Cyber-Sicherheit: Bedrohungen und Maßnahmen

2. Juni 2017 in Kategorie IT / Orga / Neue Medien

von
Thomas Göhrig
Berater Informationssicherheit und Datenschutz, FCH Compliance GmbH


Durch die weltweite Vernetzung und Erreichbarkeit von Unternehmensinformationen ist die Cyber-Kriminalität in den letzten Jahren rasant gestiegen. Cyber-Risiken stehen daher immer mehr im Fokus des IT-Risikomanagements. Hierbei handelt es sich vor allem um externe Angriffe über das Internet, eine Eingrenzung hierauf wäre jedoch aufgrund der Komplexität von Angriffen zu kurz gedacht. Cyber-Risiken müssen daher ganzheitlich erfasst werden.

Letztendlich werden viele Aspekte im Bereich der Cyber-Risiken bereits in anderem Kontext von Banken und Sparkassen betrachtet und mit Sicherheitsmaßnahmen unterlegt. Um die Widerstandsfähigkeit gegenüber Cyber-Angriffen beurteilen zu können, sollte jedoch explizit aus diesem neuen Blickwinkel eine Bestandsaufnahme erfolgen, um etwaige Schwachstellen zu identifizieren.

Lageberichte des BSI

Zur Erläuterung der Bedrohungslage der IT veröffentlicht das BSI seit vielen Jahren umfangreiche Lagebilder der IT-Sicherheit. Den IT-Sicherheitsbeauftragten der Bank sei nahegelegt, hier eine Auswertung der aktuellen Bedrohungslage in Verbindung mit einem Ausblick vorzunehmen. Dies eignet sich gut als Report an die Geschäftsleitung und/oder als Ergänzung des jährlichen IT-Sicherheitsberichts. Weiter lesen.. »

MaRisk-konformes Change-, Release- und Patch-Management

1. Mai 2017 in Kategorie IT / Orga / Neue Medien

von
Martin Wiesenmaier
Leiter IT-Prüfung/ IT-Beratung, FORUM Gesellschaft für Informationssicherheit mbH


Aufgrund der Anforderungen gem. MaRisk AT 7.2 und AT 8.2 sind mittlerweile erhöhte Anforderungen an das Patch-, Release-und Change-Management im Kontext von IT-Systemen und Anwendungen zu stellen.

Anforderungen an das Change- und Release-Management

Grafik Change-Management mit ForumISM am Beispiel „Wiedereingliederung des Informationssicherheitsbeauftragten“

Grafik Change-Management mit ForumISM am Beispiel „Wiedereingliederung des Informations-sicherheitsbeauftragten“

Gemäß MaRisk AT 7.2 sind IT-Systeme vor ihrem erstmaligen Einsatz und nach wesentlichen Änderungen zu testen und von den fachlich und technisch zuständigen Mitarbeitern abzunehmen. Nach den Erläuterungen der BaFin kommt es bei der Beurteilung der Veränderungen nicht auf den Umfang, sondern vielmehr auf die Auswirkungen an, die eine Veränderung auf die Funktionsfähigkeit des betroffenen Systems haben kann. Bei der Abnahme steht die Eignung und Angemessenheit der IT-Systeme für die spezifische Situation der Bank im Mittelpunkt.

Gegebenenfalls vorliegende Testate Dritter können bei der Abnahme berücksichtigt werden, sie können die Abnahme jedoch nicht vollständig ersetzen. Vor wesentlichen Veränderungen an IT-Systemen sind entsprechend MaRisk AT 8.2 die Auswirkungen der auf die Kontrollverfahren und Kontrollintensität zu analysieren (Auswirkungsanalyse). Weiter lesen.. »

Beurteilung der Qualität von (Risiko-)Daten

7. April 2017 in Kategorie IT / Orga / Neue Medien, Revision

von
Jürgen Krug
IT-Revisor, Zentralrevision, Frankfurter Sparkasse


Die wirksame Risikosteuerung rückt immer stärker in den Fokus der Aufsicht. Auch wird die Tragweite der vom Baseler Ausschuss für Bankenaufsicht im Januar 2013 veröffentlichten „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239) mittlerweile immer deutlicher. Im Hinblick auf die daraus resultierenden zum Teil gravierenden Anpassungen der IT-Systeme und Prozesse ist es notwendig, die bisherige Prüfungspraxis zu überdenken und anzupassen.

Aufgrund der zunehmenden Verzahnung unterschiedlicher IT-Systeme wird die Prüfung bzw. die Beurteilung der Datenqualität immer anspruchsvoller. Verbunden mit der Flut an Daten erfordert die effizient zu gestaltende Prüfung eine zielgerichtete Strategie. Schauen wir uns die Beurteilung des Daten-Risikomanagements am Beispiel CreditPortfolioView (CPV) näher an und lenken den Blick auf ausgewählte Aspekte.

Prüfungsziel und Methode

Zuerst sind das Prüfungsziel und die damit verbundene Methode festzulegen. Auf Basis der definierten Prozesse und Arbeitsanweisungen sollte anschließend die Frage geklärt werden, wie „tiefgehend” die Prüfung sein soll und welche (kritischen) Systeme und Daten zu berücksichtigen sind. Des Weiteren sind die Schnittstellen eindeutig abzugrenzen und die Art des Zugriffs auf die Daten festzulegen. Hierzu sind natürlich u. a. die erforderlichen Leserechte rechtzeitig anzufordern. Im Fall von Auslagerungen stellt sich die Frage, ob die vertraglichen Grundlagen einschließlich Service Level Agreements geprüft werden sollen. Weiter lesen.. »

Schutzbedarfsanalyse – Das Kernelement eines Informations-Sicherheits-Management-Systems

17. März 2017 in Kategorie IT / Orga / Neue Medien

von
Mike Bona-Stecki
IT-Revisor, Interne Revision, Sparkasse Langen-Seligenstadt


Angesichts steigender Bedrohungen müssen sich Finanzdienstleistungsinstitute stärker vor Cyberangriffen schützen. Der Schutz von Unternehmenswerten, Daten und kritischen Informationen erfordert, dass die zur Abbildung von Unternehmensprozessen eingesetzten IT-Systeme und -Infrastruktur ange-messen bewertet und abgesichert sind. Damit einhergehend wird der Fokus außerdem immer stärker auf ein ganzheitliches Informationsrisikomanagement gelenkt, mit welchem u. a. die SOLL-IST-Abweichung bei Sicherheitsmaßnah-men festgestellt werden soll.

Am Anfang eines strukturierten Informationsrisikomanagements stehen die Schutzbedarfsanalyse und damit die Feststellung des Schutzbedarfs. Mit Hilfe der Schutzbedarfsanalyse kann eine (Basis-)Überprüfung der Prozesslandschaft bzw. der (IT-)Infrastruktur vorgenommen werden, um die Vorgaben für ein unternehmensweites Sicherheitsniveau schaffen zu können. Im Fokus der Schutzbedarfsanalyse steht hierbei die Fragestellung, wie viel Schutz die betrachteten Unternehmenswerte und (IT-)Objekte in Bezug auf die Informationssicherheit benötigen.

Gesetzliche und aufsichtliche Anforderungen fordern von Finanzdienstleistungsinstituten bereits seit mehreren Jahren die Etablierung eines angemessenen Informations- Sicherheits-Management-Systems (ISMS) auf Basis eines gängigen Standards. Dabei stellt die Ermittlung des Schutzbedarfs ein grundlegendes Element zur Umsetzung dieser Standards dar. Weiter lesen.. »

Prüfung der Notfallplanung

6. März 2017 in Kategorie IT / Orga / Neue Medien

von
Prof. Dr. Ralf Kühn
WP/CPA, Geschäftsführer Audit GmbH Karlsruhe Stuttgart Wirtschaftsprüfungsgesellschaft


Nach MaRisk AT 7.3. hat jedes Institut für Notfälle in zeitkritischen Aktivitäten und Prozessen Vorsorge zu treffen (Notfallkonzept oder Notfallplanung). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren.

Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Für die Ausgestaltung des Notfallkonzepts empfiehlt sich, da es sich um eine etablierte good practice handelt, die auch aufsichtsrechtlichen Prüfungen zu Grunde gelegt wird, eine enge Orientierung an den Vorgaben des BSI-Standards 100-4 zum Notfallmanagement. Das Notfallkonzept muss demnach Geschäftsfortführungs- sowie Wiederanlaufpläne und im Regelfall auch eine szenariobasierte Notfallplanung umfassen.

Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen, um die zeitkritischen Geschäftsprozesse vor Ablauf der maximal tolerierbaren Ausfallzeit wieder aufnehmen zu können. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen, wobei sich wie auch für die Zeitkorridore der Geschäftsfortführungspläne die „Angemessenheit“ nach dem Schadensverlauf richtet. Weiter lesen.. »