Zielbild eines zentralen Informationsverbundes/IT-Inventars

27. September 2017 in Kategorie IT / Orga / Neue Medien

von
Thomas Göhrig
Berater Informationssicherheit und Datenschutz, FCH Compliance GmbH


Für das Informationsrisikomanagement als Teil der operationellen Risiken ist bereits in den MaRisk AT 4.3.1 in Verbindung mit MaRisk AT 7.2 verankert. Dabei haben sich die Institute grundsätzlich an gängigen Standards zu orientieren. Weitere Rahmenbedingungen werden in den sich in der Konsultation befindlichen bankaufsichtlichen Anforderungen an die IT, kurz BAIT, genannt. Die BAIT konkretisieren die MaRisk und stellen die bisher schon gelebte Aufsichtspraxis dar. Sowohl die ISO 27002 (Kapitel 8 Asset Management), der BSI 100-2 (Kapitel 4.2 Strukturanalyse) als auch die BAIT (Tz. 10) fordern als Basis für ein ganzheitliches Informationsrisikomanagement die Erhebung des Informationsverbundes – teilweise mit unterschiedlichen Begrifflichkeiten.

Nutzen eines zentral modellierten Informationsverbundes

Auf Basis des Informationsverbundes können Schutzbedarfe festgelegt und durch einen darauf folgenden Soll-Ist-Abgleich die Risiken identifiziert und gesteuert werden. Die Bestimmung des Schutzbedarfs erfolgt in den meisten Fällen auf der ersten Ebene des Informationsverbundes (z. B. anhand von Prozessen oder Daten) und vererbt sich dann auf die damit verknüpften Komponenten der nachfolgenden Ebenen (z. B. Anwendungen, Server, Clients, Infrastrukturkomponenten, Netze, Räume, Gebäude). Weiter lesen.. »

Ein richtiger Schritt: der neue FinTechRat des BMF

13. September 2017 in Kategorie IT / Orga / Neue Medien

von
Uwe Krakau
Chief Market Officer Germany, Avaloq


Das erklärte Ziel, dass das Bundesministerium der Finanzen (BMF) mit dem neuen Fin-TechRat verfolgt, ist, Deutschland als Fintech-Hub Nr. 1 in der EU zu etablieren. Auch aus der Perspektive von Avaloq ist diese Initiative absolut begrüßenswert. Alles was dazu beiträgt, den Dialog zwischen Wirtschaft, Wissenschaft und Politik zum Themenkomplex der digitalen Finanzwirtschaft zu fördern, weist in die vollkommen richtige Richtung. Wir sind überzeugt, dass der FinTechRat, der am 22.03.2017 seine erste Sitzung hatte, letztlich auch die Rolle von Deutschland als internationalem Finanzplatz stärken wird.

Fintech der ersten Stunde

Avaloq ist ein Fintech der ersten Stunde, wenngleich wir mit unseren BPO-Centres, unseren 2.000 Mitarbeitern und unseren mehr als 155 Kunden aus dem Bereich der Banken und der Vermögensberater längst kein Startup mehr sind. Wir sind heute international aufgestellt, und Deutschland ist dabei ganz klar einer unserer Kernmärkte, darum auch unser BPO-Centre an den Standorten Berlin und Leipzig. Mit seinen integrierten BPO-Dienstleistungen ist Avaloq der einzige unabhängige Anbieter im Finanzbereich, der seine Software sowohl selbst entwickelt, betreibt und auch Banking-Dienstleistungen damit produktiv erbringt.

Offenes Ecosystem für Fintechs und Banken

Bei Avaloq sind wir überzeugt, dass Fintechs die Finanzbranche von Grund auf verändern. Wir glauben auch, dass dem Konzept der Co-Innovation die Zukunft gehört. Genau aus diesem Grund haben wir ein offenes Fintech-Ecosystem mit offenen Schnittstellen und APIs geschaffen, in dem Banken, Fintechs, freie Entwickler und unsere Fachspezialisten gemein-sam neue Technologien entwickeln. Der besondere Nutzen dieses Ecosystems: Es bietet eine Plattform, um digitale Innovationen sicher zu integrieren. Es ist zudem natürlich ein Marktplatz, der Banken und neue Fintechs sinnvoll zusammenbringt. Avaloq bietet unter developer.avaloq. com für Entwickler, Fintechs und Software- Partner die Möglichkeit, selbstständig tätig zu werden, indem sie dort Zugang zu Entwicklungs- und Integrationstools erhalten. Ebenso unterstützt Avaloq die Fintechs in der Vermarktung ihrer Leistungen, denn vielfach ist es für kleinere Jungunternehmen schwierig, den Zugang zu Bankinstituten zu finden. Weiter lesen.. »

Das BDSG ist tot – es lebe das BDSG!: DSGVO und BDSG-neu in der Praxis

14. August 2017 in Kategorie IT / Orga / Neue Medien

von
Michael Friedel
Berater, FORUM Gesellschaft für Informationssicherheit mbH


Zum 25.05.2018 tritt europaweit die Datenschutzgrundverordnung (DSGVO) in Kraft. Diese muss wegen ihres Charakters als „Verordnung“ nicht erst in nationales Recht umgesetzt werden, sondern tritt unmittelbar in Kraft. Problematisch wird diese Wirkung für die nationalen Datenschutzgesetze, die damit keine Gültigkeit mehr haben.

So wird auch das deutsche Bundesdatenschutzgesetz (BDSG) zum 24.05.2018 außer Kraft treten. Viele der Inhalte des BDSG sind fast unverändert auch in der DSGVO zu finden, an einigen Stellen sind jedoch sogenannte „Öffnungsklauseln“ eingebaut, die es den Mitgliedsstaaten nach Art. 23 DSGVO erlauben, die entsprechenden Anforderungen weiter zu konkretisieren.

Bisher: unklare Gesetzeslage

Nun ist eine Übergangszeit von zwei Jahren, wie sie durch die DSGVO vorgegeben wird, erst einmal eine lange Zeit. Für die Erstellung, Prüfung und Bestätigung eines komplett neuen Gesetzes auf nationaler Ebene ist das jedoch eine große Herausforderung. Als zusätzliche Herausforderung stellt sich die am 24.09.2017 stattfindende Bundestagswahl und die damit endende Legislaturperiode dar. Unter dieser Prämisse war es notwendig, dass ein Nachfolgegesetz zum BDSG noch vor der Sommerpause 2017 fertiggestellt wird, da sonst eine Fertigstellung bis Mai 2018 sehr fraglich gewesen wäre. Weiter lesen.. »

Cyber Risiken mit Indikatoren steuern

10. Juli 2017 in Kategorie IT / Orga / Neue Medien

von
Peter Kaminski
Cyber Security Specialist (CEH, CISA, CRISC), Bereich Operations, Santander Consumer Bank AG


Die Bedrohung durch Cyber Angriffe tritt immer mehr in das Bewusstsein des verantwortlichen Managements in einem Unternehmen. Dazu tragen zum einen bekannte Ereignisse in der Presse bei, wie z. B. die Attacke auf die Nationalbank von Bangladesh im Februar 2016 oder die Veröffentlichung von Benutzerpasswörtern großer Internetkonzerne. Zum anderen haben viele Unternehmen eigene Erfahrungen mit Cyber Angriffen, wie Probleme der Verfügbarkeit von eigenen Webseiten durch Distributed Denial of Service (DDoS) Angriffe.

Gerade Finanzinstitute stehen bei Cyber Attacken in einem besonderen Focus. Dies hat auch der Gesetzgeber erkannt und regulatorische Anforderungen definiert, die von den Finanzdienstleistern beachtet werden müssen. Als Folge werden viele unterschiedliche Maßnahmen implementiert, um das Risiko erfolgreicher Angriffe zu senken. Dabei folgt man anerkannten IT-Sicherheitsstandards, wie dem NIST Cyber Security Framework oder der ISO2700X Familie.

Wie kann jetzt die Wirksamkeit der Maßnahmen überwacht und gesteuert werden? Dies ist generell problematisch, da durch die Implementierung der verschiedenen Maßnahmen der Faktor Sicherheit erhöht werden soll, der aber oft schwierig zu messen ist. Weiter lesen.. »

Automatisiert zu vollständigen Kundendaten

26. Juni 2017 in Kategorie IT / Orga / Neue Medien, Kredit

von
Rüdiger Fuchs
Geschäftsbereichsleiter Financial Services, Comline AG


Die Aktualität und Vollständigkeit von Kundendaten bei Banken und Sparkassen erhält einen immer höheren Stellenwert. Denn einerseits sind Finanzdienstleister in Deutschland gesetzlich dazu verpflichtet, bei ihren Kunden eine Legitimationsprüfung vorzunehmen. Dadurch wird nicht nur die Identität des Kunden kontrolliert, sondern gleichzeitig vermieden, dass Konten unter falschen Namen eröffnet werden. Andererseits erfordern ein aktives Kundenmanagement sowie sonstige vertriebliche Aktivitäten in jeglicher Hinsicht stets aktuelle und fundierte Kundeninformationen. Doch wie können die Kundendaten mit vertretbarem Aufwand und möglichst automatisiert erfasst und aktualisiert werden?

Schneller zu qualitativ hochwertigen Kundendaten

Bislang erfordert die Legitimation eines Kunden noch viele manuelle Arbeitsschritte. Das Ausweisdokument des Kunden wird typischerweise kopiert oder eingescannt. Im Anschluss werden die notwendigen Kundendaten im Stammsystem des Finanzinstituts von Hand erfasst bzw. korrigiert. Der notwendige Datenabgleich mit der SCHUFA wird i. d. R. ebenfalls manuell angestoßen. Es besteht jetzt für Finanzinstitute eine Lösung, das Erfassen von Legitimationsdaten ihrer Kunden automatisiert durchzuführen. Beim Scannen von Personalausweisen oder anderer Legitimationsdokumente werden die notwendigen Kundendaten direkt ausgelesen und automatisch an das Stammsystem übertragen.

Die Archivierung der gescannten Dokumente erfolgt ohne manuellen Arbeitsaufwand. Das Ergebnis ist ein aktueller, fehlerfreier Kundendatenbestand. Dank eines durchgängigen digitalen Prozesses werden Medienbrüche vermieden, unnötige Arbeitszeiten reduziert und gleichzeitig die laufenden Kosten gesenkt. Den Anforderungen aus Sonderprüfungen nach § 24c KWG wird dabei ebenso Rechnung getragen wie der Notwendigkeit, Inhalte nach § 8 Abs. 1 Satz 3 des GwG in Verbindung mit dem Personalausweisgesetz bei der automatischen Archivierung unkenntlich zu machen. Weiter lesen.. »