To Author's Page
Banken verarbeiten sensible Daten ihrer Kunden und nutzen dabei Informationstechnologien, um schnelle Datentransfers zu ermöglichen. Dadurch möchten sie Geschäftsprozesse entlang der gesamten Wertschöpfungskette durch Digitalisierung und Automatisierung effizienter machen. Es können jedoch Informationssicherheitsrisiken entstehen: Der Netzwerkcharakter verwendeter Lösungen macht angeschlossene Unternehmen der Finanzwirtschaft anfällig für Gefahren beabsichtigter oder unbeabsichtigter Einflussnahme auf diese Informationsströme. In der Folge können dadurch Informationsflüsse im Finanzbereich behindert oder sogar gestoppt werden. Betrachten wir die Kerngeschäftsprozesse einer Bank, so werden aktuelle, korrekte und schnell verfügbare Informationen zum Beispiel zur Bestimmung aktueller Wechselkurse, zur Abwicklung von Kontotransaktionen oder bei Wertpapiergeschäften benötigt.
Nicht verfügbare oder fehlerhafte Informationen können in diesem Zusammenhang Falschbewertungen von Investitionspotenzialen oder falsche Geldtransaktionen auslösen.
Für juristische Personen besteht die Gefahr von Informationssicherheitsverletzungen darin, dass geschäftliche Daten, die als Betriebs- und Geschäftsgeheimnisse vor allem vor der Konkurrenz vertraulich behandelt werden müssen, in falsche Hände geraten.
Derart wichtige Informationen und ihre Informationsträger müssen geschützt werden. Zu diesem Schutz müssen auch Gefahren, die zu unberechtigter Offenlegung, Verfälschung oder Verlust von Informationen führen, eliminiert werden. Der Umgang mit diesen Gefahren zur Eliminierung oder Reduktion der Eintrittswahrscheinlichkeit ist Bestandteil des Risikomanagements.
Durch Gesetze auf nationaler, EU- und internationaler Ebene wird ein professionelles Informationssicherheits-Risikomanagement im Finanzwesen eingefordert. Sie treiben das Thema Informationssicherheit voran und sind der Grund für neue Verordnungen und die Pflicht, ein professionell betriebenes Informationssicherheits-Risikomanagement nachzuweisen.
In Deutschland wurde 2015 das IT-Sicherheitsgesetz (IT-SG) erlassen, das die Einhaltung von Anforderungen an Informationssicherheit einfordert – insbesondere bei Banken. Daraufhin hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Mindestanforderungen an das Risikomanagement der Banken (MaRisk) erlassen und um die Bankenaufsichtlichen Anforderungen an die IT (BAIT) ergänzt. Hierbei werden ein wirksames IT-Risikomanagement und ein generelles Informationssicherheitsmanagement nachdrücklich eingefordert.
Es gibt diverse Standards und Frameworks für das systematische Management von Informationssicherheitsrisiken. In Deutschland ist der allgemeine Risikomanagementansatz für das Management von Informationssicherheitsrisiken nach ISO/IEC 27005 der International Organization for Standardization besonders populär.
Ein auf die Bedürfnisse des Finanzwesens zugeschnittenes Weiterbildungskonzept hat die Frankfurt School für den Bereich Risikomanagement entwickelt. Banken, Mikrofinanzinstitutionen, Investmentfonds und multilaterale Agenturen können und sollen Spezialisten und Fachkräfte in diesem Bereich bei der Steuerung von Risiken im Kreditbereich oder im Non-Financial Bereich professionalisieren. Man darf nicht vergessen: Mit Aus- und Weiterbildung lässt sich ein zuverlässiger und hoher Ausbildungsstand von Fach- und Führungskräften eines Unternehmens und einer ganzen Branche sicherstellen.
Risikomanagementansätze verknüpfen Schritte wie Risikoeinschätzung, -behandlung, Maßnahmenumsetzung und Verbesserung mit einem nachvollziehbaren und dokumentierten PDCA-Ansatz. Sie berücksichtigen so die Entwicklung eines Risikobewusstseins in der Organisation.
Wer mehr über die erfolgreiche Einführung und Herausforderungen von Informationssicherheit und Risikomanagement im Finanzwesen erfahren möchte, sei auf den BPUG-Kongress 2018 verwiesen. Experten beschäftigen sich in mehreren Vorträgen zum Beispiel mit ISO 27001 Zertifizierung, Organisational Resilience (Risikobewusstsein) und BAIT.
Alle Studenten und Mitarbeiter der Frankfurt School sind herzlich eingeladen, sich selbst ein Bild von der Welt der Best Practices zu machen. Eine Anmeldung zur kostenlosen Teilnahme ist per E-Mail (j.schwaiger@fs.de) möglich. Die Frankfurt School gewährt Kongress-Teilnehmern und BPUG-Mitgliedern auf eigene Weiterbildungen zum IT-Governance-Manager, IT-Compliance-Manager und Certified Cybercrime Investigator (CCI) eine Preisreduzierung in Höhe von 400 EUR auf den Endverkaufspreis.
Frankfurt School gGmbH
Adickesallee 32-34
60322 Frankfurt am Main
