BAIT: Regulatorische An­for­de­run­gen an die Bank-IT per Configuration Management System dokumentieren

Finanzinstitute sehen sich mit zunehmenden regulatorischen Anforderungen konfrontiert. Deren Einhaltung wird in immer strengeren Prüfverfahren von BaFin und EZB konsequent kontrolliert. Ziel ist es, versteckte Risiken aufzudecken und zu minimieren, was dem Schutz von Anlegern und Stakeholdern dient. Um die Anforderungen der Aufsichtsgremien zu erfüllen, müssen die kritischen IT-Infrastrukturen in Banken auf den Prüfstand gestellt und gegebenenfalls optimiert werden. Wertvolle Unterstützung hierbei kann ein ausgefeiltes Configuration Management System liefern.

von Matthias Gromann, Head of Business Line Asset and Configuration Management der FNT

Um im Bankenumfeld gewisse Risiken für alle Beteiligten auf ein Minimum zu reduzieren, müssen Finanzinstitute verschärfte regulatorische Bestimmungen einhalten. Entsprechende Vorgaben zum Risikomanagement wurden mit Basel III bereits strenger gefasst und werden in Deutschland unter anderem durch das Kreditwesengesetz (KWG) und die „Mindest-Anforderungen an das Risikomanagement“ (MaRisk) geregelt. Banken sollen dadurch veranlasst werden, ihren Blick für Risiken zu schärfen und ihre Geschäftsmodelle und Prozesse entsprechend anzupassen.

Um die Einhaltung der Bestimmungen konsequent zu überwachen, hat die Europäische Zentralbank (EZB) ein einheitliches Aufsichtsverfahren eingeführt. Demnach werden systemrelevante Banken jetzt von der EZB beaufsichtigt und nicht mehr ausschließlich durch die Zentralbanken der EU-Mitgliedsstaaten. Dadurch sehen sich Finanzinstitute mit einer zunehmend härteren Prüfpraxis konfrontiert. Dabei können solche Kontroll-Termine laut KWG nicht nur aufgrund eines konkreten Anlasses erfolgen, sondern auch völlig unabhängig davon. So müssen auch kleinere Institute jederzeit mit einer entsprechenden Überprüfung rechnen.

MaRisk und BAIT liefern aufsichtsrechtliche Vorgaben

Damit Banken optimal auf einen solchen „Prüfungs-Ernstfall“ vorbereitet sind, müssen deren IT-Systeme hohen Anforderungen standhalten. Einen rechtlichen Rahmen hierfür geben MaRisk und die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) vor. Diese basieren auf gängigen Standards wie ITIL und dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die gesetzliche Grundlage dieser aufsichtsrechtlichen Vorgaben findet sich im KWG. Dessen Bestimmungen werden durch MaRisk und BAIT genauer konkretisiert. So wird beispielsweise näher definiert, was die Aufsichtsbehörden als „angemessene technisch-organisatorische Ausstattung der IT-Systeme“ voraussetzen und inwieweit die „Anforderungen an die Informationssicherheit sowie an ein angemessenes Notfallkonzept“ zu berücksichtigen sind. Zudem enthalten die Regelwerke auch Bestimmungen über die Auslagerung von IT-Services an externe Dienstleister.

Dabei beschränkt sich die Bedeutung einer reibungslos funktionierenden IT nicht nur auf die Einhaltung prüfungsrelevanter Vorgaben. Banken haben ein darüber weit hinausgehendes Interesse an performanten und verlässlichen IT-Systemen. Diese müssen ein Maximum an Sicherheit gewährleisten und Bedrohungen aus dem Cyberspace erfolgreich abwehren. Wie groß hier das Gefahrenpotenzial ist, zeigt der Angriff auf die Deutsche Kreditbank AG (DKB) im Januar 2020. Dabei wurden die Server über mehrere Stunden lahmgelegt und Kunden konnten nicht mehr auf die gewohnten Online-Banking-Services zugreifen.

Erstreckt sich eine solche Downtime über einen längeren Zeitraum, kann sich dies insbesondere für reine Online-Banken existenzbedrohend auswirken.”

IT-Strategie konsequent am Business ausrichten

Wichtig ist es daher, in allen Segmenten der Bank-IT ein Risikobewusstsein zu schaffen. Dieses sollte in eine entsprechende IT-Strategie einfließen, die sich exakt an den Bedürfnissen des Business ausrichtet. Dies schließt auch die Definition einer klaren Aufbau- und Ablauforganisation der IT mit ein. Überdies muss festgelegt werden, wie die Verantwortlichen mit der Auslagerung von IT-Dienstleistungen und mit der individuellen Datenverarbeitung (IDV) umgehen. Sämtliche strategischen Erwägungen sollten sich im Governance-Regelwerk der Bank wiederfinden. Die Aufsichtsbehörden schreiben zudem vor, dass keine unvereinbaren Tätigkeiten oder Rollen in einer Person verschmolzen werden – was weitere Risiken vermeidet.

Von hoher Bedeutung ist darüber hinaus das sicherheitsrelevante Management von Informationsrisiken und Benutzerberechtigungen.”

In diesem Kontext empfiehlt es sich, sämtliche Systeme und Systemelemente wie Applikations-Instanzen, Betriebssystem-Instanzen, virtuelle Server-Instanzen und konkret verwendete Server in Schutzbedarfskategorien einzuteilen, aus denen dann im Nachgang entsprechende Maßnahmen abgeleitet werden. Die erarbeiteten Schutzbedarfe lassen sich beispielsweise in einem Configuration Management System (CMS) an den Applikationen oder Services als Attribute oder als eigenes Configuration Item (CI) dokumentieren. Hierbei ist nach Maßgabe der Aufsichtsbehörden auf einen korrekten Vererbungsalgorithmus zu achten.

Vererbungstechniken im CMS transparent abbilden

Das CMS sollte bestimmte Vererbungstechniken wie das Maximum-Prinzip sowie das Kumulations- und Verteilungsprinzip optimal unterstützen und die Ergebnisse in Form der ermittelten Schutzbedarfsklassen transparent abbilden können. Dadurch lassen sich Maßnahmen deutlich wirtschaftlicher gestalten. Dies wird an folgendem Beispiel deutlich:

Läuft eine Anwendung auf einem Cluster, reduziert sich das Ausfallrisiko entsprechend.”

Demnach lässt sich der Schutzbedarf an den einzelnen physischen Servern niedriger klassifizieren. Daher verfügt ein Failover Cluster über eine höhere Schutzbedarfseignung als ein einzelner Server. Die Analyse des Schutzbedarfs ist in ISO 27001:2015 sowie in den BSI-Standards und Grundschutzkatalogen definiert.

Für die korrekte Vererbung der Schutzbedarfe müssen sogenannte Informationsverbünde identifiziert werden. Darunter versteht man die Gesamtheit infrastruktureller, organisatorischer, personeller und technischer Komponenten, mit denen sich Aufgaben in einem bestimmten Anwendungsbereich der Informationsverarbeitung erfüllen lassen. Ein Informationsverbund kann dabei je nach Ausprägung die gesamte IT eines Finanzinstituts oder auch einzelne Bereiche umfassen. Letztere können sich nach organisatorischen Strukturen wie etwa einem Abteilungsnetz oder nach gemeinsamen IT-Anwendungen wie beispielsweise einem Personalinformationssystem aufgliedern. Die jeweiligen Informationsverbünde dienen jedoch nicht nur der Vererbung der Schutzbedarfe hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit. Sie spielen auch eine Rolle im Management der Informationssicherheit, in dessen Rahmen für die Verbünde eine Sicherheitsrichtlinie erstellt wird. Dabei müssen alle beteiligten Organisationseinheiten identifiziert werden, da auch softwarebasierte Schnittstellen in die Richtlinie einzubeziehen sind.

Berechtigungskonzepte nach dem „Need-to-know“-Prinzip

Eine der größten Gefahren für die Sicherheit der IT-Systeme lauert im Social Hacking, also dem Versuch eines Hackers, mittels Manipulation von Menschen Zugriff auf das Computersystem der Bank zu erhalten. Aus diesem Grund achtet die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in ihren Prüfungen besonders auf konsistente Berechtigungskonzepte, die nach dem „Need-to-know“-Prinzip erstellt werden sollten.

Demnach dürfen die Verantwortlichen immer nur so viele Zugriffsrechte vergeben, wie es für die jeweiligen Aufgaben notwendig ist.”

Dabei sollte ein Rezertifizierungsprozess sicherstellen, dass keine unnötigen Berechtigungen vorliegen. Diese können beispielsweise entstehen, wenn Mitarbeiter die Abteilung wechseln und die veralteten Berechtigungen nicht gelöscht werden. Hierbei sollte die IT-Leitung auf gängige Standards setzen, wie etwa das Access Management aus ITIL. Dies minimiert die Risiken, die aus unnötigen Berechtigungen resultieren.

Auch bei Projekten und der Entwicklung von Anwendungen lässt sich mithilfe einschlägiger Standards und Methoden eine Übersicht über Risiken und deren Abhängigkeiten erstellen. Dazu zählen etwa Zeitverzug, Kostenexplosionen oder die Nicht-Nutzung von Projektergebnissen. So sollten Entwickler bereits in einer frühen Projektphase die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Daten analysieren, die in dem jeweiligen Programm verarbeitet werden. Anhand dieser Informationen lassen sich individuelle Datenverarbeitungen (IDV), also selbst entwickelte Applikationen, in Risikoklassen einteilen. Auf dieser Basis kann das IT-Management dann angemessene Maßnahmen ergreifen.

CMDB unterstützt vielfältige Management-Prozesse

Zudem sollten die IDV-Aktivitäten in einem zentralen Register dokumentiert werden. Dieses lässt sich transparent in einer Configuration Management Database (CMDB) abbilden, mit der auch weitere vielfältige Aufgaben gemanagt werden. Unterstützt die CMDB etwa das Management des Produktlebenszyklus, kann sie Risiken aus veralteten IT-Systemen verlässlich erkennen. Hierfür müssen sämtliche Komponenten in der Datenbank abgebildet werden. Dies ist ganz im Sinne der Prüfungs-Anforderungen der BaFin. Denn sie verlangt, die Datenqualität durch einen entsprechenden Prozess zu überwachen.

Wichtig hierbei ist, dass Rollen eindeutig zugeordnet und Verantwortlichkeiten niemals geteilt werden. So muss immer klar ersichtlich sein, wer beispielsweise für die Pflege einer CI-Klasse zuständig ist.”

Dabei teilen sich die Prozessakteure wie der CI Owner, der Configuration Manager, Auditor und Librarian die jeweiligen Aufgaben bei der Pflege der Datenqualität, wobei die einzelnen Rollen klar voneinander abgegrenzt sind.

Neu in BAIT geregelt ist die Auslagerung von IT-Dienstleistungen an spezialisierte Anbieter. Hierbei sind auch die Anforderungen der MaRisk zu erfüllen, wie etwa eine wirksame Exit-Strategie sowie eine Risikoanalyse zur Bewertung des Outsourcings. Deren Ergebnisse sollen dann in die Gestaltung von Verträgen einfließen. Auch das Gesetz KRITIS (Kritische Infrastrukturen) ist mittlerweile Bestandteil von BAIT. Es umfasst laut Regelungstext

Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Darunter fällt auch das Finanzwesen, da beispielsweise immer die Versorgung mit Bargeld gewährleistet sein muss. Um die Anforderungen aus KRITIS zu erfüllen, müssen kritische Infrastrukturen innerhalb des Instituts erkannt und dokumentiert werden. Auch hierfür kann das Configuration Item in der CMDB genutzt werden. Zudem fordert KRITIS, dass Zwischenfälle in den IT-Systemen unverzüglich dem BSI gemeldet werden. Hierzu lassen sich das jeweilige Incident-Tool und die CMDB über Schnittstellen technisch und prozessual miteinander verbinden.

Fazit

Banken müssen sich den zunehmend härteren Prüfungs-Anforderungen von BaFin und EZB stellen. Wichtige regulatorische Vorgaben hierfür liefern MaRisk und BAIT. Die IT-Verantwortlichen der Finanzinstitute müssen sich daran orientieren, um ihre Systeme und Infrastrukturen fit zu machen und die Prüfungen sicher zu bestehen.

Wichtig ist dabei insbesondere, ein Risikobewusstsein auf allen Ebenen der Bank-Prozesse und der begleitenden IT-Systeme zu schaffen.”

Dies funktioniert nur mit einem 360-Grad-Überblick über die genutzten Informationsverbünde. Wertvolle Unterstützung hierfür bietet ein gut gepflegtes Configuration Management System. Als übergreifendes Tool trägt es dazu bei, eine gemeinsame Sprache zwischen den IT-Silos zu finden. Nur so können organisatorische Change- und Optimierungsprozesse erfolgreich gelingen. Dabei geht es nicht nur darum, die Prüfungen zu bestehen. Auch lassen sich durch den gewonnenen Überblick Services verschlanken und ungenutzte Datenbanken sowie weitere kostspielige Komponenten entdecken. So können Banken einen sicheren IT-Betrieb ohne unnötigen Ballast und mit minimalem Risiko realisieren sowie gleichzeitig Kosten einsparen.Matthias Gromann, FNT