Mit unseren Leistungen im Bereich Agile & IT Service Management unterstützen wir unsere Kunden bei der optimalen Ausrichtung der Aufbau- und Ablauforganisation und digitalisieren und automatisieren gängige Aufgaben im Service Management – nach klassischen, agilen oder hybriden Methoden.

Machen Sie Ihr Business mit agilen Vorgehensweisen reaktionsfähiger und flexibler, erzeugen Sie einen höheren Business Value für sich und Ihre Kunden und gewinnen Sie mit einem schnelleren Markteintritt.

Durch unsere Erfahrung mit integrierten ITSM und DevOps-Umgebungen, Scrum/Kanban und strategischer Ausrichtung auf scaling agile ist die iTSM Group der ideale Partner rund um agile Vorgehensweisen und organisatorische Transformation. 

Mit unseren Leistungen im Bereich Customer Service Management (CSM) verhelfen wir Service-Organisationen zu einem kundenzentrierten und effizienten Arbeiten.

Mit "AI"-basierten Self-Services ermöglichen Sie Ihren Kunden eine mobile, effiziente und 24/7 Interaktion, während Ihren Service Agents alle kundenrelevanten Informationen zentral zur Verfügung stehen – in jedem Prozessschritt, abteilungsübergreifend und jederzeit aktuell.

Mit reichlich Erfahrung aus Projekten verschiedener Verwaltungsebenen und unserer Expertise im Service Management stehen wir Institutionen im öffentlichen Sektor bei der digitalen Transformation ihrer Prozesse und Strukturen mit Rat und Tat zur Seite.

Mit stetem Blick auf gesetzliche Rahmenbedingungen, Datensouveränität und -sicherheit sowie Entscheidungswege sorgen wir für passgenaue Lösungen mit echtem Mehrwert - für Behörden und Bürger:innen

Mit unseren Leistungen im Bereich Governance, Risk and Compliance helfen wir unseren Kunden, die laufend wachsenden Compliance-Anforderungen aus Informationssicherheit, Datenschutz und Risk Management mit geeigneten Konzepten, Prozessen, Dienstleistungen und technischen Lösungen zu begegnen. 

Damit versetzen wir unsere Kunden in die Lage, aus der Vielzahl der möglichen und notwendigen Maßnahmen die richtigen und leistbaren nachhaltig in der Organisation zu verankern.

In einer zunehmend datengetriebenen Welt sind die klassischen Methoden und Werkzeuge zur Handhabung des IT-Betriebs nicht länger zukunftsfähig.

Mit unseren Leistungen im Bereich IT Operations Management unterstützen wir unsere Kunden bei der Modernisierung und Transformation ihres IT-Betriebs und helfen Ihnen, die nächste Stufe der Automatisierung zu erreichen. 

Mit unseren Leistungen im Bereich Project Portfolio Management (PPM) unterstützen wir unsere Kunden dabei, ihre Projektsteuerung besser auf die Unternehmensstrategie abzustimmen und die Projektarbeit insgesamt effizienter zu gestalten - egal ob diese nach klassischen oder agilen Ansätzen durchgeführt wird. 

Die Now Platform ist ein starkes Werkzeug zur Digitalisierung und Teilautomatisierung Ihrer Prozesse und Services.

Hier finden Sie eine Übersicht über die verschiedenen Anwendungsfelder in Abteilungen und Branchen. 

Als ServiceNow® Elite Partner ist die iTSM Group mit ihren Tochtergesellschaften eines der profiliertesten Beratungshäuser für die Enterprise Service Management Plattform in Europa.

Hier finden Sie unsere ServiceNow® Beratungsleistungen in der Übersicht. 

Wir unterstützen Sie dabei, das Cloud SaaS von ServiceNow® richtig aufsetzen und einführen - mit einem ganzheitlichen Ansatz auf verschiedenen Ebenen.

Lernen Sie unsere Leistungen im Kontext der ServiceNow® Implementierung kennen.

ServiceNow® as a Service ist das ideale Produkt für einen schnellen Einstieg in die digitale Transformation von kleinen und mittelständischen Unternehmen: Wir sorgen für Aufbau und Konfiguration Ihrer ServiceNow® Umgebung, bilden Ihre Prozesse dort ab und ermöglichen ohne langfristige vertragliche Bindung den Zuschnitt auf individuelle Bedürfnisse.

Mit unseren Leistungen im Application Management Service (AMS) kümmern wir uns um die täglichen Aufgaben im Betrieb Ihrer Plattformlösungen unserer Kunden - besonders in Bezug auf globale ServiceNow® Plattformen. 

Unsere projektübergreifende Expertise und die maximale Transparenz in unserem Vorgehen sind dabei die Grundlage für eine erfolgreiche und vertrauensvolle Partnerschaft.

Steigern Sie die Akzeptanz und Nutzung Ihres Service-Portals mit User Experience Design ­– für mehr Zufriedenheit und Effizienz im Unternehmen.

In unseren ServiceNow® Schulungen sammeln Sie Erfahrungen im Umgang mit der Software und lernen, wie Sie Ihre Arbeitsprozesse in ServiceNow® abbilden und optimieren können. Als autorisierter Trainingspartner von ServiceNow® bieten wir Ihnen außerdem auch die offizielle Zertifizierung an.

COBIT® ist ein weltweit anerkanntes Framework zur Umsetzung von IT-Governance.

Akkreditierte und erfahrene Trainer:innen vermitteln Ihnen die Inhalte zu Governance und Management der IT.

DevOps ist ein kultureller und fachlicher Ansatz, um bei Entwicklungsprozessen eine bessere Verzahnung von Entwicklung und IT-Betrieb sicherzustellen. 

In unseren Schulungen für DevOps lernen Sie von praxiserfahrenen Trainer:innen alles, was Sie für eine effizientere Zusammenarbeit der beteiligten Abteilungen brauchen - inklusive offizieller PeopleCert® Zertifizierung

DevOps Fundamentals

IT Infrastructure Library (ITIL®) ist ein weltweit anerkanntes Framework zur Umsetzung von IT-Service Management.

In unseren ITIL® Schulungen für v3 und ITIL® 4 erlernen Sie die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse, die Aufbauorganisation und die Werkzeuge und können sich offiziell nach dem weltweit gültigen Standard zertifizieren.

ITIL® Foundations ITIL® 4 Specialist: Create, Deliver & Support ITIL® 4 Specialist: Drive Stakeholder Value ITIL® 4 Specialist: High Velocity IT ITIL® 4 Strategist: Direct, Plan & Improve ITIL® v3

PRINCE2® (Projects in Controlled Environments) ist eine prozessorientierte Methode für das Projektmanagement, die sich an Best Practices orientiert.

In unseren PRINCE2®-Schulungen erlernen Sie und Ihre Kolleg:innen das Rahmenwerk für erfolgreiche Projekte und konkrete Handlungsempfehlungen für jede Projektphase. Außerdem können Sie sich prüfen lassen und so auch gleich Ihr PeopleCert® Zertifikat des internationalen Standards erhalten.

PRINCE2® Foundation PRINCE2® Practitioner PRINCE2® Kompakt

Mit dem SAFe® Framework zwei grundlegende Herausforderung eines skalierten Frameworks in den Griff bekommen: Schnelligkeit und Flexibilität bei sich ändernden Anforderungen.

In unseren Schulungen bringen wir Sie zu den Fertigkeiten und bereiten Sie auf die Zertifizierung nach SAFe® 5.1 vor. 

Scrum ist ein Rahmenwerk für agiles Projektmanagement, das überwiegend bei der Entwicklung von Software aber auch der Produktentwicklung eingesetzt wird.

Unsere Schulungen für Scrum machen Sie bereit für agile Projekte. Unser praxiserfahrenesTrainerteam vermittelt Methoden sowie Praxiswissen und bereitet Sie und Ihre Kolleg:innen optimal auf die offizielle Prüfung auf scrum.org vor - sowohl in offenen Seminaren als auch Inhouse in Ihrer Organisation.

Scrum Master Scrum Product Owner Scrum Fundamentals

ServiceNow® ist Anbieter einer cloud-basierten Software-as-a-Service (SaaS) für Enterprise Service Management.

In unseren ServiceNow® Schulungen sammeln Sie Erfahrungen im Umgang mit der Software und lernen, wie Sie Ihre Arbeitsprozesse in ServiceNow® abbilden und optimieren können. Als autorisierter Trainingspartner von ServiceNow® bieten wir Ihnen außerdem auch die offizielle Zertifizierung an.

Lernen Sie spielerisch in Simulationen die Möglichkeiten von ITIL®, PRINCE2® und DEVOPS in Ihrem Unternehmen kennen. Erleben Sie eine fiktive Raumfahrt oder steigern Sie die Produktivität eines Pizza-Lieferanten. Dabei werden viele typische Probleme sichtbar, die in IT-Organisationen anzutreffen sind. 

Apollo 13 Simulation Challenge of Egypt™ Challenge of Egypt™ Agile Grab@Pizza-Simulation ITSM around the World MarsLander® – an ITIL® 4 Simulation The Phoenix Project Simulation

In unseren Praxisworkshops unterstützen kompetente Trainer:innen Ihre Organisation dabei, theoretische Rahmenwerke und Software-Knowhow in die Alltagspraxis einzufügen.

Gemeinsam mit Ihnen erarbeiten wir Lösungen für die Einführung, beratschlagen zur konkreten Ausgestaltung von Prozessen und klären Fragen, die Ihnen und Ihren Mitarbeitenden auf dem Herzen liegen.

Unsere Online Schulungen bereiten Sie und Ihre Mitarbeiter:innen digital, abwechslungsreich und effizient auf Ihre Zertifizierung vor.

In den Grundlagenschulungen für ITIL®, PRINCE2® und andere werden Sie mithilfe von Fallstudien und Quiz- und Kapitel-Fragen mit den Inhalten vertraut gemacht - alles was Sie brauchen ist ein Computer oder Tablet mit stabiler Internetverbindung.

Mit der gebündelten Expertise von erfahrenen Consultants und pädagogischen Fachkräften bieten wir Ihnen digitale Lernformate, die genau auf Ihre Bedürfnisse zugeschnitten werden. Hierzu zählen interaktive Lernerlebnisse, Knowledge Nuggets und kontextspezifische Lernformate.​

Kategorien

19.10.2022

Bankaufsichtliche Anforderungen an die IT (BAIT): Tipps für die erfolgreiche Umsetzung

In der Fassung vom 16.08.2021 verabschiedete die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den aktuellen Anforderungskatalog mit dem illustren Namen BAIT (Bankaufsichtliche Anforderungen an die IT) mittels eines Rundschreibens „An alle Kreditinstitute und Finanzdienstleistungsinstitute in der Bundesrepublik Deutschland“. Wesentliche Grundlage des Rundschreibens bildet der Paragraph 25a Abs. 1 des Kreditwesengesetzes (KWG) und das Rundschreiben 10/2021 (BA) „Mindestanforderungen an das Risikomanagement (MaRisk)“. Letzteres wird durch Ersteres konkretisiert, liegt ebenfalls in der Fassung vom 16.08.2021 vor und spricht denselben Empfängerkreis an.

Aber worum geht es denn nun eigentlich und wie sehen diese „Anforderungen an die IT“ aus? In den Vorbemerkungen der BAIT unter I. 2 wird konstatiert: „Der Einsatz von Informationstechnik (IT) in den Instituten, auch unter Einbeziehung von IT-Services, die durch IT-Dienstleister bereitgestellt werden, hat eine zentrale Bedeutung für die Finanzwirtschaft und wird weiter an Bedeutung gewinnen“.

Diese Erkenntnis ist wahrlich nicht neu! Weiter heißt es: „Dieses Rundschreiben gibt […] einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute insbesondere für das Management der IT-Ressourcen, das Informationsrisikomanagement und das Informationssicherheitsmanagement  vor. Es präzisiert ferner die Anforderungen des § 25b KWG (Auslagerung von Aktivitäten und Prozessen)“. Das liest sich schon konkreter.

Das BAIT-Management-System

Listet man die Komponenten dieses Rahmenwerkes – nennen wir es mal das BAIT-Management-System – auf, ergibt sich folgendes Bild:

 

Die Forderungen nach einer IT-Strategie, nach IT Governance und dem kontrollierten Umgang mit Informationssicherheitsrisiken (und -chancen) erscheinen logisch und konsequent, wenn man sich bewusst macht, dass diese Komponenten auch bei der Umsetzung und Zertifizierung von Management-Systemen wie z. B. einem ISMS nach ISO/IEC 27001 oder einem SMS nach ISO/IEC 20000 nachzuweisen sind.  

Strategien und Governance-Prinzipien zur Führung eines Unternehmens und das Management der Risiken, eben nicht mehr nur auf operativer Ebene, sondern auch auf strategischer und taktischer Ebene, helfen Unternehmen dabei, den Umfang (Scope) und Wirkungskreis ihrer Management-Aktivitäten festzulegen. Risiken beschränken sich eben nicht nur auf Hard- und Softwareschwächen. Risiken, die auf Prozesse wie Business- und IT-Continuity oder auf das Change Management durchschlagen, rücken immer deutlicher in den Vordergrund, ebenso wie die Konsequenzen, die auf fehlgeleiteten oder nicht aufgegangenen strategischen Plänen beruhen. Corona hat uns alle gelehrt, dass der Umgang mit Risiken alles andere als trivial ist.

Die Festlegung einer IT-Strategie

Die IT-Strategie-Anforderung nach BAIT nimmt Bezug auf die Anforderung AT 4.2 der MaRisk: „Die Geschäftsleitung hat eine mit der Geschäftsstrategie und den daraus resultierenden Risiken konsistente Risikostrategie festzulegen“. Und weiter heißt es nach BAIT 1.2 a) zu Mindestinhalten der IT-Strategie unter anderem: „Strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation des Instituts sowie IT-Dienstleistungen und sonstige wichtige Abhängigkeiten von Dritten“ und unter c):“Ziele, Zuständigkeiten und Einbindung der Informationssicherheit in die Organisation“. Allein diese beiden Punkte zeigen schon, was alles im Fokus einer IT-Strategie berücksichtigt werden muss.

Organisatorischer Aufbau umfasst heute nicht mehr nur Personaleinsatz, sondern mehr und mehr Personalentwicklung. Fundiert ausgebildetes IT-Personal ist rar am Markt. IT-Ablaufprozesse sind nicht selten ungeliebt und sollen durch agilere Aktivitäten abgelöst werden. Dennoch muss jedes Unternehmen selbst prüfen und entscheiden, ob Risiken bei beschleunigten Prozessen noch vernünftig händelbar bleiben. 

IT-Services bleiben naturgemäß von strategischen Einflüssen abhängig. Änderungen der Business-Strategie beeinflussen Business-Prozesse und diese wiederum Business-Services, welche von IT-Services als Enabler abhängig sind. IT-Strategie treibt den IT-Service-Katalog und umgekehrt.

Das gilt im selben Maße auch für die Abhängigkeit von Dritten wie Lieferanten und externe Dienstleister. IT-Strategie steht auch in Abhängigkeit vom Supplier Management und umgekehrt. Das mussten viele Organisationen in den vergangenen Jahren schmerzvoll erfahren.  

Die Bedeutung von IT Governance

IT Governance nach BAIT 2.1 „ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie“. Nach 2.2 ist „Die Geschäftsleitung [...] dafür verantwortlich, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah angepasst werden. Es ist sicherzustellen, dass diese Regelungen wirksam umgesetzt werden“ und dann noch 2.3: „Das Institut hat insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Ressourcen auszustatten.“  

Dies bezieht sich natürlich nicht nur auf finanzielle Ressourcen. Gerade die personellen Quellen für IT-Fachkräfte dünnen immer weiter aus. Gute und erfahrene ITler haben Jobs und lassen sich immer seltener mit besseren Gehältern locken. Die erfolgreiche IT der Zukunft wird nicht zuletzt von einem erfolgreichen Recruitment-Management-Prozess abhängen.

Wofür steht Informationsrisikomanagement?

Informationsrisikomanagement wird unter anderem unter Punkt 3.1 wie folgt definiert: „IT-Systeme, die zugehörigen IT-Prozesse und sonstige Bestandteile des Informationsverbundes müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Das Institut hat die mit dem Management der Informationsrisiken verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege zu definieren und aufeinander abzustimmen“.

Ein effektives Risiko-Management in der IT bedingt auch ein funktionierendes Asset Management. Und Assets sind letztendlich mehr als reine Bilanzmittel wie Hard- und Software, welche genau betrachtet eben nicht mehr sind als unterstützende Assets. Das, was für Unternehmen einen „wesentlichen Vermögenswert“ darstellt, sind seine Daten und Informationen. Sie sind das erste Ziel von Angriffen und Erpressungen. Diese primären Assets und ihr jeweiliger Einfluss auf die Sensibilität der essenziellen Business-Prozesse bilden das Nervensystem eines Unternehmens.  

Die Einordung dieser Assets nach ihrer Kritikalität bildet die Basis für das IT Risk Assessment und die Erhaltung ihrer Eigenschaften „Vertraulichkeit“, „Integrität“, „Verfügbarkeit“ und nicht selten auch die „Authentizität“ werden durch das IT Risk Treatment ermöglicht.

Womit befasst sich das Informationssicherheitsmanagement?

Informationssicherheitsmanagement nach BAIT 4.1 „macht Vorgaben zur Informationssicherheit, definiert Prozesse und steuert deren Umsetzung. Das Informationssicherheitsmanagement folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst“.   

Hinter diesem hier erwähnten fortlaufenden Prozess versteckt sich nichts Geringeres als das weit verbreitete PDCA oder auch Demingkreis genannte Verfahren. In der Praxis seit vielen Jahren bewährt, hat sich dieser Zyklus auch als kontinuierlicher Verbesserungsprozess (KVP) durchgesetzt. Es werden allerdings auch Stimmen laut, die dieses Verfahren als „Bremse“ für jegliches agile Vorgehen betrachten. Das soll aber niemanden davon abhalten, eine Symbiose aus „old fashioned“ PDCA und „modern agile movement“ zu bauen und umzusetzen.

Unter 4.2 heißt es weiter: „Die Geschäftsleitung hat eine Informationssicherheitsleitlinie zu beschließen und innerhalb des Instituts zu kommunizieren. [...] In der Informationssicherheitsleitlinie werden die Eckpunkte zum Schutz von Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität sowie der Geltungsbereich für die Informationssicherheit festgelegt“.

Warum Scope Management nicht trivial ist

Informationsleitlinien und natürlich auch Richtlinien muss es geben. Die Einhaltung der Datenschutz-Grundverordnung (DSGVO) ist keine freiwillige Maßnahme und eine Informationssicherheitsrichtlinie ist inzwischen nicht selten eine unterschriftspflichtige Beilage zum Arbeitsvertrag mancher Unternehmen. Nicht so trivial erweist sich die Definition eines brauchbaren Geltungsbereichs, gerne auch als „Scope“ betitelt. Das Scope Management sollte eine umfassende Stakeholder-Analyse inklusive der unterschiedlichen Interessenslagen dieser Parteien beinhalten sowie interne und externe Einflüsse aus allen Richtungen auf die Informationssicherheit berücksichtigen und natürlich im Auge behalten. Nichts ist so stetig wie der Wandel.

Die Rolle des Informationssicherheitsbeauftragten

Und last not least hat die Geschäftsleitung nach 4.4 „die Funktion des Informationssicherheitsbeauftragten einzurichten. Diese Funktion umfasst die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Instituts und gegenüber Dritten“. Diese Funktion ist natürlich nach 4.5 „organisatorisch und prozessual unabhängig auszugestalten, um mögliche Interessenskonflikte zu vermeiden“ und nach 4.6 hat „Jedes Institut die Funktion des Informationssicherheitsbeauftragten grundsätzlich im eigenen Haus vorzuhalten“.

Der Informationssicherheitsbeauftragte (ISB) sollte nicht mit einem Datenschutzbeauftragten (DSB) verwechselt werden. Der DSB soll für die Einhaltung der gesetzlichen Pflichten zum Datenschutz sorgen und kann auch extern beauftragt werden. Im Gegensatz zum ISB, der idealerweise tiefere Kenntnisse über ein Information Security Management System mitbringt, gerne auch nach dem ISO/IEC 27001 Standard, muss ein DSB keine technische IT-Expertise aufweisen.

Bestandteile der operativen Informationssicherheit

Operative Informationssicherheit umfasst das „daily business“ der IT-Security und bekannte Prozesse wie Vulnerability Management (ein weiterer Verwandter des Risiko-Managements), Netzwerk-Management, Schutz der physischen Umgebungen, Einsatz von Kryptografie und natürlich das Security Incident Management, das inzwischen gerne auch in extra eingerichteten „Security Operation Centers (SOC)“ betrieben wird. Hinzu kommen Vulnerability Scans, Penetration Tests und Attack Simulations, um Lücken in der Informationssicherheit aufzudecken. 

Warum ein effektives Identitäts- und Rechtemanagement essenziell ist

Bestandteil dieser Sicherungsmaßnahmen ist auch ein effektives Identitäts- und Rechtemanagement (IAM). Eines der Hauptziele aller Hacking-Angriffe ist die Erlangung von administrativen Rechten auf Systemen, weil sich für einen Admin im Unternehmensnetzwerk eben viele weitere Türen öffnen. Identitätendiebstahl wird durch erfolgreiche Phishing-Attacken ermöglicht; schwache Passwörter und unübersichtliche Rechtevergabe sind erstaunlicherweise immer noch weit verbreitet. Ein effektives Identity & Access Management ist heute ein Muss geworden, da Telearbeit vehement auf dem Vormarsch ist. Die zunehmende Nutzung von Cloud-Diensten führt zu neuen Zugriffstechnologien wie „Zero Trust Network Access (ZTNA)“, welches mehr und mehr auch als Ersatz für das „Virtual Private Network (VPN)“ in den Fokus gerät. Und nicht zuletzt wird das „Quantencomputing“ in naher Zukunft die bekannte IT auf den Kopf stellen.

Worauf es bei IT-Projekten ankommt

IT-Projekte und Anwendungsentwicklung gehören ebenfalls zum Tagesgeschäft der meisten Finanzdienstleister. IT-Projekte sollen agil, aber dennoch erfolgreich sein, Anwendungen müssen immer schneller zur Verfügung stehen und trotzdem die Anforderungen an Informationssicherheit erfüllen. Projekte werden immer noch hauptsächlich von Menschen gemacht und diese haben nun mal Schwächen. Projektmethoden wie „SCRUM“ lassen sich nicht auf Befehl durchsetzen, sondern unterliegen immer einer Phase des Trial-and-Error. Software ist traditionell seit Anbeginn aller Zeiten „buggy“ und auch die Einhaltung aller Coding-Tipps wie die Top Ten von OWASP können das nur rudimentär verhindern. Ein effektives Vulnerability und Patch Management sind nach wie vor die wirkungsvollsten Pflaster bei Softwareverwundbarkeiten.

Aufgaben des Asset Managements

Für den IT-Betrieb wird unter 8.2 u. a. gefordert, dass „Die Komponenten der IT-Systeme und deren Beziehungen zueinander [...] in geeigneter Weise zu verwalten, und die hierzu erfassten Bestandsangaben regelmäßig sowie anlassbezogen zu aktualisierensind. Die Erfassung der Komponenten ist ganz klassisch Aufgabe des Asset Managements, Beziehungen bildet das Configuration Management mittels einer Configuration Management Data Base (CMDB) ab. Das berühmte Framework ITIL® lässt grüßen und viele Unternehmen haben schmerzhaft erfahren müssen, dass die Implementierung einer CMDB eben doch nicht nur ein technisches Thema ist. Eine prozessuale Sicht auf Asseterfassung und -verwaltung ist nicht nur aus Sicht des verzahnten Risiko-Managements notwendig, sind doch die Verwundbarkeiten der IT „Vermögenswerte“ auch die Schwächen des Instituts. Die Verlinkung zu den IT Assets benötigen ebenfalls die weiteren verlangten Prozesse wie das Change-, das Incident- und das Performance-Management. Daten-Backup und -Recovery sind selbstverständlich auch gefordert.

Der Bezug von Fremdleistungen

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen beziehen sich z. B. auf Cloud-Dienstleistungen. Auch bei sonstigem Bezug von Fremdleistungen wird mal wieder auf den § 25a Abs. 1 KWG verwiesen, welcher ein ordnungsgemäßes Risiko-Management verlangt. Allerdings sind Disziplinen wie Supply Chain Risk Management und Vendor Risk Management aus der aktuellen IT nicht mehr wegzudenken. Die Pandemie hat mehr als deutlich die Schwächen einer globalen Supply Chain aufgezeigt. Dass die Risiken beim Bezug von Fremdsoftware identifiziert, analysiert und behandelt werden müssen, erklärt sich von selbst.

Das Zusammenspiel von Notfallplänen und Notfallhandbuch

IT-Notfallmanagement muss die mögliche Fortsetzung des Geschäftsbetriebes bei Eintritt vieler Risikoszenarien unterstützen. Das IT Service Continuity Management liefert seine Notfallpläne an das Business Continuity Management auf Unternehmensebene und das führt die Pläne zusammen, z. B. in einem Notfallhandbuch. Im Übrigen fordert BAIT in Kap. 10.4: „Die Wirksamkeit der IT-Notfallpläne ist durch mindestens jährliche IT-Notfalltests zu überprüfen“ und in 10.5: „Das Institut hat nachzuweisen, dass bei Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse aus einem ausreichend entfernten Rechenzentrum und für eine angemessene Zeit sowie für die anschließende Wiederherstellung des IT-Normalbetriebs erbracht werden können“. Vorhandene Notfallpläne und ein Notfallhandbuch sollen an allen Lokationen zur Verfügung stehen.

Die Rolle der Zahlungsdienstnutzer

Management der Beziehungen mit Zahlungsdienstnutzern fordert nach 11.2: „Das Institut hat Prozesse einzurichten und zu implementieren, durch die das Bewusstsein der Zahlungsdienstnutzer über die sicherheitsrelevanten Risiken in Bezug auf die Zahlungsdienste verbessert wird, indem die Zahlungsdienstnutzer unterstützt und beraten werden“.  Wer das Onlinebanking nutzt, wird mit Hinweisen auf Sicherheitsmaßnahmen – wie z. B. aktuelle Phishing-Warnhinweise und Informationen, wie Sie sich am besten vor typischen Betrugsmaschen schützen – begrüßt. Dennoch ist es erstaunlich, wie es Betrügern immer wieder gelingt, an Bankdaten zu gelangen. Hier sind die Institute angehalten, ihre Awareness-Kampagnen zu intensivieren.

Systemrelevante Versorgungseinrichtungen

Kritische Infrastrukturen sind unter anderem systemrelevante Versorgungseinrichtungen. Der Begriff „systemrelevant“ ist inzwischen jedermann ein Begriff. Unter Kap 12.1 der BAIT heißt es: „Als KRITIS-Schutzziel wird nachfolgend das Bewahren der Versorgungssicherheit der Gesellschaft mit den in § 7 BSI-Kritisverordnung genannten kritischen Dienstleistungen (Bargeldversorgung, kartengestützter Zahlungsverkehr, konventioneller Zahlungsverkehr sowie Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften) verstanden, da deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen könnte“.

Die BSI-Kritisverordnung des Bundesamtes für Sicherheit in der Informationstechnik legt Schwellenwerte fest, bei deren Erreichung ein Finanzinstitut als kritisch gilt. Die betroffenen Institute müssen besonders hohe Anforderungen erfüllen, da sie für die Grundversorgung der Bevölkerung als unverzichtbar gelten. Im Weiteren müssen sie den Status ihrer IT-Sicherheit dem BSI nachweisen.

Die iTSM Group ist in vielen der vorgenannten Themen ein verlässlicher und erfahrener Partner. Sie verfügt über zertifizierte Risiko-Manager:innen, ISO/IEC 27000 Auditor:innen und ein Team von Sicherheitsexpert:innen zum Themenbereich Governance, Risk und Compliance (GRC).  

Über den Autor Andreas Kletzsch

Seit über 20 Jahren ist Andreas Kletzsch als Spezialist für Prozess-Management und seit mehreren Jahren als Consultant für Information Security und Automotive Cyber Security auf der IT-Straße. Erfahrungen und Projekte bei zahlreichen Unternehmen prägen das Spektrum seines Kompetenz-Portfolios. Als Senior Consultant bei der iTSM Group berät und begleitet er seit 2018 Kunden zu den Themen Governance, Risk & Compliance und führt Pre-Audits als Zertifizierungsvorbereitung für ISO/IEC 20000 und ISO/IEC 27001 durch. Daneben ist seine Expertise als Risiko-Manager und IT-Security-Spezialist gefragt. Gute Kenntnisse der Finanzdienstleistungsbranche und der BaFIN motivierten Andreas Kletzsch zu diesem Beitrag.

Governance, Risk and Compliance

Mit unseren Leistungen im Bereich Governance, Risk and Compliance helfen wir unseren Kunden, den laufend wachsenden Compliance-Anforderungen aus Informationssicherheit, Datenschutz und Risk Management mit geeigneten Konzepten, Prozessen, Dienstleistungen und technischen Lösungen zu begegnen. 

Neuigkeiten der iTSM Group

Neue Impulse für das Service Management

Erfahren Sie in unseren Webinaren mehr über Lösungen in der Service Transformation

Zu unseren Webinaren