Der verstärkte Fokus der Aufsicht auf sichere IT-Systeme und IT-Prozesse einerseits sowie komplexer werdende IT-Landschaften, neue Technologien/Sicherheitsstandards und Angriffsszenarien andererseits lassen der IT-Sicherheit in den Banken eine wachsende Aufmerksamkeit zukommen, auch bei aktuellen (IT-)Prüfungen. Die IT-Sicherheit hat sich ständig auf neue Vorgaben der Bundesbank, aktuelle Bedrohungsszenarien und eigenen Anpassungsmaßnahmen einzustellen.
Die BAIT zeigen im Detail auf, wie wichtig die Funktionstrennung des Informationssicherheitsbeauftragten (ISB) und die Kommunikation der einzelnen Fachabteilungen untereinander sind, um eine bessere Transparenz für alle Beteiligten zu schaffen. Es entsteht erstmalig die Pflicht zur Einbettung der Steuerung von IT-Risiken in die Risikomanagement-Prozesse der Häuser.
Gemäß AT 7.2 Tz.2 MaRisk ist für die IT-Sicherheit auf „gängige Standards“ abzustellen. Standards wie ISO 27000 auf dem Papier zu erfüllen, reicht nicht aus. Vielmehr muss die Gesamtheit der IT-Prozesse und IT-Systeme die Umsetzung der strategischen Ziele der IT-Sicherheit ermöglichen. Decken die beispielhaft genannten Standards des BSI und der ISO bestimmte Aspekte nicht ab, die nötig sind, um ein angemessenes Sicherheitsniveau zu garantieren, so muss das Institut weitere Maßnahmen treffen, die auf anderen Standards basieren können.
Die Funktion des ISB und seinem Stellvertreter muss in der Organisation verankern werden. Eine Überprüfung an die bisherige organisatorische Ansiedlung des ISB im Hinblick auf die Unabhängigkeit und Interessenkonflikte ist notwendig. Die genannten Aufgabengebiete werden vom ISB üblicherweise schon mehr oder weniger intensiv betreut. Hier sollten die Organisationsrichtlinien ggfs. angepasst werden, um eine Einbindung des ISB in die neuen/erweiterten Themenfelder der BAIT sicherzustellen. Es muss darauf geachtet werden, dass dies institutsindividuell ausgestaltet und intern sachgerecht definiert wird, in welchen Fällen der ISB in welchem Umfang beteiligt werden muss.
Was ebenfalls immer stärker in den Vordergrund rückt, ist SIEM (Security Information & Event Management). Diese Technologie erkennt Muster und Trends, wenn diese vom gewöhnlichen Schema abweichen und meldet diese in Echtzeit zurück, um frühzeitig Maßnahmen einzuleiten. Bei immer größer werdenden Instituten (oder auch Fusionen) gewinnt diese Anwendung immer mehr an Bedeutung.
Ich wünsche Ihnen viel Spaß beim durchstöbern der Themenwolke Informationssicherheit.
Sascha Sychov, Bereichsleiter Digitalisierung, Finanz Colloquium Heidelberg