Ihr Ansprechpartner

Kristian Buric

Im Juni 2021 kam es zu einem folgenschweren Cyberangriff auf die IT der Volks- und Raiff­eisenbanken. Kunden von 820 VR-Banken hatten temporär keinen Zugriff mehr auf das Online-Banking.

Bei Cyberangriffen wie diesem kommt es auf Reaktionsgeschwindigkeit an. Sind die Verant­wortlichkeiten klar geregelt, um schnell einen Krisenstab zusammenzustellen? Ist die eigene Anwendungs- und Infrastrukturlandschaft transparent genug, um den Angriff schnell zu lokalisieren und Gegenmaßnahmen einzuleiten? Diesen und ähnlichen Fragen rund um den eigenen „Informationsverbund“ müssen sich Führungskräfte in der Finanzdienstleistungs­branche stellen – nicht zuletzt, weil es die Aufsichtsbehörden fordern.

Der Informationsverbund und die aufsichtsrechtlichen Anforderungen an Finanzdienstleister

Der Informationsverbund findet Erwähnung in den aufsichtsrechtlichen Anforderungen an die IT von Banken (sog. BAIT), von Versicherungen (VAIT) und von Kapitalverwaltungsgesell­schaften (KAIT). Dabei konkretisieren diese Anforderungen bereits seit einigen Jahren geltende Gesetze (z.B. KWG, MaRisk für Banken) zum ordnungsgemäßen Geschäftsbetrieb von Finanzdienstleistern. Die Einhaltung der BAIT/VAIT/KAIT und damit auch die Abbildung des Informationsverbunds werden zunehmend von den Aufsichtsbehörden in Sonderprüfungen untersucht. Was aber ist ein Informationsverbund?

Elemente des Informationsverbunds
Abbildung 1 – Die Elemente des Informationsverbunds

Der Informationsverbund umschreibt die schützenswerten Informationen sowie die Gesamt­heit der Mittel zur Verarbeitung dieser schützenswerten Informationen im Unternehmen. Wie Abbildung 1 zeigt, wird dabei zwischen folgenden Elementen („IV-Elementen“) unterschieden:

  • Informationscluster bzw. Datenkategorien sind die im Unternehmen verarbeiteten bzw. gespeicherten, schützenswerten Informationen. Diese sind in Cluster bzw. Kategorien zusammenzufassen und hinsichtlich der Schutzbedarfe „Vertraulich­keit“ und „Integrität/Authentizität“ einzuwerten. So sind z.B. Informationen der Kategorie „öffentliche Verzeichnisse“ wie z.B. Handelsregisterdaten mit geringen Anforderungen an die Vertraulichkeit verbunden im Vergleich zu personenbezo­genen Daten, die i.d.R. einen hohen Schutzbedarf haben.
  • Das IV-Element Prozesse umfasst alle Geschäftsprozesse sowie Unterstützungs­prozesse (z.B. IT-Prozesse). Für eine aufsichtsrechtlich konforme Abbildung des Informationsverbunds ist häufig ein mittlerer Detaillierungsgrad der Prozesse bzw. Prozessbeschreibungen ausreichend.
  • Zum IV-Element Anwendungen gehört jegliche Software zur Umsetzung bzw. Un­terstützung der Prozesse bzw. Tätigkeiten im Unternehmen. I.d.R. ist hier die Kern­bankanwendung genauso zu erfassen wie ein im Fachbereich verwendetes Excel-Tool.
  • Das IV-Element IT-Infrastruktur beschreibt alle informationsverarbeitenden Geräte und Netzwerke im Unternehmen. Hierfür werden die Infrastrukturkomponenten i.d.R. nach Typen zusammengefasst. So kann z.B. ein Gerätetyp „Thin Client“ einen geringen Schutzbedarf aufweisen, wenn auf diesen Geräten keine Daten persistent gespeichert werden.
  • Auch Gebäude bzw. Räume, also die physischen Lokationen eines Unternehmens, sind zur Abbildung des Informationsverbunds zu definieren. Damit soll ersichtlich werden, an welchen Orten höhere Schutzvorkehrungen zu treffen sind, wie z.B. für Serverräume oder Tresorräume.
  • Um die Abbildung des Informationsverbunds zu vervollständigen, sind auch alle relevanten Lieferanten- und Dienstleister-Verträge und Vertragspartner des Unternehmens abzubilden – insbesondere solche, die einen Auslagerungssach­verhalt darstellen.

Um den Informationsverbund zu schützen, sind grundsätzlich die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität zu wahren. Daher sind für alle Elemente des Informationsverbunds entsprechende Schutzbedarfe festzulegen. Der Aufwand dafür ist je nach IV-Element und Menge der Unterkategorien unterschiedlich groß. Ergebnis der Schutz­bedarfsfeststellung ist eine Einteilung in Kategorien wie niedrig/mittel/hoch und eine Begrün­dung für diese Einteilung.

Schutzbedarfe werden aufgrund der Zusammenhänge zwischen den IV-Elementen vererbt, d.h. von einem auf das andere zusammenhängende IV-Element übertragen. Zum Beispiel erhält ein Prozess „Kontoeröffnung“, der personenbezogene Daten wie Kontodaten verarbeitet, automatisch einen hohen Schutzbedarf hinsichtlich des Schutzziels Vertraulichkeit vererbt, da die dazugehörige Datenkategorie einen hohen Schutzbedarf vorsieht. Dies reduziert einerseits den Aufwand der Schutzbedarfsfeststellung, andererseits erhöht es damit aber auch die Komplexität der Abbildung des Informationsverbunds. Häufig ist deswegen der Einsatz von spezieller Compliance-Software notwendig, um die unterschiedlichen Zusammenhänge des Informationsverbunds abbilden und strukturiert wieder abrufen zu können.

Governance des Informationsverbunds

Zur Dokumentation des Informationsverbunds ist es notwendig aufbau- und ablauf­organisatorische Vorkehrungen zu treffen. Die initiale Abbildung des Informationsverbunds kann projekthaft erfolgen. Spätestens für die laufende Pflege und Aktualisierung sind dedizierte Verantwortliche zu benennen. So ist ein „Informationsverbund-Koordinator“ zu definieren, der für die übergreifende Qualitätssicherung und laufende Pflege verantwortlich ist. Daneben sollten für die einzelnen IV-Elemente (wie z.B. Anwendungen) entsprechende „IV-Element-Verantwortliche“ benannt werden, die für die Qualitätssicherung der Daten auf Detailebene verantwortlich sind. Wir empfehlen, dass sich der „IV-Koordinator“ mit den „IV-Element-Verantwortlichen“ in regelmäßigen Abständen über Status und Weiterentwicklung des IV abstimmt. Ein formales Gremium ist dafür nicht zwingend erforderlich. Der „IV-Koordinator“ sollte sich mit bereits bestehenden Gremien wie z.B. dem „Architektur-Board“ über gemeinsame Abhängigkeiten verständigen.

Neben obigen Rollen sind Prozesse zu definieren und in die schriftlich fixierte Ordnung zu übernehmen, wie z.B. Pflegeprozesse und Eskalationsprozesse. Damit werden Regelungen festgelegt, was zu welchem Zeitpunkt und wie gepflegt wird und wer im Informationsverbund bei konfliktären Ansichten z.B. zwischen Fachbereich und IT über Änderungen entscheidet.

Bereits zu Beginn der IV-Abbildung sind die Beauftragten bzw. die entsprechenden Funktionen im Haus zu involvieren, insb. der Informationssicherheitsbeauftragte, der Datenschutz­beauftrage, das Notfallmanagement sowie das zentrale Auslagerungsmanagement.

Mehrwert des Informationsverbunds

Der Informationsverbund hat einen Mehrwert für sich, d.h. auch ohne aufsichtsrechtliche Verpflichtung sollte jedes Institut seinen „Informationsverbund“ kennen und dessen Abbildung pflegen. Nicht zuletzt trägt die genaue Kenntnis des eigenen Informationsverbunds dazu bei, auf Sicherheitszwischenfälle wie den eingangs erwähnten Cyberangriff schnell zu reagieren. Darüber hinaus geht es darum, die eigene Ist-Situation zu ordnen und transparent zu machen, um wichtige Erkenntnisse aus deren Analyse für einen wirtschaftlichen Geschäftsbetrieb zu generieren. Nicht zuletzt soll durch einen geordneten Datenhaushalt auch die Steuerung der ORG/IT verbessert werden. So kann der Informationsverbund in folgenden, beispielhaften Situationen einen wesentlichen Mehrwert stiften:

  • Der Informationsverbund schafft Transparenz über die Ist-Anwendungslandschaft als Teil der IT-Architektur und dient damit als Ausgangsbasis für die Entwicklung von IT-Architekturzielbildern.
  • Der Informationsverbund fordert die Klärung von Verantwortlichkeiten für jede Anwendung und jedes Stück Infrastruktur – dies schafft Klarheit in der Zusammen­arbeit zwischen Fachbereichen und IT.
  • Die Abbildung des Informationsverbunds kann als Informationsbasis für die Über­prüfung von IT-Strategien, und damit auch von Geschäftsstrategien, genutzt werden. Analysen des Informationsverbunds können wichtige Erkenntnisse liefern, um die Wirksamkeit von strategischen Maßnahmen und deren Ressourcen-Einsatz zu überprüfen sowie um mögliche Anpassungsbedarfe abzuleiten.

Fazit

Die Abbildung des Informationsverbunds ist aufsichtsrechtlich für Finanzdienstleister wie Banken und Versicherungen gefordert. Neben der reinen Dokumentation der relevanten IV-Elemente sind auch die Zusammenhänge zwischen den Elementen transparent zu machen. Die Aufsichtsbehörden fordern eine integrierte Sicht auf den Informationsverbund – ein Silo-Denken in einzelnen Kategorien führt i.d.R. zu Nachfragen oder ggf. zu Feststellungen.

Der Mehrwert der Abbildung des Informationsverbunds geht jedoch über das Aufsichts­rechtliche hinaus – der Nutzen besteht in der Transparenz und Strukturierung der gesamten schützenswerten Informationen und der Mittel zur Informationsverarbeitung.

Prinzipiell steht jeder einzelne Mitarbeiter im Unternehmen in der Verantwortung den Informa­tionsverbund zu schützen. Dazu ist ein gutes Verständnis erforderlich, was der Informations­verbund überhaupt genau darstellt. Bei informationssicherheitsrelevanten Zwischenfällen oder im Notfall zahlt sich eine gute Kenntnis des Informationsverbunds aus, um schnell betroffene Teile des Informationsverbunds zu identifizieren und Gegenmaßnahmen einzuleiten. Die Vorbereitung auf und das Bestehen von Sonderprüfungen der Aufsichtsbehörden ist allenfalls als Zwischenziel zu sehen – die eigentliche Prüfung ist der reale Ernstfall selbst.

Ihr Ansprechpartner

Kristian Buric
DataNavigator
Der richtige Umgang mit Kundendaten kann ein entscheidender Erfolgsfaktor für jedes Unternehmen sein. Mark Wieczorrek schildert in dieser Ausgabe des
DataNavigator
Eine Künstliche Intelligenz (KI) ist nur so gut wie die Daten, die zum Training der KI verwendet werden. Sören Bey
DataNavigator
Der richtige Umgang mit Daten kann ein entscheidender Wettbewerbsvorteil im Retail Payment sein. Stefan Schnitzler erläutert in unserer Reihe DataNavigator