Dienstag, 16. Februar 2021

Anforderungen an die IDV je nach Schutzbedarfsklasse

Welche Standards, wie z. B. ISO 2700x und BSI-Standard, können den praktischen Anforderungen gerecht werden?

Frank Lutter, Abteilungsleiter IT-Management, Volksbank Bigge-Lenne eG

Beide Standards kommen grundsätzlich den aufsichtsrechtlichen Anforderungen nach.

ISO 2700x

Die ersten drei Teile vermitteln einen allgemeinen Überblick über die Vorgehensweise. Die weiteren Punkte der ISO 2700x beschäftigen sich mit verschiedenen Einzelthemen. Die Richtlinie zur Anwendungssicherheit befindet sich in der ISO 27034. Sie beschreibt das Ziel, dass die IDV dem Sicherheitsniveau der Bank entspricht. Ein weiteres Ziel ist die Wiederverwendbarkeit.

BSI-Standards

Auch hier wird zunächst ein Überblick über die Vorgehensweise gegeben. Das IT-Grundschutz-Kompendium des BSI ist im Internet frei verfügbar. Es enthält thematisierte Bausteine und Umsetzungshinweise. Im Bereich der IDV sind die Bausteine „APP.1.1 Office Produkte“ und „CON.5 Entwicklung und Einsatz von allgemeinen Anwendungen“ maßgebend.

Ziel des Bausteins CON.5 ist es, aufzuzeigen, welche grundlegenden Sicherheitsanforderungen bei Planung, Beschaffung, Inbetriebnahme, regulärem Betrieb und Außerbetriebnahme einer Fachanwendung zu berücksichtigen sind.

Die ISO 2700x, als auch das BSI-Grundschutzkompendium, sind keine „Blaupause“ zu den gesetzlichen Anforderungen der MaRisk/BAIT – sie geben jedoch Orientierung.

1. Interne Dokumentation der Schutzbedürftigkeit von Daten und Objekten

Der Schutzbedarf der IDV entspricht dem Schutzbedarf des zugeordneten Geschäftsprozesses (GP). Der Schutzbedarf des Prozesses (CIN) wird dabei aus der höchsten Datenklasse übernommen.

Die Dokumentation der Datenklassen sollte neben der Bezeichnung folgende Merkmale berücksichtigen:

Eigenschaften der Daten (personenbezogen, rechnungslegungsrelevant, steuerungsrelevant)
Schutzbedarf (Vertraulichkeit C, Datenintegrität I und Verbindlichkeit N)

Eine Abstufung der Datenklassen könnte in vier Kategorien erfolgen:

Öffentliche Daten (Web-Auftritt/Social Media/sonstige öffentliche Daten)
Interne Daten (interne Informationen)
Vertrauliche Daten (Personendaten, Bezug zum Bankgeschäft, rechnungslegungsrelevant, Banksteuerungsparameter, Systemdaten, Kartenbezogene Informationen)
Streng vertrauliche Daten (Personaldaten, kryptographische Informationen, MaSI)

Um ein mögliches GAP zu analysieren, muss das Schutzniveau der IDV zunächst ermittelt werden. Die Schutzziele Verfügbarkeit (A), Vertraulichkeit (C), Integrität (I) und Authentizität (N) der Schutzobjekte können in die 4 Stufen „niedrig“, „mittel“, „hoch“ und „sehr hoch“ eingeordnet werden.

Die Erläuterungen für die Einstufung (niedrig, mittel, hoch, sehr hoch) müssen dokumentiert werden. Die Verfügbarkeit (A) wird z. B. prozentual bezogen auf einen Zeitraum x angegeben. Bei der Authentizität wird beispielsweise eine Abstufung von „keine Verbindlichkeit“ bis hin zum „4-Augen-Prinzip“ hinterlegt.

Ist das so ermittelte Schutzniveau der IDV niedriger als der Schutzbedarf aus dem zugeordneten Prozess, liegt ein GAP vor. Daraufhin erfolgt eine Risikoanalyse der Sicherheitslücke.

SEMINARTIPPS

Identifizierung & Prüfung von IDV, 26.03.2019, Köln.

InformationsRisikoManagement: Zusammenspiel ISB, Compliance & Revision, 27.03.2019, Köln.

Brennpunkt Schutzbedarfsanalyse, 18.03.2019, Berlin.

Pflichten des ISB: Prüfungs- und Praxiserfahrungen, 07.05.2019, Frankfurt/Offenbach.

BAIT - Prüfungs- und Praxisfragen am 06.05.2019, Frankfurt/Offenbach.

IT-Risikomanagement aktuell, 08.05.2019 in Frankfurt/Offenbach.

Die Dokumentation kann durchaus in einer Tabelle erfolgen, die nachfolgende Felder enthalten sollte: Dateiname, Speicherort, Beschreibung, Abteilung, Version, Datum, Fremd-/Eigenentwicklung, verantwortliche Mitarbeiter, Trägersystem, zugeordneter Geschäftsprozess inkl. Schutzbedarf und Schutzniveau der IDV.

2. Inwieweit sind proportionale Erleichterungen/Spielräume möglich?

Die gängigen Standards (BSI, ISO) sehen durchaus Spielräume je nach Schutzniveau vor (z. B. CON.5.A4 oder CON.5.A8), die jedoch durch die Vorgaben der BAIT oftmals aufgehoben werden.

Eigenentwicklungen unterliegen normalerweise einem Entwicklungsprozess. Mit steigendem Entwicklungsgrad muss auch das Schutzniveau überprüft und ggf. angepasst werden.

PRAXISTIPPS

Identifizieren Sie vorhandene Eigenprogrammierungen im File-System und bilden aus der Gesamtmenge eine händelbare Stichprobe von z. B. 10 %.
Beispiel einer Abfrage nach Excel-Tabellen auf dem Laufwerk O:
for /f "delims=" %i in ('dir o:*.xl* /s /b') do @echo %~ti;%~zi;%~dpi;%~nxi >> C:Scanlauf_xls-lw-o.txt
Besprechen Sie das Ergebnis der Stichprobe mit den Fachverantwortlichen. Evtl. können auch IDV-Anwendungen gelöscht werden.
Erfassen Sie die bestehenden Anwendungen mit ihren Grunddaten wie oben beschrieben (Dateiname, Speicherort, Beschreibung, usw.).
Ermitteln Sie das Schutzniveau jeder einzelnen Anwendung Anhand der dokumentierten Einstufung (niedrig, mittel, hoch und sehr hoch)
Ordnen Sie die Anwendung den Geschäftsprozessen zu und ermitteln so evtl. Sicherheitslücken.
Führen Sie eine Risikoanalyse der GAP durch und leiten ggf. entsprechende Maßnahmen (z. B. „Blattschutz“ oder „Änderungen nachverfolgen“ in Excel) ein, um das Schutzniveau der Anwendung zu erhöhen.

Beitragsnummer: 972

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Prüfung der Umsetzung der BAIT 2021

In diesem Beitrag werden praxisorientierte Prüfungsansätze für die Interne Revision aufgezeigt, um die komplexen Anforderungen der BAIT effizient zu prüfen.

26.08.2022

BGH äußert sich zum Anspruch auf „Kopie“ nach Art. 15 Abs. 3 DSGVO

Sofern ein Dokument nicht von der betroffenen Person selbst stammt, besteht nach BGH-Auffassung grundsätzlich keine Verpflichtung zur Herausgabe dessen Kopie.

17.04.2024

OLG Celle zur Frage der Nichtabnahmeentschädigung der Bank

Das OLG Celle entschied, dass die Nennung von bestehenden Grundschulde der praktischen Durchführung der Besicherung diene und keine Abänderungserklärung sei.

21.03.2024

Geldanlage im Netflix-Zeitalter

Warum viele deutsche Banken die Chancen der Digitalisierung ungenutzt verstreichen lassen und wie die Geldanlage von morgen aussieht.

03.11.2022