MaSI und ITSiG in 10 Schritten zur Compliance

Transkript

1 MaSI und ITSiG in 10 Schritten zur Compliance SRC Security Research & Consulting GmbH November 2015

2 Inhalt MaSI und ITSiG IT-Compliance verändert sich, IT-Sicherheit wird zum Wettbewerbsfaktor... 1 Die neuen Herausforderungen von MaSI und ITSiG Schritte zur Compliance Baustein 1: Grundlegender Compliance-Check Baustein 2: Schutzbedarfsfeststellung Baustein 3: Sicherheitsrichtlinien Baustein 4: Risikoanalyse Baustein 5: Monitoring der Sicherheitsmaßnahmen Baustein 6: Meldeverfahren für IT-Sicherheitsvorfälle Baustein 7: Business Continuity Management/Business Impact Analyse Baustein 8: Security Awareness Baustein 9: Integration aller Maßnahmen in ein Informationssicherheitsmanagementsystem (ISMS) Baustein 10: Generalisierung des ISMS zur Abdeckung der Anforderungen von ITSiG und BAIT Methodik Erfahrungshintergrund von SRC Nähere Informationen... 15

3 MaSI und ITSiG IT-Compliance verändert sich, IT-Sicherheit wird zum Wettbewerbsfaktor Neue Technologien eröffnen gerade auch in der Kreditwirtschaft die Chance zur weiteren Digitalisierung von Geschäftsprozessen. Banken sehen sich zunehmend neuen Wettbewerbern gegenüber, die neue Technologien nutzen, um traditionelle Geschäftsprozesse im Banking neu zu denken und zu erfinden. Auch die Banken selbst haben längst damit begonnen, neue Technologien zur Digitalisierung ihrer Geschäftsprozesse zu nutzen. Digitalisierte Geschäftsprozesse steigern die Effizienz und tragen dazu bei, die Kontakthäufigkeit zum Kunden nachhaltig zu steigern. Viele Untersuchungen von Banken zeigen z.b., dass Kunden, die ein Mobile Banking-Angebot ihrer Bank nutzen, dadurch deutlich häufiger Kontakt zu ihrer Bank haben. Daher werden heute bereits fast alle wichtigen Geschäftsprozesse mittels IT-Systemen unterstützt oder sind mit diesen verzahnt. Digitalisierungsstrategien werden aber nur dann nachhaltigen Erfolg haben können, wenn die Kunden darauf vertrauen können, dass das Umfeld, in dem sie sich bewegen, sicher und zuverlässig ist. Vertrauen in die Sicherheit ist die Basis für die Akzeptanz der neuen digitalen Geschäftsprozesse. Aus Sicht der Bank kommt es also darauf an, die Risiken von Schadensfällen für die Bank und für ihre Kunden zu minimieren. Die nahezu unbegrenzt erscheinenden Möglichkeiten neuer Technologien bedeuten nämlich auch, dass neue Risikofelder und Abhängigkeiten entstehen. Mängel in der IT- Sicherheit bedeuten nicht nur finanzielle Einbußen aufgrund von Schäden, sondern können auch zu Imageverlusten oder zu einer zurückhaltenden Marktakzeptanz neuer Services führen. Es wird daher immer wichtiger, die IT-Sicherheit speziell im Zusammenhang mit Internet-Zahlungssystemen übergreifend zu steuern. Diese Sichtweise hat sich 2015 auch die Regulierung zu eigen gemacht. Die Spielregeln zur sicheren Nutzung neuer Technologien wurden in der Vergangenheit (häufig über Spezialregelungen) in verschiedensten regulatorischen Rahmenwerken weiterentwickelt sowohl über die Datenschutzgesetzgebung als auch über bankaufsichtsrechtliche Anforderungen, insb. KWG und MaRisk. Dabei hat sich, bezogen auf konkrete technologische Neuerungen, häufig Interpretationsbedarf ergeben. Die Folge war Unsicherheit in Bezug auf die Umsetzung der Vorgaben speziell im Zusammenhang mit neuen digitalen Geschäftsprozessen. Mit Veröffentlichung der bankaufsichtlichen Anforderungen an die Absicherung von Internet- Zahlungen (MaSI), der Überarbeitung der Zahlungsdiensterichtlinie (PSD2) und dem Inkrafttreten des IT-Sicherheitsgesetzes hat sich 2015 eine veränderte Sichtweise ergeben. Diese geht entsprechend dem Erfordernis aus Sicht der Bank zum übergreifenden Management der IT-Risiken von der Etablierung einer umfassenden IT-Compliance-Funktion aus. Es ist zu erwarten, dass aufgrund des veränderten Compliance-Verständnis der BaFin und der EBA in Zukunft ein ganzheitliches IT-Compliance-Management auf Grundlage allgemein anerkannter Standards (insb. ISO 27001, PCI DSS, IDW PS 880) erwartet wird. So beabsichtigt die BaFin bspw., die bisherigen Anforderungen der MaRisk an die IT auszugliedern und in eigenständigen 1

4 bankaufsichtlichen Anforderungen an die IT (BAIT) zusammenzufassen und zu konkretisieren. Die Ausgliederung erfolgt auch, um auf die sich stark wandelnden Anforderungen des Marktes schneller und konkreter reagieren zu können. Die Umsetzung der MaSI-Anforderungen zum 5. November 2015 ist bereits ein erster Schritt in diese Richtung. Die Umsetzung der MaSI-Anforderungen bedeutet für Kreditinstitute damit auch die Chance, sich bereits frühzeitig auf die künftigen IT-Compliance-Anforderungen einzustellen, wie sie sich mit der PSD2, dem IT-Sicherheitsgesetz und den erwarteten BAIT ergeben werden. Die Methoden zur Umsetzung der MaSI sind z.t. dieselben, die auch zukünftig zur Umsetzung von regulatorischen Anforderungen an das Management von IT-Sicherheitsrisiken in einer Bank angewendet werden. Daher kann die Umsetzung der MaSI genutzt werden, die notwendigen Prozesse und infrastrukturellen Voraussetzungen für ein übergreifendes IT-Sicherheitsmanagement am Beispiel der Internet-Zahlungen aufzubauen und sukzessive zu einem umfassenden IT- Compliance-Management auszubauen. Dabei ist es sinnvoll, auf bereits bestehenden Voraussetzungen aufzusetzen. Wir zeigen auf, wie ein Institut die MaSI-Anforderungen umsetzten und diese Umsetzung belegen kann. Gleichzeitig schafft das Institut so die Voraussetzungen zur Umsetzung eines weitergehenden IT-Sicherheitsmanagements, wie dies im Zusammenhang mit dem IT-Sicherheitsgesetz bzw. der BAIT erforderlich wird. Quelle: Tagesschau 2

5 Die neuen Herausforderungen von MaSI und ITSiG Seit dem 5. November 2015 müssen die Vorgaben der BaFin zu den Mindestanforderungen an die Sicherheit von Internetzahlungen umgesetzt sein. Die BaFin hat angekündigt, die MaSI nunmehr auch zum Gegenstand von Prüfungen zu machen. Wichtige Herausforderungen im Zusammenhang mit der Umsetzung der MaSI betreffen die folgenden Themenfelder: Definition formeller Sicherheitsrichtlinien für alle von einem Institut angebotenen Internet- Zahlungsdienste Bewertung der Risiken von Internet-Zahlungsdiensten Prozesse zur Vorfallüberwachung sowie zur Meldung von Sicherheitsvorfällen Ableitung risikobegrenzender Maßnahmen und Überwachung der Effektivität der Maßnahmen Protokollierung aller Transaktionen Spezifische Kontroll- und Sicherheitsmaßnahmen für Internet-Zahlungen, wie sichere Authentifizierung von Kunden, Transaktionsüberwachung und Schutz sensibler Daten Vergleichbare Anforderungen, allerdings auf anwendungsübergreifendem Niveau, ergeben sich mit der Umsetzung des IT-Sicherheitsgesetzes. Die wesentlichen Regelungsinhalte des IT- Sicherheitsgesetzes betreffen die folgenden drei Themenbereiche: Branchenspezifische Standards für IT-Sicherheit: Betreiber kritischer Infrastrukturen werden aufgefordert, branchenspezifische IT-Sicherheitsstandards umzusetzen und hierfür organisatorische und technische Vorkehrungen zu treffen, z.b. im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) zu etablierten. Regelmäßige Audits: Die Wirksamkeit der umgesetzten IT-Sicherheitsmaßnahmen ist regelmäßig zu überprüfen und die Nachweise hierüber sind dem Bundesamt für Sicherheit in der Informationstechnik vorzulegen. Meldepflichten: IT-Sicherheitsvorfälle müssen detektiert, ermittelt und an die jeweils zuständigen Behörden gemeldet werden. Auch das Telemediengesetz ist durch das IT-Sicherheitsgesetz geändert worden (neuer 13 Abs. 7 TMG). Hieraus ergibt sich eine spezielle Anforderung an die Absicherung von Internetangeboten von Kreditinstituten. Demzufolge sind gewerbsmäßig betriebene Telemediendienste hierzu ist z.b. das Online-Banking zu rechnen - () durch technische und organisatorische Vorkehrungen gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, nach dem Stand der Technik zu schützen. Eine weitere Konkretisierung der Anforderungen an Authentifizierungsverfahren ergibt sich mit der novellierten Zahlungsdiensterichtlinie (PSD2). Diese verlangt, dass bei der sog. starken Kundenauthentifizierung immer auch die zugehörigen Transaktionsdaten (Gutschriftsempfänger und Transaktionsbetrag) gesichert werden. Darüber hinaus sollen im Zusammenhang mit der Umsetzung 3

6 der PSD2 die Ausnahmetatbestände, in denen auf eine starke Kundenauthentifizierung verzichtet werden kann, einheitlich festgelegt werden. Während die Umsetzung der Vorgaben des IT-Sicherheitsgesetzes für die Betreiber kritischer Infrastrukturen noch vom Erlass einer Durchführungsverordnung abhängt und die Umsetzung der PSD2 erst nach Transposition in nationales Recht erfolgt, ergibt sich aktuell vor allem im Zusammenhang mit der Umsetzung der MaSI sowie von 13 Abs. 7 TMG Handlungsbedarf in Kreditinstituten. Zur Aufrechterhaltung einer angemessenen IT-Sicherheit haben Banken heute bereits eine Vielzahl von Sicherheitsmaßnahmen vorgesehen, die in Organisationshandbüchern, technischen Spezifikationen, Verträgen, usw. dokumentiert sind. Teilweise haben Institute auch bereits umfassende Informationssicherheitsmanagementsysteme (ISMS) etabliert. Die Ausarbeitung dieser Sicherheitsmaßnahmen erfolgte vor allem im Zusammenhang mit der Umsetzung des 25a Abs. 1 KWG sowie MaRisk AT 7,8,9. Die Anforderungen der MaSI bzw. auch des IT-Sicherheitsgesetzes gehen allerdings z.t. über die bisherigen Anforderungen hinaus. Vorgabe Anforderungen (Stichworte) 25a Abs. 1 KWG 1. Risiko-Management Strategie 2. Kontrollsystem 3. Verantwortung 4. Monitoring 5. Ressourcen 6. Notfall MaRisk AT 7,8,9 1. IT-Berechtigungen 2. Technisch-organisatorische Ausstattung 3. Notfallkonzepte 4. Veränderungen in den IT-Systemen 5. Anpassung der IT-Systeme bei Übernahmen und Fusionen 6. Outsourcing 7. Risikoanalysen MaSI 1. Governance 2. Risikobewertung 3. Vorfallüberwachung und Berichterstattung 4. Risikokontrolle und -minderung 5. Rückverfolgbarkeit 6. Erstidentifikation des Kunden, Information 7. Starke Kundenauthentifizierung 8. Anmeldung bei Authentifizierungstools und deren Bereitstellung und/oder an den Kunden gelieferte Software 9. Anmeldeversuche, Sitzungs-Timeout, Gültigkeit von Authentifizierungen 10. Transaktionsüberwachung 11. Schutz sensibler Zahlungsdaten 12. Kundeninformation und -kommunikation 4

7 Vorgabe Anforderungen (Stichworte) 13. Mitteilungen, Festlegung von Grenzwerten 14. Zugang des Kunden zu Informationen über den Status der Zahlungsauslösung und -ausführung IT-Sicherheitsgesetz (ITSiG) und daraus resultierend BSI- Gesetz (BSIG) 1. Erreichung eines angemessenen Standards für IT-Sicherheit (BSIG 8a (1)) 2. Durchführung regelmäßiger Audits (BSIG 8a (3)) 3. Meldepflicht und Kontaktstelle (BSIG 8b (3) und (4)) 10 Schritte zur Compliance Zur Umsetzung der Anforderungen aus MaSI bzw. ITSiG (vorbereitend) bietet sich ein schrittweises Vorgehen an, das ausgehend von einer Gap-Analyse mit Fokus MaSI zunächst alle Voraussetzungen zur Einhaltung der MaSI-Anforderungen schafft. Die in diesem Zusammenhang zu etablierenden Prozesse sollten allerdings so gestaltet sein, dass sie sich auch für eine Generalisierung im Zusammenhang mit den künftig zu erwartenden Anforderungen des ITSiG sowie der BAIT eignen. Baustein 1: Grundlegender Compliance-Check Ein grundlegender Compliance-Check dient dazu, auf Grundlage bereits existierender Maßnahmen und Dokumentationen zu überprüfen, inwieweit die Anforderungen der MaSI bereits erfüllt werden. Im Rahmen eines Compliance-Checks wird für alle Anforderungen der Aufsicht detailliert überprüft, ob diese eingehalten sind und ob die zum Nachweis notwendigen Dokumentationen vorliegen. Soweit sich im Rahmen des Checks offene Punkte ergeben, können diese als Grundlage für die Entwicklung einer Planung zur Umsetzung der vollständigen Compliance herangezogen werden. Um sich einen ersten Überblick über die MaSI-Compliance zu verschaffen und eventuelle Lücken zu identifizieren, wurde der MaSI-Compliance Check entwickelt. Dabei wird für alle Anforderungen der MaSI überprüft, ob die Anforderungen der BaFIN erfüllt werden und ob die Dokumentation hierzu ausreichend ist. Eventuelle Gaps werden so frühzeitig erkannt und können angegangen werden. MaSI Basis-Check 5

8 Baustein 2: Schutzbedarfsfeststellung Grundlage jedes Informationssicherheitsmanagementsystems ist eine Schutzbedarfsfeststellung. Hierbei gilt es festzustellen, welcher Schutz für die IT-Systeme und Daten ausreichend und angemessen ist. Zunächst müssen die angestrebten Schutzziele festgelegt werden. Üblicherweise sind dies Vertraulichkeit, Integrität und Verfügbarkeit, ggf. ergänzt um institutseigene Schutzziele. Auf dieser Grundlage wird der Schutzbedarf ermittelt. Er gibt an, welche möglichen Schäden bei Nichterreichung der Schutzziele entstehen können, und wie wichtig es daher ist, den Eintritt solcher Schäden zu verhindern. Ein allgemein akzeptierter methodischer Ansatz zur Schutzbedarfsfeststellung ist die BSI- Schutzbedarfsfeststellung, bei der der Schutzbedarf nicht nur für zu schützende Daten, sondern für "Objekte im Informationsverbund" ermittelt wird. Dies umfasst Anwendungen, Datenträger, IT- Systeme, Netzwerk-Verbindungen und Räumlichkeiten. Dabei leitet sich der Schutzbedarf dieser Objekte von den Daten ab, die darauf/darin gespeichert, verarbeitet oder übertragen werden. Der Schutzbedarf selber wird jedem Objekt zugeordnet. Das BSI unterscheidet dabei nach drei qualitativen Kategorien: "normal" - Die Schadensauswirkungen sind begrenzt und überschaubar. "hoch" - Die Schadensauswirkungen können beträchtlich sein. "sehr hoch" - Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Der zugeordnete Schutzbedarf hängt davon ab, wie hoch der Schaden im Fall des Nichterreichens der Schutzziele ist. Bei den zu berücksichtigenden Schäden wird üblicherweise zwischen den folgenden Schäden differenziert: Verstoß gegen Gesetze/Vorschriften/Verträge, Beeinträchtigung des informationellen Selbstbestimmungsrechts, Beeinträchtigung der persönlichen Unversehrtheit, Beeinträchtigung der Aufgabenerfüllung, negative Innen- oder Außenwirkung und finanzielle Auswirkungen. Schutzbedarfs- feststellung 6

9 Liegt bereits eine Schutzbedarfsfeststellung vor, kann eine Überprüfung der Feststellungen auf Grundlage des aktuellen Stands der Technik bereits ausreichend sein. Soweit noch keine Schutzbedarfsanalyse für die vom Institut unterstützten Internet-Zahlungssysteme vorliegt, bietet die Methodik des Bundesamtes für Sicherheit in der Informationstechnik einen geeigneten Ausgangspunkt, um effizient zu einer umfassenden Schutzbedarfsanalyse zu kommen. Baustein 3: Sicherheitsrichtlinien Eine zentrale Anforderung der MaSI ist das Vorliegen einer Sicherheitsrichtlinie für die angebotenen Internet-Zahlungsverfahren. Die Ergebnisse einer Schutzbedarfsanalyse führen unmittelbar zur Festlegung solcher Sicherheitsrichtlinien. Sie stellen die übergeordneten Vorgaben des Vorstands eines Kreditinstituts im Hinblick auf die vom Institut angestrebten Sicherheitsziele und die Maßnahmen zur Erreichung dieser Ziele dar. Im Mittelpunkt einer Sicherheitsrichtlinie stehen daher i.d.r. nicht nur die regulatorischen Vorgaben, sondern vor allem auch die Bedürfnisse der Kunden und die Risiken des Instituts. Banken verfügen vielfach bereits über Sicherheitsrichtlinien. Im Zusammenhang mit der Umsetzung der MaSI gilt es zunächst zu überprüfen, inwieweit die vorhandenen Sicherheitsrichtlinien dem aktuellen Stand der Technik entsprechen und die Anforderungen der MaSI abdecken. Ggf. müssen bestehende Sicherheitsrichtlinien aktualisiert bzw. gesonderte Sicherheitsrichtlinien für Internet- Zahlungen erstellt und verabschiedet werden. Sicherheits- richtlinie 7

10 Baustein 4: Risikoanalyse Die Durchführung von Risikoanalysen ist ein weiterer Kernpunkt der MaSI-Anforderungen. Aufbauend auf der Schutzbedarfsfeststellung werden Bedrohungen, bestehende Sicherheitsmaßnahmen und Schwachstellen identifiziert und resultierende Risiken unter Berücksichtigung von Eintrittswahrscheinlichkeiten und potenziellen Schadenshöhen analysiert und bewertet. Nach der Risikobewertung wird der Umgang mit den festgestellten Risiken geprüft. Die Risikobehandlung kann aus den folgenden Maßnahmen bestehen: Risikovermeidung (wenn auf die risikobehaftete Aktivität verzichtet werden kann) Risikoverminderung durch weitere Maßnahmen Risikoakzeptanz (für nach vereinbarten Kriterien als tragbar identifizierte Risiken) Risikoübertragung (z.b. durch Abschluss von Versicherungen für finanzielle Risiken). Darauf aufbauend werden die verbleibenden Restrisiken identifiziert. Eine Risikoanalyse kann in Verbindung mit den definierten Maßnahmen zur Risikobegrenzung auch bereits als Sicherheitskonzept genutzt werden, wenn die verbleibenden Restrisiken ausreichend minimiert worden sind. Risiko- analyse Zur Umsetzung der MaSI ist die Risikoanalyse ggf. um zwei besondere Prüfungsfelder zu ergänzen: Zum Nachweis der Einhaltung der Anforderungen an die starke Kundenauthentifizierung kann es erforderlich werden, die Produkte und Verfahren zur starken Kundenauthentifizierung zu begutachten. Damit sollen Risiken ausgeschlossen bzw. minimiert werden und die Zukunftsfähigkeit auch im Hinblick auf die künftigen Anforderungen der PSD 2 belegt werden. 8

11 Die Qualität der Methoden und Produkte zur Transaktionsüberwachung können gesondert geprüft werden. Damit werden die Wirksamkeit der Transaktionsüberwachung und die hiermit verbundene Minimierung der Risiken belegt. Baustein 5: Monitoring der Sicherheitsmaßnahmen Regelmäßige Überprüfungen tragen dazu bei, die in der Risikoanalyse definierten Sicherheitsmaßnahmen an sich verändernde Risikolagen anzupassen. Nur so werden Restrisiken dauerhaft ausreichend gering gehalten. Penetrationstests überprüfen die Angemessenheit von Maßnahmen gegen unautorisiertes Eindringen in die IT-Systeme. Penetrationstests bieten sich insbesondere für Server an, die über externe Schnittstellen erreichbar sind. Audits sind eine wirksame Maßnahme zur umfassenden Kontrolle aller IT- Sicherheitsprozesse und Maßnahmen. Eventuelle Abweichungen zum Soll-Zustand können identifiziert und behoben werden. Produkte und Verfahren zur starken Kundenauthentifizierung können begutachtet werden. Monitoring Audit 9

12 Baustein 6: Meldeverfahren für IT-Sicherheitsvorfälle Im Mittelpunkt dieses Bausteins steht die Meldepflicht die von der MaSI und künftig auch vom ITSiG gefordert werden. In diesem Zusammenhang ist u.a. festzulegen, wie meldepflichtige Vorfälle erkannt werden und es sind Meldewege und Prozesse zur Umsetzung der entsprechenden Vorgaben festzulegen. Bestehenden Meldeprozesse für IT-Sicherheitsvorfälle sollten überprüft und wo erforderlich um ergänzende Festlegungen erweitert werden. Dieser Baustein ergänzt die Maßnahmen zum Umgang mit erkannten Risiken (siehe Baustein 4: Risikoanalyse). Melde- verfahren Baustein 7: Business Continuity Management/Business Impact Analyse Zur Umsetzung und zum Nachweis von Maßnahmen für die Sicherstellung der Verfügbarkeit kann ein Business Continuity Management System (z.b. entsprechend ISO 22301) etabliert werden. Hierfür werden in einer Business Impact Analyse die den Prozessen zugrundeliegenden Ressourcen und Abhängigkeiten identifiziert. Der Baustein stellt ebenfalls eine Ergänzung zur Risikoanalyse dar. Business Continuity 10

13 Baustein 8: Security Awareness Versehentliche oder absichtliche Offenlegung und Manipulation von sicherheitsrelevanten Daten durch Mitarbeiter des Instituts muss verhindert werden. Entscheidend hierfür ist das Bewusstsein der Mitarbeiter für diese Sicherheitsrisiken, sog. Security Awareness. Jeder Mitarbeiter sollte kontinuierlich über Risiken informiert und zu Gegenmaßnahmen geschult werden. Dies kann z.b. über spezielle Security Awareness-Schulungen erfolgen oder auch über IT-Sicherheitsplanspiele für Bankmitarbeiter. Entsprechende Maßnahmen sind regelmäßig Bestandteil von IT-Sicherheitsrichtlinien. Security Awareness 11

14 Baustein 9: Integration aller Maßnahmen in ein Informationssicherheitsmanagementsystem (ISMS) Um die Anforderungen der Aufsicht vollumfänglich zu erfüllen, ist ein ISMS zu etablieren bzw. entsprechend den neuen Anforderungen der Aufsicht zu erweitern. Die Etablierung bzw. Erweiterung eines ISMS stützt sich wesentlich auf die Schutzbedarfsanalyse, die hierauf aufbauende Risikoanalyse und die Sicherheitsrichtlinien, deren Wirksamkeit permanent überwacht wird. 12

15 Baustein 10: Generalisierung des ISMS zur Abdeckung der Anforderungen von ITSiG und BAIT Aufbauend auf dem methodischen Ansatz zur Umsetzung der MaSI-Anforderungen und den hieraus abgeleiteten Prozessen zur Gewährleistung eines angemessenen Maßes an IT-Sicherheit bei Internet- Zahlungssystemen kann eine Generalisierung auf weitere Geschäftsprozesse erfolgen. Im Ergebnis kann so auf Grundlage eines einheitlichen methodischen Ansatzes ein umfassendes Informationssicherheitsmanagementsystem für alle sicherheitsrelevanten Geschäftsprozesse einer Bank aufgebaut werden. Ein systematisch aufgebautes und flexibles ISMS ist in der Lage, verschiedenste regulatorische Vorgaben aufzugreifen und stellt so ein Managementsystem zur permanenten Steuerung der IT- Sicherheit dar. So können nicht nur die unterschiedlichen regulatorischen Anforderungen erfüllt, sondern auch IT-Risiken vor dem Hintergrund eines sich dynamisch verändernden Umfelds gesteuert werden. 13

16 Methodik Neben den Standards des Bundesamtes für Sicherheit in der Informationstechnik und Standards für Informationssicherheitsmanagementsysteme bezieht SRC auch die Standards des PCI Security Standards Council (PCI SSC) ein. Die Standards des PCI SSC wurden explizit für Internetzahlungen entwickelt und stellen als globaler Standard eine geeignete Grundlage speziell für die Umsetzung der MaSI dar. Als vom Bundesamt für Sicherheit in der Informationstechnik anerkannter Sicherheitsgutachter und als von PCI SSC akkreditiertes Prüflabor verbindet SRC Know how aus beiden Bereichen und kann Institute umfassend bei der Umsetzung ihrer MaSI-Compliance sowie der Integration der hierzu erforderlichen Maßnahmen in ein umfassendes Informationssicherheitsmanagementsystem unterstützen. 14

17 Aktuelle Projekte von SRC SRC unterstützt bereits eine Reihe von Kreditinstituten bei der Umsetzung ihrer IT-Compliance- Projekte: Eine Bankengruppe wurde bei der Erstellung einer MaSI-Umsetzungshilfe für die in der Bankengruppe unterstützten Internet-Zahlungssysteme unterstützt. Im Mittelpunkt des Projekts stand u.a. die Zielsetzung, so weit wie möglich, auf bereits vorhandene Informationen aus Organisationshandbüchern zurückzugreifen, um den internen Umsetzungsaufwand zu optimieren. Verschiedene Kreditinstitute und IT-Dienstleister werden bei der Durchführung von Risikoanalysen unterstützt. Im Mittelpunkt steht dabei der Nachweis der Einhaltung ausgewählter Sicherheitsanforderungen der MaSI. Mehrere Teilnehmer eines Zahlungssystems werden bei der Erstellung einer MaSI- Umsetzungshilfe für das betreffende Internet-Zahlungssystem unterstützt. Eine Bankengruppe wird bei der Erstellung eines eigenen Standards für das IT- Sicherheitsmanagements unterstützt. Angelehnt an ISO soll ein gruppenbezogener Standard zur Erfüllung der Vorgaben des IT-Sicherheitsgesetzes geschaffen werden. SRC unterstützt das Bundesamt für Sicherheit in der Informationstechnik bei der Erstellung einer sog. KRITIS-Sektorstudie für das Finanz- und Versicherungswesen. Ein Kreditinstitut wird bei der Umsetzung eines Informationssicherheitsmanagementsystems nach ISO unterstützt. Nähere Informationen Für nähere Informationen zu unseren Leistungen rund um die IT-Compliance von Banken stehen wir Ihnen gerne zur Verfügung. Kontakt: Graurheindorfer Straße 149a Bonn