Fokusthema: Regulatorik

ISMS UNTER BAIT UND DEM IT-SICHERHEITSGESETZ: KRITISCHER ERFOLGSFAKTOR FÜR FINANZINSTITUTE

Die Auswirkungen möglicher Cyber-Angriffe auf IT-Systeme oder Mitarbeiter (mittels Social Engineering) von Unternehmen werden immer geschäftskritischer. Bereits Mitte 2017 waren mehr als 50 Prozent aller deutschen Unternehmen von Cyber-Angriffen betroffen. Mit etwa 60 Prozent hat es dabei überdurchschnittlich oft Unternehmen des Finanz- und Versicherungswesens getroffen. Sowohl nationale Organisationen – wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) – als auch internationale Organisationen – wie der Internationale Währungsfonds (IWF) – sehen durch die gestiegene Anzahl von Cyber-Angriffen eine Gefahr für die Finanzstabilität.

Grundlegende Sicherheitsanforderungen politisch-rechtlicher Anstalten und Organisationen

Auf nationaler Ebene werden durch politisch-rechtliche Anstalten und Organisationen grundlegende Anforderungen an die IT und die IT- Sicherheit vorgegeben. Durch das BSI als Bundesbehörde im Geschäftsbereich des Bundesministeriums des Innern wurden diverse Unternehmen als sogenannte kritischen Infrastruktur-Unternehmen (KRITIS) definiert. Damit verfolgt die Organisation das Ziel, eine ausgeprägte Resilienz kritischer Dienstleistungen gegenüber vielfältiger Bedrohungen sowie ein Verantwortungsbewusstsein hinsichtlich des IT-Sicherheitsgesetzes (IT-SiG) zu etablieren.

Das Gesetz beinhaltet im Einzelnen folgende Schwerpunkte:

  • Mindeststandards zur IT-Sicherheit für die eigene Branche

  • Business Continuity

  • Meldepflichten insbesondere bei „erheblichen Störungen“

Für Finanzdienstleister gelten neben den Anforderungen des IT-Sicherheitsgesetzes zusätzliche Anforderungen. Zum einen werden durch die Bundesanstalt für Finanzdienstleistung (BaFin) Mindestanforderungen an das Risikomanagement (MaRisk BA) gestellt und damit bereits hohe Bewertungsmaßstäbe bezüglich der Umsetzung von IT-Sicherheit gesetzt. Dies gilt vor allem in Bezug auf das Risikomanagement bei Banken. Zum anderen gibt es bankenaufsichtliche Anforderungen an die IT (BAIT). Diese basieren, wie die MaRisk BA, auf dem Kreditwesengesetz (§ 25a Abs. 1 im KWG) und definieren weitere Anforderungen an das Management von Geschäfts- und Risikostrategien und deren Kontrollsysteme. Sie gelten als verbindliche Handlungsempfehlungen zur Verbesserung der IT-Sicherheit und Modernisierung, bzw. zur Optimierung der IT-Infrastruktur und IT Service Continuity Management. Darüber hinaus sind Aspekte der Verbesserung des Informationsrisikomanagements, Schaffung einer Risikokultur und der Sensibilisierung der Mitarbeiter relevant. Zu dieser Sicherstellung ist ebenso ein Informationssicherheitsbeauftragter mit entsprechendem Personal vorgesehen. Verallgemeinert wird hierzu ein prinzipienorientierter und qualitativer Rahmen vorgegeben. Diese lässt aber auch in der Umsetzung einen individuellen Spielraum zu, sodass durch eine Vielzahl an Öffnungsklauseln auch kleinere Institute die Anforderungen flexibel umsetzen können. Im Fokus steht dabei aber immer die hohe Verfügbarkeit der Zahlungssysteme, das erfolgreiche Agieren am Markt und damit die nachhaltige Sicherung der Existenz. Die Anforderungen an die BAIT sind in der aktuellen Konsultation 02/2017 erfasst. Rückblickend resultiert für Finanzdienstleister eine Art duale Aufsicht, welche technisches Spezialwissen (BSI) mit dem branchenspezifischen Fachaufsichtswissen (BaFin) verknüpft.

Anforderungs-Konsens für Banken

Vergleicht man die Anforderungen der MaRisk und BAIT mit den Standards der ISO 27001 und dem IT- Grundschutz ist folgendes festzustellen: Neben risikoorientierten und datenschutzrelevanten Aspekten, sind Vorgaben und Erwartungshaltungen hinsichtlich eines Informationssicherheitsmanagementsystems zum präventiven Schutz gegenüber Angriffen zu finden. MaRisk und BAIT sehen angemessene IT-Systeme vor, um den operativen Anforderungen, den Geschäftsanforderungen und den Anforderungen an ein effektives Risikomanagement einer Bank gerecht zu werden. Mittels IT-Systemen und Personal sollen Verfügbarkeit, Authentizität und Vertraulichkeit von Daten im Hinblick auf den entsprechenden Schutzbedarf sichergestellt werden. Konkrete Maßnahmen dafür sind dem Maßnahmenkatalog der ISO 27001 zu entnehmen. Des Weiteren spezifiziert die BaFin mit den BAIT lang geforderte Standards zur IT-Strategie und dem Informationsrisikomanagement. Die IT-Strategie wird fortan als Grundvoraussetzung für eine erfolgreiche Ausgestaltung des Informationsrisikomanagements betrachtet. Aufgrund dieser Entwicklung werden viele Banken ihre bestehenden IT-Architekturen und -Infrastrukturen modernisieren müssen. Für Banken sind entsprechende Prozesse und Standards zur Umsetzung der IT-Strategie anzupassen oder gar neu zu implementieren. Dies wird nur durch die Schaffung neuer Verantwortlichkeiten (z.B. Chief Data Officer) und der Erhöhung des IT-Budgets zu gewährleisten sein.

Den Anforderungen mit einem Informationssicherheitsmanagementsystem (ISMS) entsprechen

Konkrete Zielsetzungen eines ISMS:

1: Identifizieren und Bewerten von Informationsrisiken

2: Einführung und Entwicklung eines Risikomanagementsystems

3: Identifizierung schützenswerter Informationen

4: Entwicklung von Schutzmaßnahmen

5: Etablierung des Sicherheitsbewusstseins im Unternehmen

6: Kontinuierliche Verbesserung der Maßnahmen (PDCA-Zyklus)

Die vorangegangenen Aspekte führen dazu, dass sich viele Banken aktuell mit der Einführung eines Informationssicherheitsmanagementsystems beschäftigen. Bei den aktuell definierten KRITIS-Unternehmen kommt zudem hinzu, dass auch das IT-SiG die Einführung eines DIN ISO/IEC 27001-konformen Informationssicherheitsmanagementsystems (ISMS) sowie dessen Zertifizierung erfordert. Zudem unterstützt ein ISMS Banken weitere regulatorische und gesetzliche Anforderungen im Rahmen der Compliance wie beispielsweise Basel II, MaRisk oder das AktG zu steuern und zu erfüllen. Die Institute können folglich das ISMS als eine zusammenhängende Sammlung von Methoden, Vorgaben und Regeln heranziehen, das mit kontinuierlicher Steuerung und Verbesserung zu einer Steigerung der Informationssicherheit beiträgt. Genauer stellt das ISMS Prozesse und Richtlinien in Unternehmen auf, um die Informationssicherheit nach dem PDCA-Zyklus (Plan-Do-Check-Act) zu steuern, zu kontrollieren und stetig zu verbessern.

ISMS-Zertifizierung nach DIN ISO/ IEC 27001

Banken steht bisher frei ein ISMS gemäß der IS0/IEC 27001 zu zertifizieren. Diese ist jedoch mit einem Kosten- und Zeitaufwand verbunden. Unternehmen, die dennoch eine Zertifizierung anstreben haben die Möglichkeit, entweder interne Mitarbeiter mit entsprechendem Know-how oder externe Berater für die Umsetzung heranzuziehen. Sinnvoll ist es auch, das Erreichte in einer Art unabhängiger Vor-Prüfung auf Wirksamkeit und Umsetzungsgrad zu testen. Nach dem hohen Initialaufwand kann eine von der Deutschen Akkreditierungsstelle GmbH (DAkkS) befugte Stelle wie beispielsweise der TÜV Süd die Zertifizierung über die Phase I [1], Phase II [2] sowie den Audit durchführen. Durch diese Zertifizierung kann ein Nachweis für Geschäftspartner oder Kunden erbracht werden, dass die IT-Sicherheit einen entsprechenden Stellenwert besitzt. Die Zertifizierung verliert nach drei Jahren ihre Gültigkeit und muss dann neu erlangt werden. Banken steht bisher frei ein ISMS gemäß der IS0/IEC 27001 zu zertifizieren. Diese ist jedoch mit einem Kosten- und Zeitaufwand verbunden. Unternehmen, die dennoch eine Zertifizierung anstreben haben die Möglichkeit, entweder interne Mitarbeiter mit entsprechendem Know-how oder externe Berater für die Umsetzung heranzuziehen. Sinnvoll ist es auch, das Erreichte in einer Art unabhängiger Vor-Prüfung auf Wirksamkeit und Umsetzungsgrad zu testen. Nach dem hohen Initialaufwand kann eine von der Deutschen Akkreditierungsstelle GmbH (DAkkS) befugte Stelle wie beispielsweise der TÜV Süd die Zertifizierung über die Phase I1, Phase II2 sowie den Audit durchführen. Durch diese Zertifizierung kann ein Nachweis für Geschäftspartner oder Kunden erbracht werden, dass die IT-Sicherheit einen entsprechenden Stellenwert besitzt. Die Zertifizierung verliert nach drei Jahren ihre Gültigkeit und muss dann neu erlangt werden.

Folgende zwei Ansätze bilden die Grundlage einer Zertifizierung:

ISO 27001 (nativ)
Der native Ansatz der Zertifizierung ist weitestgehend prozessorientiert. Kernbestandteil des ISMS ist eine Risikoanalyse zur Risikoidentifikation und deren Behandlung. Weiter sind etwa 150 Maßnahmen erfasst, zu denen sich das Unternehmen erklären muss. Innerhalb der nativen Vorgehensweise werden keine konkreten Handlungsempfehlungen zur Umsetzung gegeben.

ISO 27001 auf der Basis von IT-Grundschutz
Die Vorgehensweise auf Basis des IT-Grundschutzes ist maßnahmenorientiert. Typische Gefährdungen werden durch das BSI selbst bewertet, sodass eine eigene Risikoanalyse entfällt. Besteht jedoch ein höherer Schutzbedarf, ist eine zusätzliche Risikoanalyse relevant. Im Vergleich zur nativen Vorgehensweise sind auf Basis des IT-Grundschutzes 1100 konkrete Maßnahmen definiert, deren Umsetzung umfassend und zeitintensiv ist.

Zertifizierungsprozess DIN ISO/ IEC 27001 (am Beispiel TÜV Rheinland)

1: Voraudit/ Audit: Bestandsaufnahme, Ist-Analyse, Bewertung von Dokumentationen, Prüfung der Wirksamkeit

2: Zertifizierung: Zertifikatserstellung, Bescheinigung der Normkonformität mit Funktionsfähigkeit

3: Überwachung/ Re-Zertifizierung: Jährliche Überwachungsaudits, Re-Zertifizierung nach drei Jahren

Kritische Erfolgsfaktoren im Kampf gegen Cyber-Angriffe

Das Bewusstsein für Cyber-Angriffe als wachsende Gefahr ist in vielen Unternehmen bereits vorhanden. Jedoch stehen Unternehmen bei der Umsetzung konkreter Maßnahmen vor zahlreichen Herausforderungen, die von einer schnellen und effektiven Implementierung bis hin zu fehlenden Verantwortlichkeiten und mangelnder Fachkompetenz in der IT-Sicherheit reichen. Zudem fehlen oftmals Mitarbeiter, die sich ausschließlich dem Thema IT-Sicherheit widmen. Um Cyber-Angriffe erfolgreich vorzubeugen, bedarf es allerdings dieser Fachkompetenz und Widmung. Ein weiterer kritischer Erfolgsfaktor im Umgang mit Cyber-Sicherheit ist die generelle Bereitschaft aller Führungskräfte und Mitarbeiter zur Veränderung. Ist diese nicht vorhanden, können entsprechende Veränderungen beispielsweise aus Angst vor einem Kulturwandel oder einer möglichen Destabilisierung eines Unternehmens blockiert werden. Hier besteht neben den Cyber-Angriffen selbst, die Gefahr, den steigenden Anforderungen an die Informationssicherheit und das Risikomanagement nicht mehr gerecht zu werden. Kommt man den Anforderungen durch fehlende Prozesse, Dokumentationen oder Verantwortlichkeiten nicht mehr nach, kann das weitreichende Konsequenzen nach sich ziehen: Von Vertrags-, Gesetzesverstößen bis hin zu Reputationsschäden. Letztere sollten nicht unterschätzt werden, da sie unmittelbare Auswirkungen auf den Geschäftserfolg haben. Schließlich hat sich die IT-Sicherheit mittlerweile zu einem deutlichen Wettbewerbsfaktor entwickelt.

Schützen Sie Ihr Unternehmen gemeinsam mit Q_PERIOR vor Cyber-Angriffen

Als Business- und IT-Beratung bieten wir Ihnen ein umfangreiches Sicherheitsportfolio. Mit unserer Fachkompetenz unterstützen wir Sie bei der Definition einer effektiven IT-Strategie zur Prävention von Cyber-Angriffen. Wir begleiten Sie auf Ihrem Weg zur ISMS-Zertifizierung und der Realisierung der BAIT-Anforderungen. Was uns dabei auszeichnet? Wir schaffen in Ihrem Unternehmen ein erhöhtes Bewusstsein für Informationssicherheit und evaluieren gemeinsam mit Ihnen Ihre IT-Sicherheit, Ihr Business Continuity Management sowie die Bereiche Datenschutz und IT-Risikomanagement.

In folgenden Bereichen unterstützt Sie Q_PERIOR:

  • Modernisierung der Prozesse und Standards aus BAIT und MaRisk

  • Analyse, Konzeption und Umsetzung geeigneter Maßnahmen

  • Implementierung von ISMS und BCMS, BDSG

  • Modernisierung des IT-Grundschutzes und der ISO 27001 Zertifizierung

  • Bewertung und Prüfung von Bedrohungspotenzialen, IT-Infrastruktur, IT-Sicherheitskonzepten und des IT-Sicherheitsmanagements

  • Durchführung von Risiko- und Kontroll-Assessments

  • Durchführung von Sensibilisierungsschulungen

  • Allgemeine Beratung zu IT-Sicherheits- und Datenschutzthemen

[1] Umfassende Dokumentenprüfung und Erfüllungsprüfung der Anforderungen der ISO 27001

[2] Ermitteln der Bereitschaft für das Zertifizierungsaudit

Weitere Fokusthemen

WIR SIND FÜR SIE DA!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!

13. November 2017|