Jan Meyer im Hagen, Geschäftsführer Finanz Colloquium Heidelberg GmbH, im Interview mit Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH
Martin Wiesenmaier | 
Jan Meyer im Hagen |
Jan Meyer im Hagen: Wo sehen Sie im Kontext der aktuellen MaRisk- und BAIT-Novelle die größten Baustellen bei der Weiterentwicklung des Notfallmanagements?
Martin Wiesenmaier: Die aktuellen MaRisk und BAIT enthalten zahlreiche neue bzw. konkretisierte Anforderungen an das Notfallmanagement. Dies beginnt schon mit den Anforderungen an eine nachvollziehbare Herleitung und Bewertung der Ausgangssituation in Form von Business-Impact- und Risikoanalysen. Die Risikoanalyse ist dabei in verschiedene Szenarien auf Basis der relevanten Gefährdungen für alle zeitkritischen Aktivitäten und Prozesse durchzuführen. Die neuen MaRisk sehen nun leider auch eine mindestens jährliche Übung der Notfallkonzepte vor. Die BAIT greifen den Ball im IT-Notfallmanagement für die IT-Systeme auf, welche zeitkritische Aktivitäten und Prozesse unterstützen. Die Wirksamkeit der IT-Notfallpläne ist ebenfalls durch mindestens jährliche IT-Notfalltests zu überprüfen. Über den Zustand des Notfallmanagements muss quartalsweise schriftlich berichtet werden. In Summe sind die Anforderungen an ein qualifiziertes (IT-)Notfallmanagement sowohl qualitativ als auch quantitativ gestiegen.
Jan Meyer im Hagen: Welche konkreten Besonderheiten sind bei den Notfallszenarien zu beachten?
Martin Wiesenmaier: In den MaRisk werden konkrete Notfallszenarien mit den jeweils zu Grunde liegenden potenziellen Bedrohungen als Beispiele genannt. Diese betreffen u. a. den Ausfall eines Standortes (z. B. durch Hochwasser), den Ausfall von IT-Systemen (z. B. aufgrund von Angriffen), den Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. wegen Pandemie) sowie den Ausfall von Dienstleistern (z. B. Stromversorger). Hierzu muss im Rahmen einer Risikoanalyse die individuelle Bedrohungslage der Bank bewertet werden. Auf Basis dieser Risikobewertung, ist ein passgenaues Notfallmanagement für die im Rahmen der Business Impact Analyse (BIA) identifizierten zeitkritischen Prozesse zu dokumentieren.
Jan Meyer im Hagen: Ist es also erforderlich, für jeden zeitkritischen Geschäftsprozess die vier relevanten Szenarien zu bewerten und einen eigenständigen Notfallplan zu erstellen?
Martin Wiesenmaier: In der Vergangenheit wurden diese Szenarien häufig prozessunabhängig und für das gesamte Unternehmen erstellt und somit nicht dezidiert für jeden zeitkritischen Geschäftsprozess betrachtet. Die Aufzählung der vier Szenarien in MaRisk AT 7.3 ist als Mindestanforderung zu verstehen. Es ist vorstellbar, dass nach der Risikobewertung der relevanten Bedrohungen weitere Notfallszenarien hinzukommen. Es gibt jedoch Geschäftsprozesse, bei welchen die Notfallszenarien und die damit verbundenen Notfallpläne und Übungen sehr ähnlich sind. Aus diesem Grund kann zur Vereinfachung für mehrere zeitkritische Prozesse ein Notfallplan und eine Übung zielführend sein. In unserer Software ForumBCM lassen sich solche Verknüpfungen einfach darstellen.
Jan Meyer im Hagen: Was ist beim IT-Notfallmanagement nach BAIT zu beachten?
Martin Wiesenmaier: Das IT-Notfallmanagement ist als Teil des Business Continuity Managements zu verstehen und daher eng mit dem allgemeinen Notfallmanagement für die zeitkritischen Geschäftsprozesse verzahnt. Die BAIT sehen vor, dass für die betreffenden IT-Systeme (also alle relevanten IT-Anwendungen, Systeme und Infrastruktur-Komponenten), welche zeitkritische Aktivitäten und Prozesse unterstützen, ein IT-Notfallkonzept zu erstellen ist. Die IT-Notfallpläne sollten dreistufig aufgebaut sein und Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne umfassen.
Jan Meyer im Hagen: Was meinen die BAIT mit den Parametern und Abhängigkeiten, die in den IT-Notfallplänen zu berücksichtigen sind?
Martin Wiesenmaier: Die Parameter umfassen u. a. die Wiederanlaufzeit (RTO), den maximal tolerierbaren Zeitraum in dem Datenverlust hingenommen werden kann (RPO) sowie die Konfiguration für den Notbetrieb. Bei den Abhängigkeiten sind u. a. vor- und nachgelagerte Geschäftsprozesse, sowie notwendige Ressourcen für eine eingeschränkte Fortführung der Geschäftsprozesse zu berücksichtigen.
Jan Meyer im Hagen: Die im Jahr 2021 novellierten MaRisk und BAIT stellen hohe Anforderungen an die Durchführung von Tests und Übungen. Ist es weiterhin möglich, einen Mehrjahres-Übungsplan vorzuhalten oder muss jedes Notfallszenario jährlich geübt werden?
Martin Wiesenmaier: Gemäß MaRisk ist die Wirksamkeit und Angemessenheit regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist für alle relevanten Notfallszenarien mindestens jährlich nachzuweisen. Die Anforderung an mindestens jährliche Übungen betrifft im Kontext der BAIT auch IT-Systeme, die zeitkritische Aktivitäten und Prozesse unterstützen. Turnus und Art der Übung können sich an der Bedrohungsart orientieren, sodass es auch zu häufigeren Übungen kommen kann. Nicht zeitkritische Notfallszenarien nach BSI-Standard 100-4 können ggf. auch in größeren Abständen und weniger wirksamen Übungsformen getestet werden (z. B. Schreibtischtest zu Bombendrohung). Die Übungen sind möglichst mit den (IT-)Dienstleistern gemeinsam durchzuführen. Die Übungen sind nachvollziehbar zu protokollieren und Verbesserungsmöglichkeiten zu bewerten. Die Ergebnisse sind den Verantwortlichen mitzuteilen.
Jan Meyer im Hagen: An Ihren Ausführungen ist eine deutliche Verschärfung der Anforderungen an das Notfallmanagement herauszuhören. Wie begegnen Sie diesen?
Martin Wiesenmaier: Der gesamte Notfallmanagement-Prozess, angefangen bei der Initiierung und Konzeption über die Umsetzung bis hin zu den Notfallübungen und der kontinuierlichen Weiterentwicklung, wird von ForumBCM technisch unterstützt. Unsere Software, welche bei über 300 Banken zum Einsatz kommt, haben wir im letzten Update um zahlreiche neue Funktionen zur Erfüllung der MaRisk und BAIT erweitert. Neben den Vorteilen aus der ForumSuite wie Workflows, Aufgaben-Cockpit oder E-Mail-Erinnerungen haben wir in ForumBCM u. a. eine einfache und detaillierte Risikoanalyse mit Scoring-Punkten, die IT-Notfallpläne sowie ein Übungs-Cockpit integriert. Durch die Verknüpfung einer Übung oder einem Notfallplan zu mehreren Szenarien können unsere Kunden den gestiegenen Anforderungen effizient begegnen.
Jan Meyer im Hagen: Vielen Dank für das Interview!
Beitragsnummer: 21702