Dr. Markus Held, Referatsleiter Informationssicherheitsmanagement in der IT-Konsolidierung, Bundesamt für Sicherheit in der Informationstechnik[1]
I. Einleitung
Wir befinden uns in finsteren, allzu „interessanten Zeiten“ (siehe Beitrag in der vorherigen Ausgabe des BankPraktiker). Immer noch steht die Welt unter dem Eindruck der dreijährigen Corona-Pandemie, immer noch tobt der russische Angriffskrieg im Osten Europas, wieder ist der Nahostkonflikt entbrannt, wieder zeichnen sich weltpolitische Umbrüche am Horizont ab. Die Zuverlässigkeit von Lieferketten steht in Frage, die Professionalität von Cyber-Kriminellen ist enorm gestiegen, die sich abzeichnende ökonomische Lage wirkt instabil.
Und dann soll man sich auch noch mit einem technisch-organisatorischen Ungetüm namens „Digitale operationelle Resilienz“ beschäftigen? – Gerade dann!
Die DORA-Regulierung kommt als Signal zur rechten Zeit, denn IT-Resilienz ist heute mehr denn je eine Vorbedingung für nachhaltigen Unternehmenserfolg, mehr noch für digitale Innovation. Mangelnde IT-Resilienz impliziert erhebliche Reputationsrisiken und die IT-Risiken wirken als Risikotreiber für alle anderen Risikoarten.
In diesem Beitrag soll anlässlich von DORA dargelegt werden, wie IT-Resilienz so adressiert werden kann, dass daraus positive Impulse für die Fortentwicklung der IT-Strategie, der Digitalisierungsstrategie und somit des eigenen Geschäftsmodells entstehen können.
II. Wovon hängt die IT-Resilienz eines Instituts praktisch ab?
1. Die IT eines Instituts
Die verschiedenen Geschäftsmodelle der Kreditwirtschaft laufen stärker als bei anderen Industrien im Wesentlichen auf Informationsverarbeitung hinaus, unabhängig davon, ob es um Einlagen- und Kreditgeschäft, Wertpapierhandel oder Zahlungsverkehr geht. Die Prozesse und Aktivitäten des Instituts mögen von Menschen geplant werden, ihre rechtskräftige Durchführung findet in der Regel durch netzwerkbasierte Kommunikation zwischen Rechnern statt.
Dementsprechend benötigen Institute eine IT-Strategie, welche die Geschäftsstrategie stützt und die Risikostrategie einhält. Die IT-Strategie muss durch die Geschäftsleitung für das gesamte Haus verabschiedet und durchgesetzt werden. Sie bedarf der Kontrolle ihrer Zielerreichung, sowie einer regelmäßigen Überprüfung und Nachbesserung. Die strategischen IT-Ziele müssen durch das Management aktiv überwacht werden, während die IT-Organisation angemessener Ressourcen bedarf, um strukturierte IT-Prozesse leben zu können. [...]
Beitragsnummer: 22397