftlichen Notwendigkeiten gewährleis-         ment des Instituts trifft gemäß AT 3 MaRisk die
tet. Diese muss insbesondere ein angemessenes        Geschäftsleitung. Diese Verantwortung betrifft
und wirksames Risikomanagement umfassen.             auch die IT-Risiken des Instituts.
Das Risikomanagement umfasst demnach
                                                     Die MaRisk verpflichtet die Institute in AT 7.2,
 „die Festlegung von Strategien, insbeson-         ihre IT-Systeme und IT-Prozesse zur Sicherstel-
   dere die Festlegung einer [...] Geschäfts-        lung der Verfügbarkeit, Vertraulichkeit, Integ-
   strategie und einer damit konsistenten            rität und Authentizität der Daten auf gängige
   Risikostrategie, sowie die Einrichtung von        Standards abzustellen. Als Beispiele nennt die
   Prozessen zur Planung, Umsetzung, Beur-           MaRisk die Standards der ISO-Reihe 27000
   teilung und Anpassung der Strategien“,            und die IT-Grundschutz-Standards des Bun-
 „Verfahren zur Ermittlung und Sicherstel-         desamts für Sicherheit in der Informations-
   lung der Risikotragfähigkeit“                     technik (BSI).

www.FCH-Gruppe.de                                                                                17

Schutzbedarfsfeststellungen, IT-
Risikoanalysen, IT-Risikomanagement

   AT 7 MaRisk listet noch weitere Verpflichtun-       gerungen (z. B. Betrieb des Kernbanksystems) ist
   gen hinsichtlich des Umgangs mit der Informa-       offensichtlich, dass das Institut dafür zu sorgen
   tionstechnik auf. Von besonderer Bedeutung für      hat, dass auch die beim Auslagerungsnehmer
   dieses Kapitel ist aber AT 7.4 MaRisk:              entstehenden IT-Risiken angemessen gemanagt
                                                       werden. Die Verantwortung für die mit Ausla-
   „Für IT-Risiken sind angemessene Überwa-            gerungen verbundenen IT-Risiken erstreckt sich
   chungs- und Steuerungsprozesse einzurichten,        jedoch tatsächlich auf alle Auslagerungen.
   die insbesondere die Festlegung von IT-Risiko-
   kriterien, die Identifikation von IT-Risiken, die   Daher ist bei unter Risikogesichtspunkten wesent-
   Festlegung des Schutzbedarfs, daraus abge-          lichen Auslagerungen auf ein wirksames Informati-
   leitete Schutzmaßnahmen für den IT-Betrieb          onsrisikomanagement des Auslagerungsnehmers
   sowie die Festlegung entsprechender Maß-            zu achten. Das Institut hat für jede Auslagerung
   nahmen zur Risikobehandlung und -minde-             zu analysieren, ob diese unter Risikogesichtspunk-
   rung umfassen.                                      ten wesentlich ist. Für die wesentlichen Auslage-
                                                       rungen geben die MaRisk bestimmte Vertragsin-
   Beim Bezug von Software sind die damit ver-         halte vor. Insbesondere sind uneingeschränkte
   bundenen Risiken angemessen zu bewerten.“           Prüfungsrechte für das Institut und für die Auf-
                                                       sicht vertraglich zu vereinbaren.
   Das Wording des ersten Satzes ist sehr eng an
   die einschlägigen Standards 200-1 bis 200-3 des     Auch bei unter Risikogesichtspunkten nicht
   BSI angelehnt und gibt somit in Verbindung mit      wesentlichen Auslagerungen und bei sonsti-
   AT 7.2 MaRisk einen deutlichen Hinweis, dass        gem Fremdbezug von Leistungen hat das Insti-
   hier mit besonderer Dringlichkeit eine Orientie-    tut dafür Sorge zu tragen, dass die ordnungsge-
   rung an den Standards des BSI oder der ISO zu       mäße Geschäftsorganisation durch diese nicht
   erfolgen hat.                                       beeinträchtigt wird.

   Der zweite Satz entfaltet eine besondere Bedeu-     4. BAIT
   tung, wenn man sich vergegenwärtigt, welche
   Besonderheiten bei Risiken aus fremdbezoge-         Die BAIT konkretisiert die Anforderungen aus
   ner Software vorliegen. Durch Software-Sys-         den MaRisk sehr umfangreich.
   teme wird die Funktionalität der Geschäfts-
   prozesse eines Instituts wesentlich bestimmt,       Kapitel 1 behandelt Anforderungen an die
   weil diese die Regeln enthalten und umset-          IT-Strategie, Kapitel 2 solche an die IT-Gover-
   zen, denen jegliche automatisierte Funktionen       nance, Kapitel 3 für das Informationsrisiko-
   verfahren.                                          management, Kapitel 4 für das Informations-
                                                       sicherheitsmanagement, Kapitel 5 für das
   Für den Umgang mit IT-Risiken ist auch AT 9         Benutzerberechtigungsmanagement, Kapitel 6
   MaRisk von besonderer Bedeutung. Denn auch          für IT-Projekte, Anwendungsentwicklung und
   bei einer Auslagerung von Aktivitäten verbleibt     durch Endanwender entwickelte Anwendungen
   die Verantwortung für die damit verbundenen         („Individuelle Datenverarbeitung“/IDV), Kapitel 7
   Risiken beim Institut. Bei bestimmten IT-Ausla-     für IT-Betrieb und Datensicherung, Kapitel 8 für

   18       Schutzbedarfsfeststellungen und Risikoanalysen, Finanz Colloquium Heidelberg, 2020.

Sie können auch lesen