Es vergeht seit einiger Zeit kein Tag mehr, an dem nicht von den Risiken berichtet wird, die sich durch die nahezu vollständige Abhängigkeit unseres Geschäfts- und Privatlebens von einer funktionierenden IT ergeben. Für Banken ergibt sich mit der Veröffentlichung einschlägiger Anforderungen (BAIT) auch erhöhter Druck von Seiten der Aufsicht, diese Herausforderungen professionell zu meistern. Die zunehmende Popularität der Informationssicherheit ergibt sich dabei aus zwei Gründen: einerseits hat sich die Gefährdungslage selbst stark erhöht, was sich in einem wesentlich höheren Aufkommen und durch bedeutend höhere Schäden zeigt und andererseits hat das Risikobewusstsein für diese Art von Gefährdung entsprechend zugenommen.
In Verbindung mit entsprechenden Erweiterungen bereits bestehender regulatorischer Anforderungen zum Management von IT-Risiken steigt ganz automatisch die Notwendigkeit und Bereitschaft zur Investition in entsprechende Gegenmaßnahmen. Im Wesentlichen geht es dabei um die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen, um einen reibungslosen Ablauf der Betriebsprozesse zu gewährleisten und die eigenen Daten vor unberechtigtem Zugriff oder Veröffentlichung zu schützen. Hierfür geeignete Lösungen sind als Blaupausen bereits seit einigen Jahren verfügbar. ISO 27000 und der BSI Grundschutzkatalog seien hier nur beispielhaft erwähnt – und es gibt wohl kaum noch Finanzdienstleister, die nicht entsprechende Projekte aufgesetzt oder bereits, hoffentlich erfolgreich, durchgeführt haben.
Leider ist es dabei mit der einmaligen Durchführung eines Projekts zur Einführung eines professionellen Management-Systems für Informationssicherheitsrisiken nicht getan. Die fortwährende Bedrohung erfordert, wie bei allen Risiken, drei wesentliche Komponenten, die kontinuierlich angepasst und weiterentwickelt werden müssen:
Um dieses Schutzsystem dem aktuellen Stand der Technik (gängige Marktpraktiken) und der sich stets verändernden Gefährdungssituation anzupassen, und auch um eine optimale Integration in die eigene, sich weiterentwickelnde Organisation zu gewährleisten, empfiehlt sich hier der regelmäßige Austausch mit interessierten Parteien, um den sich ergebenden Herausforderungen offen und innovativ begegnen zu können. Hierbei darf die Diskussion sich nicht auf rein technische Fragen konzentrieren, wie zum Beispiel die Konfiguration von Firewalls, sondern muss auch strategische Aspekte sowie die Weiterentwicklung der Informationssicherheitskultur im Unternehmen abdecken. Aktuelle Fragestellungen hierzu sind damit zum Beispiel nicht nur DevOps, agiles Projektmanagement, Cloud-Dienstleistungen und die fortschreitende Digitalisierung selbst, sondern auch solche, die sich mit dem Aufbau einer guten Risiko-Governance und der gewünschten Risikokultur beschäftigen. In diesem Zusammenhang müssen aktuelle Anforderungen aus den entsprechenden Rundschreiben (z. B. BAIT, MaSI, MaRisk) intelligent gelöst werden.
Die Frankfurt School bietet hierzu in entsprechenden offenen Seminaren entsprechende Foren, bei denen nicht nur aktuelle Erfahrungen aus der Praxis weitergegeben werden, sondern auch die Möglichkeit zur Diskussion je eigener Anforderungen besteht.