Risikomanagement für die IT

Die BAIT und ihre Auswirkungen auf Kreditinstitute

 

Das Einrichten eines Risikomanagementprozesses für die IT ist ein zentraler Bestandteil der MaRisk. Danach muss vor allem eine Schutzbedarfsklassifizierung von Daten und Prozessen vorgenommen werden. Auch das jeweilige Schutzniveau von Anwendungen ist durch die Kreditinstitute zu bestimmen.

In den „Bankaufsichtlichen Anforderungen an die IT" (BAIT) werden die Mindestanforderungen an das Risikomanagement weiter konkretisiert. Ziel der BAIT ist es, die Erwartungshaltung der Aufsicht an die Institute transparenter zu machen. Außerdem soll das unternehmensweite IT-Risikobewusstsein erhöht werden.

 

Die BAIT in acht Themenblöcken

Aktuelle Veröffentlichungen zeigen, was künftig von den Kreditinstituten hinsichtlich der IT gefordert wird:

Die IT-Strategie ist transparent und umfassend darzustellen. Unter anderem gehören dazu ein Zielbild der IT-Architektur/Anwendungslandschaft und konkrete Aussagen zum Notfallmanagement.

Die IT-Governance sorgt dafür, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen zeitnah Aktivitäten definiert und Prozesse angepasst werden.

Innerhalb des Informationsrisikomanagements ist eine komplette Transparenz über den Umfang und die Qualität der Informationsverarbeitung und -weitergabe in Geschäfts- und Serviceprozessen (Definition, Dokumentation, Pflege) sicherzustellen. Bestehende Sicherheitskonzepte sind daher entsprechend zu überarbeiten.

Im Rahmen des Informationssicherheitsmanagements muss zukünftig eine Funktion „Informationssicherheitsbeauftragter“ eingerichtet werden. Diese Funktion ist organisatorisch und prozessual unabhängig auszugestalten, um mögliche Interessenskonflikte zu vermeiden. Eine regelmäßige Berichterstattung an die Geschäftsführung im vierteljährlichen Rhythmus wird Pflicht.

Innerhalb des Benutzerberechtigungsmanagements müssen definierte Verfahren für die Vergabe von Berechtigungen auf der Basis von Berechtigungskonzepten vorliegen. Die Berechtigungskonzepte müssen dabei regelmäßig (mindestens jährlich) überprüft werden und ggf. angepasst werden. Die Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von IT-Berechtigungen müssen den Vorgaben des IT-Berechtigungskonzepts entsprechen, anderenfalls sind Berechtigungen zu entziehen.

Für den IT-Betrieb müssen geordnete Prozesse zur Änderung von IT-Systemen existieren und angewendet werden. Abweichungen und Störungen sind auf mögliche resultierende Risiken zu bewerten, zu priorisieren und ggf. zu eskalieren sowie im Verlauf zu überwachen und zu steuern. Bearbeitung, Ursachenanalyse und Lösungsfindung sind deshalb zu dokumentieren.

Die Komponenten der IT-Systeme sowie deren Beziehungen zueinander sind zu verwalten (unter anderem in einem Inventar) und anlassbezogen zu aktualisieren. Die IT-Systeme sind analog eines Lebens-Zyklus-Managements zu steuern. Verfahren der Datensicherung müssen in einem Datensicherungskonzept geregelt sein und mindestens jährlich getestet werden.

Für den Fremdbezug von IT-Dienstleistungen ist eine Risikobewertung durchzuführen. Relevante Maßnahmen sind innerhalb des Risikomanagements zu berücksichtigen und zu überwachen.

Für IT-Projekte und die Anwendungsentwicklung gilt, dass Vorgehensmodelle definiert werden müssen und deren Einhaltung zu überwachen ist. Außerdem ist ein Portfoliomanagement für IT-Projekte aufzubauen. Sich ergebende Projektrisiken sind im Risikomanagement zu berücksichtigen. Darüber hinaus werden umfassende Dokumentationen gefordert – z.B. eine Anwenderdokumentation, eine technische Systemdokumentation sowie eine Betriebsdokumentation. Auch eine Testdokumentation für neue oder geänderte Anwendungen wird Pflicht.

 

Es gibt viel zu tun…

Die Anforderungen aus den BAIT konsequent umzusetzen, bedeutet für Ihr Kreditinstitut erheblichen Aufwand. Vor allem zu Beginn sind zahlreiche Dokumentationen neu zu erstellen oder bei Dienstleistern anzufordern. Aber auch Ihr Prozessmanagement ist betroffen. Denn die Forderung nach mehr Transparenz beschränkt sich nicht auf eine rein dokumentarische Sorgfaltspflicht. Die Prozesse müssen auch – möglichst reibungslos – auf die Anforderungen angepasst und anschließend in der Praxis umgesetzt werden.

Wie können wir Ihnen helfen?

Das von Comline erstellte Sicherheitskonzept für den helic Analyzer trägt bereits heute den zukünftigen Anforderungen aus den BAIT Rechnung.

Gerne stellen wir Ihnen außerdem unser Know-how zur Verfügung und unterstützen Sie dabei, die Anforderungen aus der BAIT umzusetzen:

  • Bewertung von Sicherheitskonzepten zu Drittanwendungen.
  • Erarbeiten von Maßnahmen zur Reduktion von Risiken in der IT
  • Überarbeiten Ihres Prozessmanagements, insbesondere hinsichtlich Standards und Ausrichtung auf die Digitalisierung von Prozessen (nach BPMN-Standard)
  • Erstellen eines Zielbilds für die IT-Architektur/Anwendungslandschaft sowie weitere Themen der IT-Strategie
  • Erarbeiten von Standards und Vorgehensmodellen für IT-Projekte und für die Anwendungsentwicklung
  • Changemanagement, um die notwendigen Veränderungen in Ihrem Kreditinstitut zu begleiten

Haben Sie Fragen oder möchten Sie weitere Informationen?

Rüdiger Fuchs steht Ihnen gerne zur Verfügung – telefonisch unter +49 (0)231 97575-190 oder per E-Mail.