Beiträge

IT-Compliance durch die Einführung eines ISMS

Compliance-Anfor­de­rungen steigen

Die Abhän­gigkeit der Kern- und Wertschöp­fungs­pro­zesse von der IT-Infra­struktur und den dort betrie­benen IT-Systemen steigt bei Kredit­in­sti­tuten stetig an. Fast in gleichem Maße steigen damit auch die zugehö­rigen Compliance-Anfor­de­rungen“. SRC-Expertin Dagmar Schoppe erläutert im gerade auf der Fach-Plattform „Security Insider“ erschie­nenen Artikel die verschie­denen regula­to­ri­schen und gesetz­lichen Anfor­de­rungen, die das Tages­ge­schäft von Kredit­in­sti­tuten bestimmen und wie die IT-Compliance durch die Einführung eines ISMS verbessert wird.

Wertschöp­fungs­pro­zesse sind bedroht

Der Schutz dieser Wertschöp­fungs­pro­zesse durch Einhaltung der regula­to­ri­schen und gesetz­lichen Anfor­de­rungen, z. B. aus BAIT, MaRisk oder dem IT-Sicher­heits­gesetz, ist ein sehr aktuelles Thema. Schließlich ist die Gefahr von Hacker­an­griffen eine reale und aktuelle Gefahr. Auch deshalb ist IT-Sicherheit einer der zentralen Prüfungs­schwer­punkte der BaFin. In diese Richtung zielt auch das TIBER-EU-Programm, das die Resilienz der Finanzwelt gegen Cyber­an­griffe stärken soll.

Ganzheit­liches Infor­ma­ti­ons­si­cher­heits­ma­nagement-System schafft Sicherheit

Für einen ganzheit­lichen Ansatz zum Schutz der Unter­neh­mens­werte müssen die verschie­denen organis­to­ri­schen und techni­schen Aspekte zu einem ganzheit­lichen Konzept vereinigt werden. Das führt zur Einführung eines Infor­ma­ti­ons­si­cher­heits­ma­nagement-Systems, z. B. auf der Basis von ISO 27001.

Die Experten des SRC-Bereichs Banken-Compliance beraten Sie gerne zu regula­to­ri­schen und gesetz­lichen Anfor­de­rungen und deren Umsetzung, z. B. durch die Einführung eines Infor­ma­ti­ons­si­cher­heits­ma­nagement-Systems (ISMS) oder bei der Durch­führung von TIBER-Tests. SRC ist Mitglieder der Cyber-Alliance.

Novellierung der BAIT 2021

Novel­lierung der BAIT 2021– Die neuen Anfor­de­rungen an Kreditinstitute

Die Novel­lierung der BAIT für 2021 bedeutet neue Anfor­de­rungen für Kredit­in­stitute. Dagegen steht die BaFin vor der Heraus­for­derung, die Guide­lines on security measures for opera­tional and security risks under the PSD2 und die Guide­lines on ICT and security risk management der EBA in Deutschland umzusetzen. Das soll mit einer Novel­lierung der BAIT (Bankauf­sicht­liche Anfor­de­rungen an die IT) bis zum 31. Dezember 2020 abgeschlossen sein. Erste Entwürfe wurden bereits in den Insti­tuten und Verbänden disku­tiert und kommentiert.

BAIT 2021 rückt IT-Sicherheit in den Mittelpunkt

Mit einem eigenen und neuen Kapitel rückt die operative IT-Sicherheit weiter in den Mittel­punkt. Die dort formu­lierten Anfor­de­rungen sind nur mit einem Security Infor­mation and Event Management Systems (SIEM) zu erfüllen. Das umfasst auch die Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC). Operativ sind regel­mäßige Überprü­fungen gefordert. Dazu gehören:

  • interne Abwei­chungs­ana­lysen
  • Schwach­stel­len­scans
  • Penetra­ti­ons­tests
  • die Simulation von Angriffen („Red Teaming“)

Die neuen Anfor­de­rungen der BAIT 2021 münden im Aufbau einer profes­sio­nellen Cyber-Security-Infra­struktur. Das bedeutet umfang­reiche und von einander unabhängige interne Informationssicherheitsstrukturen.

Die Geschäfts­leitung übernimmt die Gesamtverantwortung

Es fällt auf, dass schon der Entwurf nicht nur auf die Verant­wort­lichkeit der Geschäfts­leitung verweist. Der Geschäfts­leitung wird sogar die explizite Anerkenntnis der Gesamt­ver­ant­wortung für die Infor­ma­ti­ons­si­cherheit abver­langt. Dazu gehören auch die regel­mäßige Infor­mation über deren Belange und die Entscheidung zum angemes­senen Umgang mit Sicherheitsrisiken.

Anfor­de­rungen an das IT-Notfall­ma­nagement werden konsolidiert

Weitere Änderungen erwarten wir im Bereich IT-Notfall­ma­nagement. Die Anfor­de­rungen aus der BAIT werden mit denen aus Abschnitt AT7.3 der MaRisk konso­li­diert. So entstehen einheit­liche nationale Vorgaben. Außerdem rechnen wir mit einer Verschärfung und Präzi­sierung der Vorgaben hinsichtlich der Notfall­planung und –vorsorge, BCM, Desaster Recovery sowie die Backupstra­tegien. Auch das Outsourcing an Dienst­leister wird aus unserer Sicht Gegen­stand der Neufassung sein.

Kredit­in­stitute stehen vor großen Herausforderungen

Nach Einschätzung der SRC-Experten für Banken Compliance werden die zu erwar­tenden Änderungen die betrof­fenen Institute vor große Heraus­for­de­rungen stellen. Das betrifft insbe­sondere das erfor­der­liche Know-how und die begrenzten Ressourcen auf dem Arbeitsmarkt.