Informationsverbund: Basis für Informationssicherheit
Banken und Finanzinstitute müssen ihre Informationen und Daten ganz besonders sorgfältig schützen. Dazu müssen nicht nur einzelne IT-Systemkomponenten, sondern auch die Abhängigkeiten und Schnittstellen überwacht werden – bis über die Grenzen der eigenen Unternehmung hinaus. Genau dieses Prinzip beschreibt der Informationsverbund.
Der Informationsverbund ist ein von der Bankaufsicht BaFin propagiertes Prinzip, um die Risiken für die Informationssicherheit optimal im Überblick und unter Kontrolle zu behalten. Zusammen mit anderen Vorgaben für das Informationsrisikomanagement hat die BaFin dieses Prinzip in den Bankaufsichtlichen Anforderungen an die IT (kurz: BAIT) niedergelegt (Stand 2022: im BAIT-Kapitel 3).
„Geschäftsprozess“ und „IT-Prozess“ inzwischen untrennbar
Die novellierten BAIT tragen insgesamt der Tatsache Rechnung, dass die Unterschiede zwischen „Geschäftsprozess“ und „IT-Prozess“ immer mehr verwischen – und im digitalen Zeitalter oft bereits kongruent sind. Das heißt konkret: Was eine Bank zu leisten vermag, basiert auf den für das Erreichen der Geschäftsziele optimierten IT-Strukturen. Beispiele:
- Das Kerngeschäft im Kreditwesen hängt davon ab, dass Informationen schnell bereitgestellt und verarbeitet werden können.
- In der zunehmend digital vermittelten Vermögensanlage vermengen sich personenbezogene Daten mit Konto- und Depotinformationen.
In weniger komplexen Unternehmen könnte das gesamte Geschäft in einem einzigen Informationsverbund abgebildet werden. In Banken bietet es sich jedoch an, einzelne Geschäftsbereiche wie das eben genannte Kreditvergabe- und Factoring-Geschäft oder das private Vermögensmanagement als Informationsverbünde aufzufassen.
Darüber hinaus bietet es sich aus Sicht der Informationssicherheit an, jene IT-Leistungen, die gemeinsam mit Dritten erbracht werden sowie jene Anwendungen, die auch für externe Nutzer (d.h. Bankkunden und Geschäftspartner) geöffnet werden, als Informationsverbünde in Betracht zu ziehen.
Wie die BaFin einen Informationsverbund definiert
Die BaFin definiert einen Informationsverbund wie folgt:
Zu einem Informationsverbund gehören beispielsweise geschäftsrelevante Informationen, Geschäfts- und Unterstützungsprozesse, IT-Systeme und die zugehörigen IT-Prozesse sowie Netz- und Gebäudeinfrastrukturen. Abhängigkeiten und Schnittstellen berücksichtigen auch die Vernetzung des Informationsverbundes mit Dritten.
Diese Definition stellt klar: Um die Schutzziele der Informationssicherheit (Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit) zu gewährleisten, reicht es nicht aus, die Daten selbst zu schützen, sondern der Schutz – und die Risikobewertung – muss sich auf die Gesamtheit der IT beziehen, die zur Verwaltung und Verbreitung dieser Informationen beiträgt. Und wenn diese Gesamtheit auch ausgelagerte Services umfasst, müssen dieselben Schutzmaßnahmen auch darauf ausgedehnt werden.
Das Informationsverbund-Prinzip in der Praxis
Banken müssen ihre Tätigkeitsfelder nach dem Informationsbund-Prinzip gliedern und anschließend schrittweise ein Schutzniveau etablieren, dass zum Risikoprofil passt. Als Zwischenschritt muss der Schutzbedarf festgestellt werden, den einzelne Komponenten im Informationsverbund aufweisen.
Um welche Risiken geht es?
Informationsverbünde sind Bedrohungen ausgesetzt, die die Verfügbarkeit und die Sicherheit von Informationen beeinträchtigen können. Dazu gehören:
- Technische oder naturgegebene Bedrohungen wie technische Defekte, Hochwasser, Brand, Blitzschlag oder Erdbeben
- Höhere Gewalt wie Streik bis hin zu einer kriegerischen Auseinandersetzung
- Bedrohungen durch eigene Mitarbeiter, durch Hacker, Saboteure oder Geheimdienste
- Unbewusst herbeigeführte Bedrohungen durch menschliches Versagen
Wie lässt sich der Schutzbedarf ermitteln?
Die Banken und Finanzinstitute müssen als Informationseigentümer den Schutzbedarf ermitteln und dokumentieren. Die Einstufung in die verschiedenen Schutzbedarfskategorien (z.B. „niedrig“, „mittel“, „hoch“ und „sehr hoch“) muss nachvollziehbar, schlüssig und konsistent sein. Je höher die Schutzbedarfskategorie ist, desto höher ist der Aufwand, um das Schutzniveau zu erreichen und zu halten.
Beispiel zentraler Mailserver:
Ein praxisrelevantes Szenario: Der zentrale Mailserver fällt aus. Die gespeicherten Informationen sind nicht mehr verfügbar – das Schutzziel „Verfügbarkeit“ würde also verfehlt. Anhand strukturierter Fragen zum Gefahrenpotenzial für dieses Szenarios lässt sich der Schutzbedarf ermitteln. Beispiele:
Können wir unsere Aufgaben weiterhin erfüllen, wenn der Mailserver ausfällt?
=>Wenn keine Geschäftsprozesse behindert würden, folgt daraus der Schutzbedarf „mittel“ oder „niedrig“
Wir groß wäre der potenzielle monetäre bzw. wirtschaftliche Schaden?
=> Wenn dringende Mails nicht bearbeitet werden könnten, folgt daraus ein hoher Schutzbedarf.
Würden wir durch den Ausfall gegen Gesetze verstoßen?
=> Wenn Bereitstellungsfristen nicht eingehalten werden könnten, wäre die Schutzbedarfskategorie „hoch“.
Würde das Image unseres Unternehmens leiden?
=> Wenn die unterbrochene Kommunikation des Unternehmens publik wird, kann daraus ein hoher Imageschaden entstehen, daher folgt daraus ein hoher Schutzbedarf.
Wie sehen mitigierende (risiko-senkende) Maßnahmen aus?
Wenn der Schutzbedarf für die Komponenten im Informationsverbund geklärt ist (d.h., wenn die IST-Analyse geleistet ist), können entsprechende Maßnahmen zum Schutz abgeleitet und in einen Katalog übernommen werden (d.h. in einen SOLL-Katalog).
Der Katalog beschreibt Maßnahmen, die zum Schutz der Informationen und der jeweils genutzten IT-Infrastruktur angemessen sind. Der Katalog geht aber noch nicht ins Detail bezüglich der Art und Weise, wie die Maßnahmen umgesetzt werden (d.h. noch ohne Nennung von konkreten Technologien und ohne Zuweisung von Zuständigkeiten und Rollen an konkrete Personen). Outsourcing-Partner und Partner, die durch Weiterverlagerungen beauftragt sind, müssen ebenfalls Maßnahmen beschreiben.
Mögliche Maßnahmen sind beispielsweise:
- Eine strukturierte Vergabe von Zugriffsrechten und Identitäten zum Schutz der Informationen in Systemen mit hohem Schutzbedarf
- Ein kontinuierliches Monitoring, regelmäßige Systemchecks und Updates inklusive geeigneter Berichte
- Die Definition und Dokumentation der Aufgaben, Zuständigkeiten und Kontrollen
- Die Auflistung aller Partner und weiterverlagerten Partner, die zum Informationsverbund beitragen
- Physische und technische Maßnahmen zum Schutz eigener Infrastrukturen sowie zum Schutz fremdbezogener Server und Speicher. Dazu gehören auch regelmäßige Tests im Rahmen eines Notfallmanagements.
Expertentipp: IT-Risiken durch Homeoffice
Das verstärkte Arbeiten im Homeoffice erzeugt neue Risiken für die Informationssicherheit – dieser Trend betrifft viele Informationsverbünde. Daher sollten Institute prüfen, ob weitere Maßnahmen erforderlich sind.
Wie matrix technology unterstützen kann
Als IT-Dienstleister mit Fokus auf regulierte Unternehmen und Mittelständler mit hohem Anspruch an die IT kennen wir die Anforderungen, die von Aufsichtsbehörden wie der BaFin an Banken, Versicherungen und Finanzdienstleister gestellt werden.
Daher können wir Sie umfassend unterstützen: Als Partner für IT-Outsourcing mit eigenen Rechenzentren sowie als Berater für ein IT-Outsourcing nach Regulatorik-Vorgaben. Gerne arbeiten wir auch eine Cloud-Strategie für Sie aus oder unterstützen Sie in der Wahl des richtigen Cloud-Providers.