Prüfungspraxis der Deutschen Bundesbank Informationsveranstaltung: IT-Aufsicht bei Banken Bonn,

Transkript

1 Prüfungspraxis der Deutschen Bundesbank Informationsveranstaltung: IT-Aufsicht bei Banken Bonn,

2 Jörg Bretz seit 1989 bei der Deutschen Bundesbank seit 2001 Hauptverwaltung Frankfurt - Bankgeschäftliche Prüfungen Schwerpunktthemen als Prüfer und Prüfungsleiter: IT-Prüfungen im Auftrag von BaFin und EZB IT-Prüfungsaktivitäten im Rahmen von MaRisk- und Zulassungsprüfungen Operational Risk Management, Information Risk Management, Business Continuity Management und Outsourcing-Management Training Seite 2

3 Agenda Bankenaufsicht und Europa Cybersicherheit Cloud Computing Seite 3

4 Bankenaufsicht und Europa Seite 4

5 Bankenaufsicht und Europa Europäische Regulierung in Arbeit Weiterhin existiert das SSM Manual der Europäischen Zentralbank (EZB) als interner Leitfaden für bankgeschäftliche Prüfungen bei Significant Institutions (SI). Weiterhin verantwortet die European Banking Authority (EBA) die europäische Vorgaben der Bankenaufsicht zur IT. Europäische bankaufsichtliche Regulierungen zu IT, Informationssicherheit und Dienstleistungsbezug sind weiterhin in Arbeit. Orientierung an nationalen und internationalen IT-Standards (z. B. BSI, Cobit, ISO270xx, ITIL) sind weiterhin die Benchmark für Prüfungen Seite 5

6 Bankenaufsicht und Europa Nationale Regulierung kurz vor der Veröffentlichung MaRisk Update steht kurz vor der Veröffentlichung Präzisierungen zu IT und Informationsrisikomanagement BCBS 239 integriert Auslagerung ergänzt BAIT werden konsultiert, Veröffentlichung steht kurz bevor Ergänzung der MaRisk Prinzipienorientierung, kein regelbasierter Ansatz Dokumentation der bisherigen Aufsichtspraxis Seite 6

7 Europäisches Umfeld Vielfalt (Folie vom ) Vielfalt der Sprachen Herausforderung: inhaltsidentische Übersetzungen von Texten Vielfalt des Verständnisses von Begriffen Herausforderung: einheitlich verwendete Begriffe etablieren Vielfalt der Aufsichtskulturen Herausforderung: einheitliche praktische Umsetzung der Regelungen Vielfalt der Kulturen Herausforderung: wertschätzende Kommunikation von Kritik Seite 7 Update 2017: gemeinsame Prüfungserfahrungen

8 Prioritäten im europäischen Kontext (Folie vom ) - sehr ähnlich zur bisherigen nationalen Praxis Ablauforganisation, Dokumentation, Strategien und Systemarchitektur Aufbauorganisation und Auslagerungen Informationsrisikomanagement IT-Sicherheitsmanagement IT-Betrieb Einkauf von Software, Anwendungsentwicklung und Projektmanagement Datenqualitätsmanagement IT-Notfallmanagement IT-Berichtswesen IT-Revision Seite 8 Update 2017: Cybersecurity Management ergänzt

9 Cybersicherheit Seite 9

10 Cybersicherheit Cybersicherheit genießt weltweit nicht nur bei Bankenaufsehern große Aufmerksamkeit. Das National Institute of Standards and Technology (NIST) hat am das Cybersecurity Framework veröffentlicht. Viele Institutionen (z. B. EZB, G7) kopieren bzw. adaptieren dieses NIST Rahmenwerk zur Cybersicherheit. Seit steht der Entwurf einer Aktualisierung dieses Rahmenwerks zur Konsultation. Die grundlegende Struktur des Rahmenwerks bleibt bestehen, eine neue Kategorie wird der Sektion Identify hinzugefügt: Supply Chain Risk Management. Seite 10

11 Cybersicherheit Seite 11

12 Cybersicherheit - Supply Chain Risk Management ID.SC-1: Cyber supply chain risk management processes are identified, established, assessed, managed, and agreed to by organizational stakeholders ID.SC-2: Identify, prioritize and assess suppliers and partners of critical information systems, components and services using a cyber supply chain risk assessment process ID.SC-3: Suppliers and partners are required by contract to implement appropriate measures designed to meet the objectives of the Information Security program or Cyber Supply Chain Risk Management Plan. Seite 12

13 Cybersicherheit - Supply Chain Risk Management ID.SC-4: Suppliers and partners are monitored to confirm that they have satisfied their obligations as required. Reviews of audits, summaries of test results, or other equivalent evaluations of suppliers/providers are conducted. ID.SC-5: Response and recovery planning and testing are conducted with critical suppliers/providers Seite 13

14 Cybersicherheit - Prüfungserfahrungen Im Wesentlichen nichts Neues aus Prüfersicht, Prüfung von Informationsund Cybersicherheit ist weitgehend dasselbe Eine bedeutsame Herausforderung sind die sich rapide enwickelnden technischen und prozessualen Möglichkeiten der Angreifer und Verteidiger Defizite in Organisation, Technik und Prozessen behindern in vielen Häusern die Verteidigung gegen Cyberangriffe Seite 14

15 Cybersicherheit - Prüfungserfahrungen Wesentliche Feststellungen werden nach wie vor auch bei Cybersicherheits-Prüfungen in folgenden Themengebieten getroffen: Informationsrisikomanagement Security Information and Event Management (SIEM) Auslagerung Business Continuity Management Benutzerrechte Anwendungsentwicklung und Individuelle Datenverarbeitung Seite 15

16 Exemplarische Ausführungen zu Fokusthemen - Three Lines of Defence (Folie vom ) 1st Line of Defence Operatives Management und internes Kontrollsystem 2nd Line of Defence Unabhängige Funktion (z. B. CISO) Setzung von Regeln Von der 1st Line unabhängige Überwachung der Einhaltung der Regeln Risikomanagement 3rd Line of Defence Interne Revision prozessunabhängige Überprüfung Seite 16 Update 2017: Nach wie vor relevant

17 Exemplarische Ausführungen zu Fokusthemen - Facetten zum IT-Sicherheitsmanagement (Folie vom ) Keine ausreichend unabhängige IT-Sicherheitsfunktion Mangelhafte Governance zu Firewall-Regeln Keine ausreichenden Penetrationstests für IT-Systeme Unzureichende Verschlüsselung vertraulicher Daten Unsystematisches Schwachstellenmanagement (Vulnerability Scans) Mangelnde Übersicht zu IT-Systemen und deren Konfiguration (CMDB) Unsystematische Maßnahmen zur Data Leakage Prevention Unzureichende Behandlung von Cloud Computing Seite 17 Update 2017: Nach wie vor relevant

18 Cloud Computing Seite 18 Caspar David Friedrich: Der Wanderer über dem Nebelmeer

19 Cloud Computing Aufsichtliche Vorgaben Einige Cloud Computing Lösungen (z. B. on-premise private cloud) sind gar keine Auslagerung. Es gelten die üblichen Regelungen zur Informationssicherheit. Viele Cloud Computing Lösungen (z. B. on-premise private cloud (managed), offpremise private cloud, public cloud, hybrid cloud) sind selbstverständlich Auslagerungen. Daher gelten neben den üblichen Regelungen zur Informationssicherheit auch die Regelungen zu Auslagerung. Das BSI veröffentlichte explizite Anforderungen an Cloud-Dienste: Anforderungskatalog Cloud Computing (C5) Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten: ungskatalog/anforderungskatalog_node.html Seite 19

20 Cloud Computing Herausforderungen Viele Herausforderungen bei Cloud-Diensten sind unabhängig davon, ob diese ausgelagert sind oder nicht Ist das spezifische Know-How samt Erfahrung zur Virtualisierung (z. B. für virtuelle Netzwerke) in angemessenem Umfang intern vorhanden? Kann die zusätzliche Komplexität aus der Virtualisierung nahezu sämtlicher Systemebenen angemessen beherrscht werden? Wie ist die Mandantentrennung gewährleistet? Wie berücksichtigt die Interne Revision Cloud Computing? Können die Risiken aus der Wertschöpfungs- und Lieferkette angemessen gesteuert werden (Supply Chain Risk Management)? Seite 20

21 Cloud Computing Transparenz des Cloud Anbieters Wo? In welchem Land und an welchem Ort liegen meine Daten physisch bzw. können meine Daten aus Vertragssicht liegen? Wie kann ich das verifizieren? Wer? Welche Menschen greifen lesend/ schreibend/ administrierend auf meine Daten zu? In welchem Land arbeiten diese Menschen? Dienstleister des Cloud Anbieters? Wie? Nach welchen Arbeitsabläufen (Entwicklung, Betrieb, Datenmanagement) werden meine Daten in der Cloud verarbeitet? Welche Schlüsselkontrollen sind in diese Arbeitsabläufe integriert? Kann das Institut bzw. die Aufsicht diese Arbeitsabläufe und Schlüsselkontrollen (auch bei Dienstleistern des Cloud Anbieters) ungehindert vor Ort prüfen? Werden Rechtsrisiken bei Datenverarbeitung im europäischen und außereuropäischen Ausland angemessen gesteuert (Durchsetzbarkeit)? Seite 21

22 Zusammenfassung Seite 22

23 Kontakt Jörg Bretz Deutsche Bundesbank Hauptverwaltung Frankfurt Referat Bankgeschäftliche Prüfungen Taunusanlage Frankfurt Seite 23