Marcus Michel, Vorstand FCH Gruppe AG
Die Definition des Informationsverbundes ist mit den BAIT 2021 noch einmal deutlich erweitert worden. Lag der Fokus in den vergangenen Jahren auf den originären IT-Prozessen sowie den IT-Systemen als Informationsverbund, sind jetzt sämtliche Geschäftsprozesse im Fokus, und zwar hinsichtlich ihrer Unterstützung mittels IT-Anwendungen, Infrastrukturen und Daten. Dies ist neu und erweitert den zu definierenden/analysierenden Bereich deutlich. Vor allem auch deshalb, weil die Einbindung von externen Dienstleistungspartnern nicht mehr primär auf das Handlungsfeld Sourcing/Dienstleistersteuerung beschränkt ist. Vielmehr sind die IT-relevanten Elemente der Leistungsunterstützung im Prozess relevante Bestandteile.
Der Informationsverbund als Betrachtungsgegenstand erhält so eine andere Komplexität, die es in der Bank regulatorisch zu managen gilt.
Für die Steuerung der Informationssicherheitsrisiken ist somit ein vollständiger Blick auf die Vernetzungen im Informationsverbund erforderlich. Der Informationsverbund beinhaltet die Zusammenführung von Informationen und Abhängigkeiten über Daten, Systeme und IT-Komponenten in Abhängigkeit zu den Geschäftsprozessen und steht damit besonders im Fokus von Aufsicht und Prüfern. Die Anforderungen an die IT, insbesondere zur Sicherstellung der Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit von Informationen, beziehen sich somit auf alle Bestandteile des Informationsverbundes.
Ein Informationsverbund kann dabei je nach Ausprägung die gesamte IT einer Institution oder auch einzelne Bereiche umfassen, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame IT-Anwendungen (z. B. Personalinformationssystem) gegliedert sind.
Die definierten Informationsverbünde dienen somit der Definition der Schutzbedarfe in den Bereichen Vertraulichkeit, Integrität und Verfügbarkeit und werden auch für weitere Überlegungen im Informationssicherheitsmanagement benötigt. Hier besteht u. a. die Notwendigkeit, für die Informationsverbünde eine Sicherheitsrichtlinie zu erstellen. Eine Herausforderung ist hierbei, alle beteiligten Organisationseinheiten zu identifizieren, da auch softwarebasierte Schnittstellen in die Richtlinie einzubeziehen sind.
Ein Informationsverbund in einer Bank könnte z. B. die Kreditvergabe sein. Pro Informationsverbund müssen die fachlichen Vorgaben, eine Übersicht über die fachlichen und technischen Bestandteile, sowie deren Abhängigkeiten und Schnittstellen vorhanden sein. Besonderes Augenmerk muss auf eine saubere Beschreibung der Schnittstellen zwischen Anwendungen gelegt werden.
Wenn alle Bestandteile aller Informationsverbünde beschrieben wurden, dann liegt damit auch ein Verzeichnis aller Komponenten der IT-Infrastruktur vor. Auch die Auslagerungspartner und Partner, die durch Weiterverlagerungen beauftragt sind, müssen diese Darstellung erstellen und vorhalten.
Informationsverbünde sind Bedrohungen ausgesetzt, die die Verfügbarkeit und die Sicherheit von Informationen beeinträchtigen können. Dies können technische oder naturgegebene Bedrohungen sein, wie technische Defekte, Hochwasser, Brand, Blitzschlag oder Erdbeben. Auch höhere Gewalt wie Streik bis hin zu einer kriegerischen Auseinandersetzung sind denkbar. Weiterhin sind auch Bedrohungen durch eigene Mitarbeiter und durch Hacker möglich, sowie unbewusst herbeigeführte Bedrohungen durch menschliches Versagen.
Aus den Bedrohungen resultiert in der Konsequenz ein bestimmter Schutzbedarf für die Bestandteile von Informationsverbünden.
Zur Bestimmung des Schutzbedarfs bieten sich folgende Fragen an:
- Wo werden personenbezogene oder vertrauliche Daten verarbeitet?
- Welche Geschäftsprozesse können ohne die Bereitstellung von Informationen nicht durchgeführt werden, bzw. bei welchen würde ein erheblicher Mehraufwand entstehen?
- Für welche Entscheidungen sind korrekte und aktuelle Daten bzw. Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität erforderlich?
- Wie wirken sich Sicherheitszwischenfälle auf die Informationssysteme aus?
In der Praxis stellt sich diese deutlich erweiterte Definition der Informationsverbünde als große Herausforderung dar. Insbesondere die Schnittstellen auch zu externen Dienstleistern und deren Integration in die Schutzbedarfsanalyse führen aktuell zu Feststellungen der Bankenaufsicht.
Zunehmend gewinnt mit dieser Anforderung auch das Thema Prozessmanagement/Prozessdokumentation an Bedeutung, um gerade auch für die Informationssicherheit eine umfassende Darstellung der Abhängigkeiten in den Prozessen aufzuzeigen und somit die richtige Definition des Informationsverbundes sicherzustellen.
PRAXISTIPPS
- Bestehende Definitionen von Informationsverbünden müssen mit Blick auf eine deutliche Erweiterung des Begriffs überprüft werden.
- Die Schutzbedarfsanalyse ist auf Basis der Neudefinition der Informationsverbünde zu prüfen und anzupassen.
- Die Integration externer Dienstleister in den Informationsverbund stellt oftmals mit Blick auf den Schutzbedarf eine besondere Herausforderung dar.
Beitragsnummer: 21683