FRANKFURT SCHOOL

BLOG

Informationssicherheit: Anforderungen für Finanzdienstleister von allen Seiten
Weiterbildung / 7. Februar 2019
  • Teilen

  • 6321

  • 0

  • Drucken
Dozent, Gründer der NomoRisk GmbH
Stephan Hartenstein ist Risikomanagement-Experte mit 15 Jahren einschlägiger internationaler Erfahrung aus leitenden Positionen in führenden Instituten. Als Dozent der Frankfurt School gibt er sein Wissen in Seminaren zu MaRisk, Informationssicherheit und Risikokultur an Fach- und Führungskräfte weiter.

Autorenprofil

Mehr Blog Posts
The Future of AI in Finance: 4 Key Trends to Watch
IT-Governance im Fokus: DORA - Schlüssel zu digitaler Sicherheit im Finanzsektor
Alles unter Kontrolle? KI und maschinelles Lernen in der Finanzbranche

Es vergeht seit einiger Zeit kein Tag mehr, an dem nicht von den Risiken berichtet wird, die sich durch die nahezu vollständige Abhängigkeit unseres Geschäfts- und Privatlebens von einer funktionierenden IT ergeben. Für Banken ergibt sich mit der Veröffentlichung einschlägiger Anforderungen (BAIT) auch erhöhter Druck von Seiten der Aufsicht, diese Herausforderungen professionell zu meistern. Die zunehmende Popularität der Informationssicherheit ergibt sich dabei aus zwei Gründen: einerseits hat sich die Gefährdungslage selbst stark erhöht, was sich in einem wesentlich höheren Aufkommen und durch bedeutend höhere Schäden zeigt und andererseits hat das Risikobewusstsein für diese Art von Gefährdung entsprechend zugenommen.

Investitionsbedarf in Informationssicherheit ist anerkannt

In Verbindung mit entsprechenden Erweiterungen bereits bestehender regulatorischer Anforderungen zum Management von IT-Risiken steigt ganz automatisch die Notwendigkeit und Bereitschaft zur Investition in entsprechende Gegenmaßnahmen. Im Wesentlichen geht es dabei um die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen, um einen reibungslosen Ablauf der Betriebsprozesse zu gewährleisten und die eigenen Daten vor unberechtigtem Zugriff oder Veröffentlichung zu schützen. Hierfür geeignete Lösungen sind als Blaupausen bereits seit einigen Jahren verfügbar. ISO 27000 und der BSI Grundschutzkatalog seien hier nur beispielhaft erwähnt – und es gibt wohl kaum noch Finanzdienstleister, die nicht entsprechende Projekte aufgesetzt oder bereits, hoffentlich erfolgreich, durchgeführt haben.

Leider ist es dabei mit der einmaligen Durchführung eines Projekts zur Einführung eines professionellen Management-Systems für Informationssicherheitsrisiken nicht getan. Die fortwährende Bedrohung erfordert, wie bei allen Risiken, drei wesentliche Komponenten, die kontinuierlich angepasst und weiterentwickelt werden müssen:

  • ein effektives Schutz- und Abwehrsystem,
  • eine laufende Überwachung der Lage und
  • ein schnell verfügbares Back-up-System für den Fall, dass entsprechende Gefährdungen zu einem Eintrag in die Datenbank der tatsächlichen Risikoereignisse geworden sind.

Herausforderung kontinuierliche Integration

Um dieses Schutzsystem dem aktuellen Stand der Technik (gängige Marktpraktiken) und der sich stets verändernden Gefährdungssituation anzupassen, und auch um eine optimale Integration in die eigene, sich weiterentwickelnde Organisation zu gewährleisten, empfiehlt sich hier der regelmäßige Austausch mit interessierten Parteien, um den sich ergebenden Herausforderungen offen und innovativ begegnen zu können. Hierbei darf die Diskussion sich nicht auf rein technische Fragen konzentrieren, wie zum Beispiel die Konfiguration von Firewalls, sondern muss auch strategische Aspekte sowie die Weiterentwicklung der Informationssicherheitskultur im Unternehmen abdecken. Aktuelle Fragestellungen hierzu sind damit zum Beispiel nicht nur DevOps, agiles Projektmanagement, Cloud-Dienstleistungen und die fortschreitende Digitalisierung selbst, sondern auch solche, die sich mit dem Aufbau einer guten Risiko-Governance und der gewünschten Risikokultur beschäftigen. In diesem Zusammenhang müssen aktuelle Anforderungen aus den entsprechenden Rundschreiben (z. B. BAIT, MaSI, MaRisk) intelligent gelöst werden.

Die Frankfurt School bietet hierzu in entsprechenden offenen Seminaren entsprechende Foren, bei denen nicht nur aktuelle Erfahrungen aus der Praxis weitergegeben werden, sondern auch die Möglichkeit zur Diskussion je eigener Anforderungen besteht.

0 Kommentare

Senden