Information Security Management-Systeme
Mithilfe eines Information Security Management-Systems können Finanzdienstleister Schwachstellen in ihren Sicherheitsvorkehrungen identifizieren
Informationssicherheit wird von vielen Finanzdienstleistern immer noch als eine rein technische Aufgabe betrachtet
Von Stefanie Machauf, freie Journalistin in München
(17.11.06) - Banken und Sparkassen sind ständigen Bedrohungen ausgesetzt, sowohl von außen – zum Beispiel durch Hacker und Viren, als auch von innen – etwa durch unachtsame Mitarbeiter. Mithilfe eines Information Security Management-Systems können Finanzdienstleister Schwachstellen in ihren Sicherheitsvorkehrungen systematisch identifizieren und somit Geschäftsrisiken reduzieren.
Spam-E-Mails machen heutzutage bereits mehr als 60 Prozent des gesamten elektronischen Postverkehrs aus, berichtet Symantec im "Internet Security Threat Report" vom September 2005. Doch die unerwünschten Werbebotschaften sind nicht die einzigen Bedrohungen, mit denen Geldinstitute und deren Kunden zu kämpfen haben. Laut der oben genannten Studie verdoppelte sich etwa die Anzahl der Phishing-Versuche von Januar bis Juni 2005. Bereits jede 125. E-Mail sei mittlerweile als Phishing einzustufen. Mit täuschend echt aufgemachten E-Mails werden Kunden von Kreditinstituten auf gefälschte Web-Seiten geleitet, um Angaben wie Konto-, PIN- und TAN-Nummern auszuspionieren, so die Marktforscher.
Banken befinden sich in einer besonderen Bedrohungslage, da sie ihre vormals geschlossenen Netzwerke nun für Online- und Mobile-Banking öffnen müssen. Sensible Daten sind daher gegen unerlaubte Zugriffe von außen zu schützen. Mit zunehmender Elektronisierung der Geschäftsprozesse rückt die Informationssicherheit immer weiter in den Management-Fokus. Dazu tragen auch die verstärkten Outsourcing-Aktivitäten in den Back-Office-Bereichen oder die Öffnung der bankinternen Netze für das Online-Banking bei. Darüber hinaus entsteht besonders bei großen Banken, die im internationalen Umfeld tätig sind, aufgrund der Vorgaben des Sarbanes Oxley Act (SOX) und der Bundesanstalt für Finanzdienstleistungsaufsicht Bedarf an einem integrierten Sicherheitsmanagement. Aber auch kleinere Kreditinstitute sind vor Hacker-Angriffen und Virenattacken nicht gefeit und müssen daher geeignete Maßnahmen für ihren Schutz treffen.
Darüber hinaus sind Finanzdienstleister durch gesetzliche Bestimmungen gemäß Basel II verpflichtet, eine Kapitalrücklage zwischen acht und 18 Prozent ihres Gesamtkapitals zu bilden, um unvorhergesehene Risiken abzudecken. Je mehr der Geschäftsbetrieb auf die technische Infrastruktur angewiesen ist, desto stärker hängt letztlich auch die Bonität von einem aktiven IT-Risk-Management ab. Wer bei der IT spart, verschlechtert sein Rating. Eine integrierte Security-Konzeption ist ein wichtiges Hilfsinstrument, um Risiken transparent zu machen und zu vermeiden. Als Grundlage dafür ist zu überprüfen, ob alle organisatorischen Einheiten, Systeme und Prozesse eines Instituts den Anforderungen an den Informationsschutz genügen, um danach den spezifischen Handlungsbedarf abzuleiten.
Unternehmensweiten Schutz sicherstellen
Als eine in der Praxis erfolgreiche Vorgehensweise gegen Sicherheitslücken hat sich das so genannte Information Security Management-System (ISMS) erwiesen. Es stellt einen ganzheitlichen Ansatz zur strukturierten Aufnahme und Bewertung relevanter Sicherheitsthemen dar, der internationalen Normen und Sicherheitsstandards entspricht. Das ISMS dient dabei dem Ziel, für Informationssicherheit innerhalb einer Organisation zu sorgen und legt dabei besonderen Wert auf die spezifischen Geschäftsrisiken.
Allerdings existieren in Finanzinstituten oftmals eine Vielzahl von Einzellösungen sowie veraltete oder nicht gelebte Methoden und Verfahren. Die heterogenen Anforderungen von heute lassen sich damit in vielen Fällen nicht erfüllen. Ein Beispiel sind historisch gewachsene Firewall-Systeme, die auf unterschiedlichen Konzepten basieren und nicht miteinander verzahnt werden können. Fehlende eindeutige Organisationsstrukturen und Verantwortlichkeiten führen zu einem akuten Handlungsbedarf in der Finanzbranche. Bisher unkoordinierte Einzelaktionen und -maßnahmen müssen strukturiert, veraltete Vorgehensweisen und Verhaltensregeln angepasst oder abgelöst werden. Ziel muss ein für das jeweilige Institut einheitliches, überschaubares und kosteneffizientes Sicherheitsmanagement sein. Der Aufbau eines auf die Sicherheitsbedürfnisse der Bank abgestimmten Information-Security-Konzeptes hat sich dabei als wertvoller Schritt erwiesen.
Mit der Norm ISO 17799 wurde für Informationsmanagementsysteme ein weltweiter Standard geschaffen. Dieser umfasst mehrere Steuerungsbereiche, zu denen Empfehlungen abgegeben werden. Dazu zählen beispielsweise die physische und umgebungsbezogene Sicherheit, die Zugangskontrolle oder die Systementwicklung und -wartung.
"Ein ISMS eignet sich insbesondere für Kreditinstitute, da deren höchstes schützenswertes Gut sensible Kundendaten sind. Banken, die sich dagegen nicht an den Leitlinien des Standards orientieren, verzichten auf ein international anerkanntes, umfassendes Sicherheitssystem, das eine gesamtheitliche Darstellung der Compliance ermöglicht", verdeutlicht Manfred Ruttmar, Consultant und Program Manager Information Security im Bereich Consulting bei Siemens Business Services. Der Fokus liegt dabei nicht auf der technischen Seite der IT-Sicherheit, sondern auf dem verantwortungsvollen Umgang aller Mitarbeiter mit schützenswerten Informationen. Indem es einzelne Aspekte einer Corporate Security Policy transparent aufzeigt, umsetzt und überprüft, stärkt ein ISMS sowohl die Aufmerksamkeit des Managements als auch der Mitarbeiter für Sicherheitsbelange.
Leitfäden des Information Security Forums
Welche Vorteile Kreditinstitute und Unternehmen durch ein ISMS erhalten, zeigen Untersuchungen des Information Security Forums (ISF) siehe: http://www.securityforum.org/
Das ISF ist eine internationale Organisation, unter deren Dach weltweit über 250 Unternehmen – darunter auch Siemens, DaimlerChrysler oder die Deutsche Bank – zusammenarbeiten. Ziel ist die Entwicklung und Finanzierung der praktischen Forschung im Bereich Informationssicherheit. In aktuellen Projekten untersucht das ISF etwa wie ein Identitätsmanagement am effektivsten implementiert werden kann. Die Organisation erarbeitet auch Leitfäden, wie Unternehmen auf einen Zwischenfall reagieren können, bei dem die IT-Sicherheit bedroht oder verletzt wurde.
Information Security Management-Systeme sollten die Sicherheit von Netzen, Anwendungen und PC-Arbeitsplätze sowie die Sicherung von IT-Betrieb und -Infrastruktur umfassen. "Die Finanzinstitute und deren Sicherheitsverantwortliche stehen täglich vor immer größer werdenden Problemen", kommentiert Stefan Weiss, Senior Manager in der deutschen Security Services Gruppe von Deloitte die Sicherheitsstudie 2004 des Unternehmens. "Mit technischen Sicherheitslösungen alleine sind diese Probleme schon lange nicht mehr zu bewältigen. Meistens entstehen die Probleme in der organisatorischen Struktur von Geschäftsprozessen und einer nicht vorhandenen Kontrolle der bestehenden Sicherheitsstrategie." Denn Informationssicherheit wird von vielen Finanzdienstleistern immer noch als eine rein technische Aufgabe betrachtet. Sicherheit umfasst jedoch darüber hinaus auch Prozesse, die Organisation und die Zusammenarbeit mit Partnern.
„Die ISO 17799 ist für Finanzdienstleister zwar nicht verbindlich vorgeschrieben. Dennoch unterstützt sie der Standard auf dem Weg zur Erfüllung der gesetzlichen Bestimmungen und unternehmensinternen Compliance-Regelungen“, erläutert Ruttmar. „Für Geldinstitute sind sämtliche Bereiche von der Zugriffskontrolle über die Mitarbeiter- und physikalische Sicherheit bis hin zur Richtlinieneinhaltung der ISO 17799 relevant.“
ISO 17799-Zertifikate bescheinigen den Bankkunden, dass der jeweilige Finanzdienstleister die ISMS-Kriterien erfüllt und somit über eine laufend aktuelle Informationssicherheit verfügt. Die Bescheinigung erweist sich als Differenzierungsmerkmal gegenüber den Wettbewerbern. Zudem lässt sich mit einem ISMS die Umsetzung von Compliance-Richtlinien nachweisen und steuern. Durch kontinuierliche Analysen können sich Finanzdienstleister auf neu entstehende gesetzliche Vorschriften gezielt vorbereiten und diese schneller umsetzen.
Schwachstellen und Risiken aufdecken
Wie ein ISMS aufgebaut werden kann, zeigt das Beispiel einer Sparkasse. Im ersten Schritt ermittelte Siemens Business Service als Dienstleister die Ist-Situation, um den Stellenwert und Umgang mit der Datensicherheit im Unternehmen aufzuzeigen. Zudem entwickelte der IT-Berater zusammen mit dem Finanzinstitut eine Corporate Security Policy, die alle notwendigen Rollen für sämtliche Themenbereiche und Organisationsebenen definiert und verankert.
Ein kritischer Erfolgsfaktor beim Management von Informationen ist die Identifikation der Schwachstellen und eventuell bestehender Risiken. Durch Revisionen und Audits wurden im nächsten Schritt bestehende Prozesse und Applikationen einem Soll-Ist-Vergleich unterzogen, gegen den internationalen Standard ISO 17799 überprüft und mit den sparkassenspezifischen Anforderungen abgeglichen. Daraus ließen sich direkt die Prioritäten der einzelnen Handlungsfelder ablesen, entsprechende Maßnahmen zur Risikohandhabung auswählen und umsetzen.
So schreibt beispielsweise das Bundesdatenschutzgesetz das Einrichten und Überwachen von technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes vor (§ 9 BDSG). Das Kreditwesengesetz verlangt ein internes Kontrollverfahren, das aus einem Kontrollsystem und einer Revision besteht. Zudem sind die Geldinstitute zu angemessenen Sicherheitsvorkehrungen beim Einsatz der elektronischen Datenverarbeitung verpflichtet (§ 25a KredWG). Auch die Prüfungsstandards des Instituts der Wirtschaftsprüfer in Deutschland müssen Sparkassen berücksichtigen.
Anschließend etablierte der IT-Dienstleister zusammen mit dem Geldinstitut ein ISMS, das eine ganzheitliche Steuerung und Kontrolle des Informationsschutzes sicherstellt. Dabei wurden die bestehenden Informations- und Sicherheitsstrukturen zu einem geschlossenen Managementkonzept verbunden. Der Informationsverantwortliche der Sparkasse und neutrale Stellen wie die Verbandsrevision legten die Überwachungsaufgaben fest. Die Zuständigen beaufsichtigen zum Beispiel, ob der Finanzdienstleister die gesetzlichen und durch den Standard vorgegebenen Richtlinien entsprechend umsetzt und einhält.
Die Einführung beziehungsweise die Implementierung eines ISMS darf aber nicht als einmaliger Durchlauf verstanden werden. Das vom Qualitätsmanagement bekannte Prinzip der kontinuierlichen Verbesserung nach dem Motto "Plan - Do – Check – Act" greift auch hier. Mit einem Risikocontrolling können die identifizierten Risiken laufend überwacht sowie die Steuermechanismen regelmäßig überprüft und angepasst werden. Auch eine ergebnisorientierte Steuerung und Absicherung der identifizierten Risiken ist möglich. Jedes Review wird neue Hinweise auf Handlungs- und Anpassungsbedarf liefern, welche erneut in die Security-Konzeption einfließen müssen. Der Prozess der kontinuierlichen Optimierung dient auch dazu, das Thema "Information Security" mittelfristig im Institut zu etablieren.
Gründe für die Realisierung eines Information Security Management-Systems:
- IT Governance-System zur Steuerung gesetzlicher und unternehmensinterner Compliance-Anforderungen
- Transparenz über die gesamte Informationssicherheit und mögliche Sicherheitslücken
- Integriertes Sicherheitskonzept nach internationalen Normen und Standards wie beispielsweise ISO 17799 oder InfoSec
- Durchgängige Absicherung des „intellektuellen Kapitals“ eines Unternehmens durch Abbildung prozessorientierter Information Security Management Systeme
- Einhaltung der gesetzlichen Anforderungen sowie nachweisbare Erfüllung der Informationspflichten gegenüber z. B. Eigentümern oder Wirtschaftsprüfern
- Transparenz über geschäftsprozess-orientierte Risiken sowie deren kontrollierter Umgang im Zusammenhang mit Informationssicherheit im Unternehmen
- Schaffung einer Basis für den Ausbau elektronisch unterstützter Geschäftsprozesse und Überprüfung der Wirtschaftlichkeit von Security Investitionen
- Effizienzsteigerung und Kostenreduktion durch standardisierten, geschäfts-bereichübergreifenden Einsatz von Technologie und Services unter Berücksichtigung der Informationssicherheit
- Wettbewerbsvorteile durch verfügbare, vertrauliche und integere Unternehmensabläufe
- Schutz der eigenen Person vor Haftungsansprüchen
- Erhaltung der Geschäftskontinuität
- Identifikation der schutzbedürftigen Assets im Unternehmen und Implementierung des ISMS als kontinuierlichen Prozess
Geschäftsrisiken reduzieren
Das Ergebnis eines Information Security Management-Systems ist in erster Linie eine erhöhte Sicherheit. Dies zeigt die "Deloitte Sicherheitsstudie 2005". Standards wie ISO 17799 wurden im internationalen Vergleich mit 83 Prozent nirgendwo so häufig implementiert wie bei europäischen Finanzinstituten, so die Analysten. Die Bank erhält vollständige Transparenz über die unternehmensweite Informationssicherheit und reduziert die Geschäftsrisiken durch ein integriertes Sicherheitsmanagement deutlich. Zudem erzielt das Kreditinstitut Kosteneinsparungen, indem redundante Security-Lösungen vermieden werden. Integrierte Sicherheitsmaßnahmen, deren Wirksamkeit ISO 17799-Zertifikate bescheinigen, fördern das Vertrauen der Kunden und Partner in die Bank und sorgen dafür, dass alle gesetzlichen Anforderungen erfüllt sind.
Derzeit ist ISO 17799 die international akzeptierte Standardisierung im Bereich Informationssicherheit. Andere Normen wie COBIT (Control Objectives for Business Information and Related Technologies) und die internationalen Sicherheitsprüfkriterien Common Criteria lassen sich damit ergänzen. In der aktuellen Entwicklung werden Security-Standards in die neue Struktur der ISO 27000er Reihe überführt. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat sein Zertifizierungsverfahren der 27000er Reihe angepasst. Finanzdienstleister, die bereits ein ISMS nach ISO 17799 umgesetzt haben, verfügen über eine gute Ausgangslage und profitieren von einer schnellen und einfachen Anpassung an die Standardneuerungen. (Siemens Business Services: SBS: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>