Bankaufsichtliche Anforderungen an die IT (Update)

Stefan Effenberger

IT-Dokumentation-Experte

zuletzt aktualisiert

10

.

 

September

 

2024

Lesezeit

3 Minuten

>

>

Bankaufsichtliche Anforderungen an die IT (Update)

Bereits Ende 2017 veröffentlichte die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) die Bankaufsichtlichen Anforderungen an die IT (BAIT). Diese gelten als der zentrale Baustein in der IT-Aufsicht für alle Kredit- und Finanzierungsdienstleistungsinstitute in Deutschland. Angesprochen werden damit die Geschäftsleitungen der Unternehmen.

Novellierung vom 16.8.2021

Im Zuge der Novellierungen vom 16.8.2021 wurden zusätzlich zwei neue Kapitel gebildet. In diesen Kapiteln „Operative Informationssicherheit“ und „IT-Notfallmanagement“ sind verschiedene Anforderungen enthalten, die in der letzten Fassung nicht explizit aufgeführt wurden. Insbesondere sind in diesen beiden Kapiteln Anforderungen zur Überwachung der Informationssicherheit, zur Kontrolle der Wirksamkeit von Informationssicherheitsmaßnahmen und zur Konkretisierung des AT 7.3 MaRisk (Notfallmanagement) im Zusammenhang mit zeitkritischen Prozessen und Aktivitäten zusammengefasst. Konkretisiert wurden des Weiteren Verantwortlichkeiten und Kontrollen für das Informationsrisikomanagement und Anforderungen zur physischen Informationssicherheit. (Novellierung der BAIT vom 16.8.2021)

Grundsätzliche Aufgaben

Der Gedanke hinter der BAIT lässt sich aufgrund der in den letzten Jahren aufgetretenen Mängel, welche die BaFin bei Prüfungen der IT von Finanzdienstleistungsunternehmen festgestellt hat, erklären. Wesentliche Mängel ließen sich unter anderem in der IT-Strategie, dem IT-Berichtswesen, der IT-Organisation und IT-Auslagerung, dem IT-Notfallmanagement und den Benutzerberechtigungen feststellen. Die Mängel ergeben sich aus §25a Absatz 1 Satz 3 Nummern 4 und 5 des Kreditwesengesetzes (KWG) und dem Verweis zur „Mindestanforderung an das Risikomanagement“ (MaRisk). (Quelle: Bundesanstalt für Finanzdienstleistungsaufsicht – https://www.bafin.de)

Um in der Lage zu sein, sich den einzelnen Punkten zu widmen, müssen die Verantwortlichen sich jederzeit einen vollumfänglichen und vor allem einen aktuellen Überblick über die gesamten IT-Strukturen, deren Abhängigkeiten, Software-Stände, Sicherheitsmaßnahmen, Benutzerberechtigungen usw. verschaffen können (BAIT 1.1 und BAIT 1.2 a-f). Und ebenso muss das Unternehmen für den Ernstfall ein top gepflegtes und sofort verfügbares Notfallmanagement haben. Dazu gehört ein regelmäßig aktualisierter IT-Notfallplan ebenso wie die nahtlose Verknüpfung von Zuständigkeiten und Abläufen. Auch wird die Auslagerung von Aktivitäten und Prozessen nach den Anforderungen des Kreditwesengesetz KWG §25b präzisiert.

Das Risikobewusstsein schärfen

Mit der globalen Vernetzung durch das Internet entstehen auch eine ständige Bedrohung und Gefährdung der eigenen Systeme. Eine IT-Strategie, die darauf ausgelegt ist, dass hoffentlich nichts passieren wird und alte Systeme bis sie ausfallen genutzt werden, gehörte schon immer zu den gefährlichsten Praktiken – nicht nur bei Banken und Finanzdienstleistungsunternehmen. Ein erfolgreicher Angriff von außen, der aufgrund von Bequemlichkeit, Unwissenheit oder Kostenersparnis bei der IT herrührt, wird sehr unangenehme Konsequenzen nach sich ziehen. Die Wahrscheinlichkeit, sich dann auch mit strafrechtlichen Anschuldigungen auseinandersetzen zu müssen, dürfte besonders hoch sein. Denn in der Regel lässt sich immer einer finden, der den Kopf dafür hinhalten muss.

Diese Verantwortlichen definieren sich nach Angaben der MaRisk AT 3 Absatz 1: Alle Geschäftsleiter, unabhängig von der internen Zuständigkeitsregelung, sind für die ordnungsgemäße Geschäftsorganisation und Weiterentwicklung verantwortlich. Zudem ist jeder Geschäftsleiter für die Einrichtung angemessener Kontroll- und Überwachungsprozesse in seinem jeweiligen Zuständigkeitsbereich verantwortlich (MaRisk AT 3 Absatz 2).

Beginnt man die BAIT zu lesen, wird im ersten Punkt sogleich auf die Anforderungen der MaRisk AT 4.2 hingewiesen. Dort geht es um eine nachhaltige Geschäftsstrategie. Insbesondere beinhaltet die MaRisk den Auftrag an die Geschäftsleitungen, eine nachhaltige IT-Strategie festzulegen, in der die Ziele sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden.

Eine universelle Anleitung, wie man den einzelnen Punkten der BAIT begegnen kann, findet man allerdings nicht.

Womit geht es los?

Bei den meisten Unternehmen hat sich die IT in allen Bereichen stetig vergrößert. Ältere Systeme wurden mit neueren kombiniert, neue Geschäftsprozesse haben alte abgelöst oder laufen parallel zu einigen bestehenden weiter. Strukturen wachsen in alle Richtungen und wenn Standorte zu klein werden, kommen weitere mit dazu.

Um den Vorgaben der BAIT gerecht zu werden, ist es nötig, einen stets aktuellen Überblick über sämtliche Systeme, Netzwerke, Geräte und Geschäftsprozesse zu erhalten. Dies zu bewerkstelligen, ist für jeden Beteiligten eine Mammut-Aufgabe und bedeutet in der Regel einen hohen und kontinuierlichen personellen Aufwand. Das ist mitunter wohl auch einer der Hauptgründe, warum für die internen IT-Strukturen oder Geschäftsprozesse bestenfalls eine veraltete Dokumentation oder eine lückenhafte Bestandsübersicht vorhanden ist. Im Bedarfsfall muss alles erst mühselig von Hand aufbereitet werden.

Die IT-Strategie

(BAIT 1.1, MaRisk AT 4.2)

Unter diesen Voraussetzungen wird es auch schwierig, die in der BAIT 1.2 a-f geforderten Mindestinhalte zu gewährleisten. Denn um zum Beispiel eine Strategie festzulegen, sind grundlegende Informationen über den aktuellen Zustand und Bestand notwendig.

Um dem zu entsprechen, muss mit einer grundlegenden Bestandsaufnahme aller IT-Strukturen begonnen werden. Wie schon erwähnt, ist eine grundlegende Bestandsaufnahme allenfalls bei einer kompletten Neuanschaffung mit manuellem Aufwand zu bewerkstelligen. Bei gewachsenen IT-Strukturen sollte man dem enorm hohen Aufwand mit einer möglichst hohen Automation durch spezielle Softwarelösungen begegnen. Dafür gibt es spezielle Inventarisierungs- und Dokumentationssoftwarelösungen, die ohne großes Zutun bereits einen beträchtlichen Teil für Sie erledigen.

Diese entlasten nicht nur die durchführenden IT-Mitarbeiter, einer speziellen Software mit verschiedenen Scan-Möglichkeiten entgehen auch keine „vergessenen“ Systeme im Netzwerk. Allein durch diesen Umstand werden Sicherheitslücken im eigenen Netzwerk durch veraltete und wenig beachtete Systeme deutlich verringert. Die eruierten Daten der automatischen Scans werden zentral in einer Datenbank abgelegt. Mit einer automatischen Aktualisierung sind diese grundlegenden Daten nicht nur schnell abrufbar, sondern bleiben kontinuierlich auf dem aktuellsten Stand.

Ausgehend von dieser Datenbasis sind die Grundsteine für die Anforderungen der IT-Strategie nach BAIT 1.1 und BAIT 1.2 a-f gelegt. Auch ist damit eine Unterteilung der Fachbereiche leicht möglich und nebenbei auch grafisch aufbereitet darstellbar. So sind Informationen granular sowohl für den IT-Profi als auch für diejenigen, die nur die notwendigen Informationen suchen, abbildbar.

Ebenso dienen diese Daten als Grundlage für das IT-Notfallhandbuch, das auf diese Weise stets mit den aktuellsten Informationen versorgt wird und ein fixer Bestandteil des gesamten Notfallmanagements ist (BAIT 1.2 e).

IT-Governance

(BAIT 2.3, MaRisk ATA 4.3.1, AT 4.3.2, AT 7.1, AT 7.2/2+4, AT5/1+2)

Aus den hier genannten Minimalanforderungen (MA) der BAIT und der MaRisk ist ersichtlich, dass die Geschäftsleitung dafür verantwortlich ist, dass die entsprechenden Regelungen zur IT-Governance institutsintern und gegenüber Dritten wirksam umgesetzt werden. Sie hat auch dafür Sorge zu tragen, dass insbesondere das Informationsrisiko und das Informationssicherheitsmanagement, der IT-Betrieb und die Anwendungsentwicklung angemessen mit Personal ausgestattet sind.

Man sollte sich im Klaren sein, dass sich das Wort „angemessen“ nicht allein auf die Mitarbeiterzahl in den IT-Abteilungen bezieht. Denn oft genug sind zwar laut Papier genügend Mitarbeiter vorhanden, allerdings oft tief im Tagesgeschäft vergraben. Meist werden dann organisatorische Aufgaben wie Planung, Inventarisierung und Dokumentation nach hinten verschoben. Im besten Fall bleiben solche Dinge nur eine Zeit lang liegen, schlimmstenfalls fallen sie vollends vom Tisch oder werden vergessen.

Um hier den Anforderungen der BAIT und der MaRisk entgegentreten zu können, ist es allein schon deswegen wichtig, die IT-Mannschaft bestmöglich zu entlasten und bei den organisatorischen Aufgaben eine möglichst hohe und professionelle Automation zu erreichen. Und wie bereits von der IT-Strategie bekannt, ist die Grundlage für eine funktionierende IT-Governance eine solide Datenbasis über Inventar, Netzwerk- und Geräteinformationen und die aktuellen Stände der eingesetzten Softwarelösungen.

Informationsrisikomanagement

(MaRisk AT 4.3.1/2, AT 7.2/1, AT 7.2/2, AT 7.2/4, BT 3.2/1)

Auch hier liegt wieder die Verantwortung bei der Geschäftsleitung, dass IT-Systeme, die zugehörigen IT-Prozesse und sonstige Bestandteile des Informationsverbundes die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen (MaRisk AT 7.2/2).

Das Institut hat die mit dem Management der Informationsrisiken verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege zu definieren und aufeinander abzustimmen. Dazu ist es hilfreich, wenn komplette Geschäftsprozesse zusammen mit der IT-Dokumentation angepasst dokumentiert werden können. Damit sind Kontrollen über Verantwortlichkeiten, Kompetenzen und Aufgaben möglich und erfüllen die Berichtspflichten, die sich aus der MaRisk BT 3.2/1 ergeben.

Informationssicherheitsmanagement

(BAIT, MaRisk BT3.2/1)

Die Geschäftsleitung ist dafür verantwortlich (BAIT, MaRisk), eine Informationssicherheitsleitlinie zu beschließen und intern zu veröffentlichen. Außerdem trägt sie die Verantwortung für die Einhaltung dieser Richtlinien. Allerdings kann die Geschäftsleitung für die Aufgabe der Berichtserstattung einen Informationssicherheitsbeauftragten ernennen. Dieser hat gemäß der MaRisk BT 3.2/1 einen turnusmäßigen Bericht mit den erforderlichen Daten der Geschäftsleitung vorzulegen.

Dem Aufwand, der hier vor allem durch die regelmäßige Berichtserstellung entsteht, kann wiederum mit einer professionellen Softwarelösung aus dem Inventarisierungs- und Dokumentationsbereich entgegengetreten werden. Weil die erforderlichen Berichte auch die aktuellsten Daten und Informationen beinhalten müssen, muss auch der Basisdatenbestand zum Zeitpunkt der Berichtserstellung auf aktuellsten Stand gebracht werden. Auch hier reduziert sich der Aufwand auf ein Minimum, wenn man über eine sauber konfigurierte und automatisch arbeitende Dokumentationssoftware im Hintergrund verfügt.

Neu hinzugefügt wurden der BAIT in der novellierten Fassung die Punkte 3.8 bis 3.10. Auch hier wird ausdrücklich auf den Umstand hingewiesen, dass risikoreduzierende Maßnahmen, Risikoanalyse und laufende Informierung über Bedrohung und Schwachstellen des Informationsverbundes wirksam zu koordinieren, zu dokumentieren, zu überwachen und zu steuern sind.

Zudem ergeht mit sofortiger Wirkung die Anordnung, dass das Institut eine Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit einzuführen hat und diese Richtlinie regelmäßig und anlassbezogen zu überprüfen und bei Bedarf anzupassen ist. Hierzu bedarf es ohne Frage einem oder mehreren Notfallplänen, die unter anderem sämtliche IT-Anlagen beinhalten und in regelmäßigen Abständen auf den aktuellen Stand gebracht werden müssen.

Ebenso ist es notwendig, nicht nur allgemein gültige Sicherheitsmaßnahmen und Verfahren zur Informationssicherheit zu etablieren, sondern diese auch zu dokumentieren und zu kontrollieren. Software- und Patch-Versionen zu den installierten Betriebssystemen und Programmen geben hier oftmals Anlass zur Kritik und sollten daher ebenfalls genau dokumentiert und sofort gepatcht werden.

Operative Informationssicherheit

Gefordert wird in erster Linie, bei der Planung der IT-Systeme und der zugehörigen IT-Prozesse gängige Standards zu verwenden. Da die gängigen Standards einer ständigen Erweiterung und Anpassung an die rechtlichen und sicherheitstechnischen Anforderungen unterliegen, wird somit vermieden, alternative und möglicherweise schlecht gewartete, nicht standardkonforme Lösungen einzusetzen, die im Lauf der Zeit immer mehr zu einem Sicherheitsrisiko werden könnten.

Ebenso sind für IT-Risiken angemessene Überwachungs- und Steuerungsprozesse einzurichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen (vgl. AT 7.2 Tz. 4 Ma-Risk).

Auch in den weiteren Unterpunkten der BAIT (5.3 bis 5.6) wird eingehend darauf hingewiesen, dass sicherheitsrelevante Ereignisse genauestens zu dokumentieren sind und darauf schnellstmöglich angemessen zu reagieren ist.

In den neu angefügten Absätzen der letzten Novelle der BAIT wird stets dringlich darauf hingewiesen, dass sämtliche Tätigkeiten der Überwachung, Kontrolle, Analysen und Überprüfung auf Wirksamkeiten in regelmäßigen Abständen zu prüfen und weiterzuentwickeln sind. Auch hier bedarf es als Unterstützung vor allem einer professionellen Inventarisierungs- und Dokumentationssoftware, ohne die sich eine regelmäßige Überprüfung nicht oder zumindest nicht mit vertretbarem Aufwand bewerkstelligen lässt. Hierbei sollte man stets auch im Hinterkopf behalten, dass sich zwar die eingesetzte Hardware nicht von heute auf morgen ändert, jedoch bei Softwareprodukten innerhalb von Stunden schwere Lücken und Sicherheitsmaßnahmen zu ergreifen sind. Ohne einen genauen, aktuellen und stets abrufbaren Bestand ist man hier chancenlos, um sicherheitsrelevante Schäden sicher zu vermeiden.

Benutzerberechtigungsmanagement

(MaRisk AT 4.3.1 Tz. 2, AT 7.2 Tz. 2, BTO Tz. 9)

Benutzerrechte wurden in der Vergangenheit sehr gerne individuell aufgrund von internen Entscheidungen und Freigaben vergeben. Mit der Zeit baut man sich so aber eine sehr große, meist unübersichtliche Berechtigungsstruktur auf, die im Lauf der Jahre kaum mehr zu kontrollieren ist. So werden Rechte von Mitarbeitern, die eine Abteilung gewechselt haben oder nicht mehr für bestimmte Bereiche zugriffsberechtigt sind, einfach übersehen.

Mit der BAIT (5.26) wird ein Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung eingefordert. Außerdem werden Kontrollprozesse gefordert, damit die Vorgaben des Berechtigungsprozesses eingehalten werden. Darüber hinaus müssen Berechtigungen jederzeit (möglichst automatisiert, BAIT 5.25) zuzuordnen sein und regelmäßig zu überprüfen und zu rezertifizieren (BAIT 5.27).

Berechtigungsstrukturen werden mit den normalen Bordmitteln mitunter sehr unübersichtlich dargestellt. Spätestens bei vererbten Rechten stoßen viele IT-Abteilungen an ihre (zeitlichen) Grenzen und die Gefahr, dass Benutzerrechte nicht akkurat vergeben und kontrolliert werden, wächst mit jeder Veränderung.

Auch wenn ein kompletter Genehmigungsprozess im Unternehmen eingeführt wird, obliegt es den Verantwortlichen, eine regelmäßige Kontrolle durchzuführen oder im Bedarfsfall eine komplette Überprüfung der Rechte von Gruppen oder einzelnen Benutzern vorzunehmen. Gerade auch, weil hierfür immer aktuelle Daten gefordert werden, ist eine ständige, manuelle Datenerhebung nicht zielführend. Ohne eine entsprechende Softwarelösung, die komplette Berechtigungsstrukturen nicht nur aufschlüsselt, sondern auch übersichtlich und in Berichtsform darstellt, würde dies zu einer sehr fehleranfälligen und zeitintensiven Aufgabe.

IT-Projekte

(MaRisk AT 8.2 Tz. 1, AT 7.2 (Tz. 3 und Tz. 5), AT 8.2 Tz. 1, AT 8.3 Tz. 1)

Über den gesamten Absatz 6 der BAIT (Punkt 31 bis 44) geht es darum, sowohl bei internen IT-Projekten als auch bei Vergabe an externe IT-Dienstleister eine Dokumentation und Überwachung von Prozessen und Abläufen zu ermöglichen.

Vor allem sind auch die Abhängigkeiten, die sich zwischen den einzelnen Projekten und involvierten Abteilungen ergeben, ständig im Auge zu behalten. Verantwortlich für die Ermöglichung und Einhaltung dafür ist wiederum die Geschäftsleitung (BAIT, MaRisk), der regelmäßig und anlassbezogen zu berichten ist.

Es ist hier unbedingt erforderlich, dass die Daten über die interne IT, Software und Dokumentation zentral erfasst werden. Nur so kann gewährleistet werden, dass über alle Abteilungen, Standorte und Teilbereiche ein vollständiger Bericht erstellt werden kann. Auch ist es für den Empfänger der Berichte (Geschäftsleitung) von essenzieller Wichtigkeit, dass Daten auch lesbar und auswertbar aufbereitet sind. Dabei muss sichergestellt werden, dass diese Daten aus einer aktuellen und zuverlässigen Datenquelle stammen und nicht von der letzten manuellen Erfassung aus dem letzten Jahr stammen.

Die in der MaRisk und BAIT geforderten Vorkehrungen lassen sich mit einer Inventarisierung und Dokumentation realisieren. Um auch hier der Aktualität, dem lückenlosen Inhalt und einem vertretbaren Personalaufwand Rechnung zu tragen, empfiehlt sich wiederum eine professionelle, genau für solche Aufgaben entwickelte Softwarelösung. Damit lassen sich aus allen Grunddaten entsprechend individualisierte Berichte, Listen und grafischen Übersichten erstellen, die den Anforderungen der BAIT und MaRisk gerecht werden.

IT-Betrieb

(MaRisk AT 7.2 Tz. 1 und Tz. 2)

Vor allem auf die IT-Abteilungen kommt einiges zu. Mit den erforderlichen und hohen Sicherheitsmaßnahmen aus der MaRisk und der BAIT wird es unumgänglich, sämtliche Aktionen innerhalb der IT-Abteilung sauber zu dokumentieren. Aber nicht nur die Eintragung ist wichtig, sondern auch die Möglichkeit, regelmäßig und anlassbezogen Auskunft über die eigene IT geben zu können.

Im Absatz 8 der BAIT geht es vor allem darum, sowohl eine vollständige Dokumentation als auch eine regelmäßige Inventaraktualisierung der IT-Systeme zu gewährleisten. Ebenso sind Änderungen und Umsetzung auf Risiken zu bewerten, was ohne eine aktuelle Datenbasis der Bestandssysteme und Geschäftsprozesse kaum möglich ist.

Generell ist alles, was die IT betrifft, zu erfassen und zu dokumentieren. Auch hier sollte großes Augenmerk daraufgelegt werden, dass sich alle Informationen möglichst in einer zentralen Datensammelstelle zusammenlegen lassen. Die Gefahr, dass durch unterschiedliche oder schlecht gewartete Verwaltungs-Tools eine lückenhafte Aufzeichnung oder fehlerhafte Inventarisierung entsteht, muss ausgeschlossen werden. Auch macht der Einsatz von unterschiedlichen Software-Produkten, die zwar einzelne Aufgaben gut lösen, aber keine Konnektivität zu anderen eingesetzten Lösungen bietet, diese Aufgaben unnötig schwer bis unmöglich.

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Nicht immer ist es sinnvoll, für jeden Bereich der IT die eigenen IT-Verantwortlichen heranzuziehen. Ob es nun an der erforderlichen Spezialisierung scheitert oder einfach an der erforderlichen Mitarbeiteranzahl der IT-Abteilung – eine Auslagerung an einen externen IT-Dienstleister ist in vielen Fällen unumgänglich. Zusätzlich wird das Thema Cloud und Verlagerung von Daten und Systemen in die Cloud immer größer und gehört heute bereits zum IT-Alltag.

Zu beachten ist in jedem Fall die Anforderung nach MaRisk AT 9, in der nicht nur der Umgang mit kritischen Infrastrukturen beschrieben wird, sondern auch die Ergreifung und regelmäßige Testung entsprechender Notfallvorsorgemaßnahmen (MaRisk 9.60 – KRITIS-Schutzziel).

Auch hier bedarf es zuerst einer grundlegenden Bestandsaufnahme, der umfangreichen Dokumentation und der sich automatisch aktualisierenden Notfallhandbücher, in denen jegliche Veränderung der IT-Systeme sofort aufgenommen und dokumentiert wird.

Auch die Nachweiserbringung gemäß §8a Abs. 3 BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, BSI-Gesetz – BSIG) wird durch eine gute Dokumentationssoftware unterstützt und generiert aus den aktuellsten Bestandsdaten die erforderlichen Berichte. Diese können auf die jeweiligen Bedürfnisse leicht angepasst und erweitert werden.

IT-Notfallmanagement

Neu hinzugekommen ist mit der Novellierung der BAIT der Punkt 10, nämlich das IT-Notfallmanagement.

Auch hier wiederum dient als Basis eine umfassende Bestandsaufnahme aller IT-Prozesse und -Anlagen, um die hier geforderten (BAIT 10.1 bis 10.5) Notfallkonzepte, Notfallhandbücher und Wiederherstellungspläne zu realisieren. Ebenso wird wie in allen anderen bisherigen Punkten auch eine regelmäßige Überprüfung gefordert. Für zeitkritische Aktivitäten und Prozesse ist diese Überprüfung für alle relevanten Systeme und deren Abhängigkeiten mindestens einmal jährlich und anlassbezogen nachzuweisen (vgl. AT 7.3 Tz. 3 MaRisk).

IT-Notfallpläne umfassen Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne sowie die dafür festgelegten Parameter, wie zum Beispiel Wiederanlaufzeit (Recovery Time Objective – RTO) und maximal tolerierbarer Zeitraum, in dem Datenverlust hingenommen werden kann (Recovery Point Objective – RPO).

Das IT-Testkonzept beinhaltet sowohl Tests einzelner IT-Systeme (z. B. Komponenten, einzelne Anwendungen) als auch deren Zusammenfassung zu Systemverbünden (z. B. Hochverfügbarkeitscluster) sowie von Prozessen (z. B. Zutritts- und Zugriffsmanagement).

Dokumentation und Inventarisierung als Basis für BAIT, MaRisk/KRITIS

Damit Daten zur Auswertung und Berichtserstellung zur Verfügung stehen, müssen diese erst erhoben werden. Da sich in einem IT-Netzwerk nicht nur Computer und Server befinden, sondern meist eine große Anzahl an zusätzlichen Geräten, wie zum Beispiel Drucker, Router, Switches, WLAN-Stationen, mit dem Netzwerk verbunden ist, läuft man schnell Gefahr, selten genutzte oder gut versteckte Gerätschaften bei einer manuellen Inventarisierung zu übersehen.

Nutzt man dabei eine professionelle Inventarisierungs- und Dokumentationssoftware wie Docusnap, ist nicht nur der zeitliche Aufwand deutlich geringer. Aufgrund der vielfältigen Scan-Modi sucht die Software automatisch nach allen Geräten, die sich im Netzwerk befinden. Dabei beschränkt sich eine gute Software nicht nur auf das IP-Protokoll, sondern nutzt unterschiedliche Scan-Techniken, um jedes Gerät aufzuspüren und zu inventarisieren.

Docusnap macht dies ohne jegliche Agents. Das heißt, dass auf keinem Gerät im Netzwerk eine zusätzliche Software installiert werden muss. Das hat vor allem den großen Vorteil, dass weder Sicherheitslücken durch zusätzliche Software auftreten noch einzelne Systeme wie oben beschrieben vergessen oder übersehen werden.

Docusnap sammelt die Daten zentral in einer SQL-Datenbank in ihrem eigenen Netzwerk. Ebenso werden andere Standorte oder Filialen, die mit ihrem Netzwerk verbunden sind, automatisch mit inventarisiert. Gerade bei örtlich getrennten Betriebsstätten ist dies ein großer Vorteil, da nicht immer in allen Außenstellen geschultes IT-Personal vor Ort ist.

Die grundlegende Inventarisierung geht mit Ausnahme der Ersteinrichtung größtenteils automatisch und erfordert sehr wenig zusätzliche Arbeit.

Etwas aufwändiger werden dann die Verknüpfung der Geschäftsprozesse mit den Daten in Docusnap. Dies ist nur mit manuellem Aufwand und vor allem Know-How aus ihrem eigenen Geschäftsbereich zu bewältigen. Allerdings entsteht dadurch eine einzigartige Möglichkeit, innerhalb eines Systems mit ständig aktuellen Daten eine umfassende Datenbasis mit genialen Fähigkeiten zu schaffen.

Bereits jetzt ist man in der Lage, Notfallpläne und Notfallhandbücher zu erstellen, die sich automatisch mit allen Änderungen im Netzwerk aktualisieren und immer auf dem neuesten Stand bleiben. Ebenso sind Sie damit bereits in der Lage, Netzwerkpläne und Topologie-Pläne grafisch darzustellen.

Da Docusnap bereits von Anfang an eine Vielzahl an unterschiedlichen Berichten zur Verfügung stellt, sind Kontrollen über den Zustand der gesamten IT-Systeme nur mehr ein geringer Aufwand. Nicht nur, dass sich so auch leicht veraltete Betriebssysteme aufspüren lassen. Die Informationen gehen sogar so weit, dass sogar Softwarestände bzw. eingespielte Patch-Versionen auswertbar sind. Vollautomatisch und ohne weiteres Zutun sind diese Berichte auswählbar.

Das kann jeder

Docusnap hat selbstverständlich auch eine eigene Berechtigungshierarchie. Denn grundsätzlich braucht man keine hochspezialisierten Profis, um Docusnap zu bedienen. Im Gegenteil. Docusnap ist so aufgebaut, dass auch Nutzer, die sonst wenig mit IT-Technik zu tun haben, keine Probleme haben, die Software zu bedienen. So ist es ein leichtes, unterschiedlichen Verantwortungsbereichen Personen zuzuordnen und Ihnen die erforderlichen Informationen zur Verfügung zu stellen. Diese können dann ohne Zutun der IT-Abteilung selbständig alle erforderlichen Berichte erstellen und an die Vorgesetzten oder Geschäftsleitung übermitteln.

Support und Hersteller aus Deutschland

Oft ist es der Fall, dass Software aus anderen Ländern kommt. Häufig auch außerhalb der EU. Und nicht immer sind die dortigen Regeln mit unseren Gesetzen und Vorschriften eins zu eins umsetzbar. Docusnap wird in Deutschland (Bayern) entwickelt. Auch der komplette Support findet durch den Hersteller selbst statt. Anstatt eines Call-Centers mit nervenaufreibenden Telefonaten stehen die Spezialisten des Softwareherstellers selbst Rede und Antwort und unterstützen Sie bei Ihren Anliegen.

Falls Sie Ihre IT von einem externen Dienstleister betreuen lassen, bietet Docusnap auch für diesen Fall eine geniale Funktion. Dadurch, dass Docusnap auch mandantenfähig sein kann, sind externe IT-Dienstleister in der Lage, mittels Docusnap all die Vorteile zu erhalten, in dessen Genuss auch eine eigene interne IT-Abteilung kommen würde. Und nicht nur für die Anforderungen der BAIT und der MaRisk ist Docusnap eine geniale Ausgangsbasis, sondern auch für alle anderen Tätigkeiten innerhalb der IT. Denn nicht nur Systeme finden Eingang in die Datenbasis, sondern auch Wartungsverträge (Subscriptions) mit Laufzeiten, Lizenzverträge mit Ablaufdaten oder auch Dokumentationen über durchgeführte Arbeiten im System (sowohl interne Durchführung als auch durch externe Dienstleister).

Wer sich selbst ein wenig den Schrecken nehmen möchte, den Anforderungen der BAIT, der MaRisk, KRITIS und dem KWG gerecht zu werden, bedient sich sinnvollerweise der ausgeklügelten und etablierten Dokumentationssoftware vom deutschen Marktführer Docusnap.

Sie haben noch Fragen oder benötigen Hilfe? Nutzen Sie einfach die Möglichkeit, Docusnap 30 Tage kostenlos zu testen. Wir gewähren Ihnen auch innerhalb der 30 Tage den professionellen Support unseres Teams – ebenfalls ohne Kosten.

Quellenangaben:
BAFIN – Bundesanstalt für Finanzdienstleistungsaufsicht
BAIT – „Bankaufsichtliche Anforderungen an die IT“ – Rundschreiben 10/2017 (BA)
MaRisk – Mindestanforderung an das Risikomanagement – Rundschreiben 09/2017 (BA)
BAIT/KRITIS – Bankaufsichtliche Anforderung an die IT Kritischer Infrastrukture

Bundesministerium der Justiz und für Verbraucherschutz
KWG – Kreditwesengesetz
BSI – Gesetz über das Bundesamt für Sicherheit in der Informationstechnik
Bundesamt für Sicherheit in der Informationstechnik

KRITIS – FAQ (BSI)

Downloads:
BAIT als PDF: Download von Bafin.de
MaRisk als PDF: Download von Bafin.de
KRITIS/BAFIN PDF: Download von Bafin.de

Button Text

Neugierig? Dann probieren Sie Docusnap in Ihrer eigenen Umgebung aus.

Voller Funktionsumfang
30 Tage kostenlos

Nächster Artikel