Aufrufe
vor 6 Jahren

RISIKO MANAGER 01.2018

RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

26

26 RISIKO MANAGER 01|2018 lagen in elektronischer Form“ (GOBD) verbunden. Sie gelten seit 2015. Neue Regelungen sind zudem bei der Archivierung von Daten zu beachten, etwa bezüglich der Aufbewahrungsfristen. » Die 4. EU-Geldwäscherichtlinie: Sie sieht eine erhebliche Ausweitung der Compliance-Maßnahmen vor, die Geldwäsche und Terrorismusfinanzierung verhindern sollen. Zentrale Mittel sind eine Analyse elektronischer Daten und ein Monitoring von Online-Transaktionen. » Das IT-Sicherheitsgesetz und dessen Umsetzung durch das BSI-Gesetz (BISG): Es verpflichtet Betreiber „Kritischer Infrastrukturen“ (Kritis) dazu, angemessene Vorkehrungen zur Sicherstellung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu treffen. Zu diesen Kritis zählen auch Banken und Finanzdienstleister. BAIT bringt Klarheit – und präzisere Anforderungen Zu den wichtigsten regulatorischen Vorgaben, mit denen sich Institute derzeit auseinandersetzen müssen, zählt die Präzisierung der MaRisk in Form der „Bank - aufsichtliche Anforderungen an die IT“. Mit ihnen wollen die Bundesbank und die BaFin klarmachen, was sie in ihrer Rolle als Aufseher von den Instituten erwarten. Ein Ziel von BAIT ist, einen flexiblen und praxisnahen Rahmen für die Verwaltung von IT-Ressourcen und das IT-Risikomanagement zu schaffen. Außerdem soll das IT-Risikobewusstsein innerhalb der Institute und gegenüber Auslagerungsunternehmen erhöht werden. Dazu zählen externe IT-Dienstleister, etwa Cloud Service Provider und Betreiber von Rechenzentren, aber auch Unternehmen, die im Auftrag von Instituten Apps entwickeln und den IT-Betrieb sicherstellen. BAIT deckt insgesamt acht Themenfelder ab. Das erste ist die IT-Strategie. Sie muss die Anforderungen der AT 4.2 der MaRisk erfüllen. In der Praxis bedeutet dies, dass die Geschäftsleitung eines Instituts eine IT-Strategie definieren muss, die auf die Geschäftsstrategie abgestimmt ist. Zu den Mindestanforderungen an die IT-Strategie zählt die strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation, inklusive der damit verknüpften Prozesse. Zudem muss eine IT-Auslagerungsstrategie erarbeitet werden. Weitere Anforderungen an die IT-Strategie betreffen unter anderem die Zuordnung der Standards, an denen sich ein Institut orientiert. Dies gilt für die IT-Bereiche, die Informationssicherheit sowie das Notfallmanagement. Außerdem muss ein Institut den Status seiner IT-Architektur und der IT-Systeme offenlegen, die von den Fachbereichen selbst entwickelt wurden beziehungsweise betrieben werden. IT-Governance ist Sache der Geschäftsleitung BAIT nimmt die Geschäftsleitung eines Instituts bei einem weiteren Punkt in die Pflicht: der Umsetzung der IT-Governance. Dies ist der Rahmen für die Steuerung, Überwachung und Weiterentwicklung von IT-Systemen und -Prozessen. Der Entwurf der Bankaufsichtlichen Anforderungen an die IT geht bei IT-Governance vor allem auf das Informations-Sicherheits- und Informations-Risikomanagement ein. Diese Bereiche müssen „angemessen“ mit Personal ausgestattet werden. Dasselbe gilt für den IT-Betrieb und die Anwendungsentwicklung. Um das sicherzustellen, ist es in der Praxis erforderlich, möglichst effiziente Prozesse in der IT-Abteilung zu etablieren. Denn IT-Fachleute sind oft schwer zu finden. Daher müssen Finanzdienstleister andere Wege finden, um die personellen Mindestanforderungen von MaRisk und BAIT zu erfüllen. IT-Umgebungen und Applikationen, die einen hohen Automatisierungsgrad aufweisen, können diesbezüglich Abhilfe schaffen.

OpRisk 27 Im Fokus: das Informations- Risikomanagement Wie wichtig der Faktor Informations-Risikomanagement für die Bundesbank und BaFin ist, belegt die Tatsache, dass dem Informations-Risikomanagement in der BAIT ein eigener Punkt gewidmet ist. Die damit verknüpften Aufgaben betreffen in erster Linie die IT-Abteilung. Die Geschäftsleitung ist insofern involviert, als sie regelmäßig über den Status der Risikosituation informiert werden muss. Eine Kernaufgabe der IT-Abteilung besteht darin, den Schutzbedarf von Daten zu ermitteln. Dabei müssen insbesondere die Schutzziele Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität berücksichtigt werden. Eine weitere Anforderung ist, die Soll-Anforderungen des Instituts zur Umsetzung der Schutzziele in den Schutzbedarfskategorien festzulegen. Zu den wichtigsten Vorgaben zählt, eine Risikoanalyse vorzunehmen. Als Basis, so die BaFin, dient dabei ein Vergleich der Referenzmaßnahmen und der umgesetzten Maßnahmen („Soll-/Ist-Vergleich“). In der Praxis müssen Institute unter anderem IT-bezogene Risiken bezüglich ihres Schadenspotenzials sowie der Schadenshäufigkeit bewerten. Von Informations- Sicherheitsmanagement bis Outsourcing Die Umsetzung von Maßnahmen auf Basis der Risikobewertung hat die BaFin in der BAIT in weiteren Modulen definiert: dem Informations-Sicherheitsmanagement, den Vorgaben für das Berechtigungsmanagement sowie Anforderungen an IT-Projekte und die Anwendungsentwicklung. Ein weiterer Passus beschäftigt sich mit der Auslagerung und dem Fremdbezug von IT-Services – sprich Outsourcing. Auch Dienste, die von Cloud-Dienstleistern bezogen werden, fallen darunter. Zudem sehen die BAIT Regeln für den IT-Betrieb vor, etwa regelmäßige Aktualisierungen und das Erfassen von Risiken, die durch veraltete Hard- und Software entstehen. Das IT-Sicherheitsmanagement sieht unter anderem vor, dass ein unabhängiger Beauftragter für das Informationssicherheits-Management etabliert wird. Er erarbeitet Sicherheitskonzepte und entsprechende Prozesse und überwacht deren Umsetzung. Ein Benutzer-Berechtigungsmanagement wiederum legt fest, welche Nutzer und IT-Fachleute, welche Aktionen auf IT-Systemen vornehmen dürfen und wie solche Aktivitäten transparent gemacht werden können, etwa durch ein Monitoring und Reporting. Ein effektives Berechtigungsmanagement ist unter dem Aspekt IT-Risikomanagement aus mehreren Gründen wichtig: » Externe Hacker verschaffen sich durch gezielte Angriffe bevorzugt Zugangsdaten von IT-Nutzern mit erweiterten Berechtigungen, etwa Administratoren, Abteilungsleitern und Mitgliedern der Geschäftsführung. Dadurch erhält ein Angreifer auf einfachere Weise Zugriff auf sensitive Daten. Mithilfe eines Berechtigungsmanagements lassen sich die Zugriffsmöglichkeiten von IT-Nutzern auf das unbedingt nötige Maß begrenzen. Das verringert den „Aktionsradius“ von Angreifern, die IT- Account-Daten entwenden. » Ein Gutteil von Datenlecks im Finanzsektor geht auf das Konto von eigenen Mitarbeitern, etwa durch Fehlbedienung von Anwendungen und Systemen oder durch gezielte Angriffe illoyaler Beschäftigter. Auch in diesem Fall reduziert eine Begrenzung von Berechtigungen das Risiko. » Finanzdienstleister greifen verstärkt auf IT-Services externer Anbieter zurück, etwa Cloud-Services. Die Zugriffsrechte von Administratoren solcher Service Provider sollten ebenfalls unter dem Aspekt IT-Risikomanagement betrachtet werden. Anwendungen müssen getestet werden Speziell vor dem Hintergrund der Digitalisierung von Geschäftsprozessen und Angeboten im Finanzsektor ist ein weiterer Punkt wichtig: Anforderungen an IT-Projekte und die Anwendungsentwicklung. Die BAIT enthalten hierzu detaillierte Vorgaben. So sind alle IT-Projekte „angemessen zu steuern“, speziell vor dem Hintergrund möglicher Risiken. Daher muss die Geschäftsleitung über alle wichtigen IT-Projekte und damit verbundene Risiken regelmäßig unterrichtet werden. Auch in Bezug auf die Prozesse und Qualitätssicherung bei der Entwicklung von Anwendungen müssen sich Institute auf detaillierte Vorgaben einstellen. Ein zentraler Punkt betrifft Tests von Applikationen und IT-Systemen, bevor diese im Produktivbetrieb eingesetzt werden. Bei solchen Tests gilt es nicht nur, die Funktion solcher Komponenten zu überprüfen. Auch Sicherheitsanforderungen und Stress-Situationen zählen dazu. Die Testläufe werden vom zuständigen Fachbereich durchgeführt. Die Testaktivitäten und die Resultate müssen nach den Vorgaben der MaRisk, beziehungsweise der Bankaufsichtlichen Anforderungen an die IT, dokumentiert werden. MaRisk und Co. bei einem Factoring-Unternehmen Um regulatorische Vorgaben wie MaRisk und die Bankaufsichtlichen Anforderungen an die IT umsetzen zu können, muss die IT eines Finanzdienstleisters sich ganzheitlich von der Organisation über die Prozesse bis hin zur Anwendungsund Infrastrukturlandschaft entsprechend aufstellen. Diesen Weg wählte beispielsweise das Factoring-Unternehmen Süd- Factoring, eine 100-prozentige Tochter der Landesbank Baden-Württemberg (LBBW), die mit einem Umsatz von ca. 12 Milliarden Euro pro Jahr eine der größten Factoring-Gesellschaften in Deutschland ist. Die Neuaufstellung der SüdFactoring (und ihrer Schwester der SüdLeasing GmbH, ebenfalls eine 100-prozentige Tochter der Landesbank Baden-Württemberg und eine der größten Leasing-Gesellschaften in Deutschland) wurde dabei in einem Programm mit drei wesentlichen Zielen umgesetzt. Grundlage für die Veränderung waren neue, moderne und hoch digitalisierte

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.