Machen Sie Ihr Business mit agilen Vorgehensweisen reaktionsfähiger und flexibler, erzeugen Sie einen höheren Business Value für sich und Ihre Kunden und gewinnen Sie mit einem schnelleren Markteintritt.

Agiles Service Management Scaling Agile Schulungen für agile Methoden

Die iTSM Group ist ganzheitlicher Ansprechpartner für die digitale Transformation von Services und Prozessen - von der umfänglichen Beratung über Implementierung bis zum Betrieb der zugrundeliegenden Lösung. 

Digitalisierungsberatung Digitalisierung von Geschäftsprozessen

Beratung und Begleitung für Compliance bei Informationssicherheit, Datenschutz und Risk Management 

Identity & Access Management Information Security Management Risk Management Security Operations

Abläufe enger an den Geschäftszielen orientieren und eine möglichst reibungslose Prozessorganisation, die durch Digitalisierung und Automatisierung von Geschäftsabläufen optimal ergänzt wird - das sind die strategischen Ziele unserer Leistungen rund um Prozesse.

Business Process Management Digitalisierung von Geschäftsprozessen Prozessberatung

Wir unterstützen Sie umfassend bei Auf- und Umbau sowie im Betrieb Ihres Service Managements und tragen so zu qualitätsvollen Services bei, die als effektive Schnittstelle zwischen Angebot und Kunden fungieren.

Agile & IT Service Management Customer Service Management Enterprise Service Management HR Service Management ITIL® Beratung Service Management as a Service Service Management Schulungen

Die Now Platform ist ein starkes Werkzeug zur Digitalisierung und Teilautomatisierung Ihrer Prozesse und Services.

Hier finden Sie eine Übersicht über die verschiedenen Anwendungsfelder in Abteilungen und Branchen. 

Als ServiceNow® Elite Partner ist die iTSM Group mit ihren Tochtergesellschaften eines der profiliertesten Beratungshäuser für die Enterprise Service Management Plattform in Europa.

Hier finden Sie unsere ServiceNow® Beratungsleistungen in der Übersicht. 

Lösungen auf Basis von ServiceNow® auf Ihre Prozesse abstimmen - als ServiceNow® Elite-Implementierungspartner ist iTSM Group mit Ihren europäischen Tochtergesellschaften die erste Wahl für die Umsetzung eines unternehmensweiten Service Managements.

ServiceNow® as a Service ist das ideale Produkt für einen schnellen Einstieg in die digitale Transformation von kleinen und mittelständischen Unternehmen: Wir sorgen für Aufbau und Konfiguration Ihrer ServiceNow® Umgebung, bilden Ihre Prozesse dort ab und ermöglichen ohne langfristige vertragliche Bindung den Zuschnitt auf individuelle Bedürfnisse.

Steigern Sie die Akzeptanz und Nutzung Ihres Service-Portals mit User Experience Design ­– für mehr Zufriedenheit und Effizienz im Unternehmen.

In unseren ServiceNow® Schulungen sammeln Sie Erfahrungen im Umgang mit der Software und lernen, wie Sie Ihre Arbeitsprozesse in ServiceNow® abbilden und optimieren können. Als autorisierter Trainingspartner von ServiceNow® bieten wir Ihnen außerdem auch die offizielle Zertifizierung an.

Schulungen für den fachlichen Ansatz, um eine bessere Verzahnung von Entwicklung und IT-Betrieb bei Entwicklungsprozessen sicherzustellen.

DevOps Foundation DevOps Online Foundation SAFe® DevOps Practitioner

Schulungen für die IT Infrastructure Library (ITIL®) v3 und 4 - das weltweit anerkannte Best Practice Modell zur Umsetzung von IT-Service Management.

ITIL® 4 Foundation ITIL® 4 Foundation Plus ITIL® 4 Specialist: Create, Deliver & Support (CDS) ITIL® 4 Strategist: Direct, Plan & Improve (DPI) ITIL® 4 Specialist: Drive Stakeholder Value (DSV) ITIL® 4 Specialist: High Velocity IT (HVIT) ITIL® 4 Practice: Monitor, Support & Fulfil (MSF) ITIL® 4 Leader: Digital & IT Strategy (DITS)

Schulungen für die prozessorientierte Methode für das Projektmanagement, die sich an Best Practices orientiert.

PRINCE2® Foundation PRINCE2® Foundation Online PRINCE2® Practitioner PRINCE2® Kompakt

Schulungen für das Rahmenwerk für agiles Projektmanagement schlechthin - mit Zertifizierung von scrum.org.

Scrum Master Scrum Product Owner Scrum Fundamentals Scrum Master & Product Owner Online

Schulungen für eine Vielzahl von Aspekten der cloud-basierten Now Plattform von ServiceNow®.

ServiceNow Betrieb Customer Service Management Introduction Handhabung Scoped Applications Java-Script Coding in ServiceNow® ServiceNow Asset vs. CI ServiceNow HR Workshop Best Practice Service Portal ServiceNow® Reporting

Lernen Sie spielerisch in Simulationen die Möglichkeiten von ITIL®, PRINCE2® und DEVOPS in Ihrem Unternehmen kennen. Erleben Sie eine fiktive Raumfahrt oder steigern Sie die Produktivität eines Pizza-Lieferanten. Dabei werden viele typische Probleme sichtbar, die in IT-Organisationen anzutreffen sind. 

Apollo 13 Simulation Challenge of Egypt™ Grab@Pizza-Simulation ITSM around the World MarsLander® – an ITIL® 4 Simulation The Phoenix Project Simulation

In unseren Praxisworkshops unterstützen kompetente Trainer:innen Ihre Organisation dabei, theoretische Rahmenwerke und Software-Knowhow in die Alltagspraxis einzufügen.

Gemeinsam mit Ihnen erarbeiten wir Lösungen für die Einführung, beratschlagen zur konkreten Ausgestaltung von Prozessen und klären Fragen, die Ihnen und Ihren Mitarbeitenden auf dem Herzen liegen.

Unsere Online Schulungen bereiten Sie und Ihre Mitarbeiter:innen digital, abwechslungsreich und effizient auf Ihre Zertifizierung vor.

In den Grundlagenschulungen für ITIL®, PRINCE2® und andere werden Sie mithilfe von Fallstudien und Quiz- und Kapitel-Fragen mit den Inhalten vertraut gemacht - alles was Sie brauchen ist ein Computer oder Tablet mit stabiler Internetverbindung.

DevOps Foundation Online ITIL® 4 Foundation Online PRINCE2® Foundation Online Scrum Master & Product Owner Online

Mit der gebündelten Expertise von erfahrenen Consultants und pädagogischen Fachkräften bieten wir Ihnen digitale Lernformate, die genau auf Ihre Bedürfnisse zugeschnitten werden. Hierzu zählen interaktive Lernerlebnisse, Knowledge Nuggets und kontextspezifische Lernformate.​

Knowledge

Mehr erfahren

Hier finden Sie Leitfäden und Praxistipps rund um Service Management und Prozessdigitalisierung.

Tipps für die Anwendung und den Umgang mit ServiceNow®. Erfahren Sie in kurzen Videos mehr zu Detailfragen in der Anwendung und Optimierung des Service Portals von ServiceNow®.

Mit unseren Webinaren stellen Ihnen erfahrene Trainer, Berater und Software-Architekten Themen und Lösungen rund um das Enterprise Service Management vor. Auf diese Weise wollen wir Unternehmen und ihren Mitarbeiter unterstützen, die Kraft der Automatisierung für ihre Prozesse zu entfesseln und die Digitalisierung ihrer Services zu meistern.

Kategorien

19.10.2022

Bankaufsichtliche Anforderungen an die IT (BAIT): Tipps für die erfolgreiche Umsetzung

In der Fassung vom 16.08.2021 verabschiedete die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den aktuellen Anforderungskatalog mit dem illustren Namen BAIT (Bankaufsichtliche Anforderungen an die IT) mittels eines Rundschreibens „An alle Kreditinstitute und Finanzdienstleistungsinstitute in der Bundesrepublik Deutschland“. Wesentliche Grundlage des Rundschreibens bildet der Paragraph 25a Abs. 1 des Kreditwesengesetzes (KWG) und das Rundschreiben 10/2021 (BA) „Mindestanforderungen an das Risikomanagement (MaRisk)“. Letzteres wird durch Ersteres konkretisiert, liegt ebenfalls in der Fassung vom 16.08.2021 vor und spricht denselben Empfängerkreis an.

Aber worum geht es denn nun eigentlich und wie sehen diese „Anforderungen an die IT“ aus? In den Vorbemerkungen der BAIT unter I. 2 wird konstatiert: „Der Einsatz von Informationstechnik (IT) in den Instituten, auch unter Einbeziehung von IT-Services, die durch IT-Dienstleister bereitgestellt werden, hat eine zentrale Bedeutung für die Finanzwirtschaft und wird weiter an Bedeutung gewinnen“.

Diese Erkenntnis ist wahrlich nicht neu! Weiter heißt es: „Dieses Rundschreiben gibt […] einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute insbesondere für das Management der IT-Ressourcen, das Informationsrisikomanagement und das Informationssicherheitsmanagement  vor. Es präzisiert ferner die Anforderungen des § 25b KWG (Auslagerung von Aktivitäten und Prozessen)“. Das liest sich schon konkreter.

Das BAIT-Management-System

Listet man die Komponenten dieses Rahmenwerkes – nennen wir es mal das BAIT-Management-System – auf, ergibt sich folgendes Bild:

 

Die Forderungen nach einer IT-Strategie, nach IT Governance und dem kontrollierten Umgang mit Informationssicherheitsrisiken (und -chancen) erscheinen logisch und konsequent, wenn man sich bewusst macht, dass diese Komponenten auch bei der Umsetzung und Zertifizierung von Management-Systemen wie z. B. einem ISMS nach ISO/IEC 27001 oder einem SMS nach ISO/IEC 20000 nachzuweisen sind.  

Strategien und Governance-Prinzipien zur Führung eines Unternehmens und das Management der Risiken, eben nicht mehr nur auf operativer Ebene, sondern auch auf strategischer und taktischer Ebene, helfen Unternehmen dabei, den Umfang (Scope) und Wirkungskreis ihrer Management-Aktivitäten festzulegen. Risiken beschränken sich eben nicht nur auf Hard- und Softwareschwächen. Risiken, die auf Prozesse wie Business- und IT-Continuity oder auf das Change Management durchschlagen, rücken immer deutlicher in den Vordergrund, ebenso wie die Konsequenzen, die auf fehlgeleiteten oder nicht aufgegangenen strategischen Plänen beruhen. Corona hat uns alle gelehrt, dass der Umgang mit Risiken alles andere als trivial ist.

Die Festlegung einer IT-Strategie

Die IT-Strategie-Anforderung nach BAIT nimmt Bezug auf die Anforderung AT 4.2 der MaRisk: „Die Geschäftsleitung hat eine mit der Geschäftsstrategie und den daraus resultierenden Risiken konsistente Risikostrategie festzulegen“. Und weiter heißt es nach BAIT 1.2 a) zu Mindestinhalten der IT-Strategie unter anderem: „Strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation des Instituts sowie IT-Dienstleistungen und sonstige wichtige Abhängigkeiten von Dritten“ und unter c):“Ziele, Zuständigkeiten und Einbindung der Informationssicherheit in die Organisation“. Allein diese beiden Punkte zeigen schon, was alles im Fokus einer IT-Strategie berücksichtigt werden muss.

Organisatorischer Aufbau umfasst heute nicht mehr nur Personaleinsatz, sondern mehr und mehr Personalentwicklung. Fundiert ausgebildetes IT-Personal ist rar am Markt. IT-Ablaufprozesse sind nicht selten ungeliebt und sollen durch agilere Aktivitäten abgelöst werden. Dennoch muss jedes Unternehmen selbst prüfen und entscheiden, ob Risiken bei beschleunigten Prozessen noch vernünftig händelbar bleiben. 

IT-Services bleiben naturgemäß von strategischen Einflüssen abhängig. Änderungen der Business-Strategie beeinflussen Business-Prozesse und diese wiederum Business-Services, welche von IT-Services als Enabler abhängig sind. IT-Strategie treibt den IT-Service-Katalog und umgekehrt.

Das gilt im selben Maße auch für die Abhängigkeit von Dritten wie Lieferanten und externe Dienstleister. IT-Strategie steht auch in Abhängigkeit vom Supplier Management und umgekehrt. Das mussten viele Organisationen in den vergangenen Jahren schmerzvoll erfahren.  

Die Bedeutung von IT Governance

IT Governance nach BAIT 2.1 „ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie“. Nach 2.2 ist „Die Geschäftsleitung [...] dafür verantwortlich, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah angepasst werden. Es ist sicherzustellen, dass diese Regelungen wirksam umgesetzt werden“ und dann noch 2.3: „Das Institut hat insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Ressourcen auszustatten.“  

Dies bezieht sich natürlich nicht nur auf finanzielle Ressourcen. Gerade die personellen Quellen für IT-Fachkräfte dünnen immer weiter aus. Gute und erfahrene ITler haben Jobs und lassen sich immer seltener mit besseren Gehältern locken. Die erfolgreiche IT der Zukunft wird nicht zuletzt von einem erfolgreichen Recruitment-Management-Prozess abhängen.

Wofür steht Informationsrisikomanagement?

Informationsrisikomanagement wird unter anderem unter Punkt 3.1 wie folgt definiert: „IT-Systeme, die zugehörigen IT-Prozesse und sonstige Bestandteile des Informationsverbundes müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Das Institut hat die mit dem Management der Informationsrisiken verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege zu definieren und aufeinander abzustimmen“.

Ein effektives Risiko-Management in der IT bedingt auch ein funktionierendes Asset Management. Und Assets sind letztendlich mehr als reine Bilanzmittel wie Hard- und Software, welche genau betrachtet eben nicht mehr sind als unterstützende Assets. Das, was für Unternehmen einen „wesentlichen Vermögenswert“ darstellt, sind seine Daten und Informationen. Sie sind das erste Ziel von Angriffen und Erpressungen. Diese primären Assets und ihr jeweiliger Einfluss auf die Sensibilität der essenziellen Business-Prozesse bilden das Nervensystem eines Unternehmens.  

Die Einordung dieser Assets nach ihrer Kritikalität bildet die Basis für das IT Risk Assessment und die Erhaltung ihrer Eigenschaften „Vertraulichkeit“, „Integrität“, „Verfügbarkeit“ und nicht selten auch die „Authentizität“ werden durch das IT Risk Treatment ermöglicht.

Womit befasst sich das Informationssicherheitsmanagement?

Informationssicherheitsmanagement nach BAIT 4.1 „macht Vorgaben zur Informationssicherheit, definiert Prozesse und steuert deren Umsetzung. Das Informationssicherheitsmanagement folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst“.   

Hinter diesem hier erwähnten fortlaufenden Prozess versteckt sich nichts Geringeres als das weit verbreitete PDCA oder auch Demingkreis genannte Verfahren. In der Praxis seit vielen Jahren bewährt, hat sich dieser Zyklus auch als kontinuierlicher Verbesserungsprozess (KVP) durchgesetzt. Es werden allerdings auch Stimmen laut, die dieses Verfahren als „Bremse“ für jegliches agile Vorgehen betrachten. Das soll aber niemanden davon abhalten, eine Symbiose aus „old fashioned“ PDCA und „modern agile movement“ zu bauen und umzusetzen.

Unter 4.2 heißt es weiter: „Die Geschäftsleitung hat eine Informationssicherheitsleitlinie zu beschließen und innerhalb des Instituts zu kommunizieren. [...] In der Informationssicherheitsleitlinie werden die Eckpunkte zum Schutz von Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität sowie der Geltungsbereich für die Informationssicherheit festgelegt“.

Warum Scope Management nicht trivial ist

Informationsleitlinien und natürlich auch Richtlinien muss es geben. Die Einhaltung der Datenschutz-Grundverordnung (DSGVO) ist keine freiwillige Maßnahme und eine Informationssicherheitsrichtlinie ist inzwischen nicht selten eine unterschriftspflichtige Beilage zum Arbeitsvertrag mancher Unternehmen. Nicht so trivial erweist sich die Definition eines brauchbaren Geltungsbereichs, gerne auch als „Scope“ betitelt. Das Scope Management sollte eine umfassende Stakeholder-Analyse inklusive der unterschiedlichen Interessenslagen dieser Parteien beinhalten sowie interne und externe Einflüsse aus allen Richtungen auf die Informationssicherheit berücksichtigen und natürlich im Auge behalten. Nichts ist so stetig wie der Wandel.

Die Rolle des Informationssicherheitsbeauftragten

Und last not least hat die Geschäftsleitung nach 4.4 „die Funktion des Informationssicherheitsbeauftragten einzurichten. Diese Funktion umfasst die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Instituts und gegenüber Dritten“. Diese Funktion ist natürlich nach 4.5 „organisatorisch und prozessual unabhängig auszugestalten, um mögliche Interessenskonflikte zu vermeiden“ und nach 4.6 hat „Jedes Institut die Funktion des Informationssicherheitsbeauftragten grundsätzlich im eigenen Haus vorzuhalten“.

Der Informationssicherheitsbeauftragte (ISB) sollte nicht mit einem Datenschutzbeauftragten (DSB) verwechselt werden. Der DSB soll für die Einhaltung der gesetzlichen Pflichten zum Datenschutz sorgen und kann auch extern beauftragt werden. Im Gegensatz zum ISB, der idealerweise tiefere Kenntnisse über ein Information Security Management System mitbringt, gerne auch nach dem ISO/IEC 27001 Standard, muss ein DSB keine technische IT-Expertise aufweisen.

Bestandteile der operativen Informationssicherheit

Operative Informationssicherheit umfasst das „daily business“ der IT-Security und bekannte Prozesse wie Vulnerability Management (ein weiterer Verwandter des Risiko-Managements), Netzwerk-Management, Schutz der physischen Umgebungen, Einsatz von Kryptografie und natürlich das Security Incident Management, das inzwischen gerne auch in extra eingerichteten „Security Operation Centers (SOC)“ betrieben wird. Hinzu kommen Vulnerability Scans, Penetration Tests und Attack Simulations, um Lücken in der Informationssicherheit aufzudecken. 

Warum ein effektives Identitäts- und Rechtemanagement essenziell ist

Bestandteil dieser Sicherungsmaßnahmen ist auch ein effektives Identitäts- und Rechtemanagement (IAM). Eines der Hauptziele aller Hacking-Angriffe ist die Erlangung von administrativen Rechten auf Systemen, weil sich für einen Admin im Unternehmensnetzwerk eben viele weitere Türen öffnen. Identitätendiebstahl wird durch erfolgreiche Phishing-Attacken ermöglicht; schwache Passwörter und unübersichtliche Rechtevergabe sind erstaunlicherweise immer noch weit verbreitet. Ein effektives Identity & Access Management ist heute ein Muss geworden, da Telearbeit vehement auf dem Vormarsch ist. Die zunehmende Nutzung von Cloud-Diensten führt zu neuen Zugriffstechnologien wie „Zero Trust Network Access (ZTNA)“, welches mehr und mehr auch als Ersatz für das „Virtual Private Network (VPN)“ in den Fokus gerät. Und nicht zuletzt wird das „Quantencomputing“ in naher Zukunft die bekannte IT auf den Kopf stellen.

Worauf es bei IT-Projekten ankommt

IT-Projekte und Anwendungsentwicklung gehören ebenfalls zum Tagesgeschäft der meisten Finanzdienstleister. IT-Projekte sollen agil, aber dennoch erfolgreich sein, Anwendungen müssen immer schneller zur Verfügung stehen und trotzdem die Anforderungen an Informationssicherheit erfüllen. Projekte werden immer noch hauptsächlich von Menschen gemacht und diese haben nun mal Schwächen. Projektmethoden wie „SCRUM“ lassen sich nicht auf Befehl durchsetzen, sondern unterliegen immer einer Phase des Trial-and-Error. Software ist traditionell seit Anbeginn aller Zeiten „buggy“ und auch die Einhaltung aller Coding-Tipps wie die Top Ten von OWASP können das nur rudimentär verhindern. Ein effektives Vulnerability und Patch Management sind nach wie vor die wirkungsvollsten Pflaster bei Softwareverwundbarkeiten.

Aufgaben des Asset Managements

Für den IT-Betrieb wird unter 8.2 u. a. gefordert, dass „Die Komponenten der IT-Systeme und deren Beziehungen zueinander [...] in geeigneter Weise zu verwalten, und die hierzu erfassten Bestandsangaben regelmäßig sowie anlassbezogen zu aktualisierensind. Die Erfassung der Komponenten ist ganz klassisch Aufgabe des Asset Managements, Beziehungen bildet das Configuration Management mittels einer Configuration Management Data Base (CMDB) ab. Das berühmte Framework ITIL® lässt grüßen und viele Unternehmen haben schmerzhaft erfahren müssen, dass die Implementierung einer CMDB eben doch nicht nur ein technisches Thema ist. Eine prozessuale Sicht auf Asseterfassung und -verwaltung ist nicht nur aus Sicht des verzahnten Risiko-Managements notwendig, sind doch die Verwundbarkeiten der IT „Vermögenswerte“ auch die Schwächen des Instituts. Die Verlinkung zu den IT Assets benötigen ebenfalls die weiteren verlangten Prozesse wie das Change-, das Incident- und das Performance-Management. Daten-Backup und -Recovery sind selbstverständlich auch gefordert.

Der Bezug von Fremdleistungen

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen beziehen sich z. B. auf Cloud-Dienstleistungen. Auch bei sonstigem Bezug von Fremdleistungen wird mal wieder auf den § 25a Abs. 1 KWG verwiesen, welcher ein ordnungsgemäßes Risiko-Management verlangt. Allerdings sind Disziplinen wie Supply Chain Risk Management und Vendor Risk Management aus der aktuellen IT nicht mehr wegzudenken. Die Pandemie hat mehr als deutlich die Schwächen einer globalen Supply Chain aufgezeigt. Dass die Risiken beim Bezug von Fremdsoftware identifiziert, analysiert und behandelt werden müssen, erklärt sich von selbst.

Das Zusammenspiel von Notfallplänen und Notfallhandbuch

IT-Notfallmanagement muss die mögliche Fortsetzung des Geschäftsbetriebes bei Eintritt vieler Risikoszenarien unterstützen. Das IT Service Continuity Management liefert seine Notfallpläne an das Business Continuity Management auf Unternehmensebene und das führt die Pläne zusammen, z. B. in einem Notfallhandbuch. Im Übrigen fordert BAIT in Kap. 10.4: „Die Wirksamkeit der IT-Notfallpläne ist durch mindestens jährliche IT-Notfalltests zu überprüfen“ und in 10.5: „Das Institut hat nachzuweisen, dass bei Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse aus einem ausreichend entfernten Rechenzentrum und für eine angemessene Zeit sowie für die anschließende Wiederherstellung des IT-Normalbetriebs erbracht werden können“. Vorhandene Notfallpläne und ein Notfallhandbuch sollen an allen Lokationen zur Verfügung stehen.

Die Rolle der Zahlungsdienstnutzer

Management der Beziehungen mit Zahlungsdienstnutzern fordert nach 11.2: „Das Institut hat Prozesse einzurichten und zu implementieren, durch die das Bewusstsein der Zahlungsdienstnutzer über die sicherheitsrelevanten Risiken in Bezug auf die Zahlungsdienste verbessert wird, indem die Zahlungsdienstnutzer unterstützt und beraten werden“.  Wer das Onlinebanking nutzt, wird mit Hinweisen auf Sicherheitsmaßnahmen – wie z. B. aktuelle Phishing-Warnhinweise und Informationen, wie Sie sich am besten vor typischen Betrugsmaschen schützen – begrüßt. Dennoch ist es erstaunlich, wie es Betrügern immer wieder gelingt, an Bankdaten zu gelangen. Hier sind die Institute angehalten, ihre Awareness-Kampagnen zu intensivieren.

Systemrelevante Versorgungseinrichtungen

Kritische Infrastrukturen sind unter anderem systemrelevante Versorgungseinrichtungen. Der Begriff „systemrelevant“ ist inzwischen jedermann ein Begriff. Unter Kap 12.1 der BAIT heißt es: „Als KRITIS-Schutzziel wird nachfolgend das Bewahren der Versorgungssicherheit der Gesellschaft mit den in § 7 BSI-Kritisverordnung genannten kritischen Dienstleistungen (Bargeldversorgung, kartengestützter Zahlungsverkehr, konventioneller Zahlungsverkehr sowie Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften) verstanden, da deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen könnte“.

Die BSI-Kritisverordnung des Bundesamtes für Sicherheit in der Informationstechnik legt Schwellenwerte fest, bei deren Erreichung ein Finanzinstitut als kritisch gilt. Die betroffenen Institute müssen besonders hohe Anforderungen erfüllen, da sie für die Grundversorgung der Bevölkerung als unverzichtbar gelten. Im Weiteren müssen sie den Status ihrer IT-Sicherheit dem BSI nachweisen.

Die iTSM Group ist in vielen der vorgenannten Themen ein verlässlicher und erfahrener Partner. Sie verfügt über zertifizierte Risiko-Manager:innen, ISO/IEC 27000 Auditor:innen und ein Team von Sicherheitsexpert:innen zum Themenbereich Governance, Risk und Compliance (GRC).  

Über den Autor Andreas Kletzsch

Seit über 20 Jahren ist Andreas Kletzsch als Spezialist für Prozess-Management und seit mehreren Jahren als Consultant für Information Security und Automotive Cyber Security auf der IT-Straße. Erfahrungen und Projekte bei zahlreichen Unternehmen prägen das Spektrum seines Kompetenz-Portfolios. Als Senior Consultant bei der iTSM Group berät und begleitet er seit 2018 Kunden zu den Themen Governance, Risk & Compliance und führt Pre-Audits als Zertifizierungsvorbereitung für ISO/IEC 20000 und ISO/IEC 27001 durch. Daneben ist seine Expertise als Risiko-Manager und IT-Security-Spezialist gefragt. Gute Kenntnisse der Finanzdienstleistungsbranche und der BaFIN motivierten Andreas Kletzsch zu diesem Beitrag.

IT-Services für die Finanzbranche

Wir sind der ganzheitliche Partner für einen gesunden IT-Service im Banken- und Finanzwesen und unterstützen unsere Kunden in diesem Bereich bei der Transformation ihrer Strukturen, Prozesse und Plattformen - von der Beratung über die Implementierung bis zum laufenden Betrieb.

Governance, Risk and Compliance

Mit unseren Leistungen im Bereich Governance, Risk and Compliance helfen wir unseren Kunden, den laufend wachsenden Compliance-Anforderungen aus Informationssicherheit, Datenschutz und Risk Management mit geeigneten Konzepten, Prozessen, Dienstleistungen und technischen Lösungen zu begegnen. 

Neuigkeiten der iTSM Group

Neue Impulse für das Service Management

Leitfäden, Webinare und Tutorials im iTSM Knowledge-Bereich.

 

iTSM Knowledge

Wie können wir Sie unterstützen?

Die iTSM Group in Europa

iTSM Group Zentrale

ITSM Consulting GmbH
Uwe-Zeidler-Ring 12
55294 Bodenheim

 

Telefon: +49 6135 9334 0
E-Mail: info@itsmgroup.com

iTSM Group Österreich

Softpoint Trusted Quality GmbH
Linzer Straße 16e
4221 Steyregg/Linz 

 

Telefon: +43 732 79 44 79 0
E-Mail: info@itsmgroup.com

iTSM Group Schweiz

Trusted Quality Switzerland GmbH 
Schwyzerstrasse 2a
CH–6422 Steinen

 

Tel.: +41 79 712 56 76 
E-Mail: info@trusted-quality.ch

iTSM Group Niederlande

Trusted Quality NL B.V.
Hutteweg 24
7071 BV Ulft

 

Telefon: +49 6135 9334 0
E-Mail: info@itsmgroup.com

iTSM Group Rumänien

iTSM Trusted Quality S.R.L.
2 Mexic, Bl. 1, Ap. 17, sec. 1,
Bukarest, RO-011756

 

Telefon: +40 (744) 180499
E-Mail: office@trusted-quality.ro

iTSM Group Großbritannien

Trusted Quality UK Ltd.
1 Bartholomew Lane,
London, EC2N 2 AX

info@itsmgroup.com

iTSM Group Italien

Trusted Quality Italy S.r.l.
Via Leonardo Da Vinci 12
39100 Bolzano BZ

info@itsmgroup.com