19.10.2022

Bankaufsichtliche Anforderungen an die IT (BAIT): Tipps für die erfolgreiche Umsetzung

Die Forderungen nach einer IT-Strategie, nach IT Governance und dem kontrollierten Umgang mit Informationssicherheitsrisiken (und -chancen) erscheinen logisch und konsequent, wenn man sich bewusst macht, dass diese Komponenten auch bei der Umsetzung und Zertifizierung von Management-Systemen wie z. B. einem ISMS nach ISO/IEC 27001 oder einem SMS nach ISO/IEC 20000 nachzuweisen sind.  

Strategien und Governance-Prinzipien zur Führung eines Unternehmens und das Management der Risiken, eben nicht mehr nur auf operativer Ebene, sondern auch auf strategischer und taktischer Ebene, helfen Unternehmen dabei, den Umfang (Scope) und Wirkungskreis ihrer Management-Aktivitäten festzulegen. Risiken beschränken sich eben nicht nur auf Hard- und Softwareschwächen. Risiken, die auf Prozesse wie Business- und IT-Continuity oder auf das Change Management durchschlagen, rücken immer deutlicher in den Vordergrund, ebenso wie die Konsequenzen, die auf fehlgeleiteten oder nicht aufgegangenen strategischen Plänen beruhen. Corona hat uns alle gelehrt, dass der Umgang mit Risiken alles andere als trivial ist.

Die Festlegung einer IT-Strategie

Die IT-Strategie-Anforderung nach BAIT nimmt Bezug auf die Anforderung AT 4.2 der MaRisk: „Die Geschäftsleitung hat eine mit der Geschäftsstrategie und den daraus resultierenden Risiken konsistente Risikostrategie festzulegen“. Und weiter heißt es nach BAIT 1.2 a) zu Mindestinhalten der IT-Strategie unter anderem: „Strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation des Instituts sowie IT-Dienstleistungen und sonstige wichtige Abhängigkeiten von Dritten“ und unter c):“Ziele, Zuständigkeiten und Einbindung der Informationssicherheit in die Organisation“. Allein diese beiden Punkte zeigen schon, was alles im Fokus einer IT-Strategie berücksichtigt werden muss.

Organisatorischer Aufbau umfasst heute nicht mehr nur Personaleinsatz, sondern mehr und mehr Personalentwicklung. Fundiert ausgebildetes IT-Personal ist rar am Markt. IT-Ablaufprozesse sind nicht selten ungeliebt und sollen durch agilere Aktivitäten abgelöst werden. Dennoch muss jedes Unternehmen selbst prüfen und entscheiden, ob Risiken bei beschleunigten Prozessen noch vernünftig händelbar bleiben. 

IT-Services bleiben naturgemäß von strategischen Einflüssen abhängig. Änderungen der Business-Strategie beeinflussen Business-Prozesse und diese wiederum Business-Services, welche von IT-Services als Enabler abhängig sind. IT-Strategie treibt den IT-Service-Katalog und umgekehrt.

Das gilt im selben Maße auch für die Abhängigkeit von Dritten wie Lieferanten und externe Dienstleister. IT-Strategie steht auch in Abhängigkeit vom Supplier Management und umgekehrt. Das mussten viele Organisationen in den vergangenen Jahren schmerzvoll erfahren.  

Die Bedeutung von IT Governance

IT Governance nach BAIT 2.1 „ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie“. Nach 2.2 ist „Die Geschäftsleitung [...] dafür verantwortlich, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah angepasst werden. Es ist sicherzustellen, dass diese Regelungen wirksam umgesetzt werden“ und dann noch 2.3: „Das Institut hat insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Ressourcen auszustatten.“  

Dies bezieht sich natürlich nicht nur auf finanzielle Ressourcen. Gerade die personellen Quellen für IT-Fachkräfte dünnen immer weiter aus. Gute und erfahrene ITler haben Jobs und lassen sich immer seltener mit besseren Gehältern locken. Die erfolgreiche IT der Zukunft wird nicht zuletzt von einem erfolgreichen Recruitment-Management-Prozess abhängen.

Wofür steht Informationsrisikomanagement?

Informationsrisikomanagement wird unter anderem unter Punkt 3.1 wie folgt definiert: „IT-Systeme, die zugehörigen IT-Prozesse und sonstige Bestandteile des Informationsverbundes müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Das Institut hat die mit dem Management der Informationsrisiken verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege zu definieren und aufeinander abzustimmen“.

Ein effektives Risiko-Management in der IT bedingt auch ein funktionierendes Asset Management. Und Assets sind letztendlich mehr als reine Bilanzmittel wie Hard- und Software, welche genau betrachtet eben nicht mehr sind als unterstützende Assets. Das, was für Unternehmen einen „wesentlichen Vermögenswert“ darstellt, sind seine Daten und Informationen. Sie sind das erste Ziel von Angriffen und Erpressungen. Diese primären Assets und ihr jeweiliger Einfluss auf die Sensibilität der essenziellen Business-Prozesse bilden das Nervensystem eines Unternehmens.  

Die Einordung dieser Assets nach ihrer Kritikalität bildet die Basis für das IT Risk Assessment und die Erhaltung ihrer Eigenschaften „Vertraulichkeit“, „Integrität“, „Verfügbarkeit“ und nicht selten auch die „Authentizität“ werden durch das IT Risk Treatment ermöglicht.

Womit befasst sich das Informationssicherheitsmanagement?

Informationssicherheitsmanagement nach BAIT 4.1 „macht Vorgaben zur Informationssicherheit, definiert Prozesse und steuert deren Umsetzung. Das Informationssicherheitsmanagement folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst“.   

Hinter diesem hier erwähnten fortlaufenden Prozess versteckt sich nichts Geringeres als das weit verbreitete PDCA oder auch Demingkreis genannte Verfahren. In der Praxis seit vielen Jahren bewährt, hat sich dieser Zyklus auch als kontinuierlicher Verbesserungsprozess (KVP) durchgesetzt. Es werden allerdings auch Stimmen laut, die dieses Verfahren als „Bremse“ für jegliches agile Vorgehen betrachten. Das soll aber niemanden davon abhalten, eine Symbiose aus „old fashioned“ PDCA und „modern agile movement“ zu bauen und umzusetzen.

Unter 4.2 heißt es weiter: „Die Geschäftsleitung hat eine Informationssicherheitsleitlinie zu beschließen und innerhalb des Instituts zu kommunizieren. [...] In der Informationssicherheitsleitlinie werden die Eckpunkte zum Schutz von Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität sowie der Geltungsbereich für die Informationssicherheit festgelegt“.

Warum Scope Management nicht trivial ist

Informationsleitlinien und natürlich auch Richtlinien muss es geben. Die Einhaltung der Datenschutz-Grundverordnung (DSGVO) ist keine freiwillige Maßnahme und eine Informationssicherheitsrichtlinie ist inzwischen nicht selten eine unterschriftspflichtige Beilage zum Arbeitsvertrag mancher Unternehmen. Nicht so trivial erweist sich die Definition eines brauchbaren Geltungsbereichs, gerne auch als „Scope“ betitelt. Das Scope Management sollte eine umfassende Stakeholder-Analyse inklusive der unterschiedlichen Interessenslagen dieser Parteien beinhalten sowie interne und externe Einflüsse aus allen Richtungen auf die Informationssicherheit berücksichtigen und natürlich im Auge behalten. Nichts ist so stetig wie der Wandel.

Die Rolle des Informationssicherheitsbeauftragten

Und last not least hat die Geschäftsleitung nach 4.4 „die Funktion des Informationssicherheitsbeauftragten einzurichten. Diese Funktion umfasst die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Instituts und gegenüber Dritten“. Diese Funktion ist natürlich nach 4.5 „organisatorisch und prozessual unabhängig auszugestalten, um mögliche Interessenskonflikte zu vermeiden“ und nach 4.6 hat „Jedes Institut die Funktion des Informationssicherheitsbeauftragten grundsätzlich im eigenen Haus vorzuhalten“.

Der Informationssicherheitsbeauftragte (ISB) sollte nicht mit einem Datenschutzbeauftragten (DSB) verwechselt werden. Der DSB soll für die Einhaltung der gesetzlichen Pflichten zum Datenschutz sorgen und kann auch extern beauftragt werden. Im Gegensatz zum ISB, der idealerweise tiefere Kenntnisse über ein Information Security Management System mitbringt, gerne auch nach dem ISO/IEC 27001 Standard, muss ein DSB keine technische IT-Expertise aufweisen.

Bestandteile der operativen Informationssicherheit

Operative Informationssicherheit umfasst das „daily business“ der IT-Security und bekannte Prozesse wie Vulnerability Management (ein weiterer Verwandter des Risiko-Managements), Netzwerk-Management, Schutz der physischen Umgebungen, Einsatz von Kryptografie und natürlich das Security Incident Management, das inzwischen gerne auch in extra eingerichteten „Security Operation Centers (SOC)“ betrieben wird. Hinzu kommen Vulnerability Scans, Penetration Tests und Attack Simulations, um Lücken in der Informationssicherheit aufzudecken. 

Warum ein effektives Identitäts- und Rechtemanagement essenziell ist

Bestandteil dieser Sicherungsmaßnahmen ist auch ein effektives Identitäts- und Rechtemanagement (IAM). Eines der Hauptziele aller Hacking-Angriffe ist die Erlangung von administrativen Rechten auf Systemen, weil sich für einen Admin im Unternehmensnetzwerk eben viele weitere Türen öffnen. Identitätendiebstahl wird durch erfolgreiche Phishing-Attacken ermöglicht; schwache Passwörter und unübersichtliche Rechtevergabe sind erstaunlicherweise immer noch weit verbreitet. Ein effektives Identity & Access Management ist heute ein Muss geworden, da Telearbeit vehement auf dem Vormarsch ist. Die zunehmende Nutzung von Cloud-Diensten führt zu neuen Zugriffstechnologien wie „Zero Trust Network Access (ZTNA)“, welches mehr und mehr auch als Ersatz für das „Virtual Private Network (VPN)“ in den Fokus gerät. Und nicht zuletzt wird das „Quantencomputing“ in naher Zukunft die bekannte IT auf den Kopf stellen.

Worauf es bei IT-Projekten ankommt

IT-Projekte und Anwendungsentwicklung gehören ebenfalls zum Tagesgeschäft der meisten Finanzdienstleister. IT-Projekte sollen agil, aber dennoch erfolgreich sein, Anwendungen müssen immer schneller zur Verfügung stehen und trotzdem die Anforderungen an Informationssicherheit erfüllen. Projekte werden immer noch hauptsächlich von Menschen gemacht und diese haben nun mal Schwächen. Projektmethoden wie „SCRUM“ lassen sich nicht auf Befehl durchsetzen, sondern unterliegen immer einer Phase des Trial-and-Error. Software ist traditionell seit Anbeginn aller Zeiten „buggy“ und auch die Einhaltung aller Coding-Tipps wie die Top Ten von OWASP können das nur rudimentär verhindern. Ein effektives Vulnerability und Patch Management sind nach wie vor die wirkungsvollsten Pflaster bei Softwareverwundbarkeiten.

Aufgaben des Asset Managements

Für den IT-Betrieb wird unter 8.2 u. a. gefordert, dass „Die Komponenten der IT-Systeme und deren Beziehungen zueinander [...] in geeigneter Weise zu verwalten, und die hierzu erfassten Bestandsangaben regelmäßig sowie anlassbezogen zu aktualisieren“sind. Die Erfassung der Komponenten ist ganz klassisch Aufgabe des Asset Managements, Beziehungen bildet das Configuration Management mittels einer Configuration Management Data Base (CMDB) ab. Das berühmte Framework ITIL^® lässt grüßen und viele Unternehmen haben schmerzhaft erfahren müssen, dass die Implementierung einer CMDB eben doch nicht nur ein technisches Thema ist. Eine prozessuale Sicht auf Asseterfassung und -verwaltung ist nicht nur aus Sicht des verzahnten Risiko-Managements notwendig, sind doch die Verwundbarkeiten der IT „Vermögenswerte“ auch die Schwächen des Instituts. Die Verlinkung zu den IT Assets benötigen ebenfalls die weiteren verlangten Prozesse wie das Change-, das Incident- und das Performance-Management. Daten-Backup und -Recovery sind selbstverständlich auch gefordert.

Der Bezug von Fremdleistungen

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen beziehen sich z. B. auf Cloud-Dienstleistungen. Auch bei sonstigem Bezug von Fremdleistungen wird mal wieder auf den § 25a Abs. 1 KWG verwiesen, welcher ein ordnungsgemäßes Risiko-Management verlangt. Allerdings sind Disziplinen wie Supply Chain Risk Management und Vendor Risk Management aus der aktuellen IT nicht mehr wegzudenken. Die Pandemie hat mehr als deutlich die Schwächen einer globalen Supply Chain aufgezeigt. Dass die Risiken beim Bezug von Fremdsoftware identifiziert, analysiert und behandelt werden müssen, erklärt sich von selbst.

Das Zusammenspiel von Notfallplänen und Notfallhandbuch

IT-Notfallmanagement muss die mögliche Fortsetzung des Geschäftsbetriebes bei Eintritt vieler Risikoszenarien unterstützen. Das IT Service Continuity Management liefert seine Notfallpläne an das Business Continuity Management auf Unternehmensebene und das führt die Pläne zusammen, z. B. in einem Notfallhandbuch. Im Übrigen fordert BAIT in Kap. 10.4: „Die Wirksamkeit der IT-Notfallpläne ist durch mindestens jährliche IT-Notfalltests zu überprüfen“ und in 10.5: „Das Institut hat nachzuweisen, dass bei Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse aus einem ausreichend entfernten Rechenzentrum und für eine angemessene Zeit sowie für die anschließende Wiederherstellung des IT-Normalbetriebs erbracht werden können“. Vorhandene Notfallpläne und ein Notfallhandbuch sollen an allen Lokationen zur Verfügung stehen.

Die Rolle der Zahlungsdienstnutzer

Management der Beziehungen mit Zahlungsdienstnutzern fordert nach 11.2: „Das Institut hat Prozesse einzurichten und zu implementieren, durch die das Bewusstsein der Zahlungsdienstnutzer über die sicherheitsrelevanten Risiken in Bezug auf die Zahlungsdienste verbessert wird, indem die Zahlungsdienstnutzer unterstützt und beraten werden“.  Wer das Onlinebanking nutzt, wird mit Hinweisen auf Sicherheitsmaßnahmen – wie z. B. aktuelle Phishing-Warnhinweise und Informationen, wie Sie sich am besten vor typischen Betrugsmaschen schützen – begrüßt. Dennoch ist es erstaunlich, wie es Betrügern immer wieder gelingt, an Bankdaten zu gelangen. Hier sind die Institute angehalten, ihre Awareness-Kampagnen zu intensivieren.

Systemrelevante Versorgungseinrichtungen

Kritische Infrastrukturen sind unter anderem systemrelevante Versorgungseinrichtungen. Der Begriff „systemrelevant“ ist inzwischen jedermann ein Begriff. Unter Kap 12.1 der BAIT heißt es: „Als KRITIS-Schutzziel wird nachfolgend das Bewahren der Versorgungssicherheit der Gesellschaft mit den in § 7 BSI-Kritisverordnung genannten kritischen Dienstleistungen (Bargeldversorgung, kartengestützter Zahlungsverkehr, konventioneller Zahlungsverkehr sowie Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften) verstanden, da deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen könnte“.

Die BSI-Kritisverordnung des Bundesamtes für Sicherheit in der Informationstechnik legt Schwellenwerte fest, bei deren Erreichung ein Finanzinstitut als kritisch gilt. Die betroffenen Institute müssen besonders hohe Anforderungen erfüllen, da sie für die Grundversorgung der Bevölkerung als unverzichtbar gelten. Im Weiteren müssen sie den Status ihrer IT-Sicherheit dem BSI nachweisen.

Die iTSM Group ist in vielen der vorgenannten Themen ein verlässlicher und erfahrener Partner. Sie verfügt über zertifizierte Risiko-Manager:innen, ISO/IEC 27000 Auditor:innen und ein Team von Sicherheitsexpert:innen zum Themenbereich Governance, Risk und Compliance (GRC).  

Seit über 20 Jahren ist Andreas Kletzsch als Spezialist für Prozess-Management und seit mehreren Jahren als Consultant für Information Security und Automotive Cyber Security auf der IT-Straße. Erfahrungen und Projekte bei zahlreichen Unternehmen prägen das Spektrum seines Kompetenz-Portfolios. Als Senior Consultant bei der iTSM Group berät und begleitet er seit 2018 Kunden zu den Themen Governance, Risk & Compliance und führt Pre-Audits als Zertifizierungsvorbereitung für ISO/IEC 20000 und ISO/IEC 27001 durch. Daneben ist seine Expertise als Risiko-Manager und IT-Security-Spezialist gefragt. Gute Kenntnisse der Finanzdienstleistungsbranche und der BaFIN motivierten Andreas Kletzsch zu diesem Beitrag.