IT-Sicherheit! Praxis! BAFIN!

Die Welt hat sich verändert, auch die Finanzwelt und ganz besonders die Welt der Informationstechnologie. Nach Snowden, NSA, Anonymous und aktuell Lizard Squad, einer Vielzahl von Einbrüchen in Unternehmensnetzwerken und Datenskandalen stehen wir heute erst am Anfang des Wettlaufs zum Schutz unserer Daten, unserer Werte und unserer Privatsphäre. Die Bankenaufsicht platziert nun seit einiger Zeit…


Die Welt hat sich verändert, auch die Finanzwelt und ganz besonders die Welt der Informationstechnologie. Nach Snowden, NSA, Anonymous und aktuell Lizard Squad, einer Vielzahl von Einbrüchen in Unternehmensnetzwerken und Datenskandalen stehen wir heute erst am Anfang des Wettlaufs zum Schutz unserer Daten, unserer Werte und unserer Privatsphäre.

Die Bankenaufsicht platziert nun seit einiger Zeit das Thema IT-Sicherheit verstärkt in Publikationen, Veranstaltungen und Vorträgen. Das hat einen ganz einfachen Grund:
Die Informationstechnologie (IT) hat das Bankwesen völlig revolutioniert. Ohne IT sind Bankprozesse in der modernen Welt schlicht und einfach nicht mehr möglich. Bekanntlich hat jede Medaille aber zwei Seiten. Diese Abhängigkeit schafft neue Risiken deren Größe, Auswirkung und Beherrschbarkeit aber heute keiner, insbesondere vor dem Hintergrund der stürmischen Entwicklung der IT, vollständig erfassen und abschätzen kann.

Auch der Kriminelle geht mit der Zeit

Der „Bankraub“ von heute erfolgt nicht mehr am Schalter. Der „Bankräuber“ von heute sitzt zusammen mit seinen Kollegen irgendwo auf der Welt gemütlich vor seinem Computer und plant, koordiniert und führt seinen Beutezug dort in aller Ruhe durch. Für den Bankraub muss noch nicht einmal ein Konto geplündert werden. Andere vertrauliche Daten, wie Kreditkarten, Kontoverbindungen, etc. reichen meist völlig aus. Für diese Daten werden von anderen zwielichtigen Organisationen gerne eine entsprechende Entlohnung geboten, wenn die eigene Organisation nicht selbst für die Geheimhaltung des Einbruchs bezahlt.

Die Gefahr eines digitalen Angriffs wächst jeden Tag

Wie praktisch, dass die Entlohnung auch gleich digital, völlig anonym und in Echtzeit in Kryptowährungen, wie Bitcoins oder anderen erfolgen kann. Die erforderliche Kommunikation und Informationsaustausch erfolgt über TOR, dem ziemlich anonymen „Dark Net“-Bereich des Internets.
Das Ökosystem für den digitalen Angriff wächst – jeden Tag ein bisschen mehr, jeden Tag ein bisschen besser. Internationale Hacker-Gruppen lassen sich von kriminellen Organisationen anheuern. Werbung machen Hacker durch weltweite Aktionen, wie z.B. den kürzlich erfolgten SONY Play Station Network und Microsoft XBOX Angriff. Eine bessere globale Werbung ist wohl kaum zu bekommen. Die konsequente weitere Entwicklung ist nun der perfekte Angriff für jedermann. Leicht online zu buchen. Das Ergebnis sind dann global verteilte Hacker in enger Zusammenarbeit mit international arbeitenden kriminellen Organisationen.
Der entstehende direkte Schaden solcher globaler Angriffe beträgt oft viele Millionen Euro oder US-Dollar, der indirekte oft eher Milliarden. Im Fall von SONY Pictures bleibt auch noch abzuwarten, ob das betroffene Unternehmen den Fall im Ganzen überlebt.

Und was machen Sie?

In Deutschland leben viele noch auf einer (fast) glücklichen Insel. Erfreulicherweise sind wir in Deutschland von den großen Datenskandalen bisher verschont geblieben. Vielleicht können die meisten Hacker kein Deutsch, vielleicht haben viele vom deutschen Datenschutz gehört. Dennoch ist es eine trügerische Ruhe. Es ist die Ruhe vor dem Sturm!
Draußen tobt der Sturm schon längst und er wird nicht schwächer. Es ist nicht die Frage, ob es Ihre Organisation erwischt, es ist nur die Frage, wann und ob es dann kritisch, bzw. relevant ist.

IT-Risiken beherrschen ist überlebenswichtig

Unter dem Begriff „IT-Risiko“, den die MaRisk nicht definieren, versteht die Bankenaufsicht alle Risiken für die Vermögens- und Ertragslage der Institute, die aufgrund von Mängeln entstehen, die das IT-Management beziehungsweise die IT-Steuerung, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von Informationstechnologie betreffen.“ (Dr. Josef Kockert/Martin Held, Fachartikel, www.bafin.de)
Für jede Organisation, Institut und Unternehmen ist zukünftig eine strukturierte, nachvollziehbare und damit jederzeit kontrollierbare leistungs- und lernfähige IT Sicherheit überlebenswichtig. Dies ist nicht nur Angelegenheit der IT-Abteilung oder des CIO. Es ist eine Angelegenheit der ganzen Organisation, angefangen vom Aufsichtsrat und Vorstand bis hin zum Pförtner. Jeder ist betroffen, jeder muss mitmachen.

Ganzheitliche Konzepte sind wichtig

Die Bankenaufsicht definiert und fordert für die IT-Sicherheit keine punktuellen Aktionen oder Maßnahmen. Was nützt die beste Firewall, wenn Daten über CDs das Unternehmen verlassen, beim Datenaustausch oder in Online Paymentsystemen der Dienstleister Lücken hat?
Es ist ein ganzheitliches Risiko, das nur mit ganzheitlichen Konzepten beherrscht werden kann. Daher verlangt die Bankenaufsicht auch entsprechend holistische Strukturen, Konzepte, Maßnahmen und deren kontinuierliche Überwachung.
In deren Fachartikeln und Vorträgen werden daher auch u.a. die Bereiche IT-Governance, IT-Sicherheitsmanagement, Steuerung der operationellen Risiken der IT, Verlässlicher IT-Betrieb und professionelles IT-Servicemanagement, Softwareentwicklung & -beschaffung, Risiko der eingesetzten Software, Umsetzung in den Instituten und bei den IT-Dienstleistern und Anforderungen an Dienstleister – Auslagerungsmanagement angesprochen.

Neun Ratschläge für das Thema IT-Sicherheit

In den Gesprächen, u.a. auch direkt mit der Bafin, habe ich persönlich,  neben einer Vielzahl von Informationen, Einschätzungen und Lösungsmöglichkeiten, ein paar besondere Themen mitgenommen und empfehle diese auch jedem der sich mit dem Thema IT-Sicherheit in der Finanzindustrie beschäftigt:
Befolgen Sie den Leitgedanken der Bafin, dass die von Zahlungsdienstleistern zu ergreifenden Maßnahmen den jeweiligen Sicherheitsrisiken angemessen sein müssen. Auch die IT-Sicherheit muss als ein integrierter Bestandteil der IT/ Geschäftsstrategie verstanden werden. Dem Vorstand ist gut geraten, immer die Hoheit über Out- und Insourcing zu behalten. Nicht zu vergessen ist natürlich eine formalisierte (!) Dokumentation der Prozesse. Für Prüfungen ist dieser Schritt zwingend erforderlich. Schließlich fordert selbst die Bafin eine dokumentierte IT-Strategie. Apropos Outsourcing: Ohne eine passende IT-Strategie ist es auch keine Lösung. Outsourcing ist sogar unmöglich, wenn das Institut kein Know-how hat, den Dienstleister selbst qualifiziert kontrollieren zu können. Zudem wird die Risikoverantwortung nicht outgesourcet, sie bleibt immer im Institut und ist nicht delegierbar. Zu guter Letzt besitzt die Bafin die Macht, ein Institut zu schließen, wenn das Risiko zu hoch wird.

Bildnachweis: BranislavP über istockphoto.de