Bereits in der aktuell gültigen Fassung der BAIT (September 2018) wurden im Kapitel 4 die grundlegenden Anforderungen an das Informationssicherheitsmanagement der Finanzinstitute gestellt. In den Anforderungen orientiert sich die BaFin an den gängigen Standards (vgl. I. Vorbemerkung, Tz. 3), wie dem BSI Grundschutz und den internationalen Sicherheitsstandards ISO/IEC 270xx. Bei der konsultierten BAIT-Fassung fällt auf, dass die BaFin wesentlich mehr Wert auf den PDCA-Zyklus (der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst) und einen funktionierenden ChangeManagementProzess legt. Viele der Anforderungen wurden um die Passus „bei wesentlichen Veränderungen [] prüfen“ und „bei Bedarf zeitnah anzupassen“ erweitert. Hierdurch soll sichergestellt werden, dass die Institute zeitnah auf Veränderungen reagieren – dies setzt natürlich voraus, dass die Veränderungen der Rahmenbedingungen von den Instituten erkannt werden. 

Weiterhin sollen auf Basis der Informationssicherheitsleitlinie konkretisierende Informationssicherheitsrichtlinien und Informationssicherheitsprozesse definiert werden, welche den Stand der Technik berücksichtigen. Der Stand der Technik beschreibt die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann,  zusammengefasst: die am Markt verfügbare Bestleistung eines Subjekts (Maßnahme) zur Erreichung eines Objekts (Ziel). Hier sind als neue Beispiele für benötigte Richtlinien das Kapitel 6 Identitäts- und Rechtemanagement, welches aus dem bisherigen Kapitel 5 Benutzerberechtigungsmanagement hervorgeht, als auch Richtlinien zur physischen Sicherheit (z. B. Perimeter- und Gebäudeschutz) hinzugekommen. 

Die Funktion und Aufgaben des Informationssicherheitsbeauftragten wurden weiter konkretisiert. Hinzugekommen ist die Einbindung des Informationssicherheitsbeauftragten bei der Erstellung und Fortschreibung des Notfallkonzepts bzgl. der IT- und Informationssicherheitsbelange. Es hat sich in der Praxis gezeigt, dass in Notsituationen die Anforderungen der Informationssicherheit zum Teil außer Acht gelassen werden. Durch eine direkte Einbindung des Informationssicherheitsbeauftragten in die Erstellung der Notfallpläne lässt sich dieses Problem vermeiden. Dazu werden in die Pläne Mindestanforderungen an die Informationssicherheit, sogenannte Security Baselines, integriert, welche dann von CERT oder anderen Security Response Teams in einer Notsituation mittels Checklisten und definierten Abläufen eingehalten werden müssen. 

Die Prüfungs- und Überwachungspflichten des Informationssicherheitsbeauftragten hinsichtlich der Einhaltung der Informationssicherheit, sowohl intern als auch gegenüber Dritten, werden enger gesetzt. Hier muss nun eine „regelmäßig sowie anlassbezogen Prüfung“ erfolgen, was den Informationssicherheitsbeauftragten nun zum einen mehr in die Pflicht zur Prüfung nimmt, zum anderen aber auch die Möglichkeiten zur regelmäßigeren Prüfung bei beispielsweise sicherheitskritischen Projekten oder Dienstleistern einräumt.  

Intern bedeutet dies für die Abläufe des Institutes nun auch eine umfänglichere Einbindung der Informationssicherheit. Der Informationssicherheitsbeauftragte musste bis dato nur bei Projekten mit IT-Relevanz eingebunden werden. Zukünftig soll er nun bei allen Projekten und Beschaffungen die Einhaltung der Informationssicherheit überwachen und auch proaktiv auf deren Einhaltung hinwirken. Dies ist vor allem dahingehend sehr sinnvoll, als dass Informationssicherheit wesentlich mehr Aspekte als die reine IT-Sicherheit abdeckt. Sensible, unternehmenskritische oder durch den Schutzbedarf als hoch vertraulich klassifizierte Informationen werden in den Instituten nicht nur im Rahmen von IT-Systemen verarbeitet, sondern beispielsweise auch auf Papier archiviert oder übermittelt (z.B. per Brief oder Fax). Eine Sicherheitsbetrachtung von Informationsübermittlungen solcher analogen Schnittstellen fand in der Vergangenheit bei den wenigsten Instituten statt. 

Dass der BaFin die erhöhte Arbeitsbelastung in der Informationssicherheit bewusst ist, erkennt man an der ergänzenden Zusatzinformation, dass „der Informationssicherheitsbeauftragte“ [] durch ein Informationssicherheitsmanagement-Team unterstützt werden“ kann. In vielen Instituten ist der Informationssicherheitsbeauftragte mit den anfallenden Tätigkeiten meist überlastet. Hier findet in der Regel nur eine risikoorientierte Behandlung aller Themen statt und alle weiteren Themen werden durch Neu-Priorisierungen zurückgestellt. Um aber allen Anfragen und Anforderungen gerecht werden zu können, ist der Aufbau eines Teams, welches mit den erforderlichen Ressourcen ausgestattet ist, mittlerweile unumgänglich. Dies spiegelt sich auch in den Anforderungen zur IT-Governance (Kapitel 2) und weiteren Kapiteln der BAIT wider.  

Auswirkungen bei einem Informationssicherheitsvorfall sollten immer mit einer hohen Priorität und zeitnah analysiert werden. Diese kritische Zeitkomponente hat die BaFin nun auch in die Anforderungen der Tz. 4.7. aufgenommen. Es findet nun eine begriffliche Unterscheidung zwischen Informationssicherheitsvorfall und sicherheitsrelevantem Ereignis statt. Diese Begriffe sind, genauso wie der bereits bekannte Begriff der „Abweichung vom Regelbetrieb (im Sinne von Störung im Tagesbetrieb)“nachvollziehbar voneinander abzugrenzen.  

Eine mögliche Abgrenzung könnte hierbei wie folgt aussehen: 

  • Der Begriff Informationssicherheitsvorfall beschreibt ein bereits eingetretenes Risiko für das Institut. Es ist also ein Ereignis, das sich auf die Informationssicherheit auswirkt und einzelne oder mehrere Schutzziele (Vertraulichkeit, IntegritätVerfügbarkeit und Authentizität) beeinträchtigt.  
  • Das sicherheitsrelevante Ereignis im Sinne der operativen IT-Sicherheit ist hingegen ein potenzielles Risiko für das Institut. Also ein Ereignis, das sich auf die Informationssicherheit auswirken und einzelne oder mehrere Schutzziele beeinträchtigen kann. Das sicherheitsrelevante Ereignis kann sich bei unzureichender oder gänzlich fehlender Behandlung von einem potenziellen zu einem eingetretenen Risiko entwickeln – also einem Informationssicherheitsvorfall.Eine Richtlinie zum Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit wird in der neuen Tz. 4.8. von den Instituten verlangt. Diese Richtlinie soll neben der aktuellen Bedrohungslage, die Risikosituation des Instituts beschreiben und somit eine Verknüpfung zu den Anforderungen an das Informationsrisikomanagement (Kapitel 3) herstellen. Die Nutzung von Kategorien zur Beschreibung der zu prüfenden Objekte (z.B. Institut, IT-Systeme, Komponenten) soll die Richtlinie hierbei übersichtlich halten und Standards hinsichtlich Art, Umfang und Frequenzen von Tests im Institut setzen. Die klare Beschreibung und daraus resultierende Abgrenzung von Zuständigkeiten soll hierbei Interessenskonflikte vermeiden.  

Aus der Praxis zeigt sich, dass es beim Testen von Maßnahmen von IT-Anwendungen sinnvoll ist, diese in unterschiedlichen Umgebungen (TEST, DEV, PROD) durchzuführen. Hierdurch können mögliche Ausfallzeiten der Anwendungen auf ein Minimum reduziert werden. Mit diesem Vorgehen wird das Institut auch den Anforderungen aus der MaRisk AT 7.2 gerecht, welche den Einsatz von getrennten Produktions- und Testumgebungen fordert. Weiter heißt es in der Anforderung, dass vor dem Einsatz oder bei wesentlichen Veränderungen von IT-Systemen/Maßnahmen ein Regelprozess der Tests und Freigabeverfahren beinhaltet. Diese neue Richtlinie passt ins Bild zum in Tz. 4.1. beschriebenen und weiter oben erwähnten kontinuierlichen Prozess des Informationssicherheitsmanagements, dem PDCA-Zyklus. Durch die Richtlinie werden regelmäßig die ergriffenen Maßnahmen hinsichtlich ihrer Wirksamkeit geprüft, was der Erfolgskontroll-Phase des PDCA-Zyklus entspricht. Durch die anschließende Optimierungsphase wird so die Wirksamkeit jeder einzelnen Maßnahme der Informationssicherheit kontinuierlich ausgebaut und verbessert. Wie alle anderen Richtlinien ist auch diese gemäß dem neuen Wording anlassbezogen zu überprüfen und bei Bedarf anzupassen. 

Nach Tz. 4.9. in der konsultierten Fassung wird der Sensibilisierung der Mitarbeiter der Institute ein neuer Stellenwert zuteil. In der bisherigen Fassung der BAIT zählte es zu den Aufgaben des Informationssicherheitsbeauftragten, AwarenessMaßnahmen zu initiieren und zu koordinieren und in den Verantwortungsbereich des Instituts ein entsprechendes Budget für Informationssicherheitsschulungen und die persönliche Weiterbildung des Informationssicherheitsbeauftragten bereitzustellen. Die BaFin hat hier nun die Wichtigkeit der HumanFirewall hervorgehoben und dem Bereich eine eigene Teilziffer gewidmet. Es muss nun ein kontinuierliches und angemessenes Sensibilisierungs- und Schulungsprogramm erfolgen, dessen Erfolg zu prüfen ist. Auch hier orientiert sich die BaFin an den Standards und empfiehlt eine Zielgruppenorientierung, also ein auf die jeweiligen Fachbereiche und Aufgaben zugeschnittenes Programm.  

Den Mitarbeitern soll bewusstwerden, dass sie Teil der Informationssicherheit sind und welche persönliche Verantwortung sie damit tragen.  

Im Rahmen der Sensibilisierungsmaßnahmen soll Mitarbeitern das Know-How vermittelt werden, um Bedrohungen wie SocialEngineering wirkungsvoll entgegentreten zu können. Hierzu zählt unter anderem auch die klare Kommunikation von Meldewegen, sodass Mitarbeiter bei Auffälligkeiten sofort handeln können.

Wie ADVISORI Ihnen hilft

ADVISORI ist Spezialist im Bereich der Umsetzung von GRC Themen. Wir helfen Ihnen, die Anforderungen an das Risikomanagement und die Informationssicherheit so effektiv und effizient wie möglich für Sie umzusetzen.  

Wir unterstützen Sie gerne beim Erstellen von maßgeschneiderten Schulungsmaßnahmen für Ihr Institut und passen diese auch gerne auf die individuellen Bedürfnisse einzelner Fachbereiche an.

Über den Autor

Sebastian Grüneberg ist als Unternehmensberater mit Schwerpunkt Informations- und Cybersicherheit für ADVISORI bei unseren Kunden tätig. Mit mehr als 15 Jahren Berufserfahrung in verschiedensten Rollen in der 1st und 2nd Line verfügt er über einen umfangreichen Erfahrungsschatz von IT-Infrastrukturen, deren Management, Regulatorischer Anforderungen sowie Prozessuale Gestaltung im Unternehmen.

Erfahren Sie mehr zur Konsultion der BAIT in unserer Artikelserie.