Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH
Präzisierung und Vernetzung der Bestandteile des Informationsverbundes
Viele Kreditinstitute haben in den vergangenen Jahren eine umfangreiche Dokumentation zum Informationsverbund erstellt. Neben den bisher zu erhebenden Geschäftsprozessen und Datenklassen sowie den IT-Systemen (Hardware- und Software-Komponenten) sind künftig auch explizit die Unterstützungs- und IT-Prozesse zu erheben. Im Hinblick auf das IT-Outsourcing ist bei den Abhängigkeiten und Schnittstellen künftig auch die Vernetzung mit Dritten zu berücksichtigen.
Festlegung von Verantwortlichkeiten
Zudem wird in der aktuellen BAIT-Novelle auch die Festlegung von konkreten Zuständigkeiten verlangt. So sind prozessverantwortliche Fachbereiche („First Line-Funktion“) als Informationseigentümer auch für die Ermittlung des Schutzbedarfs sowie die Informationsrisiken verantwortlich.
Die neue Funktionseinheit „Informationsrisikomanagement“ („Second-Line-Funktion“) hat künftig die Schutzbedarfsermittlung der vorgelagerten Fachbereiche sowie zugehörige Dokumentation zu überprüfen. Ebenfalls hat das Informationsrisikomanagement die Risikoanalyse zu koordinieren und zu überwachen sowie deren Ergebnisse in das OpRisk-Management zu überführen.
Fraglich ist, ob diese Funktion namentlich operative Management-Aufgaben ausführt oder in der 2. Verteidigungslinie neben dem Informationssicherheitsbeauftragten eher koordinierende und überwachende Aufgaben innehat.
Sollmaßnahmenkatalog
Eine große Herausforderung besteht für viele Banken darin, einen Sollmaßnahmenkatalog für die sicherheitsrelevanten Schutzobjekte zu definieren und diesen auf die betroffenen Schutzzielen mit den jeweiligen Ausprägungen zu mappen. Hier haben sich in der Praxis Sollmaßnahmenprofile oder Cluster etabliert, welchen an den jeweiligen Schutzobjekten einem Soll-Ist-Vergleich mit den wirksam umgesetzten Maßnahmen unterzogen werden. Nicht umgesetzte Sollmaßnahmen sind dann einer Risikoanalyse zu unterziehen.
Gemäß BAIT 4.8 haben die Bank zusätzlich eine Richtlinie zur Überprüfung der Maßnahmen zum Schutz der Informationssicherheit einzuführen und umzusetzen. Zu diesen Sicherheitsaudits sind in einem risikoorientierten Konzept festzulegen, welche Schutzobjekte in welcher Art, welchem Umfang und welcher Frequenz einem Sicherheitsaudit zu unterziehen sind.
Fazit
Neben der Angemessenheit des Informationsrisikomanagements in Form von ablauforganisatorischen Regelungen und Konzepten sehen die neuen MaRisk und BAIT weitere Anforderungen vor, um die Wirksamkeit zu verbessern. Hierzu zählen u. a. auch Überwachungsaufgaben in der 2. Verteidigungslinie, um die von den Fachbereichen durchgeführten Schutzbedarfs- und Risikoanalysen einem Vier-Augen-Prinzip zu unterziehen.
PRAXISTIPPS
- Festlegung von konkreten Verantwortlichkeiten für die einzelnen operativen, koordinativen und überwachenden Aufgaben in der 1. und 2. Verteidigungslinie über den gesamten IRM-Prozess hinweg (Analyse, Bewertung, Steuerung, Überwachung und Reporting der Informationsrisiken).
- Festlegung eines abgestuften Sollmaßnahmenkatalogs, der passgenaue Sicherheitsmaßnahmen für die Schutzobjekte als Grundlage für einen Soll-Ist-Abgleich vorsieht.
- Festlegung eines risikoorientieren Audit-Konzepts über alle sicherheitsrelevanten Schutzobjekte hinweg (IT-Systeme, Komponenten usw.).
Beitragsnummer: 19551