Ganzheitliche Informationssicherheit

Transkript

1 Ganzheitliche Infrmatinssicherheit bei Banken Senir Cnsultant für Datenschutz und Infrmatinssicherheit D-A-CH Security 2014 (Wrkshp der GI-FG SECMGT) TU Graz, 17. September it.sec GmbH & C. KG 1

2 Senir Cnsultant für Datenschutz und Infrmatinssicherheit bei der it.sec GmbH & C. KG, verantwrtlich für Datenschutz & IT Gvernance, Risk & Cmpliance Management Industriekaufmann, Diplm-Infrmatiker geprüfter fachkundiger Datenschutzbeauftragter (UDIS) zertifizierter ISO/IEC Lead Auditr (BSi) CRISC (ISACA) Lehrbeauftragter an der Universität Ulm (seit 2005) Autr der Bücher IT-Sicherheit kmpakt und verständlich (2006) und Datenschutz kmpakt und verständlich (2008 & 2010) Mitglied im Leitungsgremium der GI-Fachgruppe Management vn Infrmatinssicherheit (seit 2007), deren Sprecher vn 02/ /2013 Mitglied im Leitungsgremium des GI-Fachbereichs Sicherheit Schutz und Zuverlässigkeit (seit 2009), deren stellvertretender Sprecher seit 11/2013 Mitglied im Leitungsgremium der GI-Fachgruppe Datenschutzfördernde Technik (seit 2012) Mitglied im DIN-Arbeitsausschuss IT-Sicherheitsverfahren AK 1 & 4 (seit 2011) 2014 it.sec GmbH & C. KG 2

3 Agenda Was ist IT GRC Management? Gründe für die Einrichtung vn IT GRC Management Zahlreiche Anfrderungen zur Infrmatinssicherheit für Banken Vrgehen zum Aufbau einer geeigneten IT GRC Infrastruktur Zu meisternde Herausfrderungen beim IT GRC Management Beispiele guter Praxis aus dem Bankensektr 2014 it.sec GmbH & C. KG 3

4 IT GRC Management IT Gvernance IT Risk Management IT Cmpliance Management Steuerung der IT im Sinne des Geschäftszwecks z.b. nach ISO/IEC 38500:2008 Umgang mit Gefährdungen der IT z.b. nach ISO/IEC 27005:2011 Einhaltung geltender Gesetze, getrffener Vereinbarungen und des aktuellen Stands der Technik beim Einsatz der IT IT-GRC-Management stellt ein grundlegendes Element für das Management vn Infrmatinssicherheit dar 2014 it.sec GmbH & C. KG 4

5 Gründe für IT GRC Management Unübersichtlich viele regulatrische Anfrderungen: Bereichsrecht (insb. 25a KWG Risikmanagement nötig!) Steuer- & Handelsrecht (Dkumentatin der Geschäftsvrfälle) Datenschutzrecht Telemedienrecht Srgfaltspflicht (v.a. 93 AktG) & Verkehrssicherungspflichten (insb. zu Virenschutz & Datensicherung) Organhaftung nach 130 OWiG und 13 & 14 StGB Haftungsbegrenzung durch Orientierung am Stand der Technik internatinalem Best Practice wird hhe Entlastungswirkung zugesprchen (Gd Practice dagegen nicht zwingend) Nachweispflichten für Staat & Vertragspartner Audits verschiedener Stellen (Wirtschaftsprüfer, Aufsichtsbehörden, Vertragspartner, u.a.m.) zu vergleichbarem Inhalt 2014 it.sec GmbH & C. KG 5

6 IT GRC Management bei Banken Eurpäische Rechtsetzung: EU-Richtlinie 2006/48/EG EU-Richtlinie 2004/39/EG EU-Richtlinie 2006/43/EG EU-Richtlinie 95/46/EG etc. Basel II/III: Framewrk Cre Principles prisk Principles etc. IT-GRC Internatinale Standards: ISO/IEC 2700x ISO/TR ITIL COBIT etc. Natinale Rechtsetzung: KWG AktG HGB AO MaRisk BDSG TMG etc it.sec GmbH & C. KG 6

7 Wirkungskette acting as bank r banking grup cmpliance with legal requirements n banking supervisin cmpliance with requirements f BASEL II/III adequate expsure t peratinal risks adequate expsure t peratinal risks effective & state-f-the-art mnitring cmpliance with ISO/IEC (IT Grundschutz) ISO/TR ISO/IEC TR prudent business practice security cntrls apprpriate IT security plicies cntingency & business cntinuity plans in place cmpliance with diligence f a prudent businessmen cmpliance with ISO/IEC ISO 22301, ISO/IEC ISO/IEC utsurcing risk management prgramme cmpliance with relevant internatinal standards cmpliance with privacy laws nging mnitring & cntrlling f service prvider effective & state-f-the-art mnitring cmpliance with ISO/IEC (IT Grundschutz) ISO/TR ISO/IEC TR prudent business practice security cntrls cmpliance with ISO/IEC ISO/IEC ITIL (SLA!) COBIT 2014 it.sec GmbH & C. KG 7

8 Cmpliance Anfrderungen cmpliance with legal requirements n banking supervisin cmpliance with requirements f BASEL II/III cmpliance with diligence f a prudent businessmen cmpliance with relevant internatinal standards cmpliance with ISO/IEC (IT Grundschutz) ISO/TR ISO/IEC TR cmpliance with ISO/IEC ISO 22301, ISO/IEC ISO/IEC cmpliance with privacy laws bankenrechtliche Anfrderungen (inkl. Basel II/III) cmpliance with ISO/IEC ISO/IEC ITIL (SLA!) COBIT srgfaltsrechtliche Anfrderungen (inkl. Beachtung internatinaler Standards wg. Stand der Technik ) datenschutzrechtliche Anfrderungen internatinale Standards zur Infrmatinssicherheit internatinale Standards zur Business Cntinuity internatinale Standards zu IT Gvernance & Outsurcing 2014 it.sec GmbH & C. KG 8

9 Inhaltliche Anfrderungen adequate expsure t peratinal risks apprpriate IT security plicies cntingency & business cntinuity plans in place effective & state-f-the-art mnitring cmpliance with relevant internatinal standards prudent business practice security cntrls utsurcing risk management prgramme nging mnitring & cntrlling f service prvider Aufdecken vn und Umgang mit peratinalen IT Risiken IT Security Plicies & Business Cntinuity Pläne Überwachung vn Przessen und Systemen, die wichtig für die Infrmatinssicherheit und Betriebskntinuität sind Einrichtung adäquater Prüfmechanismen (inkl. KRI, KGI & KPI Berücksichtigung internatinaler Standards) etwaiges Outsurcing bei Prüfrutinen beachten 2014 it.sec GmbH & C. KG 9

10 Knsequenzen (1) bankenrechtliche Anfrderungen (inkl. Basel II/III) srgfaltsrechtliche Anfrderungen (inkl. Beachtung internatinaler Standards wg. Stand der Technik ) datenschutzrechtliche Anfrderungen internatinale Standards zur Infrmatinssicherheit internatinale Standards zur Business Cntinuity internatinale Standards zu IT Gvernance & Outsurcing Aufdecken vn und Umgang mit peratinalen IT Risiken IT Security Plicies & Business Cntinuity Pläne Überwachung vn Przessen und Systemen, die wichtig für die Infrmatinssicherheit und Betriebskntinuität sind Einrichtung adäquater Prüfmechanismen (inkl. KRI, KGI & KPI Berücksichtigung internatinaler Standards) etwaiges Outsurcing bei Prüfrutinen beachten 2014 it.sec GmbH & C. KG 10

11 Knsequenzen (2) bankenrechtliche Anfrderungen Beachtung internatinaler Standards datenschutzrechtliche Anfrderungen Standards Infrmatinssicherheit Standards Business Cntinuity Standards IT Gvernance & Outsurcing Umgang mit peratinalen IT Risiken IT Security Plicies & Business Cntinuity Pläne Überwachung wichtiger Przesse & Systeme Einrichtung adäquater KRI, KGI & KPI Outsurcing managen + + } Erfrdert eine (pr) aktive & umfassende Steuerung Einrichtung einer adäquaten Infrmatin Security Gvernance Infrastruktur 2014 it.sec GmbH & C. KG 11

12 Aufbau einer IT GRC Infrastruktur Plan: 1. Festlegung der einzuhaltenden Sicherheitsziele 2. Bestimmung der zu schützenden Primary Assets 3. Bestimmung der eingesetzten Supprting Assets D: 4. Anwendung der Sicherheitsziele auf Primary Assets 5. Zusammentragen relevanter Organisatinsrichtlinien 6. Zusammentragen technischer Basisdaten Check: 7. Durchführung ergänzender Audits & autmatisierter Tests 8. Bewertung der Ergebnisse (KRI, KPI & KGI) Act: 9. Reprting, Mängelbeseitigung & Langzeitmnitring 10. Kntinuierliche Anpassung der IT GRC Infrastruktur Beispielhaftes Vrgehensmdell Beispiel-Infrastruktur 2014 it.sec GmbH & C. KG 12

13 IT GRC Management: Prbleme (1) Einrichtung eines IT-GRC-Managements erfrdert umfassenden Przess & Zusammenarbeit vieler verschiedener Stakehlder Ausgleich divergierender Interessen! Nötige Datenbasis ft nicht s einfach zusammentragbar: Definitin der key risk/perfrmance/gal indicatrs ft unklar Ermittlung & Klassifizierung der Primary Assets (= Infrmatinen & Przesse) & Supprting Assets (= Hardware, Sftware, Netzwerkkmpnenten, Persnal, Gebäude, etc.) i.d.r. aufwändig vr allem hinsichtlich der Granularität Zusammentragen vn Daten aus verschiedenen Quellen mühsam Eine technische All-in-One-Lösung existiert bisher nicht Kmbinatin verschiedener Instrumente erfrderlich Datenaustausch verschiedener IT-Systeme nötig Zu beachten: Interperabilität! Aussagekraft eines IT-GRC-Managements hängt vr allem vn der Eignung der gewählten Mdellierung ab! 2014 it.sec GmbH & C. KG 13

14 IT GRC Management: Prbleme (2) Durchführung des IT GRC Managements unterliegt wiederum selbst rechtlichen Anfrderungen: Umgang mit persnenbezgenen Daten ( IP-Adressen, User-IDs, Benutzerrllen, virtuelle Datenprfile, ) Mitbestimmung, da i.d.r. technische Verhaltenskntrlle mit IT- GRC-Management verbunden ist Einbindung Externer unter Beachtung des neuen 11 BDSG & des 25b Abs. 2 KWG ( Bank bleibt weiterhin vll verantwrtlich!) Auslagerung selbst ist als Risik im Risikmanagement adäquat zu betrachten, häufig mit verschiedenem Risikappetit beider Seiten ( Anpassung bei peratinellem Risikmanagement nötig) Besnderheit des Rhstffs Infrmatin und allgegenwärtige & ineinander knvergierende Infrmatins- und Kmmunikatinstechnik bisher nur eingeschränkt adäquat in Rechtsnrmen abgebildet Steigende Zahl Wirtschaftsspinagen, Datenpannen & Datenträgerverluste führt teilweise zur hektischen Einführung vn IT GRC Management (nicht immer wirtschaftlich sinnvll) 2014 it.sec GmbH & C. KG 14

15 IT GRC Management: Prbleme (3) Stand der Technik (= Entwicklungsstand technischer Systeme, der zur vrsrgenden Abwehr spezifischer Gefahren geeignet und der verantwrtlichen Stelle zumutbar ist) unterschiedlich zwischen den Branchen aufgrund der jeweiligen Rahmenbedingungen Alleine das Vrliegen eines zertifizierten Infrmatinssicherheitsmanagementsystems (ISMS), z.b. nach der ISO/IEC 27001, bedeutet nicht, dass dieses sinnvll gewählt wurde und wirksam ist bzw. im Sinne eines ganzheitlichen IT GRC Managements wirken kann allerdings wird die Chance für psitives Resultat merklich erhöht bei Zertifikaten ist der angegebene Scpe sehr genau zu prüfen u.u. trügerische Sicherheit! (vs. dem Wunsch nach Verbindlichkeit) Die Güte eines IT-GRC-Managements ist davn abhängig, b das IT- Risk-Assessment umfassend (inkl. Outsurcing!) durchgeführt wurde in der Praxis ft anzutreffende Checklistenrientierung sub-ptimal Ungenauigkeit bei Bestimmung der Eintrittswahrscheinlichkeiten inadäquate Einbeziehung der Outsurcing-Risiken mangelnde Verzahnung mit Crprate Risk-Management 2014 it.sec GmbH & C. KG 15

16 Beispiele guter Praxis (1) 1. Beispiel: Harmnisierung einer internatinalen Bankengruppe (1) Prjektlaufzeit: drei Jahre Prjektvlumen: 7-stellig Ziele: Einheitliches Mindestniveau an Infrmatinssicherheit & Business Cntinuity innerhalb der gesamten Bankengruppe mit Bestimmung vn natinalen Anfrderungen für Infrmatinssicherheit & Business Cntinuity (jeweiliges lkales Maximum wird Minimum für gesamte Bankengruppe), der Güte bestehender Organisatinsrichtlinien (die beste Versin wird für Bankengruppe adaptiert), dem Abdeckungsgrad hinsichtlich internatinaler Standards & Vrgaben aus der Hlding (Feststellung des Harmnisierungsbedarfs), der Harmnisierung des Berichtswesens über Sicherheitsvrfälle (für aussagekräftige Statistik vn IT-Risiken & sinnvlle Einbindung in bankgruppenweite Steuerung peratineller Risiken) und dem Aufbau einer zugehörigen IT GRC Infrastruktur it.sec GmbH & C. KG 16

17 Beispiele guter Praxis (2) 1. Beispiel: Harmnisierung einer internatinalen Bankengruppe (2) Lessns learned: Verschiedene natinale Standrtkulturen ( hchplitische Aufgabe mit hhem Gesprächs- & Abstimmungsbedarf, um einheitliches Verständnis für Prjekt erzeugen und Angst vr negativen Flgen angesichts der neuen Transparenz abmildern zu können) Selbst innerhalb der EU weichen die natinalstaatlichen Auflagen für die Banken in der Praxis stark vneinander ab ( neues, bankengruppenweites Mindestniveau deutlich höher als vrher!) Unterschiedliche Stakehlder / Fachabteilungen hatten vr dem Prjekt nch nie miteinander gesprchen trtz gemeinsamer Interessen bzw. gegenseitiger Abhängigkeit Derartige Grßprjekte können faktisch nur in hmöpathischen Dsen umgesetzt werden, vr allem werden zahlreiche Quick Wins zur Akzeptanzsteigerung benötigt Datenaustausch vieler Einheiten erzeugt brauchbare Metriken! 2014 it.sec GmbH & C. KG 17

18 Beispiele guter Praxis (3) 2. Beispiel: Aufbau eines knsistenten Regelwerks (1) Prjektlaufzeit: vier Jahre Prjektvlumen: 6-stellig Ziele: Knsistentes & wirksames Regelwerk zur Infrmatinssicherheit Cmpliance zu allen aktuellen rechtlichen & standardbezgenen Anfrderungen zur Infrmatinssicherheit Neuausrichtung & Harmnisierung der bestehenden Organisatinsrichtlinien Generierung vn Prüflisten aus den Regelwerksdkumenten zur Gewinnung aussagekräftiger Metriken Lessns learned: Regelwerk wächst mit Dauer & Kmplexität stark an und benötigt dringend einer regelmäßigen Knsistenzkntrlle Im Laufe der Zeit schleichen sich (alleine aufgrund wechselseitiger Zuständigkeiten) systematische Regelungslücken ein Passgenaue Risikkatalge & sinnvlle Metriken brauchen Zeit 2014 it.sec GmbH & C. KG 18

19 Fazit Die Gewährleistung ganzheitlicher Infrmatinssicherheit bei Banken bedarf der Meisterung zahlreicher und vielschichtiger Herausfrderungen Banken, die entsprechende Herausfrderungen nicht annehmen, sind stärker sicherheitsgefährdet (z.b. hatte eine Bank Empfehlungen des Vrtragenden ignriert, weil diese als unbequem angesehen wurden, und musste zeitlich sgar schn recht bald darauf leider Schäden unter Ausnutzung identifizierter Gefährdungen verkraften, wzu mehr Geld ausgegeben werden musste, als für die ursprünglich vrgeschlagenen Maßnahmen) Der systematische Aufbau eines durchdachten IT GRC Managements erhöht den Grad erreichter Infrmatinssicherheit enrm Infrmatinssicherheit bedarf der gezielten Steuerung, um nicht nur zufällig greifen zu können 2014 it.sec GmbH & C. KG 19

20 it.sec GmbH & C. KG Einsteinstr. 55 D Ulm USt Id Nr.: DE Steuernummer: 88012/53709 Amtsgericht Ulm: HRA 3129 vertreten durch den Geschäftsführer Dipl. Ing. (FH) Hlger Heimann. Haftender Kmplementär: it.sec Verwaltungs GmbH Amtsgericht Ulm: HRB 4593 Einsteinstr. 55 D Ulm tel: +49 (0) it.sec GmbH & C. KG 20