Cyber Risiken mit Indikatoren steuern

10. Juli 2017 in Kategorie IT / Orga / Neue Medien

von
Peter Kaminski
Cyber Security Specialist (CEH, CISA, CRISC), Bereich Operations, Santander Consumer Bank AG


Die Bedrohung durch Cyber Angriffe tritt immer mehr in das Bewusstsein des verantwortlichen Managements in einem Unternehmen. Dazu tragen zum einen bekannte Ereignisse in der Presse bei, wie z. B. die Attacke auf die Nationalbank von Bangladesh im Februar 2016 oder die Veröffentlichung von Benutzerpasswörtern großer Internetkonzerne. Zum anderen haben viele Unternehmen eigene Erfahrungen mit Cyber Angriffen, wie Probleme der Verfügbarkeit von eigenen Webseiten durch Distributed Denial of Service (DDoS) Angriffe.

Gerade Finanzinstitute stehen bei Cyber Attacken in einem besonderen Focus. Dies hat auch der Gesetzgeber erkannt und regulatorische Anforderungen definiert, die von den Finanzdienstleistern beachtet werden müssen. Als Folge werden viele unterschiedliche Maßnahmen implementiert, um das Risiko erfolgreicher Angriffe zu senken. Dabei folgt man anerkannten IT-Sicherheitsstandards, wie dem NIST Cyber Security Framework oder der ISO2700X Familie.

Wie kann jetzt die Wirksamkeit der Maßnahmen überwacht und gesteuert werden? Dies ist generell problematisch, da durch die Implementierung der verschiedenen Maßnahmen der Faktor Sicherheit erhöht werden soll, der aber oft schwierig zu messen ist. Weiter lesen.. »

Automatisiert zu vollständigen Kundendaten

26. Juni 2017 in Kategorie IT / Orga / Neue Medien, Kredit

von
Rüdiger Fuchs
Geschäftsbereichsleiter Financial Services, Comline AG


Die Aktualität und Vollständigkeit von Kundendaten bei Banken und Sparkassen erhält einen immer höheren Stellenwert. Denn einerseits sind Finanzdienstleister in Deutschland gesetzlich dazu verpflichtet, bei ihren Kunden eine Legitimationsprüfung vorzunehmen. Dadurch wird nicht nur die Identität des Kunden kontrolliert, sondern gleichzeitig vermieden, dass Konten unter falschen Namen eröffnet werden. Andererseits erfordern ein aktives Kundenmanagement sowie sonstige vertriebliche Aktivitäten in jeglicher Hinsicht stets aktuelle und fundierte Kundeninformationen. Doch wie können die Kundendaten mit vertretbarem Aufwand und möglichst automatisiert erfasst und aktualisiert werden?

Schneller zu qualitativ hochwertigen Kundendaten

Bislang erfordert die Legitimation eines Kunden noch viele manuelle Arbeitsschritte. Das Ausweisdokument des Kunden wird typischerweise kopiert oder eingescannt. Im Anschluss werden die notwendigen Kundendaten im Stammsystem des Finanzinstituts von Hand erfasst bzw. korrigiert. Der notwendige Datenabgleich mit der SCHUFA wird i. d. R. ebenfalls manuell angestoßen. Es besteht jetzt für Finanzinstitute eine Lösung, das Erfassen von Legitimationsdaten ihrer Kunden automatisiert durchzuführen. Beim Scannen von Personalausweisen oder anderer Legitimationsdokumente werden die notwendigen Kundendaten direkt ausgelesen und automatisch an das Stammsystem übertragen.

Die Archivierung der gescannten Dokumente erfolgt ohne manuellen Arbeitsaufwand. Das Ergebnis ist ein aktueller, fehlerfreier Kundendatenbestand. Dank eines durchgängigen digitalen Prozesses werden Medienbrüche vermieden, unnötige Arbeitszeiten reduziert und gleichzeitig die laufenden Kosten gesenkt. Den Anforderungen aus Sonderprüfungen nach § 24c KWG wird dabei ebenso Rechnung getragen wie der Notwendigkeit, Inhalte nach § 8 Abs. 1 Satz 3 des GwG in Verbindung mit dem Personalausweisgesetz bei der automatischen Archivierung unkenntlich zu machen. Weiter lesen.. »

Cyber-Sicherheit: Bedrohungen und Maßnahmen

2. Juni 2017 in Kategorie IT / Orga / Neue Medien

von
Thomas Göhrig
Berater Informationssicherheit und Datenschutz, FCH Compliance GmbH


Durch die weltweite Vernetzung und Erreichbarkeit von Unternehmensinformationen ist die Cyber-Kriminalität in den letzten Jahren rasant gestiegen. Cyber-Risiken stehen daher immer mehr im Fokus des IT-Risikomanagements. Hierbei handelt es sich vor allem um externe Angriffe über das Internet, eine Eingrenzung hierauf wäre jedoch aufgrund der Komplexität von Angriffen zu kurz gedacht. Cyber-Risiken müssen daher ganzheitlich erfasst werden.

Letztendlich werden viele Aspekte im Bereich der Cyber-Risiken bereits in anderem Kontext von Banken und Sparkassen betrachtet und mit Sicherheitsmaßnahmen unterlegt. Um die Widerstandsfähigkeit gegenüber Cyber-Angriffen beurteilen zu können, sollte jedoch explizit aus diesem neuen Blickwinkel eine Bestandsaufnahme erfolgen, um etwaige Schwachstellen zu identifizieren.

Lageberichte des BSI

Zur Erläuterung der Bedrohungslage der IT veröffentlicht das BSI seit vielen Jahren umfangreiche Lagebilder der IT-Sicherheit. Den IT-Sicherheitsbeauftragten der Bank sei nahegelegt, hier eine Auswertung der aktuellen Bedrohungslage in Verbindung mit einem Ausblick vorzunehmen. Dies eignet sich gut als Report an die Geschäftsleitung und/oder als Ergänzung des jährlichen IT-Sicherheitsberichts. Weiter lesen.. »

MaRisk-konformes Change-, Release- und Patch-Management

1. Mai 2017 in Kategorie IT / Orga / Neue Medien

von
Martin Wiesenmaier
Leiter IT-Prüfung/ IT-Beratung, FORUM Gesellschaft für Informationssicherheit mbH


Aufgrund der Anforderungen gem. MaRisk AT 7.2 und AT 8.2 sind mittlerweile erhöhte Anforderungen an das Patch-, Release-und Change-Management im Kontext von IT-Systemen und Anwendungen zu stellen.

Anforderungen an das Change- und Release-Management

Grafik Change-Management mit ForumISM am Beispiel „Wiedereingliederung des Informationssicherheitsbeauftragten“

Grafik Change-Management mit ForumISM am Beispiel „Wiedereingliederung des Informations-sicherheitsbeauftragten“

Gemäß MaRisk AT 7.2 sind IT-Systeme vor ihrem erstmaligen Einsatz und nach wesentlichen Änderungen zu testen und von den fachlich und technisch zuständigen Mitarbeitern abzunehmen. Nach den Erläuterungen der BaFin kommt es bei der Beurteilung der Veränderungen nicht auf den Umfang, sondern vielmehr auf die Auswirkungen an, die eine Veränderung auf die Funktionsfähigkeit des betroffenen Systems haben kann. Bei der Abnahme steht die Eignung und Angemessenheit der IT-Systeme für die spezifische Situation der Bank im Mittelpunkt.

Gegebenenfalls vorliegende Testate Dritter können bei der Abnahme berücksichtigt werden, sie können die Abnahme jedoch nicht vollständig ersetzen. Vor wesentlichen Veränderungen an IT-Systemen sind entsprechend MaRisk AT 8.2 die Auswirkungen der auf die Kontrollverfahren und Kontrollintensität zu analysieren (Auswirkungsanalyse). Weiter lesen.. »

Beurteilung der Qualität von (Risiko-)Daten

7. April 2017 in Kategorie IT / Orga / Neue Medien, Revision

von
Jürgen Krug
IT-Revisor, Zentralrevision, Frankfurter Sparkasse


Die wirksame Risikosteuerung rückt immer stärker in den Fokus der Aufsicht. Auch wird die Tragweite der vom Baseler Ausschuss für Bankenaufsicht im Januar 2013 veröffentlichten „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239) mittlerweile immer deutlicher. Im Hinblick auf die daraus resultierenden zum Teil gravierenden Anpassungen der IT-Systeme und Prozesse ist es notwendig, die bisherige Prüfungspraxis zu überdenken und anzupassen.

Aufgrund der zunehmenden Verzahnung unterschiedlicher IT-Systeme wird die Prüfung bzw. die Beurteilung der Datenqualität immer anspruchsvoller. Verbunden mit der Flut an Daten erfordert die effizient zu gestaltende Prüfung eine zielgerichtete Strategie. Schauen wir uns die Beurteilung des Daten-Risikomanagements am Beispiel CreditPortfolioView (CPV) näher an und lenken den Blick auf ausgewählte Aspekte.

Prüfungsziel und Methode

Zuerst sind das Prüfungsziel und die damit verbundene Methode festzulegen. Auf Basis der definierten Prozesse und Arbeitsanweisungen sollte anschließend die Frage geklärt werden, wie „tiefgehend” die Prüfung sein soll und welche (kritischen) Systeme und Daten zu berücksichtigen sind. Des Weiteren sind die Schnittstellen eindeutig abzugrenzen und die Art des Zugriffs auf die Daten festzulegen. Hierzu sind natürlich u. a. die erforderlichen Leserechte rechtzeitig anzufordern. Im Fall von Auslagerungen stellt sich die Frage, ob die vertraglichen Grundlagen einschließlich Service Level Agreements geprüft werden sollen. Weiter lesen.. »