Umsetzung bis Ende 2006 gefordert
Basel II-Vorgaben für die IT-Sicherheit bei Banken
Beim Entwickeln ihrer IT-Strategie müssen Kreditinstitute besonders sicherheitssensible Bereiche im Blickwinkel haben. Dazu gehört etwa der Wertpapier- und Fremdwährungshandel, in dem mit Hilfe der Informationstechnologie sehr hohe Summen bewegt werden. Dadurch steigt nicht nur das Missbrauchs-Risiko, auch Systemausfälle können erhebliche Schäden nach sich ziehen.
Nicht zu unterschätzen ist grundsätzlich der Faktor Mensch. Stichwort Risikobewusstsein: Weil im IT-Bereich die meisten Sicherheitslücken nicht aus technischen, sondern aus menschlichen Gründen entstehen – angefangen vom unachtsamen Umgang mit Passwörtern bis zum Öffnen virenverseuchter E-Mail-Anhänge – sollten alle Mitarbeiter im Bewusstsein geschult werden, dass IT-Sicherheit nicht allein Sache der Techniker ist.
Dabei resultieren User-Fehler im Tagesgeschäft einer Bank nicht immer aus Nachlässigkeit. Eine Dateneingabemaske kann zum Beispiel so umständlich sein, dass der Sachbearbeiter fast daran scheitern muss. Konsequenz: Jede Software sollte umfassend getestet werden. Das gilt für selbst entwickelte Programme ebenso wie für gekaufte. Eine klar definierte Test-Strategie legt mehrstufige, systematische Tests verbindlich fest.
Für alle IT-Prozesse von der Entwicklung über den Test bis zum Festlegen der Sicherheitsrichtlinien gilt: Sie müssen umfassend dokumentiert werden. Stichwort Störfälle: Liegt eine Dokumentation vor, kann die Störung zum Einen schneller behoben werden. Zum Anderen können Muster sichtbar werden, die die Ursachenforschung erleichtern.
Sicherheitsregelungen regelmäßig aktualisieren
Zu detaillierte Regelungen in punkto Sicherheit bergen die Gefahr, in der Praxis ignoriert zu werden. Wichtiger als genaue Beschreibungen einzelner Arbeitsschritte ist daher, dass die unternehmenseigene Richtlinie auf einer relativ hohen Ebene bleibt und gegebenenfalls in speziellen Bereichen durch Dokumente ergänzt wird, die regelmäßig zu aktualisieren sind. In das Gebiet der Richtlinie fallen folgende Punkte: Informationssicherheitsziele und –strategie, Verantwortung und Kompetenzen, Risikoanalysestrategien, Klassifizierung der im Unternehmen vorhandenen Daten nach ihrem Schutzbedarf und ihrer Wichtigkeit für das laufende Geschäft sowie nach ihrem Missbrauchspotenzial und die Aktivität zur Überprüfung der Sicherheit.