Die Sicherheit ihrer IT-Technologie rückt für Banken ins Zentrum ihrer Strategien: Die neuen Eigenkapitalbestimmungen erfordern ein Risiko-Management in Fragen wie Software-Qualität, Outsourcing oder IT-Sicherheit. Die österreichischen Nationalbanker haben gemeinsam mit der Finanzmarktaufsichtsbehörde (FMA) alle Punkte systematisch aufgelistet. Fazit: Ohne eine grundlegende IT-Strategie artet die Informationstechnologie in ein unübersichtliches Flickwerk aus, das nicht nur die Sicherheit der Bank gefährdet, sondern künftig auch ihre Wettbewerbsfähigkeit.
Eine umfassende IT-Strategie entscheidet demnach über Infrastrukturelles wie Standorte, Hardware und bauliche Sicherheitsmaßnahmen ebenso wie über die Software und den Einsatz der Mitarbeiter sowie deren Aus- und Weiterbildungen. Außerdem schreibt sie die Sicherheitspolitik des Unternehmens fest.
Beispiel Verantwortung für die IT-Sicherheit: Die Autoren des Leitfadens wägen zwei Möglichkeiten ab. Wird das Security-Team in die IT-Abteilung eingebunden, ist es näher am Tagesgeschäft. Gehört es zu einer eigenen Unit, die die gesamte Unternehmenssicherheit von baulichen Maßnahmen bis zu IT-Fragen bündelt, ist die Kontrolle wirksamer.
Die Autoren unterscheiden bei der IT-Sicherheit in drei wesentliche Kategorien: Computerprogramme, die entwickelt worden sind, um Schäden zu verursachen (Malware), sowie unbefugte Zugriffe von außen und von innen. Obwohl der letzte Punkt auf die Bankangestellten zurückgeht, fällt er nicht nur unter den Begriff Mitarbeiterrisiko. Präventive Maßnahmen sind auch von den IT-Verantwortlichen zu entwickeln.
Vier Risiken beim Outsourcing
Einen Fokus legt der Leitfaden auf das wachsende Outsourcing von Banken. Hier wird auf vier Punkte hingewiesen:
1. Partnerrisiko: Fällt der Outsourcing-Partner aus, drohen Datenverlust und Geschäftsunterbrechung.
2. Rechtsrisiko: Das Risiko, das durch ungenaue Regelungen der Pflichten des Outsourcing-Partners entstehen kann, ist bezüglich Verfügbarkeit, Mindestreaktionszeit im Problemfall und das Bereithalten von Notfallkapazitäten zu berücksichtigen.
3. Risiko des Verlustes der Kontrolle über Kernprozesse: Die Kontroll-, Auskunfts- und Überprüfungsrechte gegenüber dem Outsourcing-Partner sind von vornherein festzulegen.
4. Risiko des Know-how-Verlustes: Wer wesentliche Teile der technischen Zuständigkeiten auslagert, dem droht wegen der schnellen Entwicklungen in der Informationstechnologie im schlimmsten Fall eine Abhängigkeit vom Outsourcing-Partner.
Beim Entwickeln ihrer IT-Strategie müssen Kreditinstitute besonders sicherheitssensible Bereiche im Blickwinkel haben. Dazu gehört etwa der Wertpapier- und Fremdwährungshandel, in dem mit Hilfe der Informationstechnologie sehr hohe Summen bewegt werden. Dadurch steigt nicht nur das Missbrauchs-Risiko, auch Systemausfälle können erhebliche Schäden nach sich ziehen.
Nicht zu unterschätzen ist grundsätzlich der Faktor Mensch. Stichwort Risikobewusstsein: Weil im IT-Bereich die meisten Sicherheitslücken nicht aus technischen, sondern aus menschlichen Gründen entstehen – angefangen vom unachtsamen Umgang mit Passwörtern bis zum Öffnen virenverseuchter E-Mail-Anhänge – sollten alle Mitarbeiter im Bewusstsein geschult werden, dass IT-Sicherheit nicht allein Sache der Techniker ist.
Dabei resultieren User-Fehler im Tagesgeschäft einer Bank nicht immer aus Nachlässigkeit. Eine Dateneingabemaske kann zum Beispiel so umständlich sein, dass der Sachbearbeiter fast daran scheitern muss. Konsequenz: Jede Software sollte umfassend getestet werden. Das gilt für selbst entwickelte Programme ebenso wie für gekaufte. Eine klar definierte Test-Strategie legt mehrstufige, systematische Tests verbindlich fest.
Für alle IT-Prozesse von der Entwicklung über den Test bis zum Festlegen der Sicherheitsrichtlinien gilt: Sie müssen umfassend dokumentiert werden. Stichwort Störfälle: Liegt eine Dokumentation vor, kann die Störung zum Einen schneller behoben werden. Zum Anderen können Muster sichtbar werden, die die Ursachenforschung erleichtern.
Sicherheitsregelungen regelmäßig aktualisieren
Zu detaillierte Regelungen in punkto Sicherheit bergen die Gefahr, in der Praxis ignoriert zu werden. Wichtiger als genaue Beschreibungen einzelner Arbeitsschritte ist daher, dass die unternehmenseigene Richtlinie auf einer relativ hohen Ebene bleibt und gegebenenfalls in speziellen Bereichen durch Dokumente ergänzt wird, die regelmäßig zu aktualisieren sind. In das Gebiet der Richtlinie fallen folgende Punkte: Informationssicherheitsziele und –strategie, Verantwortung und Kompetenzen, Risikoanalysestrategien, Klassifizierung der im Unternehmen vorhandenen Daten nach ihrem Schutzbedarf und ihrer Wichtigkeit für das laufende Geschäft sowie nach ihrem Missbrauchspotenzial und die Aktivität zur Überprüfung der Sicherheit.
Ein grundlegendes Problem: Die aktive Überwachung des laufenden Betriebs kann mit dem rechtlichen Schutz der Mitarbeiter vor unzulässiger Überwachung kollidieren. Im Zweifelsfall raten die Autoren, im Vorfeld den Betriebsrat einzuschalten.
Weil im EDV-gestützten Massengeschäft Fehler und Ausfälle auch bei der besten Organisation nicht ausgeschlossen werden können, sollte ein Zurückgreifen auf die manuelle Bearbeitung vorbereitet werden. Damit im Notfall nicht improvisiert werden muss, sind entsprechende Regelungen im Voraus zu treffen.
Die Autoren des Leitfadens weisen nicht zuletzt auf einen schwer kalkulierbaren Faktor hin: Fehler beim Datenschutz, etwa im Umgang mit Kundendaten, können für eine Bank neben juristischen Streitigkeiten erhebliche Image-Schäden bedeuten. Das sollte von IT-Verantwortlichen nicht in die Begriffsdefinition eines operationellen Risikos abgeschoben werden. Grundsätzlich gilt: Datenschutz bezieht sich nicht nur auf EDV-erfasste Informationen, sondern auch auf papiergebundene.
Als Grundlage für das Entwickeln von Standards für IT-Sicherheit und Qualitätssicherung gibt der Leitfaden folgende Quellen an: die ISO-Norm ISO 17799:2000 beziehungsweise den britischen Standard BS 7799, aus dem ISO 17799 hervorgegangen ist, sowie die ISO-Norm ISO 13335:2000 und das IT-Grundschutzhandbuch des deutschen Bundesamtes für Sicherheit in der Informationstechnik.