IT‑Sicherheit und IT‑Governance in Zeiten von KAIT – BaFin erweitert Anwenderkreis

Informationssicherheit, die mindestens Stand der Technik aufweist – so lautet die klare Forderung der BaFin an al­le Ka­pi­tal­ver­wal­tungs­ge­sell­schaf­ten, kurz KVG. Aus dem Ent­wurf der Ka­pi­tal­ver­wal­tungs­auf­sicht­li­chen An­for­de­run­gen an die IT, kurz KAIT, er­ge­ben sich in punc­to IT-Si­cher­heit und IT-Go­ver­nan­ce nicht über­trag­ba­re Pflich­ten und Auf­ga­ben für die Ge­schäfts­lei­tung. Ihr ob­liegt seit je­her die Ge­samt­ver­ant­wor­tung für die Un­ter­neh­mens­or­ga­ni­sa­ti­on, Fonds­ver­wal­tung und das Ri­si­ko­ma­nage­ment. Die dar­aus re­sul­tie­ren­den Ent­wick­lun­gen be­rich­tet sie jähr­lich an den Auf­sichts­rat, ge­nau­er ge­sagt Bei­rat. Mit der KAIT er­wei­tert sich der Ver­ant­wor­tungs­be­reich um ei­ne zwin­gen­de Ge­wis­sen­haf­tig­keit im In­for­ma­ti­ons- und IT-Ri­si­ko­ma­nage­ment. Hier­für kön­nen sich KVG-Un­ter­neh­mens­lei­ter ex­ter­ne Be­ra­ter und Werk­zeu­ge her­an­zie­hen, was sie je­doch kei­nes­falls von der Kon­troll­pflicht entbindet.

von Pierre Gronau, Gronau IT Cloud Computing

Die interne Komplettverantwortung sowie eine damit verbundene vierteljährliche Berichtspflicht gegenüber dem Aufsichtsrat bleiben auch durch die KAIT und das IT-Ri­si­ko­ma­nage­ment.

Mit diesem quartalsweisen Report zieht die BaFin das Tempo stark an und verdeutlicht, wie hoch IT-Sicherheit aufgehängt ist.”

IT-Governance: Strukturen schaffen

Am An­fang al­ler Si­cher­heit steht ei­ne kon­sis­tent zur Ge­schäfts­stra­te­gie ent­wi­ckel­te IT-Stra­te­gie. Nach­hal­tig und nach­voll­zieh­bar kon­zi­piert, zielt sie auf IT-Go­ver­nan­ce ab und er­for­dert bei Erst­ver­ab­schie­dung oder An­pas­sung die In­for­ma­ti­on des Auf­sichts­rats. Der KAIT-Ent­wurf sieht hier­für ei­ne Fest­le­gung und Um­set­zung der IT-Auf­bau- und IT-Ab­lauf­or­ga­ni­sa­ti­on (Ab­schnitt II 2 Tz. 10 KAIT-E) so­wie die Steue­rung der für den Be­trieb und die Wei­ter­ent­wick­lung der IT-Sys­te­me zu­stän­di­gen Be­rei­che (Ab­schnitt II 2 Tz. 25 KAIT-E) vor. Den Grund­pfei­ler fürs Ge­lin­gen bil­det ei­ne In­for­ma­ti­ons­si­cher­heits­leit­li­nie für die KVG, die in­ner­halb der Ge­sell­schaft ver­ständ­lich und um­fas­send kom­mu­ni­ziert werden muss.

Hinter dem Begriff IT-Governance steht eine tragfähige Struktur zur Steuerung sowie Überwachung des kompletten IT-Betriebs. Darüber hinaus umfasst der Terminus die Weiterentwicklung aller IT-Systeme einschließlich ihrer dazugehörigen Prozesse. Im Rahmen der IT-Governance müssen folgende Fragen beantwortet sein:

1. Wo gibt es Schnittstellen zu Verwahrstellen und wichtigen Auslagerungsunternehmen?
2. Existieren Interessenkonflikte?
3. Welche Kriterien zur Steuerung und Weiterentwicklung der IT-Systeme legt die KVG fest und wie lassen sich diese überwachen?
4. Sind Überwachungs- und Steuerungsprozesse für IT-Risiken definiert?
5. Welche Organisationsrichtlinien für IT-bezogene Geschäftsaktivitäten existieren?
6. Wie sehen Notfallmaßnahmen aus?

Geclustert in vier Themenfelder, besteht IT-Governance in der KVG aus der Organisation des IT-Aufbaus und seiner Abläufe sowie eines Informationsrisiko- und Informationssicherheitsmanagements, weiter aus der Ausstattung des IT-Personals sowie dem Umfang und der Qualität der technisch-organisatorischen Ausstattung.

Mit Informations-Risikomanagement Schutzziele erreichen

Jeder Verbund von Informationen, IT-Prozessen und datenverarbeitenden IT-Systemen birgt Risiken, die im Rahmen eines Risikomanagements identifiziert, bewertet, gesteuert und überwacht werden. Um diesen Zusammenhalt zu gewährleisten, müssen KVGs zukünftig im Rahmen der IT-Strategie Aufgaben definieren, Kompetenzen und  Verantwortlichkeiten zuschreiben, Kontrollen installieren und Kommunikationswege festlegen. Sind IT-Risiken enttarnt und verortet, leiten Verantwortliche daraus Schutzmaßnahmen und Schutzziele ab, die in jeder Kapitalgesellschaft anders gelagert sein können. Gängige Schutzziele im Finanzsektor sind Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit der Daten. Ein mindestens quartalsweiser Statusbericht des IT-Personals an die Geschäftsleitung klärt über Ergebnisse der Risikoanalyse und Veränderungen der Risikosituation auf.

Informationssicherheitsmanagement in Person

Der Organisation von Informationssicherheit fällt im KAIT-Entwurf ein Löwenanteil zu. Zur Einhaltung einer hierfür erforderlichen Informationssicherheits-Leitlinie fordert die BaFin die Berufung einer zuständigen, fachkundigen Person, eines internen Informationssicherheitsbeauftragten.

Der Informationssicherheitsbeauftragte, kurz ISB, ist ein Kontrollorgan, das quartalsweise und zusätzlich anlassbezogene Statusberichte zur Informationssicherheit an die verantwortliche Geschäftsleitung übermittelt. Fest steht:

Der ISB (In­for­ma­ti­ons­si­cher­heits­be­auf­trag­te) ist kein IT-Ad­mi­nis­tra­tor und in sei­ner Funk­ti­on klar vom ope­ra­tiv agie­ren­den IT-Per­so­nal ge­trennt. Grund­sätz­lich im ei­ge­nen Haus ver­an­kert, kann der ISB nur in Aus­nah­me­fäl­len durch ei­nen ex­ter­nen IT-Dienst­leis­ter oder ei­nen Mit­ar­bei­ter im kon­zern­an­ge­hö­ri­gen Un­ter­neh­men er­setzt werden.”

Freiräume für Informationssicherheit

Die Benennung eines ISB reicht selbstverständlich nicht aus, um den Anforderungen der KAIT genüge zu tun. Doch was benötigt der Beauftragte, um seine Mission umfänglich zu erfüllen? Um zwischen Geschäftsleitung, IT-Personal und externen Dienstleistern nicht von Interessenkonflikten zerrieben zu werden, ist eine klare Funktions- und Stellenbeschreibung für den ISB unerlässlich. Dazu benötigt der statuierte Sicherheitsexperte eine Ressourcenausstattung, die ihm ausreichend Spielraum gibt, sowie ein Budget für Informationssicherheitsschulungen in der KVG und Weiterbildung. Uneingeschränkte Möglichkeiten, unmittelbar und jeder Zeit an die Geschäftsleitung zu berichten, müssen ebenfalls gegeben sein. Existenziell: Alle Beschäftigten der KVG sowie der beauftragten IT-Dienstleister müssen sich verpflichten, den ISB sofort über alle bekanntgewordenen IT-sicherheitsrelevanten Umstände und Vorfälle lückenlos zu unterrichten.

Sind die oben aufgeführten Voraussetzungen erfüllt, kann der ISB seine Aufgabe wahrnehmen und dafür Sorge tragen, dass alle Belange der Informationssicherheit innerhalb der Gesellschaft und gegenüber Dritten berücksichtigt sind. Zum Aufgabengebiet gehören im Detail:

1. Sicherstellung der IT-Strategie, der Informationssicherheitsleitlinie und den Informationssicherheitsrichtlinien der KVG niedergelegten Ziele und Maßnahmen zur Informationssicherheit intern und gegenüber Dritten transparent gemacht und deren Einhaltung überprüft und überwacht werden
2. Unterstützung und Beratung der Geschäftsleitung
3. Erstellung und Fortschreibung der Informationssicherheitskonzepte
4. Steuerung und Koordinierung des Informationssicherheitsprozesses in der KVG
5. Realisierung von Informationssicherheitsmaßnahmen
6. Untersuchung von Informationssicherheitsvorfällen und Bericht an die Geschäftsleitung
7. Initiierung und Koordination von Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit

Zugriffsrechte organisieren

Die Verteilung von Einzelrechten und die Rezertifizierung von Berechtigungen gestalten sich in KVGs kompliziert und zeitaufwändig: Im KAIT-Entwurf festgeschriebene Rechenschaftspflichten und Compliance-Richtlinien fordern eine gründliche Dokumentation von Rollen und Identitäten. Damit kommt einem Benutzer-Berechtigungsmanagement genau wie auch in anderen Unternehmen eine besondere Bedeutung zu. Es gewährleistet, dass alle eingeräumten Zugriffsrechte so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben der KVG entspricht. Das Konzept sollte an den Schutzbedarf der KVG angepasst sein und dem Sparsamkeitsgrundsatz minimaler Berechtigungsverteilung, dem „Need-to-know-Prinzip“, folgen. Dies und die Vermeidung von toxischen Kombinationen wie sich ausschließende Autorisierungen erhöhen die Sicherheit.

Risikoreiche IT-Projekte und wo sie zu finden sind

Sobald die KVG wesentliche Veränderungen in ihren IT-Systemen plant, muss eine Risikoanalyse zu den Auswirkungen auf die Informationssicherheit erfolgen. Diese Analyse umfasst den Einfluss des IT-Projektes auf die Organisation aller IT-Abläufe, auf ihre Prozesse, bestehende Kontrollverfahren und deren Intensität, das Portfolio- und Risikomanagement sowie Test- und Abnahmeverfahren. Bei der Überwachung und Steuerung von IT-Projekten gelten folgende Parameter für die Einschätzung der Risiken: Dauer, Ressourcenverbrauch, Qualität, Abhängigkeiten.

IT-Betrieb: Operationen am offenen Herzen

Die KAIT wird direkte Auswirkungen auf den operativen IT-Betrieb haben. De facto müssen die neuen Anforderungen in alle IT-gestützten Geschäftsprozesse integriert und mit der laufenden Geschäftsstrategie in Einklang gebracht werden – immer unter Berücksichtigung der gesetzlichen Vorgaben zur elektronischen Datenverarbeitung.”

Um dieses Ziel zu erreichen, bedarf es regelmäßiger Aktualisierung der Bestandsangaben. Dazu gehören Lebenszyklus-Management und ein besonderer Prozess für „Anträge zur Änderung von IT-Systemen“, der Aufnahme, Dokumentation, Bewertung, Priorisierung, Genehmigung sowie Umsetzung umfasst. Ferner gehört es zur Aufgabe des ISB, geeignete Kriterien zur Information der Geschäftsleitung bei Störungen und Sicherheitsvorfällen festzulegen. Als ein Werkzeug bietet sich ein Security Information Enterprise-System, kurz SIEM an, das eine ganzheitliche Betrachtung auf den IT-Betrieb ermöglicht und als Frühwarnsystem bei Auffälligkeiten Alarm schlägt.

Ein KAIT-konformer IT-Betrieb folgt außerdem einem Datensicherungskonzept, das sich aus Geschäftsprozessen sowie unternehmerischen Fortführungsplänen ableitet. Tests beziehungsweise Stichproben zur Wiederherstellbarkeit von Daten sollten mindestens jährlich stattfinden.

Der Masterplan

Der KAIT-Entwurf erfordert einen zügig umzusetzenden und klaren Handlungsleitfaden, der sich wie folgt zusammenfassen lässt:

Konzeptionell:

1. Festlegung einer nachhaltigen IT-Strategie
2. Beschluss einer Informationssicherheitsleitlinie nebst konkretisierender Informationssicherheitsrichtlinien und Informationssicherheitsprozesse
3. Einbindung von IT-Risiken und wesentlichen IT-Projektrisiken ins Risikomanagement
4. Konzept zur Abgrenzung „Auslagerung vs. Fremdbezug von IT-Dienstleistungen“, Risikobewertung für Fremdbezug von Dienstleistungen

Operativ / Prüfend:

1. Überprüfung und ggf. Anpassung der internen Organisationsrichtlinien nebst Notfallmaßnahmen bzgl. IT-bezogener Geschäftsaktivitäten
2. Festlegung bzw. Überprüfung/Anpassung von Kriterien zur Steuerung der für den Betrieb und die Weiterentwicklung der IT-Systeme zuständigen Bereiche
3. Festlegung bzw. Überprüfung/Anpassung der Prozesse für ein Informationsrisikomanagement nebst besonderer Berichtspflichten
4. Überprüfung/Anpassung der Prozesse nebst Berichterstattung für IT-Projekte
5. Festlegung bzw. Überprüfung/Anpassung des Benutzerberechtigungsmanagements (insbesondere Berechtigungskonzepte Zentralverzeichnis)
6. Überprüfung/Anpassung der Prozesse zur Anwendungsentwicklung nebst IDV (insbesondere Schutzbedarfsklassifizierung, zentrales Anwendungsregister)
7. Überprüfung/Anpassung der Prozesse zum IT-Betrieb nebst Umgang mit Störungen und Berichtspflichten
8. Überprüfung/Anpassung bestehender Verträge mit externen IT-Dienstleistern

HR-Organisatorisch:

1. Einrichtung einer (unabhängigen) Funktion eines Informationssicherheitsbeauftragten nebst Berichtspflichten
2. Arbeitsanweisungen an Mitarbeiter
3. Interne Schulungsmaßnahmen

Zu jedermanns Vorteil

Mit der Berufung eines ISB verpflichtet die BaFin nach Banken und Versicherungen nun auch folgerichtig die KVGs zu Prozess-Beschleunigung und Transparenz. Gesellschaften, die schon jetzt ihrer Berichtspflicht nachkommen und Maßnahmen nach Stand der Technik zur IT-Sicherheit durchführen, erleben dabei den geringsten Wandlungsdruck. Sie berufen einen internen Informationssicherheitsbeauftragten, der das IT-Informations- und IT-Risikomanagement definiert, kontrolliert und kommuniziert. KVGs, die in puncto Berichtswesen Nachholbedarf spüren, setzen mit der KAIT und dem ISB ein Startsignal, mit dem IT-Sicherheit und IT-Governance künftig eine Prinzipalpflicht wird.Pierre Gronau