Neue Verantwortung für die Banken-IT

BAIT-Novelle

Ralph Hinterleitner, Team Lead Service Management Finance und Ina Märzluft Team Lead Governance, Risk & Compliance im Bereich Governance & Standards, noris network AG ( Bild: noris network AG )

Nach den Mindestanforderungen an das Risikomanagement (MaRisk) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sind Banken seit Mitte August 2021 mit neuen Anforderungen bei der umfassenden Kontrolle der „Wesentlichen Auslagerungen“ konfrontiert.

Wie IT-Dienstleister die Banken bei ihren Kontrollpflichten unterstützen, wird zunehmend zum Auswahlkriterium.

Anzeige

Legacy-Systeme neben Cloud-Anwendungen, Hochverfügbarkeit, Perimeterschutz oder Business-Continuity-Technologien: IT-Infrastrukturen von Banken stellen Rechenzentrumsbetreiber vor ganz besondere Herausforderungen. Hinzu kommen strenge Regularien im Finanzumfeld, die auch die Zusammenarbeit zwischen Banken und ihren Dienstleistern betreffen. Mit der Auslagerung von Diensten und Infrastrukturkomponenten muss sichergestellt werden, dass externe Partner die aufsichtsrechtlichen Anforderungen ebenso korrekt erfüllen wie eine interne IT-Abteilung. Andernfalls drohen interne Eskalationen und Sonderprüfungen.

Jede fünfte wesentliche Feststellung der BaFin in den letzten zehn Jahren betraf Auslagerungen und sonstigen Fremdbezug von IT-Dienstleistungen. Für die Durchsetzung institutseigener und aufsichtlicher .berprüfungs- und Bewertungsprozesse (SREP) ist es daher unerlässlich, dass auch Auslagerungsunternehmen ein funktionierendes Informationssicherheits- und Risikomanagement im eigenen Haus vorhalten. Mit Blick auf die Melde- und Prüfanforderungen aus FISG (Finanzmarktintegritätsstärkungsgesetz) und künftig DORA (Digital Operational Resilience Act) müssen für die Kontrolle qualifizierte Ansprechpartner bei den IT-Dienstleistern am Ort der Wertschöpfung sowie der Speicherung und Verarbeitung von Daten zur Verfügung stehen. Wie durch die Novelle der BAIT nochmals verdeutlicht wurde, ist es mit gelegentlichen Kontrollen nicht getan.

Allein die Tatsache, dass schwerwiegende Betriebs- oder Sicherheitsvorfälle im Zahlungsverkehr innerhalb von vier Stunden an die BaFin gemeldet werden müssen, macht klar: Kontinuierliche Kontrollmaßnahmen werden zur zwingenden Voraussetzung für die Einhaltung der BAIT. Wie aber funktioniert das in der Praxis?
 

Drei Verteidigungslinien

Die Beurteilung und Beherrschung von Risiken hat viel mit Zuständigkeiten zu tun – schließlich kann, wer für die Durchführung von Maßnahmen zuständig ist, nicht gleichzeitig derjenige sein, der ihren Erfolg misst und ihre Einhaltung kontrolliert.

Am Beispiel von noris network lässt sich erkennen, welche Organisation geeignet ist, um Banken bei der fortlaufenden Überwachung und Verbesserung ihrer IT-Systeme und der Informationssicherheit zu unterstützen. Der Aufbau folgt dort dem Three-Lines-of-Defense-Modell des Risikomanagements. Der Betreiber von Hochsicherheitsrechenzentren in Nürnberg, München und Hof hat sich mit der Unterteilung in operative Risikobewertung und beherrschung, dem Risikomanagement in der Organisationseinheit Governance, Risk & Compliance und der internen Revision nicht nur die Basis für seine eigene Sicherheit geschaffen. Auch spiegelt dieser Aufbau die Prozesse beim Kunden wider und bietet den Kunden so entsprechende Ansprechpartner. Eine Besonderheit stellt dabei die interne Revision dar. noris network arbeitet mit der eigenen Revision, die MaRisk-konform aufgestellt ist, den Revisoren ihrer Bankkunden zu. So stellt das spezialisierte Teamdes Rechenzentrumsbetreibers die relevanten Ergebnisse ihrer Prüfungen inklusive möglicher Feststellungen den Kunden zur Verfügung und informiert in Quartals- und Jahresberichten ihre Ansprechpartnerin der Bank systematisch über deren Abarbeitungsstand. Auch der Austausch über den risikoorientierten Prüfungsplan gehört zur Zusammenarbeit. Aktuell laufen beispielsweise Prüfungen zum Identity and Access Management (IAM). Durch die Etablierung der Internen Revision bietet der Dienstleister seinen Kunden eine deutlich vereinfachte, effizientere und effektivere Möglichkeit, ihre aufsichtsrechtlichen Prüfpflichten zu erfüllen.
 

Mitdenker und Umsetzer

Angesichts der Pflicht zur kontinuierlichen Kontrolle der ausgelagerten Informationstechnik bewährt sich die Form, in der noris network den operativen Teil des Risikomanagements organisiert hat: im IT-Service-Management. Die Arbeit dieses hochqualifizierten und erfahrenen Teams beantwortet im Wesentlichen die anfangs gestellte Frage: Fortlaufende Kontrolle – wie funktioniert das in der Praxis?

Als IT-Service-Manager stehen Finanzinstituten Mitarbeiter und Mitarbeiterinnen mit Compliance-Wissen als zentrale Ansprechpartner für die von noris network bezogenen IT-Services zur Verfügung. Die IT-Service-Manager übersetzen die spezifischen betriebswirtschaftlichen, geschäftsstrategischen und regulatorischen Anforderungen von Kunden in technische Anforderungen. Zu den Aufgaben gehören aktive Prozess- und Qualitätsoptimierung, Service-Continuity-Management-Leistungen, Dokumentenlenkung, Begleitung des Risikomanagements und die Vorbereitung und Steuerung von Stresstests und Audits. Die IT-Service-Manager haben langjährige Erfahrung mit der Betreuung von Banken-IT und sind mindestens als IT-Service-Manager nach ISO 20000 oder Auditor von Management Systemen ISO 19011 qualifiziert. Sie haben die Aufgabe, die Ansprüche ihrer jeweiligen Kunden bei ihren Kollegen durchzusetzen und sind auch Eskalationsinstanz. Das IT-Service Management Finance verbindet die mandanten-, system- und anwendungsübergreifenden Vorgaben und Maßnahmen mit den kundenspezifischen Anforderungen und individuellen bankgeschäftlichen IT-Prozessen für ein ganzheitliches OpRisk-Management.
 

IT-Infrastrukturen von Banken stellen Rechenzentrumsbetreiber vor ganz beswondere Herausforderungen.

Durch ihre Kenntnis der Kundensysteme wie auch der operativen Anforderungen können die Servicemanagerinnen und -manager auch auf Optimierungspotenziale hinweisen. Im Risikomanagement sorgen sie zum Beispiel dafür, es durch SOLL/IST-Vergleiche messbar zu machen.

Bezogen auf das aktuell von der internen Revision angestoßene Thema IAM bedeutet das, die Prozesse zur Rechtevergabe zu durchleuchten, die vergebenen Rechte mit den vorgesehenen abzugleichen und auf betrieblicher Seite zum Beispiel sicherzustellen, dass es einen Single Point of Truth gibt – unabhängig davon, ob der nun im Active Directory oder einer anderen Datenbank liegt. Ein typischer SOLL/IST-Vergleich wäre auch die Überprüfung von Konfigurationseinstellungen. Korrekturen kommen hier regelmäßig einer „Härtung“ im Sinne der IT-Sicherheit gleich.

Neben verschiedenen Quartalsberichten hält das Servicemanagement die Kunden täglich auf dem Laufenden. Das ist auch deshalb wichtig, weil so Hinweise des Security Operation Center (SOC) von noris network gleich mit Handlungsempfehlungen weitergeben werden können. Im Fall einer Cyber-Attacke hätte ein so betreuter Kunde weder Probleme mit Meldepflichten, noch mit der sofortigen Einleitung von Gegenmaßnahmen.

Ralph

Hinterleitner

Service Manager

noris network AG

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.