Überspringen zu Hauptinhalt

BAIT: Informationsrisiken im Fokus

BAIT: Informationsrisiken Im Fokus

Die Informationssicherheit in Banken rückt immer mehr in den Fokus. Kein Wunder, drängen doch neue Technologien auf den Markt, die unweigerlich auch die Prozesse in Finanzinstituten verändern. Welche Konsequenzen die neuen „Bankenaufsichtlichen Anforderungen an die IT“ (BAIT) mit sich bringen und was Sie zukünftig in diesem Zusammenhang beachten müssen, schildert Phillip Mundine in diesem Gastbeitrag.

Phillip Mundine ist Senior Risk Professional bei der Fintegral Deutschland AG. Er verfügt über umfangreiche Erfahrung in der Beratung von Finanzdienstleistern im Risikomanagement- und IT-Umfeld. Seine Schwerpunkte liegen dabei insbesondere im Bereich des Non-Financial Risk Management (Operationelle Risiken, Rechtsrisiken, Reputationsrisiken).

Im IT-Umfeld hat er diverse Projekte zur Umsetzung nationaler und internationaler aufsichtsrechtlicher Anforderungen begleitet.

Phillip Mundine

Phillip Mundine

Rahmenbedingungen

Spätestens seit der Einführung von Basel II ist das Bewusstsein für die effektive Steuerung von operationellen Risiken (OpRisk) im Finanzsektor angekommen. Regelmäßig tauchen OpRisk-Schadensfälle in Milliardenhöhe in den nationalen und internationalen Medien auf, weshalb die Finanzinstitute im eigenen Interesse und unter dem wachsamen Auge der Aufsicht die Methoden zum Management und Controlling von operationellen Risiken sukzessive weiterentwickeln.

Szenarioanalysen auf Basis interner Kontrollprozesse sowie die Steuerung auf der Ebene des Topmanagements haben sich als Standard etabliert. Die Quantifizierung und die darauf aufbauende Berücksichtigung im Eigenkapital zur Absicherung der Institute bei Eintritt eines „Black Swan Events“ ist im permanenten Fokus der Aufsicht.

In einer globalisierten Finanzwelt, in der immer mehr Menschen digital bezahlen und Finanzdienstleistungen online in Anspruch nehmen, erscheint es selbstverständlich, dass die Aufsicht den Fokus auf eine Weiterentwicklung der Informationssicherheit und IT-Governance gelegt hat und diese Themen vorantreibt.

Online bezahlen

Mit der Konkretisierung der gesetzlichen Anforderungen des § 25a Abs. 1 Satz 3 Nrn. 4 und 5 KWG durch die Veröffentlichung des BaFin Rundschreibens „Bankenaufsichtlichen Anforderungen an die IT“ (BAIT) im November 2017 sowie der Ende Oktober 2017 überarbeiteten MaRisk wurde die Risikoart „Informationsrisiko“ als Subrisikokategorie der operationellen Risiken eingeführt.

Die Risikoanalyse von Informationsrisiken hat auf Basis festgelegter Risikokriterien und auf Grundlage eines Vergleichs der Sollmaßnahmen mit den jeweils wirksam umgesetzten Maßnahmen zu erfolgen. Die Ergebnisse der Risikoanalyse sind zu genehmigen und in den Prozess des Managements der operationellen Risiken zu überführen (BAIT Artikel 3 Tz. 13).

Welche Konsequenzen folgen?

Die in den Vorgaben der Informationssicherheit als 2nd Line of Defence (LoD) Funktion etablierten Soll/Ist-Vergleiche sind mit den im Finanzsektor etablierten OpRisk-Prozessen zu verzahnen.

Gleichzeitig sind die Vorgaben der Informationssicherheit und das Risikobewusstsein in den 1st LoD Prozessen der IT und der Fachbereiche zu konkretisieren und umzusetzen.

Risikomanagement in den IT-Prozessen

Störungen, die zum Ausfall oder zur Fehlfunktion von IT-Systemen und damit zur Beeinträchtigung von Prozessen führen, liegen in der Natur der Sache. Eine Systemverfügbarkeit ohne Funktionsstörungen nahe der 100 Prozent-Marke ist mit teils enormen Kosten verbunden und nur bei kritischen Anwendungen wie beispielsweise im Zahlungsverkehr wirtschaftlich rational.

Daher ist es sinnvoll, einen risikoorientierten Ansatz bei der Ausrichtung der IT-Landschaft zu etablieren. Das Informationsrisikomanagement ist also nicht nur eine regulatorische Übung, verordnet durch die Aufsicht, sondern eine Chance, die IT zukunftsorientiert aufzustellen.

Neben der Anforderung, die Methoden zum Informationsrisikomanagement in die OpRisk Methoden konsistent zu überführen (vgl. BAIT), bedeutet das konkret die Überführung von Ergebnissen aus Prozessen wie dem Informationssicherheitsmonitoring, dem Berechtigungsmanagement und den auf Erhalt und Wiederherstellung der Systemfunktionalität ausgerichteten IT-Betriebsprozessen (Incident-, Problem-, Patch- und Changemanagement) in das Management der Informationsrisiken.

Phillip Mundine: Risikoanalyse

© Phillip Mundine, Fintegral Deutschland AG

Am Beispiel des Incidentmanagement-Prozesses wird die hier bestehende Herausforderung deutlich. Unter einem Incident/einer Störung versteht man nach ITIL (IT Infrastructure Library): „Ein Ereignis, das nicht zum standardmäßigen Betrieb eines Services gehört und das tatsächlich oder potenziell eine Unterbrechung dieses Services oder eine Minderung der vereinbarten Qualität verursacht.“ Damit stellt jedes Incident ein potentielles OpRisk-Ereignis dar, das aktiv zu steuern ist. In einer mittelgroßen Bank treten jede Woche tausende Incidents auf. Wenn jedes Incident ein OpRisk-Ereignis darstellt, sind dann alle Incidents in die Risikomanagementprozesse zu überführen?

Die Kunst besteht darin, das Bewusstsein für Informationsrisiken fest in den IT Prozessen zu verankern. So ist beispielsweise der Incidentmanagement-Prozess so auszugestalten, dass er die in ihm behandelten Ereignisse bereits unter Risikogesichtspunkten aussteuert.

Informationsrisikomanagement-Prozess

Natürlich gibt es auch Ereignisse, die nicht in den 1st LoD Prozessen ausgesteuert werden können. Diese sind in einem Prozess zum Management von Informationsrisken zu steuern, welcher in der 2nd LoD verankert ist. Der Informationsrisikomanagement-Prozess sollte darauf ausgelegt sein, die Spezifika von Informationsrisiken zu erfassen, um eine adäquate Steuerung der Informationsrisiken sicherzustellen.

Die daraus resultierende Transparenz der Risikosituation, die Ableitung risikomindernder Maßnahmen, die Überwachung von deren wirksamer Umsetzung sowie die Kenntnis des ermittelten Restrisikos sind zentrale Anforderungen zur Schärfung des Risikobewusstseins.

Cloud Computing

Um das Management angemessen zu informieren und risikoorientiertes Handeln im Gesamtbankkontext zu ermöglichen, ist daher unabdingbar risikoartenübergreifend unter den gleichen Prämissen zu handeln. Das heißt, die Vorgaben aus der Risikocontrolling-Funktion, nach MaRisk AT 4.4.1 2nd LoD für die Überwachung der Risikosituation, sind in den Prozessen für das Informationsrisikomanagement umzusetzen.

Prüfungsschwerpunkte und konkrete Handlungsempfehlungen

In unserem Seminar BAIT- IT-Risiken im Fokus der Aufsicht teilt das erfahrene Expertenteam aus Aufsicht, Beratung und Bankpraxis wichtige Erkenntnisse aus IT-Sonderprüfungen sowie aktueller aufsichtsrechtlicher Entwicklungen. Erhalten Sie konkrete Handlungsempfehlungen und wertvolle Tipps für die eigene Prüfungsvorbereitung!
Digitalisierung in Banken

Digitalisierung in Banken

Die Digitalisierung ist für Banken ein wichtiges Projekt. In unserem Whitepaper lesen Sie Analysen, Praxisberichte und Meinungen zu wichtigen strategischen und praktischen Herausforderungen.
Jetzt herunterladen!

Martina Große Bley

Ich bin bei Management Circle Teamleiterin für das Content Marketing und unter anderem für die Themen-Blogs Soft Skills, Projektmanagement und Handel verantwortlich. Mit abwechslungsreichen Artikeln, Interviews und Gastbeiträgen unserer Referenten informiere ich Sie über die neusten Entwicklungen und gebe Ihnen Tipps, um die eigenen Kompetenzen verbessern zu können. Ich freue mich auf den Wissensaustausch mit Ihnen!

Dieser Beitrag hat einen Kommentar
  1. Da sich immer wieder auch Sicherheitsmängel bei Unternehmen zeigen, finde ich es gerade bei Banken besonders wichtig. Oft hat man ja eigene Experten im Haus, die sich daher stetig weiterbilden sollten. Und wenn nicht, dann kann man sich immer noch an jemand wenden, der eine entsprechende IT Strategie für Sicherheit ausarbeiten und umsetzen kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

An den Anfang scrollen

Künstliche Intelligenz in der Finanzbranche - wie gelingt das?

Die Finanzbranche befindet sich im Umbruch und hat mit der Künstlichen Intelligenz ein neues Anwendungsfeld im Bereich der digitalen Transformation geschaffen. Wie können Sie Ihre Geschäftsprozesse optimieren?

Jetzt herunterladen!

Download: Künstliche Intelligenz in der Finanzbranche - wie gelingt das?