Hendrik Kattenstroth, Compliance-Beauftragter (MaRisk) & Informationssicherheitsbeauftragter, Dortmunder Volksbank eG
Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH
Im Zuge der Umsetzung der Anforderungen aus den MaRisk AT 9 sowie den BAIT Modul 8 war die Dortmunder Volksbank auf der Suche nach einer Anwendung, um die erforderliche Dokumentation der Dienstleistersteuerung revisionssicher und effizient umzusetzen. Die Wahl fiel sehr schnell auf die Software ForumOSM, da bei der Dortmunder Volksbank bereits andere Bausteine der ForumSuite (z. B. ForumISM und ForumBCM) im Einsatz sind und somit bereits erfasste Stammdaten wie Geschäftsprozesse, Anwendungen, der Bedrohungskatalog oder die Benutzerverwaltung effizient weiterverwendet werden können. Des Weiteren können über Schnittstellen bereits in ForumISM identifizierte Dienstleister-Risiken in ForumOSM importiert werden.
SEMINARTIPPS
8. Fachtagung Informationssicherheit, 27.–28.05.2020, Frankfurt/M.
Notfallmanagement: Umsetzungsprobleme & Best Practice, 25.06.2020, Frankfurt/Offenbach.
Ausgangssituation
Bis zur Einführung von ForumOSM wurden sämtliche Dokumentationen und Tätigkeiten mittels Office-Produkten und papierhaften Ausdrucken in Ordnern (zwecks Revisionssicherheit) umgesetzt. Zur Erfüllung der neuen Anforderungen aus MaRisk und BAIT wurde entschieden, künftig Tool-basiert möglichst sämtliche Vorgänge in einer zentralen Lösung zu erfassen.
Umsetzung
Die größte Herausforderung war sicherlich die Umsetzung der zahlreichen zusätzlichen Dokumentationserfordernisse aus den neuen Anforderungen wie z. B. die Bewertung der Fremdbezüge von IT-Dienstleistungen, die Vertragsprüfung, die daraus resultierende Ableitung von Service-Level-Agreements (SLA) mit Definition der maximal tolerierbaren Schlechtleistung sowie die zahlreichen Überwachungshandlungen zur Dienstleistersteuerung. Zudem sind auch die Themen Exit-Strategie, Abstimmung von Notfallkonzepten sowie die Identifizierung und Zusammenführung der operationellen Risiken zu einem zentralen Risiko-Cockpit Bestandteil von ForumOSM.
Die Möglichkeit auch Weiterverlagerungen abzubilden, Verantwortlichkeiten zuzuweisen und über Wiedervorlagen und einer Workflow-Funktion die Abarbeitung offener Aufgaben zentral zu koordinieren, bringt eine enorme Zeitersparnis und senkt den Verwaltungsaufwand deutlich.
Unterstützt werden die Anwender zusätzlich durch eine umfangreiche Vorschlags-Datenbank. Diese enthält bereits viele Dienstleister und Leistungen, voreingestufte Risikoanalysen sowie Berichtsvorlagen zum Auswerten von Revisions- und Risikoberichten oder zur Erstellung eines Jahresberichtes.
BUCHTIPP
Held/Kühn (Hrsg.): Praktikerhandbuch IT- und Informationssicherheitsbeauftragter, 2018.
Fazit
Aus heutiger Sicht ist für uns eine Umsetzung der umfassenden rechtlichen Anforderungen auf Papier oder als Insellösung nicht mehr vorstellbar. Dafür sind das Leistungsverzeichnis und die einzelnen geforderten Dokumentationsschritte mittlerweile zu komplex. Durch eine stetige Weiterentwicklung unter Mitwirkungsmöglichkeiten der Anwender bleibt ForumOSM zukunftssicher. Somit können auch neue Anforderungen (z. B. aus der EBA-Leitlinie zum Auslagerungsmanagement) durch Anpassungen entsprechend den Banken bereitgestellt werden.
SOFTWARETIPPS
ForumISM: MaRisk- und BAIT- konformes Risiko- und Informationssicherheitsmanagement.
ForumOSM: Wirksame Steuerung und Überwachung von Dienstleistern und Auslagerungen.
Zur Einführung von ForumOSM bietet die Firma Forum einen zweitägigen Vor-Ort-Workshop an. Neben der technischen Implementierung liegt der Schwerpunkt des Workshops auf der effizienten und MaRisk-konformen Ausgestaltung des Auslagerungsmanagements. Gemeinsam werden die Strukturen und Inhalte für eine ganzheitliche Dienstleistersteuerung erarbeitet und an die individuellen Bedürfnisse der Bank angepasst.
Praxistipps
- Der Quick-Check in ForumOSM liefert eine erste Indikation, ob es sich um eine Auslagerung oder einen Fremdbezug handelt.
- Legen Sie zuerst die Dienstleister an und verknüpfen dann die verschiedenen Auslagerungen, (IT-)Fremdbezüge und Weiterverlagerungen mit diesen.
- Leiten Sie zur Steuerung und Überwachung der ordnungsgemäßen Leistungserbringung 3-5 SLAs pro Dienstleistung aus den Verträgen und Leistungsscheinen ab.
- Nutzen Sie zur Risikosteuerung und -überwachung das zentrale Risiko-Cockpit.
- Im Rahmen der Koordinationsfunktion des zentralen Auslagerungsmanagements in der 2. Verteidigungslinie können die Aufgaben- und Workflowfunktionen genutzt werden, um die Fachbereiche ausreichend einzubinden und die zeitgerechte Bearbeitung der Aufgaben zu überwachen.
Beitragsnummer: 6186