Donnerstag, 12. Mai 2022

Institutsindividuelle IT-Penetrationstests

Übertreibung oder Notwendigkeit? Wie man sich dieser Frage zielführend nähern kann – ein Erfahrungsbericht aus der Volksbank Münsterland Nord eG!

Marko Mohrenz, Bereichsdirektor Interne Revision, Volksbank Münsterland Nord eG

I. Einleitung

Die Bedeutung der Informationssicherheit und des damit verbundenen Informationssicherheits- und -risikomanagements hat nicht erst sei der Eskalation der russischen Aggression gegenüber der Ukraine potentiell zugenommen. Auch wenn derartige politische bzw. kriegerische Ausnahmesituationen immer wieder die eigene Wahrnehmung und Sensibilität dynamisch erhöhen, sollten dennoch die Themen des strategischen Umgangs mit IT-Risiken sowie der Steuerung risikoreduzierender Maßnahmen seit nunmehr vielen Jahren ein bedeutendes Element interner Strategieprozesse sein. Da in der Regel die größten Teile des IT-Betriebes zugleich auch ausgelagert sind, erhöhen die damit verbundenen Fragen nach der Dienstleistersteuerung sowie der Verknüpfung der Sicherungskonzepte zwischen Institut und Dienstleister die Komplexität des Informationssicherheitsmanagements zusätzlich. 

Cyber-Angriffe auf große Dienstleister und Rechenzentralen gehören heutzutage (leider) schon zur Tagesordnung. Da sie zugleich auch Bestandteil der kritischen Infrastruktur sind, sind dort auch entsprechende Abwehrzentren im 24/7-Betrieb vorhanden. Auffälligkeiten in der IT-Struktur bzw. den Datenbeständen und Angriffe auf diese können frühzeitig erkannt und Gegenmaßnahmen eingeleitet werden. Dennoch sind Störungen oder Ausfälle einzelner IT-Dienste oder ggf. der gesamten IT-Infrastruktur nicht auszuschließen. So kam es z. B. im Juni 2021 nach einem „Distributed-Denial-of-Service“ (DDoS-Angriff) auf den genossenschaftlichen IT-Dienstleister Atruvia (damals noch Fiducia & GAD IT AG) zu einer IT-Großstörung, die das Online-Banking und die Banking-Apps unzugänglich machten. Zudem waren auch Kartentransaktionen sowie Verfügungen an Geldautomaten massiv gestört.[1]  [...]
Beitragsnummer: 20616

Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr

aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Produkte zum Thema:

Produkticon
Bearbeitungs- und Prüfungsleitfaden: MaRisk (IT) und BAIT

89,00 € inkl. 7 %

Produkticon
ForumISM: MaRisk- und BAIT- konformes Risiko- und Informationssicherheitsmanagement

Beiträge zum Thema:

Beitragsicon
Umgang mit Excel-Anwendungen und IDV

Die neuen MaRisk/BAIT verlangen, dass die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen müssen. Welche Anforderungen sind daher an den Umgang mit Excel-Anwendungen und IDV zu stellen in den Bereichen Inventarisierung, Dokumentation und Versionierung?

12.11.2020


Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.