Banken: Das IT-Netz konform mit dem Gesetz – Runbooks als dynamische Nachfolger der Playbooks

Banken- und Versicherer unterliegen der MaRisk (Mindestanforderungen an das Risikomanagement). Innerhalb dieser bankaufsichtlichen Anforderungen an die IT (BAIT) konkretisiert die Aufsichtsbehörde die besonderen organisatorischen Pflichten, Bestimmungen für Risikoträger und die Verordnungsermächtigung, so wie sie unter Paragraph 25a des Kreditwesengesetzes definiert sind. Für IT-Verantwortliche sind zwei Themen klar: Datensicherheit, im Sinne von Backup und Recovery, und Zugangskontrolle, in elektronischer Form sowie physisch zu Rechenzentren. Jedoch steht dabei nicht immer das Netzwerk im Zentrum der Betrachtung. Aber nur, wenn dieses ordentlich ausgelegt, gesichert, dokumentiert und vielleicht auch schon automatisiert ist, kann der Betrieb der IT sichergestellt werden.

von Christian Köckert, Pre Sales Engineer NetBrain Technologies

Im KWG 25a wird auf die IT der Geldinstitute unter Absatz vier, „eine angemessene personelle und technisch-organisatorische Ausstattung des Instituts“, und Absatz fünf, „die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme (…)“, Bezug genommen. Diese Festlegungen sind Ergebnis der qualitativen Anforderungen aus Basel II und Basel III an das Risikocontrolling der Banken.

Klare Richtlinien für die IT

Doch vorweg ein Blick auf die Vorgaben der BaFin. Das genannte Rundschreiben gliedert die IT-Anforderungen in neun Kapitel, hier ein Überblick:

Zunächst geht der Text der BaFin auf die IT-Strategie ein. So sollte sie konsistent sein und die strategische Entwicklung der IT, den Aufbau und die Abläufe in der Organisation sowie die Beauftragung von IT-Dienstleistern umfassen. Ferner sollten gängige Standards auch im Bereich der IT-Anwendungen herangezogen werden. Die IT-Sicherheit sollte in die Organisation eingebunden sein und die strategische Entwicklung der IT-Architektur festgelegt werden. Im Falle eines IT-Notfalls sollten entsprechende Notfallpläne existieren und ein Überblick über die IT-Landschaft zur Verfügung stehen.

Nach der IT-Strategie wendet sich das Papier der IT-Governance zu. In diesem Abschnitt beleuchtet die Behörde die Struktur der Steuerung und Überwachung des Betriebs und der Weiterentwicklung der Unternehmens-IT. Hier spielen auch Vorgaben, die die personelle Ausstattung der IT-Abteilungen betreffen eine Rolle.

Nach den Abschnitten, die das Informationsrisikomanagement mit dem Schutz vertraulicher Daten beziehungsweise der Risikoanalyse sowie der Informationssicherheit betreffen (Abschnitte drei und vier), folgt im fünften Kapitel das Benutzerberechtigungsmanagement und im sechsten IT-Projekte und die Anwendungsentwicklung.

Im siebten Kapitel wird der IT-Betrieb selbst geregelt. Die Bestimmungen gehen auf die Komponenten der IT-Systeme sowie deren Beziehungen zueinander ein. Diese müssen in geeigneter Weise verwaltet werden. Hier liegt das Augenmerk auch auf der Dokumentationspflicht, denn erfasste Bestandsangaben sind regelmäßig sowie anlassbezogen zu aktualisieren. Der achte Teil regelt die Beauftragung Dritter und der neunte schließlich die kritischen Infrastrukturen.

Zwang zur Dokumentation

Interessant für Netzwerkmanagement, -dokumentation und -automation sind der siebte und neunte Abschnitt. Eine anlassbezogene, also bei Veränderungen, erfolgte Dokumentation sollte praktischerweise bereits heute überall implementiert sein. Die zusätzliche Anforderung einer regelmäßigen Aktualisierung des Dokumentationsstands dürfte die anlassbezogene allerdings ohnehin abdecken, so dass die ständige Erfassung des Status quo für Geldinstitute zwingend ist. Da es sich bei in der Finanzwirtschaft tätigen Unternehmen in vielen Fällen um kritische Infrastrukturen handelt, gilt hier besondere Sorgfaltspflicht. Genau niedergeschrieben ist diese Berichtspflicht hierzu im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) in Paragraph 8a, Absatz 3 – Sicherheit in der Informationstechnik Kritischer Infrastrukturen. Hier heißt es wie folgt:

Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen:
1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse
2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.“

Voraussetzung, diesem Gesetz Genüge zu tun, ist eine lückenlose Dokumentation inklusive des Netzwerks. Jedoch stellt dies viele Unternehmen vor ein Problem, da die Netzwerkinfrastruktur zu komplex ist, um dies manuell bewerkstelligen zu können. Insbesondere, weil neben dem eigentlichen Netzwerk auch die damit verbundenen Endgeräte – wie PCs, Server, IP-Telefone und Drucker – erfasst werden müssen. Da sich zudem die Konfiguration des Netzwerks ständig ändert, bedeutet dies, dass der für die Dokumentation notwendige Aufwand mindestens genauso groß ist, wie die technische Änderung am Netzwerk selbst.

Eine allzeit aktuelle Abbildung des Netzwerks ist jedoch nicht nur wegen der Konformität mit der gesetzlichen Dokumentationspflicht nötig. Auch die geforderte Stabilität der IT-Infrastruktur lässt sich damit wesentlich leichter erreichen und Fehlerquellen schneller identifizieren. Bei Fehlfunktionen, dem Ausfall von Endgeräten oder Netzwerksegmenten lässt sich durch eine automatisierte Dokumentation die Fehlerursache leichter und effizienter einkreisen. Das manuelle Dokumentationsmanagement ist hier hingegen schon aufgrund mangelnder Personalressourcen limitiert. Zudem erfassen dynamische Netzwerkpläne den jeweils aktuellen Stand von Schwachstellen, Gerätekonfigurationen und Datenflüssen.

Wissenspool inklusive

Nebenbei dient ein automatisches Dokumentationswerkzeug der Zusammenarbeit von IT-Experten. Vielerorts sind in einem manuellen Umfeld der Einsatz von sogenannten Playbooks üblich. Diese dienen dazu, sowohl Fehler als auch ihre Behebung für die spätere Referenz bei ähnlichen Situationen niederzuschreiben.

Da diese Playbooks entweder unstrukturiert auf Servern oder gar in Papierform vorliegen können, führt das oft dazu, dass die passende Lösung nicht rechtzeitig auffindbar ist. Hinzu kommt, dass jedes Expertenteam seine eigene Lösung jeweils neu entwickelt, wenn keine zentral administrierten Playbooks verfügbar sind.”

Runbooks als dynamische Nachfolger der Playbooks

In der nächsten Entwicklungsstufe, hin zur professionellen Netzwerkautomatisierung, kommen statt statischer Playbooks sogenannte Runbooks zum Einsatz. Diese bestehen aus verschiedenen Abläufen und Templates, die auf die Geräte (Router, Switches, Firewalls, uvam.) der dynamischen Karten des Netzwerks angewandt werden können. Als digitaler Bestandteil einer dynamischen, automatisierten Netzwerkdokumentation lassen sie sich sehr einfach aktualisieren und bleiben dadurch stets auf dem neuesten Stand. Darüber hinaus entstehen durch ihre Integration in das Dokumentationssystem eine Vielzahl neuer Funktionen. So können beispielsweise unterschiedliche Netzwerkexperten gleichzeitig an der Lösung von Problemen und der Optimierung des Status quo tüfteln, da die verschiedenen Teams parallel auf alle digital gespeicherten Informationen zugreifen können. Die Problemlösungen sind sofort einsehbar und vor Allem auffindbar. Durch ihre Verzahnung mit den Analyse-Tools der automatisierten Dokumentation können sie die aktuelle Konfiguration berücksichtigen, wodurch Fehlerlösungen schneller vonstattengehen und das System insgesamt stabiler läuft.

Einhaltung von Compliance-Vorgaben

Um verschiedene Compliance-Vorgaben erfüllen zu können und dazugehörige Audits zu bestehen, sind derlei Netzwerktechnologien inzwischen nahezu unerlässlich. Neben den genannten Vorteilen der Dokumentation an sich und der Troubleshooting-Prozesse können diese zusätzlich zahlreiche Vorgaben abdecken, damit die jeweilige Unternehmens-IT gesetzeskonform arbeiten kann. Plattformen zur Netzwerk-Automatisierung unterstützen dabei, IT-Infrastrukturen zu analysieren sowie Netzwerk- und Sicherheitsstrukturen zu dokumentieren. Durch die Ausführung von regelmäßigen Compliance-Checks (mind. 1x jährlich) werden erforderliche Korrekturen vorgenommen und notwendige technischen Daten zur Erkennung, Meldung und Untersuchung von Sicherheitsverstößen bereitgestellt. Zusätzlich helfen diese durch Pro-Aktives arbeiten Fehler und Probleme im Netzwerk frühzeitig zu erkennen und somit die Netzwerkstabilität zu erhöhen oder auch Ausfälle im Vorfeld zu vermeiden. Händisch ist dies in den heutigen, meist komplexen Netzwerken nicht mehr umsetzen.

Der Weg ist gesetzt

An einer automatischen Dokumentation werden Geldinstitute daher nicht länger vorbeikommen. Nicht nur, weil die staatliche Regulierung langfristig keine Alternative zulässt, sondern auch, weil es im ureigensten Interesse von Finanzunternehmen liegt, den eigenen stabilen Betriebsablauf sicherzustellen.”

Schließlich arbeitet eine Bank mit dem Geld ihrer Kunden – Unterbrechungen dieser Arbeit setzten das schwer verdiente Vertrauen der Kunden leichtfertig aufs Spiel und sorgen möglicherweise für große, gesamtwirtschaftliche Schäden.Christian Köckert, NetBrain Technologies