SECURITY18. November 2021

Die Anforderungen der BAIT-Novelle der BaFin: Testen, testen, testen!

Experte für die BAIT-Novelle: Michael Ugrinovich
Michael Ugrinovich, Chief Technical Officer bei tenfoldtenfold

Die Novelle der Bankaufsichtlichen Anforderungen an die IT ergänzt die Verwaltungsvorschrift um die neuen Kapitel „Operative In­for­ma­tions­sicherheit“ und „IT-Not­fall­mana­gement“. Da es sich nach Ansicht der BaFin nur um die Konkretisierung bestehender Vorgaben handelt, sind sämtliche Anforderungen ohne Übergangsfrist seit dem 16.08.2021 in Kraft. Was sich für Finanzinstitute dadurch ändert, verrät unser Überblick.

von Michael Ugrinovich, Chief Technical Officer bei tenfold

Wie steht es ei­gent­lich um die IT-Si­cher­heit Ih­res In­sti­tuts? Schwach­stel­len­scans, Pe­ne­tra­ti­ons­tests, Se­cu­ri­ty In­for­ma­ti­on und Event Ma­nage­ment: Schutz­maß­nah­men wie die­se zäh­len seit lan­gem zu den gän­gi­gen Best Prac­tices. Nun sind sie durch die Er­wei­te­rung der Bank­auf­sicht­li­chen An­for­de­run­gen der IT (BAIT) auch of­fi­zi­ell vorgeschrieben.”

Oder genauer gesagt: Die bestehenden Vorschriften wurden hinsichtlich dieser Maßnahmen präzisiert. Da es sich streng genommen um keine neuen Anforderungen handelt, gibt es auch keine Übergangsfrist für die Umsetzung der BAIT-Novelle (Link). In der Praxis müssen wohl einige FinTechs und Institute nachbessern, um die genauen Vorgaben des Dokuments zu erfüllen. Wir verraten, was es bei der Planung und Umsetzung der geforderten Schutzmaßnahmen zu beachten gilt.

Sichere Konfiguration: Kennen Sie SiSyPHuS?

Die Vorgaben zur operativen Informationssicherheit sollen die Einhaltung der bekannten Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität gewährleisten. Die Liste an Beispielen für geeignete Schutzmaßnahmen (BAIT 5.2) enthält hier viele vertraute Themen: Admins dürften beispielsweise nicht auf die Bedeutung der sicheren Konfiguration bzw. Härtung von IT-Systemen hingewiesen werden müssen. Doch wer die nötigen Einstellungen bislang nur nach bestem Wissen und Gewissen durchführt hat, sollte sich zur Absicherung nun auch an offiziellen Vorgaben orientieren. Neben den Empfehlungen von Windows und Linux selbst, stellt das Bundesamt für Sicherheit in der Informationstechnik hier einen umfangreichen Katalog bereit.

Die Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10 mit der kreativen Abkürzung SiSyPHuS liefert detaillierte Empfehlungen zur Konfiguration von Windows 10 Komponenten. Auch der IT-Grundschutz enthält Vorgaben zu optimalen Einstellungen, allerdings verteilen sich diese auf die Abschnitte der jeweiligen Anwendungen, wie Verzeichnisdiensten (APP.2), Web-Servern (APP.3.2) und Business-Anwendungen (APP.4). Hier gilt es also, die relevanten Passagen zunächst ausfindig zu machen. Selbstverständlich gibt es gute Empfehlungen aber nicht nur von offizieller Seite.

Die Novelle ist viel mehr ein geeigneter Anlass, das eigene Wissen über Systemeinstellungen aufzufrischen und die konsequente Durchsetzung zu überprüfen.”

Schwachstellenmanagement: Auswertung und Ausnahmen

tenfold
tenfold (Webseite) mit Sitz in Wien liefert Berechtigungsmanagement. Das System des Unternehmens soll besonders einfach handzuhaben sein. Es ließen sich damit alle wichtigen Prozesse von IT-Anwendern automatisch steuern und gleichzeitig erfahren wer unternehmensweit aktuell über welche Berechtigungen verfüge. Die Software sei speziell an Microsoft-Umgebungen angepasst und bietet die Möglichkeit Drittsysteme (z.B. SAP, HCL Notes, Dynamics NAV) über standardisierte Schnittstellen (sog. Plugins) zu integrieren. Zudem liefere es eine einfache Umsetzung von BAIT-Anforderungen wie dem Least Privilege Prinzip und regelmäßiger Rezertifizierung, eine Self-Service-Plattform für User zur Entlastung des Helpdesks und Reporting-Tools.

Auch Software-Lösungen für das Schwachstellenmanagement können dabei helfen, unsichere Konfigurationen ausfindig zu machen. Regelmäßige Schwachstellenscans, die bislang implizit durch das Informationssicherheitsmanagement gefordert wurden, zählen nun ebenfalls zu den ausdrücklichen Vorgaben von BAIT. De facto lässt sich diese Anforderung nur durch eine automatisierte Plattform lösen, die sämtliche Systeme auf bekannte Schwachstellen überprüft. Das Problem dabei ist allerdings, dass auch selbstständige Scans anschließend ausgewertet werden müssen und der IT-Abteilung so zusätzlichen Aufwand bereiten.

Was die Qualität der Schwachstellenerkennung angeht, gibt es aufgrund der gemeinsam verwalteten CVE-Datenbank (Common Vulnerabilities and Exposures) hier kaum Unterschiede zwischen den renommierten Herstellern. Bei der Auswahl einer Software-Lösung sollten Institute aber darauf achten, dass diese die Möglichkeit zur „Übersteuerung“ von Ergebnissen anbietet. Diese Funktion ist notwendig, um False Positives herausfiltern zu können oder Systeme, die aktuell nicht gepatcht werden können, zu übergehen. Da eine solche Ausnahme immer auch ein Sicherheitsrisiko darstellt, lässt sie sich idealerweise durch temporäre Übersteuerung kurzfristig festlegen und erlischt danach automatisch wieder. Andernfalls könnte die gesetzte Ausnahme leicht vergessen werden.

Auch ein Schwachstellenscanner mit Tendenzerkennung ist empfehlenswert, um erkennen und filtern zu können, wie sich z.B. die Anzahl der Probleme auf unterschiedlichen Servern seit dem letzten Scan entwickelt hat.”

So lässt sich nicht nur der Fortschritt bei der Absicherung messen bzw. dokumentieren, es erleichtert auch die Priorisierung von kritischen oder besonders gefährdeten Systemen (etwa mit offenem Internet-Zugang).

Security Incident & Event Management

Die zentrale und zeitnahe Auswertung sicherheitsrelevanter Informationen, welche in den neuen BAIT-Abschnitten 5.3 bis 5.5 beschrieben wird, „erfordert in der Regel den Einsatz automatisierter IT-Systeme“. So drückt es BAIT selbst aus. In der Praxis dürfte kein Weg mehr am Einsatz eines Security Incident & Event Management (SIEM) und dem Einrichten eines Security Operation Centers (SOC) vorbeiführen. Anders lässt sich die Auswertung von Protokolldaten und  Meldungen nicht realisieren. Etwas unklar bleibt hingegen, wie Regeln für die Auswertung „vor Inbetriebnahme zu testen“ sind. Der Einsatz gängiger Systeme sollte die Anforderungen jedenfalls abdecken, solange Institute auch angemessen auf aufgezeichnete Vorfälle reagieren.

Wichtig:

BAIT verpflichtet nicht nur zur laufenden Analyse von sicherheitsrelevanten Vorfällen, sondern auch zur sicheren Aufbewahrung der Informationen für interne Verbesserungen und forensische Untersuchungen.”

Das bedeutet also, dass die Aufzeichnungen des SIEM auch nach einem erfolgreichen Angriff auf das Institut zur Verfügung stehen sollten und daher ein geeignetes Konzept für sichere Backups entwickelt werden muss.

Penetrationstests: Fokus auf eigene Applikationen

Simulierte Angriffe in Form von Pentests stehen schon jetzt auf der Agenda umsichtiger Informationssicherheitsverantwortlicher, durch die Novelle von BAIT ist die regelmäßige und anlassbezogene Überprüfung nun ebenfalls Vorschrift. Das BSI stellt hierzu eine Liste an zertifizierten Sicherheitsdienstleistern bereit, welche Penetrationstest nach dem anerkannten fünfstufigen Modell des Bundesamts durchführen: Vorbereitung, Informationsbeschaffung, Risikoanalyse, Angriffsversuche und Abschlussanalyse.

Autor Michael Ugrinovich, tenfold
Michael Ugrinovich ist Chief Technical Officer der tenfold Software GmbH, wo er maßgeblich an der Entwicklung der gleichnamigen Identity & Access Management Lösung beteiligt war. Der diplomierte IT-Experte blickt auf eine jahrelange Erfahrung als Software-Entwickler zurück und arbeitet auch heute noch an neuen Features und Schnittstellen für tenfold

Vor einem entsprechenden Test sollten bekannte Schwachstellen aus Scans und dem Security Operation Center so weit wie möglich behoben werden, um produktive, neue Erkenntnisse aus der simulierten Attacke zu gewinnen. Zudem ist es wichtig, im Vorfeld eine Folgenabschätzung durchzuführen und die je individuelle Gefährdung einzelner Systeme sowie die möglichen Konsequenzen bei einem Ausfall in Betracht zu ziehen. Abhängig vom Schutzbedarf sollten einzelne Bereich gründlicher und häufiger getestet werden. Das gilt beispielsweise für intern entwickelte Software, die im Unterschied zu gängigen Business-Produkten nicht vom Hersteller und anderen Anwender:innen überprüft wird. Vorgaben zu der Entwicklung eigener Anwendungen finden sich zudem in Kapitel 7 von BAIT.

IT-Notfallplan: Abhängigkeiten und jährliche Überprüfung

Zusätzlich zu den Kontrollen der operativen Sicherheitsmaßnahmen ist durch die Anpassung von BAIT nun auch ein Notfallkonzept vorgesehen, das regelmäßig, aber mindestens jährlich getestet werden muss. Sowohl der Notbetrieb, als auch Wiederanlauf- und Wiederherstellungspläne sind zu überprüfen. Kompliziert wird es hier vor allem aufgrund der vielen vorgesehenen Testkombinationen: IT-Systeme müssen sowohl einzeln, als auch in Systemverbünden und Zusammenfassung zu bestimmten Prozessen getestet werden. Die Zahl an notwendigen Kontrollen steigt in komplexen IT-Umgebungen also rasant. Ein möglicher Stolperstein für kleinere Institute ist außerdem die Anforderung, bei Ausfall eines Rechenzentrums auf ein anderes ausweichen zu können.

Bei der Erstellung des Notfall- und Testkonzepts gilt es darüber hinaus, Anpassungen im vorhergehenden Kapitel zur Auslagerung von IT-Dienstleistungen zu beachten:

Beim Fremdbezug von IT-Dienstleistungen müssen mögliche Ausfälle ebenfalls in Betracht gezogen werden.”

Da die Sicherheitsmaßnahmen von externen Dienstleistern weitestgehend den Zielvorgaben des jeweiligen Finanzinstituts entsprechen müssen, ergibt sich für Anbieter in diesem Segment umgekehrt die Pflicht zur Absicherung ihrer IT gemäß BAIT. Was das für die Risikobewertung, Vertragsgestaltung und interne Dokumentation bedeutet, hat Reza Mehman, Chief Innovation Officer, Onapsis, bereits am Beispiel von Cloud-Diensten erklärt.

Compliance-Anforderungen automatisieren

Was verändert sich durch die BAIT-Novelle also für FinTechs und Finanzinstitute? Zusätzliche Sicherheitswerkzeuge wie Schwachstellenscanner und SIEM-Software lassen sich, das nötige Budget vorausgesetzt, vergleichsweise einfach in die bestehende Umgebung integrieren. Der wesentlich größere Aufwand entsteht durch die manuelle Betreuung dieser Systeme und verschärfte Testpflichten. Insbesondere Wirksamkeitskontrollen und die Überprüfung von Notfallplänen stellen eine erhebliche logistische Herausforderung dar:

Testkonzepte müssen erstellt, Protokolle ausgewertet und Ergebnisse laufend an die Geschäftsleitung berichtet werden.”

Um die nötige Zeit für die Organisation der Kontrollen und die Aufgaben des Security Operation Center zu gewinnen, ist es nun umso wichtiger, so viele der BAIT-Vorgaben wie nur möglich zu automatisieren. Die neu ergänzten Kapitel bilden dabei nur einen kleinen Teil der Verwaltungsvorschrift. Die grundlegenden Anforderungen an die Informationssicherheit müssen weiterhin abgedeckt werden, etwa durch Lösungen für die Netzwerküberwachung, Endpunktsicherheit, externe Geräte und Patchmanagement.

Unter den notwendigen Maßnahmen für eine angemessene technisch-organisatorische Ausstattung streicht die zugehörige Passage in MaRisk zudem nachdrücklich die Verwaltung von Zugriffsrechten hervor: „Insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt.“ Eine automatisierte Lösung für Identity und Access Management erlaubt es, ein solches Berechtigungskonzept schnell und einfach umzusetzen und spielt Administrator:innen für die neuen Pflichten der BAIT-Novelle frei.Michael Ugrinovich, tenfold

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert