Informationssicherheit

IT-Sicherheitsmanagement ist nicht nur für große Banken ein wesentliches Thema, sondern auch für kleine und mittlere Kreditgenossenschaften.

Die GenoTec hilft Ihnen, das IT-Sicherheits­management als Teil des gesamten Risiko­managements sinnvoll zu etablieren, die vielfältigen gesetzlichen Anforderungen zu erfüllen und Daten als Vermögenswerte der Bank ausreichend zu den Grundwerten der Verfügbarkeit, Integrität und Vertraulichkeit abzusichern.

Bankaufsichtliche Anforderungen an die IT (BAIT) BAIT I

Die Mindestanforderungen an das Risikomanagement (MaRisk vom 27. Oktober 2017 „AT 7.2 Technisch-organisatorische Ausstattung") geben die Tonalität vor: Zur Feststellung des Schutzbedarfes und Ableitung entsprechender Sicherheitsmaßnahmen sind  entsprechende Risikosteuerungs- und Risikoüberwachungsprozesse einzurichten. Dies gilt sowohl für eigenentwickelte Software als auch für den Fremdbezug von Software. Insgesamt rückt das Informationssicherheitsmanagement damit näher an die anderen Beauftragtenthemen.

In der BAIT vom 3. November 2017 werden die aufsichtsrechtlichen Anforderungen an die IT konkretisiert. Sie interpretieren unter besonderer Berücksichtigung der MaRisk die Regelungen des §25a S.3 Nr. 4 u. 5 KWG. Insoweit sind die Interpretationen Leitfaden für behördliches Handeln und bieten so eine verlässliche „Guide Line“, wie die aufsichtsrechtliche Prüfungspraxis gestaltet werden wird. Im Lichte des § 25b KWG räumt die Aufsicht in der BAIT richtigerweise regional tätigen, verbundangehörigen Instituten (übersetzt: etwa den Volksbanken Raiffeisenbanken) sowie kleinen, gruppenangehörigen Instituten (übersetzt: etwa kleine Privatbanken und kleine Auslandsbanken bei vergleichbarem Geschäftsmodell) auch weiterhin die  Möglichkeit ein, den Informationssicherheitsbeauftragten auszulagern („…einen gemeinsamen Informationssicherheitsbeauftragten zu bestellen.“).

Dies ist insbesondere auch deshalb sachgerecht, da die Komplexität der Materie in einer risikoorientierten Betrachtung der Häuser ansonsten zu weit unangemessenen Aufwänden führen würde. Dem Schutzzweck der Informationssicherheit kann unter dem Gesichtspunkt der Proportionalität durch die Vollauslagerung hier am besten Rechnung getragen werden.   

Da die Aufsicht in den BAIT lediglich „Klarstellungen ohnehin schon vorhandener Anforderungen“ sieht, gibt es auch keinerlei Umsetzungsfristen. Sie gilt ab sofort. Durch die BAIT ergibt sich daher für einige  Kreditinstitute ein nicht unerheblicher Anpassungsbedarf, der im Einzelnen herauszuarbeiten ist.

Und hier die wichtigsten Punkte im Überblick

Informationssicherheit

Die BAIT bestätigt die Auslagerbarkeit von Informationssicherheit für „regional tätige“ sowie „kleine“ Institute mit einem ‚gleichberechtigten Geschäftsmodell und gemeinsamen IT-Dienstleistern“. Die Auslagerungsoption sichert angesichts der immer komplexer werdenden Anforderungen eine machbare, effektive und auch wirtschaftliche sinnvolle Alternative.

Die Aufsicht räumt der Informationssicherheit mit der BAIT einen gleichen Stellenwert wie etwa der Liquidität ein und konkretisiert ihre Erwartungen in 8 Themenblöcken: IT-Strategie, IT-Governance, Informationsrisikomanagement, Benutzerberechtigungsmanagement, IT-Projekte und Anwendungsentwicklung, IT Betrieb sowie Auslagerungen. Als Bank waren Sie jedoch auch schon vorher – auf Basis des § 25a Abs. 1 KWG in Verbindung mit AT 7.2 der MaRisk – verpflichtet, Ihre IT-Systeme und die dazugehörigen IT-Prozesse auf gängige Standards zu heben. In der genossenschaftlichen Familie ist dabei der SOIT (Standard für Ordnungsmäßigkeit der IT-Verfahren der Fiducia & GAD) handlungsleitend.

Mit Blick auf das GenoTec-Auslagerungsangebot sind sämtliche Anforderungen aus den BAIT abgedeckt und in unsere Prozesse überführt. Als Bank bilden Sie Informationssicherheit prüfungssicher und effizient ab.  

Daneben bieten wir auch institutsindividuelle Unterstützungsleistungen an.

  • Unser Compliance Management System im Bereich der Informationssicherheit, ISI kompakt, ermöglicht schon heute  eine MaRisk- und BAIT-konforme Umsetzung der Informationssicherheit. Alle Standards, so auch der SOIT, sind bereits vollumfänglich integriert. Das System unterstützt Sie in der Informationssicherheit:  effektiv, transparent und sicher.
  • Ergänzend stehen wir Ihnen gerne auch als Berater zur Verfügung: Sie haben den Zugriff auf unser Spezialistenwissen und die Erfahrungen aus über 120 Informationssicherheitsmandaten.

Ihr Ansprechpartner: michael.switalla@geno-tec.de

Fremdbezug von Software

Die MaRisk bemüht sich mit Blick auf den „Fremdbezug von Software“ um einen „pragmatischen“ Lösungsansatz und stellt klar, dass der Erwerb von Software an sich noch keine Auslagerung darstellt.

Aber! Alle Softwarelösungen, die

  • zur Steuerung, Messung  und Überwachung von Risiken eingesetzt werden sowie
  • für die Wahrnehmung bankgeschäfticher Aufgaben wesentlich sind,

fallen unter den Anwendungsbereich des AT 9, das heißt, sie sind wie wesentliche Auslagerungen zu behandeln.

Was bedeutet dies für die genossenschaftlichen Institute? Sie nutzen die Rechenzentrale, sie greifen zurück auf Lösungen der DZ Bank-Gruppe oder greifen beispielsweise auf FOCONIS-Lösungen zurück.  Um zu einer belastbaren Einschätzung zu kommen, sind wir derzeit  noch in der Abstimmung mit den Regionalverbänden und dem BVR. Ihr Ansprechpartner: thomas.grebe@geno-tec.de

Auslagerungsmanagement

Die Aufsicht erwartet künftig ein zentrales Auslagerungsmanagement – auch und insbesondere mit Blick auf die IT.  Die Bank soll einen zentralen Überblick über ihre ausgelagerten Prozesse haben und die damit verbundenen Risiken einheitlich bewerten.

Auch hier können wir Sie in der Umsetzung unterstützen. Mit dem Tool „Dienstleistersteuerung kompakt“ – profitieren Sie von einem einfachen, schnell einsetzbaren und günstigen Verfahren.

Ihr Ansprechpartner: martin.hierlemann@geno-tec.de


 

Auslagerung/dauerhafte Beratung

Wir übernehmen für Sie voll­umfänglich die Aufgaben des betrieblichen IT-Sicherheits­beauftragten. Lesen Sie mehr

Punktuelle Unterstützung

Wir unterstützen Sie bei der Erstellung und Pflege des IT-Sicherheitskonzepts für Ihre Bank. Lesen SIe mehr



MaRisk

Für Kreditinstitute besteht mit den Mindestanforderungen an das Risiko­management (MaRisk "AT 7.2 Technisch-organisatorische Ausstattung") die Notwendigkeit, IT-Systeme und IT-Prozesse sicher zu gestalten.

Bei der Ausrichtung verweist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf die gängigen Standards für IT-Sicherheit nach BSI-Grundschutz oder ISO27001 und das auf dessen Basis einzurichtende IT-Sicherheitsmanagement. Volksbanken und Raiffeisenbanken nutzen außerdem das "Handbuch Ordnungsmäßigkeitsfragen" zur Ausgestaltung des sicheren Bankbetriebs.

Organisatorische und technische Maßnahmen sind die Grundlagen, um ein angemessenes Sicherheitsniveau durch Einführung eines IT-Sicherheits­managements zu erreichen. Wie ein geeignetes Managementsystem für Informationssicherheit genau aussieht, wird dabei in hohem Maße von der Größe und Infrastruktur des Unternehmens bestimmt. 

Umfassende Unterstützung

Gleichzeitig ist Sicherheit kein fixer Zustand, der, einmal erreicht, sich niemals ändert. Einem solchen Lebenszyklus unterliegen nicht nur IT-Systeme, sondern letztlich der gesamte IT-Sicherheitsprozess. Deshalb nutzt die GenoTec vielfältige Möglichkeiten und Arbeitsbereiche, um Sie bei der Optimierung aller Phasen des IT-Sicherheitsprozesses (s.u.) wirkungsvoll zu unterstützen.

Lebenszyklus des IT-Sicherheitskonzepts nach Deming (PDCA-Modell)