Zielbild eines zentralen Informationsverbundes/IT-Inventars

27. September 2017 in Kategorie IT / Orga / Neue Medien

von
Thomas Göhrig
Berater Informationssicherheit und Datenschutz, FCH Compliance GmbH


Für das Informationsrisikomanagement als Teil der operationellen Risiken ist bereits in den MaRisk AT 4.3.1 in Verbindung mit MaRisk AT 7.2 verankert. Dabei haben sich die Institute grundsätzlich an gängigen Standards zu orientieren. Weitere Rahmenbedingungen werden in den sich in der Konsultation befindlichen bankaufsichtlichen Anforderungen an die IT, kurz BAIT, genannt. Die BAIT konkretisieren die MaRisk und stellen die bisher schon gelebte Aufsichtspraxis dar. Sowohl die ISO 27002 (Kapitel 8 Asset Management), der BSI 100-2 (Kapitel 4.2 Strukturanalyse) als auch die BAIT (Tz. 10) fordern als Basis für ein ganzheitliches Informationsrisikomanagement die Erhebung des Informationsverbundes – teilweise mit unterschiedlichen Begrifflichkeiten.

Nutzen eines zentral modellierten Informationsverbundes

Auf Basis des Informationsverbundes können Schutzbedarfe festgelegt und durch einen darauf folgenden Soll-Ist-Abgleich die Risiken identifiziert und gesteuert werden. Die Bestimmung des Schutzbedarfs erfolgt in den meisten Fällen auf der ersten Ebene des Informationsverbundes (z. B. anhand von Prozessen oder Daten) und vererbt sich dann auf die damit verknüpften Komponenten der nachfolgenden Ebenen (z. B. Anwendungen, Server, Clients, Infrastrukturkomponenten, Netze, Räume, Gebäude).

Darüber hinaus kann der Informationsverbund aber auch noch für andere Zwecke wertvolle Informationen liefern, beispielsweise für die

  • Inventarisierung von IT-Komponenten für den IT-Betrieb
  • Identifizierung der patchrelevanten Systeme
  • Erhebung der Verfahren/Verarbeitungen nach Datenschutzrecht
  • Beachtung von Schnittstellen und Abhängigkeiten bei Änderungen im Informationsverbund, z. B. durch Projekte, Konfigurationsanpassungen, Anschaffung neuer Software oder Auslagerungsvorhaben und das
  • Erkennen von Konsolidierungspotenzialen auf Anwendungs- und Systemebene

Gegebenenfalls müssen die hinterlegten Objekte des Verbundes um weitere Informationen angereichert werden oder Schnittstellen zu anderen Systemen hergestellt werden.

Vollständigkeit erforderlich

Dabei stellt die erstmalige Erhebung der Bestandteile des Informationsverbundes sowie auch die Pflege im laufenden Betrieb in Abhängigkeit von der Komplexität der Prozess-, Anwendungs- und Systemlandschaft durchaus eine Herausforderung für alle Beteiligten dar. Aus Gründen der Risikoorientierung ist es vertretbar, zuerst mit der Erfassung der wesentlichen Systeme oder der Systeme in wesentlichen Prozessen zu beginnen. Schließlich werden hier auch die größten Schadenspotenziale liegen. Es ist allerdings essentiell, das Inventar später auf alle Bestandteile – auch die nicht-wesentlichen – auszudehnen.

Schließlich handelt es sich bei IT-Systemen zumeist um miteinander vernetzte und integrierte Komponenten, bei denen auch eine Schwachstelle in einem weniger wichtigen System massive Auswirkungen auf das Gesamtsystem haben kann. Bei einem unvollständigen Informationsverbund wäre somit nicht nachweisbar, dass tatsächlich alle relevanten IT-Risiken erfasst wurden. Feststellungen in IT-Prüfungen nach § 44 KWG sind hier vorprogrammiert.

Um einen möglichst hohen Inventarisierungsgrad zu erreichen ist es wichtig, die Verantwortlichkeiten zur Meldung von Änderungen am Informationsverbund klar festzulegen und dann auch zu kommunizieren. Hierfür sind insbesondere die Fachabteilungen sowie die IT in die Pflicht zu nehmen. Diese haben entweder selbst das Inventar zu pflegen oder Änderungen an eine zentrale Stelle für die Dokumentation des IT-Risikomanagements zu melden (i. d. R. der Informationssicherheitsbeauftragte oder das Informationssicherheitsteam).

Dies hört sich einfach an, stellt in der Bankpraxis aber aufgrund gewachsener Strukturen, unterschiedlichen Verantwortlichkeiten und komplexen Zusammenhängen häufig ein Problem dar. Nicht selten kann diese Bring-Schuld nur über einen langfristigen Kulturwandel im Institut erreicht werden.

Verknüpfung zum Asset-Inventar im IT-Betrieb

Auch für den IT-Betrieb ist das Wissen über die eingesetzten Anwendungen und IT-Systeme sowie deren Abhängigkeiten von zentraler Bedeutung. So fordern die BAIT in Tz. 48 die Verwaltung aller Komponenten des IT-Systems und deren Beziehungen zueinander. Dies wird in größeren Einheiten üblicherweise über eine CMDB (Configuration Management Database) abgebildet. Die CMDB ist eine zentrale Komponente für die tägliche Arbeit des IT-Betriebs, aber auch für die Dokumentation der einzelnen Bestandsangaben sowie der Änderungen an jenen Komponenten.

Abhängig von der Systemarchitektur wird die CMDB über Schnittstellen an andere Informationspools und Workflows angebunden, z. B. an das Change Management. Ebenso kann eine CMDB auch die Grundlage für eine SIEM-Umgebung (Security Information and Event Management) bilden. Auch hier ist eine vollständige CMDB die Voraussetzung, um ein lückenloses SIEM herzustellen. Dies beschreibt den Idealfall, in der Praxis ist dieser kaum vorzufinden. Hier stellt sich natürlich die Frage von Kosten und Nutzen einer vollständigen Erfassung bis hin zu kleineren, weniger wichtigen Anwendungen. Dennoch sollte dann zumindest das Restrisiko des unvollständigen Inventars in das IT-Risikomanagement einfließen.

Legt man nun die BAIT Anforderungen an einen Informationsverbund (Tz. 10) und ein Asset-Inventar (Tz. 48) nebeneinander, erkennt man zahlreiche Anforderungen wieder. Es liegt daher nahe und macht Sinn, diese Inventare nicht losgelöst voneinander zu betreiben, sondern möglichst auf eine zentrale Datenquelle hinzuwirken oder zumindest die Informationen über automatisierte Schnittstellen untereinander auszutauschen.

Wenngleich eine vollständige Erfassung noch unter dem Aspekt der Wirtschaftlichkeit betrachtet werden muss und die Organisation vor eine große Herausforderung gestellt wird: die vorgenannten Ansätze können ein Zielbild darstellen, um die aufsichtlichen Anforderungen möglichst effizient zu erreichen. Separate Inventare, damit verbundener Zusatzaufwand und entstehende Inkonsistenzen sollten in Zukunft durch zentrale Lösungen abgelöst werden. Weiterhin können auch Feststellungen durch eine dokumentierte langfristige Planung und die Einstellung von Restrisiken vermieden werden.

PRAXISTIPPS

  • Ein langfristiges Zielbild zur Zentralisierung der Bestandsangaben des Informationsverbundes (oder zumindest zur Schaffung von Schnittstellen zwischen den verschiedenen Datenpools) hilft Fehlinvestitionen, Aufwand, Inkonsistenzen und diesbezügliche Prüfungsfeststellungen zu verringern
  • Argumentieren Sie auf Entscheidungsebene sowohl mit den Synergieeffekten als auch mit den dadurch vermeidbaren Problemen in Prüfungen
  • Führen Sie eine vorbehaltsfreie Diskussion mit den Entscheidungsträgern, welches Level der Vollständigkeit man erreichen möchte. Ziehen Sie hierfür die damit verbundenen Restrisiken heran
  • Legen Sie klare Melde- und regelmäßige Review-Prozesse fest, inklusive eindeutiger Verantwortlichkeiten

SEMINARTIPPS

BUCHTIPPS

Lars Weimer

Bearbeitungs- und Prüfungsleitfaden: Datenschutz, IT-Sicherheit & Cyberrisiken 4. Auflage

Erscheinungstermin: 15.01.2017
Umfang: 466 Seiten
Preis: € 89,-
ISBN: 978-3-95725-032-2
Hier erhalten Sie weitere Infos zum Buch und die Möglichkeit zur Bestellung im Online-Shop


Dr. Jaime Uribe Uribe / Henning Riediger / Mike Bona-Stecki 

Bearbeitungs- und Prüfungsleitfaden: IT-Berechtigungsmanagement

Erscheinungstermin: 30.11.2016
Umfang: 233 Seiten
Preis: € 89,-
ISBN: 978-3-95725-033-9
Hier erhalten Sie weitere Infos zum Buch und die Möglichkeit zur Bestellung im Online-Shop

______________________________________________________________________________________

Dieser Beitrag ist erschienen im Newsletter Banken-Times SPEZIAL IT/Orga/Neue Medien,
Ausgabe September 2017
.
(Kostenlose) Bestellung möglich unter http://www.fc-heidelberg.de/bankentimes
_______________________________________________________________________________________

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Comment

Folgende HTML Tags und Attribute können verwendet werden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>