Regulatorische Anforderungen für die IT und die sorgfältige Arbeit mit Datenbanken unter Berücksichtigung von MaRisk

Informationstechnik (IT) ist in fast jedem Unternehmen die Grundlage von allen Services und Bereichen – ohne, dass es bewusst ein Thema ist. Alleine die tägliche und routinierte Nutzung von technischen Geräten und das Speichern von Daten ist die Basis von jeglicher IT. Und gerade für den Umgang mit sensiblen Daten sind IT-Spezialisten und -Dienstleister gefragt, die immer mehr an Bedeutung gewinnen.

Im Bezug auf die Finanzwirtschaft, die mit besonders sensiblen Daten und Zahlen zu tun hat, wird IT-Security (Sicherheit) und das IT-Risikomanagement weiter an Bedeutung gewinnen. In Zeiten, in denen Hackerangriffe und Fremdzugriffe auf unsere Daten alltäglich sind, ist eine technisch-organisatorische Ausstattung von Unternehmen unabdingbar.

§ 25a Abs. 1 KWG
Dieser Paragraf gibt vor, dass „ein Institut […] über eine ordnungsgemäße Geschäftsorganisation verfügen [muss], die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich; sie haben die erforderlichen Maßnahmen für die Ausarbeitung der entsprechenden institutsinternen Vorgaben zu ergreifen, sofern nicht das Verwaltungs- oder Aufsichtsorgan entscheidet. Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, […]; das Risikomanagement umfasst insbesondere […] 4. eine angemessene personelle und technischorganisatorische Ausstattung des Instituts;
5. die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme […] .”

In diesem Dokument möchten wir insbesondere über die Mindestanforderungen des Risikomanagements (MaRisk) sprechen und richten uns hierbei vor allem an Unternehmen und Manager in der Finanzwirtschaft. Unternehmen sind nämlich angehalten, ihre IT-Systeme und die dazugehörigen IT-Prozesse auf gängige Standards einzustellen. Dazu zählen etwa die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik und der internationale Sicherheitsstandard ISO/IEC 2700X der International Organization for Standardization. Auch auf die Anwendung von nützlichen Tools wie dem WHY_INVESTIGATOR zur detailgenauen Dokumentation Ihrer Datenbanken gehen wir in dem Artikel näher ein.

Der WHY_INVESTIGATOR dokumentiert umfassende Echtzeit-Analysen jeder Bewegung und Veränderung auf Ihrem SQL Server.

Mindestanforderungen des Risikomanagements (MaRisk)

Jedes Unternehmen im Finanzwesen ist angehalten, gewissen Anforderungen zu folgen, um den Vorgaben der Gesetze gerecht zu werden. Ein separates Risikomanagement eignet sich ab einer bestimmten Größe des Unternehmens zur dauerhaften Beobachtung der Unternehmensdaten. Dazu zählen Punkte, auf die im weiteren Verlauf näher eingegangen wird.

 

IT-Governance (IT-Leitung)

Die IT-Governance basiert auf der IT-Strategie und überwacht den Betrieb sowie die Weiterentwicklung der IT-Systeme und Prozesse. Um ein Informationsrisiko- sowie Informationssicherheitsmanagement zu gewährleisten, ist eine Ablauf- und Aufbauorganisation zur quantitativen und qualitativen Sicherung unabdinglich. Auf diese wird in den nächsten Absätzen genauer eingegangen.

Verantwortlich für die IT-Governance ist die Geschäftsleitung. Sie passt Prozesse und Aktivitäten für einen optimalen Ablauf der IT-Strategie an und stellt sicher, dass alle Abläufe den Mindestanforderungen an das Risikomanagement (MaRisk) entsprechen. Alle Änderungen müssen detailliert dokumentiert und festgehalten werden.

 

Quantitativ und qualitativ angemessenen Personalausstattung der IT

Das Unternehmen ist außerdem verantwortlich für eine angemessene Ausstattung in modernster Technik und geeignetem Personal in der IT (vgl. AT 7.1 MaRisk). Bei all diesen Prozessen und Abläufen ist unbedingt die Entwicklung der Bedrohungslage zu berücksichtigen, um ggf. Änderungen vorzunehmen. Alle Abläufe sollten einem Plan und bestimmten Kriterien entsprechen, um einen Interessenskonflikt zu vermeiden. Dazu eignet sich eine Überwachung, um alle IT-Systeme zu dokumentieren, etwa mit dem WHY_INVESTIGATOR. Sollten diese nicht eingehalten werden, ist unbedingt mit dem Team des Risikomanagements, das bestimmte Berechtigungen hat, Rücksprache zu halten. Inhalt und Grund dafür könnte etwa die Qualität der Leistungserbringungen, die Verfügbarkeit, Wartbarkeit, Anpassbarkeit an neue Anforderungen, Sicherheit der IT-Systeme oder der dazugehörigen IT-Prozesse sowie deren Kosten sein. Außerdem ist die Geschäftsleitung regelmäßig, mindestens jedoch vierteljährlich, insbesondere über die Ergebnisse der Risikoanalyse sowie Veränderungen an der Risikosituation zu unterrichten.

 

IT-Strategie

Eine nachhaltige IT-Strategie nach AT 4.2 der MaRisk muss erfüllt werden und die Geschäftsleitung ist angewiesen, die Ziele sowie ihre Maßnahmen zur Erreichung der Ziele darzustellen.

Diese Strategie sollte mindestens folgende Punkte verfolgen:

  • genaue Beschreibung des IT-Aufbau- und der IT-Ablauforganisation (Rollenverteilung, Positionierung, Personaleinsatz, Budgetverteilung, strategische Einordnung aller Dienstleistungen)

  • genaue Dokumentation der Auslagerungen von IT-Dienstleistungen

  • genaue Angabe der gängigen IT-Standards, an denen sich das Institut orientiert (inkl. Darstellung des avisierten Implementierungsumfangs der jeweiligen Standards)

  • genaue Erklärung der Zuständigkeiten

  • Einbindung der Informationssicherheit in die Organisation (Kommunikation der Bedeutung der IT-Sicherheit im gesamten Unternehmen, Einbettung der Informationssicherheit in die Fachbereiche, Zusammenarbeitsmodell mit den IT-Dienstleistern)

  • Strategische Entwicklung der IT-Architektur mithilfe eines Teams aus IT-Spezialisten (inkl. Überblick über die Anwendungslandschaft der IT-Architektur)

  • ein System zum Notfallmanagement unter Berücksichtigung der IT-Belange

  • genaue Beschreibung aller selbst betriebenen und entwickelten IT-Systemen (Hardware- und Software-Komponenten)

 

Ablauf- und Aufbauorganisation (vgl. AT 4.3.1 MaRisk)

Eine optimale Aufbau- und Ablauforganisation stellt sicher, dass Interessenskonflikte vermieden werden. Die Aufgaben, Kompetenzen und Verantwortlichkeiten je Mitarbeiter sowie Kontroll- und Kommunikationswege werden sinnvoll im Risikomanagement verteilt und aufeinander abgestimmt. Bei jeglicher Änderung wie Personalwechsel, neuen Aufgaben(-verteilungen), o. Ä. sind diese Verteilungen erneut zu prüfen und ggf. sinnvoll zu ändern.

Hierzu gehört auch die regelmäßige Überprüfungen von IT-Berechtigungen, um ungewollte Fremdeinwirkungen zu vermeiden. Berechtigungen und Zahlungsverkehrskonten werden etwa jährlich überprüft, alle weiteren Berechtigungen mindestens alle drei Jahre. Im Sonderfall müssen berechtigungen halbjährlich geprüft werden, wenn sie kritische Inhalte nachweisen.

 

Dokumentation der Bewegungen in der Datenbank (am Beispiel WHY_INVESTIGATOR)

Um eine genaue Dokumentation aller Abläufe zu gewährleisten, empfiehlt es sich nicht nur mit geeigneten Experten zusammenzuarbeiten, sondern darüberhinaus Tools wie den WHY_INVESTIGATOR zur Bearbeitung und leistungsstarken Dokumentation Ihrer SQL Server Datenbanken zu integrieren. Dieser dokumentiert detailgenau jede Bewegung Ihrer Datenbank und kann im Nachhinein Fremdeinwirkungen feststellen sowie im Notfall alamieren.

Wie kann gewährleistet werden, dass die gespeicherten Daten vor Einbruch, Diebstahl und Betrug geschützt sind? Und wie kann genau nachverfolgt werden, ob Vorschriften und Richtlinien korrekt eingehalten werden?

Mit dem WHY_INVESTIGATOR können Sie alle Bewegungen und Veränderungen auf Ihrem SQL Server nachvollziehen. Umfassende Echtzeit-Analysen dokumentieren alle Änderungen und Ereignisse der Server-Instanz, etwa welcher Benutzer wo welche Änderungen zu welchem Zeitpunkt vorgenommen hat, sodass der Prüfer Ihres SQL Servers und auch Laien diese Schritte genau nachvollziehen können. Zu den Ereignissen zählen etwa Änderungen an Berechtigungen, Zugriffe und Konfigurationen, die in detaillierten Berichten dokumentiert werden. Durch Warnmeldungen kann die Sicherheit der eigenen Daten gewährleistet werden.

Der Vorteil: Sie reduzieren das Risiko der bleibenden Schäden erheblich und gewährleisten eine Wiederherstellung der richtigen Daten – und das zeit- und ressourcenschonend!

 

Informationsrisiko- und Informationssicherheitsmanagement

Ein sicherer Austausch von Daten ist das A und O des Informationsrisiko- und Informationssicherheitsmanagements (vgl. AT 4.3.2 MaRisk, AT 7.2 Tzn. 2 und 4 MaRisk). Informationsrisiken und Interessenskonflikte sollten bei der Verarbeitung von Daten vermieden oder kompetenzgerecht verarbeitet werden. Auf einen aktuellen Überblick über die Bestandteile wie geschäftsrelevante Informationen, Geschäftsprozesse, IT-Systeme sowie Netz- und Gebäudeinfrastrukturen sollte stets Zugriff gewährleistet sein, um in einer Risikosituation schnell handeln zu können.

Ein Sollmaßnahmenkatalog, der die Anforderungen an die Bearbeitung der Daten umfasst, kann bei der Umsetzung von Schutzzielen hilfreich sein. Welcher Schutzbedarf erforderlich ist, wird vom Risikomanagement individuell und mit den Kategorien Niedrig, Mittel, Hoch oder Sehr Hoch bestimmt. Es sollten unbedingt die betriebsinternen Erfordernisse, die Geschäftsaktivitäten sowie die Risikosituation individuell bestimmt werden, um geschäftsrelevante Informationen, Geschäftsprozesse, IT-Systeme sowie Netz- und Gebäudeinfrastrukturen bei der Analyse zu berücksichtigen. Das Institut sollte sich hierbei insbesondere an den betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie an der Risikosituation orientieren.

Um aus bisherigen Risiken zu lernen, müssen insbesondere risikoreduzierende Maßnahmen dokumentiert, überwacht und gesteuert werden, um mögliche Bedrohungen, das Schadenspotenzial, die Schadenshäufigkeit sowie den Risikoappetit des Gegners gering zu halten oder gar abzuwehren.

 

Einsicht in die gesamte Mindestanforderungen des Risikomanagemenets

Die aktuellste Version des MaRisks mit detaillierten Beschreibungen können Sie hier nachlesen: https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs0917_marisk_Endfassung_2017_pdf_ba.pdf?__blob=publicationFile&v=5


→ Hier findest Du den Artikel zum direkten PDF-Download: madafa.de/download/artikel-downloads/


Schreibe einen Kommentar