IT-Compliance durch ISMS IT-Sicherheitsrisiken bei Banken richtig managen

Anbieter zum Thema

Arvato Systems

TXOne Networks

Outpost24 GmbH

Compliance ist für Banken ein zentrales Thema. Zahlreiche Gesetze, Verordnungen, Direktiven und Rundschreiben bilden die sich stets verändernden Rechtsgrundlagen und müssen im Tagesgeschäft beachtet werden. Hinzu kommt der immer wichtiger werdenden Schutz vor IT-Sicherheitsrisiken. Um eine ganzheitliche Sicht einnehmen und durch eine kontinuierliche Evaluierung immer den aktuellen Stand der Sicherheit von Organisation und Technologie abbilden zu können, ist deshalb die Einführung und der Betrieb eines Informations­sicherheits­management­systems (ISMS) sinnvoll.

Umfangreiche Gesetze und Regularien regeln das Tagesgeschäft von Banken. Sie müssen nicht nur das Wertpapierhandelsgesetz und den Datenschutz beachten, sondern sich auch gegen Bedrohungen wie Terrorismus oder Geldwäsche absichern. Das Kreditwesengesetz (Paragraph 25 a und b) schreibt die grundlegenden Anforderungen für Institute und ihre Dienstleister vor. Dazu gehören unter anderem eine ordnungsgemäße Geschäftsorganisation und ein angemessenes Risikomanagement, welches eine entsprechende technische wie personelle Ausstattung sowie ein Notfallkonzept umfasst. Darüber hinaus müssen die Systeme dem aktuellem Stand der Technik und dem Branchenstandard entsprechen.

Viele Institute und Dienstleister betreiben zudem sogenannte kritische Infrastrukturen gemäß IT-Sicherheitsgesetz. In den Instituten steigt die Abhängigkeit der Kern- und Wertschöpfungsprozesse von der IT-Infrastruktur, die besonders schützenswert wird. Banken stellt das vor Herausforderungen, denn sowohl die Angemessenheit der Schutzmaßnahmen als auch deren Nachweis wird für Institute und ihre Dienstleister immer schwieriger zu definieren. Mit dem Crash 2009 haben sich die Vorgaben weiter verschärft.

Cybertrojaner im Fokus der Maßnahmen

Zunehmend werden gezielte Angriffe von Cryptrojanern beobachtet, die damit zu einer realen Bedrohung für Finanzdienstleister werden. Die Trojaner verschlüsseln Daten in den Zielsystemen und erpressen ihre Entschlüsselung. Banken sind dabei ein lohnenswerter Angriffspunkt, um Informationen auszuspionieren, Kurse, Daten oder Kaufoptionen zu manipulieren und natürlich monetäre Ressourcen abschöpfen zu können.

Um dem zu begegnen und Resilienz zu schaffen, hat die EU das TIBER-EU-Programm ins Leben gerufen. Das „Threat Intelligence-based Ethical Red Teaming“ stellt das Rahmenwerk der Notenbanken des Europäischen Systems der Zentralbanken zu sogenannten bedrohungsgeleiteten Penetrationstests dar. Die Tests erlauben Einblicke in die Funktionsfähigkeit der Sicherheitsmaßen von Banken und Finanzdienstleistern und werden auf freiwilliger Basis durchgeführt. Dabei gehen die TIBER-Testes durch den Einsatz von Threat Intelligence („Spionage“) weit über die gewohnten Penetrationstests für Produktivsysteme hinaus.

Eine Herausforderung auf Systemseite stellt die Globalisierung dar und der Trend zu Verschlankung und Synergien. In der Folge sind Rechenzentren fusioniert und dieselben Spezialanwendungen werden branchenweit eingesetzt. Das Problem: Es reicht bereits das Wissen um die Technologien von Banken und die Kenntnis über etwaige Patchlücken in Branchensoftware, um Angriffsversuche auszulösen. Sobald in den Systemen Schwachstellen bekannt, trifft das flächendeckend sofort ganze Branchen. Zudem entstehen Bottlenecks bei den Angriffen, da Knotenpunkte wie große Player und Rechenzentrumsbetriebe ins Visier genommen werden.

Compliance: Zahlreiche Regularien und ständige Aktualisierungen

Um das Management von Compliance-Anforderungen abbilden zu können, unterhalten große Institute ganze Abteilungen. Compliance ist aus zwei Gründen komplex: die Vielzahl der Regularien und ihre kontinuierliche Anpassung, auf die reagiert werden muss.

Banken müssen sich an nationalen und internationalen Gesetzgebern orientieren, an den Behörden Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), dem Bundesamt für Sicherheit in der Informationstechnik (BSI), der Europäischen Zentralbank (EZB) und der Europäische Bankenaufsicht (EBA). Auch die Europäischen Union (EU) verabschiedet Verordnungen und Direktiven. Letztere werden in nationale Gesetze übergeführt, wie zum Beispiel die Payment Service Directive 2 im Zahlungsdienste­aufsichtsgesetz (ZAG). Sie definiert unter anderem Mindestanforderungen für die Sicherheit von Zahlungsdiensten. Seit 2015 gelten die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI). Relevant sind zudem die Mindestanforderungen an das Risikomanagement (MaRisk), die durch die bankaufsichtsrechtlichen Anforderungen an die IT (BAIT) konkretisiert werden. Sie erfordern den Einsatz von Best Practices und standardisierten Verfahren. Außerdem gilt die Guideline für Informations- und Kommunikationstechnik (ICT).

Diese Flut an Gesetzen und Verordnungen ist stetigen Anpassungen unterworfen. Banken müssen alle Anforderungen nachhalten, die Entwicklung verfolgen und auch auf Widersprüche reagieren. Durch die jährlich stattfindende Wirtschaftsprüfung und durch BaFin-Prüfungen werden die aufsichtsrechlichen Nachweise kontrolliert. Betreiber von kritischen Infrastrukturen, zu denen auch Banken und Finanzdienstleister zählen, müssen zudem alle zwei Jahre den KRITIS-Nachweis erbringen.

Banken müssen immer wieder die erforderlichen Änderungen in ihre Prozesse aufnehmen und Vor- und Nachbereitung leisten, da die Neuerungen in immer kürzeren Abständen eingeführt werden. Dafür ist gerade in kleinen Instituten viel Manpower erforderlich. Compliance ist teuer und verbraucht enorme Ressourcen – innovative Projekte bleiben auf der Strecke.

Hinzu kommt, dass die Anforderungen an ein angemessenes Risikomanagement immer präziser formuliert werden, um einheitlichere Standards und mehr Führung für Institute zu schaffen. Es gibt kaum noch Spielraum für Interpretationen. Das schafft zwar Klarheit, doch die konkreten Anforderungen stellen viele Institute auch vor große Herausforderungen: Denn in vielen Banken und Instituten werden historisch gewachsene Systeme eingesetzt, die nicht von heute auf morgen migriert werden können.

Auch das vielfach praktizierte Outsourcing an Dienstleister stellt eine große Herausforderung dar: Kreditinstitute lagern beispielsweise die Produktion und Ausgabe von Kreditkartendaten oder Rechenzentrum und Netzbetrieb aus. Auch in der Zusammenarbeit mit Externen müssen definierte Sicherheitsziele vereinbart, umgesetzt und deren Einhaltung von den Instituten überprüft werden.

Banken müssen dem technischem Fortschritt Rechnung tragen und ihre Standards kontinuierlich anpassen. Bei der Prüfung der Angemessenheit von Schutzmaßnahmen müssen sie neben den Risiken aus dem operativem Geschäft und auch IT-Risiken mitbetrachten.

Der Weg zur Compliance

Mit der Implementierung eines Informations­sicherheits­management­systems (ISMS) und professioneller Begleitung kann die so wichtige Sicherheitsfrage ganzheitlich betrachtet werden. Die Bonner Security Research & Consulting GmbH zum Beispiel hat Informations­sicherheits­management­systeme in Banken mit Erfolg eingeführt.

Durch ein ISMS wird die kontinuierliche Verbesserung von technischer Infrastruktur sowie organisatorischen Prozessen möglich: Schwachstellen können durch den prozessualen Ansatz immer wieder identifiziert, Maßnahmenpläne erstellt und Sicherheitsprozesse strukturiert gesteuert werden. Zu einem ISMS gehören zum Beispiel der Incident Management Prozess, die Schaffung von Bewusstsein für Sicherheit sowie die Dokumentenlenkung.

Bei dem Aufbau eines ISMS ist immer der Blick auf die Gesamtorganisation wichtig: Technische Maßnahmen erhöhen zwar das Sicherheitsniveau, doch auch der Mensch stellt eine oft unterschätzte Angriffsfläche dar. Ein Bewusstsein für Sicherheit zu schaffen, ist in der Regel leichter zu bewerkstelligen und effizienter als ein rein technisches Aufrüsten. Betrugsversuche wie CEO-Fraud oder Malware, die als Bewerbung ankommt, lassen sich zum Beispiel verhindern, wenn die Belegschaft geschult ist und vor dem Anklicken die entsprechende Datei erst von der IT prüfen lässt. Auch Spionage-Strategien wie Piggy Bagging, um Zutritt in die Räumlichkeiten zu erhalten, lassen sich so vereiteln.

Eine kontinuierliche Weiterbildung und Schulung der Mitarbeiter kann Sicherheitslücken effizient schließen und Schäden vorbeugen.

Strukturierte, durch ein ISMS eingeführte Prozesse, sorgen zudem dafür, dass Probleme schneller erkannt werden. Eskalations- und Meldeprozesse bringen Effizienz in den Umgang mit Angriffen. Eine gute Alarmfunktion zum Beispiel spürt den veränderten Traffic durch einen Trojaner schneller auf und verhindert damit die Ausbreitung eines Computer-Virus.

Weitere Maßnahmen erhöhen Schutz und Resilienz: Sicherheitspatches müssen zwingend gefahren werden, damit die Infrastruktur keine Lücken aufweist und der Angriff über technische Einfallstore erschwert wird. Wichtig sind außerdem regelmäßige Backups mit einer guten Netzwerksegmentierung, so dass der Zugriff etwa auf Kontoführungssysteme limitiert ist. Banken können außerdem den KRITIS-Nachweis erbringen und über den TIBER-Test ein adäquates Sicherheitsniveau nachweisen. Und nicht zuletzt ist eine angemessene Personaldecke angeraten.

Fazit

Compliance, das Handeln im Einklang mit dem geltenden Recht, stellt für Banken eine Herausforderung dar, die nicht an Aktualität einbüßt. Die internen Prozesse der Institute werden immer stärker von einer Vielzahl an Verordnungen und Gesetze geregelt. Banken müssen dabei auch die steten Anpassungen abbilden und umsetzen können. Mit einem ISMS kann die Compliance-Frage in der immer bedeutender werdenden IT-Sicherheit nachhaltig gelöst werden. In einem kontinuierlichen Prozess werden sowohl die technische Infrastruktur als auch die Organisation der Institute stetig verbessert. So verbessern sich Schutz und Resilienz der Systeme.

Über die Autorin: Dagmar Schoppe ist Bereichsleiterin Banken-Compliance bei der SRC GmbH.

(ID:46840296)