03.02.2017: Wie viel IT-Sicherheit brauchen Kreditinstitute?

Tastatur und Sicherheitsschloss

In Zukunft werden die Geschäftsprozesse von Kreditinstituten immer mehr von Informationstechnologien (IT) abhängig sein. Nahezu alle wesentlichen Geschäftsprozesse in Instituten werden durch IT-Komponenten und elektronisch gespeicherte Informationen unterstützt. Die IT-Umgebungen werden komplexer und beherbergen dadurch mehr Risiken und Schwachstellen, die sich negativ auf die Leistungsfähigkeit eines Kreditinstitutes auswirken können. Angesichts der weltweit wachsenden Bedrohung durch Hacker-Angriffe und sich stetig verschärfender, regulatorischer Anforderungen im Risikomanagement sind Kreditinstitute angehalten, die eigene IT-Governance, das IT-Risikomanagement und die Compliance-Prozesse zu optimieren.

Eine sichere und effiziente IT ist für den wirtschaftlichen Erfolg eines Kreditinstituts unerlässlich. Gemäß den Mindestanforderungen an das Risikomanagement (MaRisk), die sich auf §25a KWG stützen, haben Kreditinstitute dafür zu sorgen, dass ihre IT-Systeme und -Prozesse die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der verarbeiteten Daten sicherstellen. Insbesondere dem Schadenspotential von IT-Risiken wurde mit dem novellierten Entwurf der MaRisk von 2016 Rechnung getragen. Demnach haben Institute für IT-Risiken angemessene Risikosteuerungs- und -controllingprozesse einzurichten, die insbesondere die Feststellung des Schutzbedarfs, die Ableitung von Sicherheitsanforderungen sowie die Implementierung entsprechender Sicherheitsmaßnahmen umfassen (AT 4.3.2).

Derzeit sind viele Kreditinstitute in Sachen IT-Sicherheit nur unzureichend aufgestellt. Sie haben Schwierigkeiten, IT-Risiken anhand definierter Prozesse vollständig zu erfassen, zu analysieren und zu steuern. Das liegt vorwiegend daran, dass die für die Identifikation dieser Risiken erforderlichen Daten aus verschiedenen Quellen und fachlichen Verantwortungsbereichen stammen. In wenigen Fällen ist eine interne, zentrale Anlaufstelle vorhanden, die diese Daten sammelt, zusammenführt und aufbereitet, um eine solide Grundlage für Entscheidungen und Aktivitäten im Bereich Informationssicherheit und IT-Compliance zu schaffen. Darüber hinaus herrscht im Tagesgeschäft ein starkes Abteilungsdenken, wodurch integrierte IT-Lösungen häufig scheitern. Infolgedessen werden Gefahren oft spät erkannt. Es besteht Nachholbedarf.

Durch den unzureichenden Ausbau von IT-Sicherheitslösungen sind Kreditinstitute stärker verwundbar gegenüber Hacker-Angriffen. Bei Sicherheitsvorfällen können Kreditinstitute zumeist nur noch reagieren. Die Erkenntnisse aus diesen Vorfällen fließen in den wenigsten Fällen in vorhandene Sicherheitsrichtlinien oder in das IT-Risikomanagement ein. Weiterhin sind technische Lösungen, die Hacker-Angriffe erkennen und verhindern können, in vielen Kreditinstituten nicht flächendeckend implementiert oder sie liefern unzureichende Informationen über die eigentliche Geschäftskritikalität des Vorfalls. Ein erheblicher Mehraufwand entsteht durch wiederkehrende Tätigkeiten und durch sich teils widersprechende Informationen im Management-Reporting.

Die schiere Masse gepaart mit fehlender Transparenz an Informationen erschwert es, die richtigen Prioritäten bei der Steuerung von IT-Risiken zu setzen. Im Schadensfall drohen dem Institut nicht nur hohe Strafen aufgrund von Verstößen gegen gesetzliche Auflagen. Nicht erkannte oder falsch eingeschätzte IT-Risiken können schwerwiegende Folgen wie z.B. Betriebsausfall oder erhebliche Imageschäden nach sich ziehen. Im schlimmsten Fall ist der Fortbestand des Institutes gefährdet.

Eine ganzheitlich integrierte Lösung ist der Schlüssel zum Erfolg.

Um die Komplexität der IT-Systeme besser zu beherrschen und die IT-Risiken nachhaltig zu steuern, ist ein sogenanntes IT-GRC-Management (IT Governance, Risk & Compliance Management) unabdingbar. Es dient als Rahmengerüst, um die zahlreichen Verflechtungen der Geschäftsvorfälle im Institut besser zu organisieren. Ferner ermöglicht es den Überblick über alle relevanten Managementsysteme und Maßnahmen zu behalten.

Damit können Institute ihr Informationsmanagement, IT-Risikomanagement und IT-Compliance besser umsetzen und gleichzeitig den unterschiedlichen Anforderungen an das aktive Risikomanagement und den geforderten Berichtspflichten effizienter nachkommen. Ein systematisches IT-GRC-Management beinhaltet, dass das Top-Management die IT-Risiken kennt, akzeptiert und geeignete Gegenmaßnahmen einleitet. Darüber hinaus stellt es sicher, dass die erkannten Risiken dokumentiert und an alle relevanten Unternehmensfunktionen kommuniziert werden. Dies zahlt sich insbesondere in Krisensituationen aus, da im Schadensfall effizienter und gezielter gehandelt werden kann.

Um das IT-GRC-Management im Unternehmen zielgerichtet einführen und umsetzen zu können, ist ein toolgestütztes System zu empfehlen, welches Verantwortlichkeiten klar zuweist und voneinander abgrenzt. Solch eine GRC-Software ermöglicht dem Institut, einen systematischen Ansatz zur Verwaltung der GRC-bezogenen Strategie und Implementierung zu verfolgen. Anstatt Daten in getrennten "Silos" zu halten, können Administratoren ein einziges Framework verwenden, um Regeln und Prozeduren zu überwachen. Hat sich solch ein toolgestütztes GRC-Managementsystem im Institut erfolgreich etabliert, reduziert sich der zeitliche Aufwand für den Manager und infolge auch die mit der Steuerung von IT-Risiken verbundenen Kosten.

IT-Sicherheit wird entscheidender Wettbewerbsfaktor sein.

Als Folge der erhöhten Bedrohungslage durch Hacker-Angriffe sowie der zunehmenden Digitalisierung rückt die IT-Sicherheit immer mehr in den Fokus der Aufsichtsbehörden. Sie konkretisieren die Anforderungen an das IT-Sicherheitsniveau stetig. Jedes Kreditinstitut muss seine IT-Sicherheit besser aufstellen, da sie in Zukunft zu einem entscheidenden Wettbewerbsfaktor wird. Datensicherheit bezieht sich längst nicht mehr auf den Kundenservice per se, sondern ist zunehmend ein integraler Bestandteil des digitalen Wandels.

Impavidi unterstützt Sie bei der Einrichtung eines IT-GRC-Managementsystems, um Transparenz im Hinblick auf Geschäfts- und IT-Risiken zu erlangen.


 

Zurück