Die aktuelle BAIT-Fassung (September 2018) stellt in Kapitel 3 bereits Anforderungen an das Informationsrisikomanagement (IRM) der Institute. In der konsultierten BAIT-Fassung (Oktober 2020) der BaFin werden über die originären Forderungen weitere Aspekte mit dem Ziel ergänzt, Anforderungen an das IRM in den Instituten zu konkretisieren und zu operationalisieren.
Das Sicherstellen der Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) von IT-Systemen und zugehörigen IT-Prozessen wird auf “sonstige Bestandteile des Informationsverbundes” erweitert. Damit versucht die BaFin dem zunehmenden Trend des Outsourcings von IT-Dienstleistungen in die Cloud gerecht zu werden. So wird klargestellt, dass auch in diesem Falle ein hinreichendes IRM betrieben werden muss, d.h. die Verantwortung nicht nur auf Daten innerhalb der „eigenen Räumlichkeiten“ zu beziehen ist. Verstärkt wird dies ebenfalls durch den Zusatz in Tz. 3.3. „Abhängigkeiten und Schnittstellen berücksichtigen auch die Vernetzung des Informationsverbundes mit Dritten“. Die konkreten Anforderungen zur Auslagerung und dem Fremdbezug von IT widmet die BaFin einen separaten Abschnitt (Kapitel 9), welcher in der konsultierten BAIT-Fassung unberührt bleibt.
Key Facts – die wichtigsten Änderungen:
- Drei neue Anforderungen werden gestellt:
- „Die Schutzbedarfsfeststellung sowie die zugehörige Dokumentation sind durch das Informationsrisikomanagement zu überprüfen.“ (Tz. 3.5.)
- „Das Informationsrisikomanagement hat die Risikoanalyse zu koordinieren und zu überwachen sowie deren Ergebnisse in den Prozess des Managements der operationellen Risiken zu überführen. Die Behandlung der Risiken ist kompetenzgerecht zu genehmigen.“ (Tz. 3.9.)
- „Das Institut informiert sich laufend über Bedrohungen seines Informationsverbundes, prüft ihre Relevanz, bewertet ihre Auswirkung und ergreift, sofern erforderlich, geeignete technische und organisatorische Maßnahmen.“ (Tz. 3.10.)
- Zwei Anforderungen werden erweitert oder konkretisiert:
- „Das Institut hat Anforderungen zu definieren, die zur Erreichung des jeweiligen Schutzbedarfs angemessen sind, und diese in geeigneter Form zu dokumentieren (Sollmaßnahmenkatalog).“ (Tz. 3.6.)
- „Die Risikoanalyse berücksichtigt über den Soll-Ist-Vergleich hinaus u. a. mögliche Bedrohungen, das Schadenspotenzial, die Schadenshäufigkeit sowie den Risikoappetit. Sonstige risikoreduzierende Maßnahmen können hierbei berücksichtigt werden. Falls Sollmaßnahmen nicht implementiert werden können (z. B. wegen technischer Restriktionen), können sonstige risikoreduzierende Maßnahmen umgesetzt werden.“ (Tz. 3.7.)
Interpretation – Was ist zu tun?
- Informationseigentümer sollten Kriterien festlegen und darauf basierend Regelprozesse definieren, um der geforderten regelmäßigen und anlassbezogenen Prüfung des Schutzbedarfes nachzukommen (Tz. 3.4.). Diese setzt die bereits bestehende Forderung voraus, dass jegliche Informationen einem Eigentümer zugeordnet wurden (BSI-Standard 200-2).
- Der Forderung der Überprüfung der Schutzbedarfsfeststellung kann durch Etablierung eines Regelprozesses erfolgen. Sofern Anpassungen (auch in Bezug auf die zugehörige Dokumentation) stattgefunden haben, sollte stets eine Abnahme durch das IRM erfolgen.
- Eine Kategorisierung der Schutzziele in sogenannte Schutzbedarfskategorien ist nicht mehr zwingend erforderlich. Stattdessen ist der Sollmaßnahmenkatalog so zu dokumentieren, dass die Anforderungen zur Erreichung des jeweiligen Schutzbedarfs angemessen und transparent sind. Der Sollmaßnahmenkatalog beinhaltet dabei keine Vorgaben für die konkrete Umsetzung (Tz. 3.6.).
- Auf Basis der definierten Risikokriterien ist eine Gap-Analyse (Soll- /Ist-Vergleich der umgesetzten Maßnahmen) durchzuführen (Tz. 3.7.).
- Dem IRM wird die Aufgabe der Koordination und Überwachung der Risikoanalyse zugeschrieben. Ebenso ist das IRM für die Übertragung der Ergebnisse der Analyse in die operationellen Risiken verantwortlich. Das IRM der Institute sollte ein entsprechendes (softwaregestütztes) Monitoring inklusive Handlungskonzept aufbauen und Prozesse zur Koordination sowie Übergabe im Institut etablieren. Handlungskonzepte umfassen z.B. die direkte Warnung von Mitarbeitern, das Sperren von betroffenen Schnittstellen und den Austausch von betroffenen IT-Systemen.
- Ein regelmäßiger Prüfungsprozess der Informationssicherheitsleitlinie durch die Geschäftsleitung bei Veränderungen der Rahmenbedingungen wird gefordert. Es sind Kriterien festzulegen, auf deren Basis ein Regelprozess zur Überprüfung der Richtlinie ausgestaltet werden kann.
Wie ADVISORI Ihnen hilft
Bisherige Projekterfolge haben gezeigt, dass sich durch ein zum Institut passendes IRM nicht nur die regulatorischen Anforderungen erfüllen lassen, sondern auch deutliche Effizienzgewinne bei IT-Projekten ergeben. Insbesondere durch den Einsatz innovativer Methoden an der Schnittstelle zwischen Information Security und Risk Management entstehen spürbare Mehrwerte für die Institute.
Über den Autor
Sebastian Rüttgers ist als Unternehmensberater mit Schwerpunkt auf das Risikomanagement und Aufsichtsrecht bei Finanzdienstleistern tätig. In seiner langjährigen Berufspraxis verhalf er Instituten bei der Analyse neuer regulatorischer Anforderungen hinsichtlich operationeller Risiken sowie deren Einbettung, Überwachung und Steuerung in der Organisation.
Erfahren Sie mehr zur Konsultion der BAIT in unserer Artikelserie.
