Freitag, 24. Juni 2022

BAIT: Erweiterte Anforderungen an das Informationsrisikomanagement

Institute müssen sich entsprechend der BAIT über die Bedrohungen und Schwachstellen ihres Informationsverbundes informieren.

Jan Meyer im Hagen, Geschäftsführer Finanz Colloquium Heidelberg GmbH, im Interview mit Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH


Martin Wiesenmaier

Jan Meyer im Hagen


Jan Meyer im Hagen: Die Anpassungen in der aktuellen MaRisk- und BAIT-Novelle verfolgen das Ziel, das Informationssicherheit- und Informationsrisikomanagement weiter zu stärken. Viele Kreditinstitute haben bereits in den vergangenen Jahren eine umfangreiche Dokumentation zum Informationsverbund erstellt. Welche neuen Anforderungen stellen die MaRisk und BAIT an den Informationsverbund?

Martin Wiesenmaier: Neben den bisher zu erhebenden Geschäftsprozessen, Datenklassen sowie den IT-Systemen müssen künftig auch die IT-Prozesse sowie die Unterstützungsprozesse als Bestandteile des Informationsverbunds aufgenommen werden. Die Abhängigkeiten und Schnittstellen müssen dabei nicht nur die bankinterne Vernetzung, sondern auch die Vernetzung des Informationsverbunds mit Dritten (z. B. IT-Dienstleistern) berücksichtigen. Wer hier auf intelligente Lösungen mit Verknüpfungen zwischen den eingesetzten Schutzobjekten und einer Vererbung des Schutzbedarfs setzt, wird auch den weiteren Ausbau des Informationsverbunds darstellen können. 

Jan Meyer im Hagen: Nach den neuen Anforderungen der BAIT bekommen auch die prozessverantwortlichen Fachabteilungen weitere Aufgaben?

Martin Wiesenmaier: Die BAIT sehen hierzu einige neue Aufgaben vor. Im Prinzip waren die Fachabteilungen schon in den alten BAIT als Informationseigentümer in einer gewissen Verantwortung für die ordnungsgemäße und wirksame Umsetzung des Informationsrisikomanagements. Schließlich geht es dort auch um die Informationsrisiken, die in den Fachabteilungen durch mögliche Fehleingaben und Manipulationsversuche der Mitarbeiter entstehen können und durch geeignete Maßnahmen, wie z. B. ein internes Kontrollsystem behandelt werden. Insofern müssen die Fachbereiche befähigt werden, ihre Informationsrisiken bewerten und mit wirksamen Maßnahmen reduzieren und das verbleibende Restrisiko feststellen zu können. Das ist sicherlich keine einfache Aufgabe, wenn man das Setting an Risikokriterien aus den BAIT einer qualifizierten und nachvollziehbaren Risikoanalyse zu Grunde legt.   

Neu ist auch, dass die Fachabteilungen auch für die Ermittlung des Schutzbedarfs (ihrer eigenen Geschäftsprozesse) verantwortlich sind. Dies ist ebenfalls eine relativ komplexe Aufgabe, in welcher für die jeweiligen Schutzziele verschiedene Stufen bei der Klassifizierung berücksichtigt werden müssen. 

Jan Meyer im Hagen: Welche Aufgaben übernimmt der Informationssicherheitsbeauftragte (ISB) überhaupt noch, wenn die Fachabteilungen für die Schutzbedarfs- und Risikoanalysen zuständig sind?

Martin Wiesenmaier: Der ISB ist eine klassische Second Line-Funktion, die koordinative, überwachende und umsetzungsunterstützende Aufgaben übernimmt. Die konkreten Aufgaben des ISB sind in den BAIT Tz. 4.4 beschrieben.

Jan Meyer im Hagen: In den aktuellen BAIT wird die neue Funktion „Informationsrisikomanagement“ eingeführt. Wer soll diese Funktion übernehmen?

Martin Wiesenmaier: Hierzu gibt es zwei Sichtweisen: In zahlreichen Banken wird diese Funktion in Personalunion vom ISB wahrgenommen sowie in diesen Instituten auch der Auslagerungsbeauftragte und das zentrale Auslagerungsmanagement aus einer Hand durchgeführt werden. Zu dessen „neuen“ Aufgaben zählt, die von den Fachbereichen erstellten Schutzbedarfs- und Risikoanalysen zu koordinieren und zu überprüfen. Gerade bei den komplexen und fehleranfälligen Aufgaben wie Schutzbedarfs- und Risikoanalysen kann es in den Fachbereichen zu Fehleinschätzungen kommen, sodass vom Informationsrisikomanagement insbesondere die Richtigkeit und Vollständigkeit „inkl. der zugehörigen Dokumentation“ gemäß den BAIT überprüft werden muss. Das Informationsrisikomanagement hat zudem die Ergebnisse der Risikoanalyse auch an das OpRisk-Management zu überführen. Fürsprecher einer klaren Funktionstrennung halten die neue Risikomanagement-Funktion, die Risiken aktiv mit Maßnahmen behandelt und damit steuert, nicht vereinbar mit der Überwachungsfunktion des ISB.

Jan Meyer im Hagen: Die Institute müssen sich gemäß BAIT-Novelle auch über Bedrohungen und Schwachstellen ihres Informationsverbundes informieren. Was hat es damit auf sich?

Martin Wiesenmaier: Es geht im Grunde genommen um eine Art Risikofrüherkennungssystem, wie es auch in anderen Risikoarten der MaRisk bereits verankert ist. Ziel der Prävention ist es, frühzeitig potenzielle Bedrohungen zu erkennen, die vorhandene Schwachstellen im Informationsverbund ausnutzen können. Das BSI und andere Einrichtungen berichten regelmäßig über potenzielle Bedrohungen und Schwachstellen. Zum Bedrohungs-Monitoring sind in den BAIT einige methodische Anforderungen beschrieben. Hierzu gehört es, einerseits die Relevanz der Bedrohungen zu prüfen und mögliche Auswirkungen zu bewerten. Sofern erforderlich sollten dann konsequenterweise auch geeignete technisch-organisatorische Maßnahmen, wie z. B. die Warnung der Mitarbeiter oder das Sperren von betroffenen Schnittstellen, ergriffen werden. Über die potenziellen Bedrohungen ist gemäß der aktuellen BAIT-Novelle künftig Bericht zu erstatten. 

Jan Meyer im Hagen: Die Informationen aus dem Informationsverbund, die Einbindung der Fachbereiche und die Berücksichtigung von Bedrohungen spielen auch im Notfall- und Auslagerungsmanagement sowie im Datenschutz eine Rolle. Wie lassen sich solche Informationen fachübergreifend nutzen?

Martin Wiesenmaier: Es steht außer Frage, dass eine effiziente, prüfungssichere und risikoorientierte Umsetzung der regulatorischen Anforderungen nur mit Unterstützung von vernetzten Softwarelösungen stattfinden kann. Hierzu haben wir in den letzten Jahren die FORUM-Suite mit verschiedenen Modulen aufgebaut, die auf sogenannte Stammdaten wie Geschäftsprozesse, Schutzobjekte, Bedrohungen, Maßnahmen, Verträge oder Mitarbeiter zugreifen. Unsere Lösungen zum Informationssicherheits-, Notfall-, Outsourcing-, Datenschutz- und Compliance-Management werden täglich von mehreren hundert Banken eingesetzt und haben in den letzten Jahren zahlreiche externe Prüfungen gemeistert. 

Jan Meyer im Hagen: Vielen Dank für das Interview!



Beitragsnummer: 21709

Produkte zum Thema:

Produkticon
BAIT Readiness-Check
Produkticon
IT-Risikomanagement nach neuen MaRisk & BAIT sicher umsetzen
Produkticon
ForumISM: MaRisk- und BAIT- konformes Risiko- und Informationssicherheitsmanagement

Beiträge zum Thema:

Beitragsicon
Auslagerungsmanagement at its best

Die Anforderungen an die Überwachung von Auslagerungen haben sich insbe-sondere im Bereich der Risikoanalysen & der Weiterverlagerungen deutlich verschärft.

20.06.2022


Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.