Prüfungspraxis der Deutschen Bundesbank Informationsveranstaltung: IT-Aufsicht bei Banken Bonn, 16.03.2017
Jörg Bretz seit 1989 bei der Deutschen Bundesbank seit 2001 Hauptverwaltung Frankfurt - Bankgeschäftliche Prüfungen Schwerpunktthemen als Prüfer und Prüfungsleiter: IT-Prüfungen im Auftrag von BaFin und EZB IT-Prüfungsaktivitäten im Rahmen von MaRisk- und Zulassungsprüfungen Operational Risk Management, Information Risk Management, Business Continuity Management und Outsourcing-Management Training Seite 2
Agenda Bankenaufsicht und Europa Cybersicherheit Cloud Computing Seite 3
Bankenaufsicht und Europa Seite 4
Bankenaufsicht und Europa Europäische Regulierung in Arbeit Weiterhin existiert das SSM Manual der Europäischen Zentralbank (EZB) als interner Leitfaden für bankgeschäftliche Prüfungen bei Significant Institutions (SI). Weiterhin verantwortet die European Banking Authority (EBA) die europäische Vorgaben der Bankenaufsicht zur IT. Europäische bankaufsichtliche Regulierungen zu IT, Informationssicherheit und Dienstleistungsbezug sind weiterhin in Arbeit. Orientierung an nationalen und internationalen IT-Standards (z. B. BSI, Cobit, ISO270xx, ITIL) sind weiterhin die Benchmark für Prüfungen Seite 5
Bankenaufsicht und Europa Nationale Regulierung kurz vor der Veröffentlichung MaRisk Update steht kurz vor der Veröffentlichung Präzisierungen zu IT und Informationsrisikomanagement BCBS 239 integriert Auslagerung ergänzt BAIT werden konsultiert, Veröffentlichung steht kurz bevor Ergänzung der MaRisk Prinzipienorientierung, kein regelbasierter Ansatz Dokumentation der bisherigen Aufsichtspraxis Seite 6
Europäisches Umfeld Vielfalt (Folie vom 07.10.2015) Vielfalt der Sprachen Herausforderung: inhaltsidentische Übersetzungen von Texten Vielfalt des Verständnisses von Begriffen Herausforderung: einheitlich verwendete Begriffe etablieren Vielfalt der Aufsichtskulturen Herausforderung: einheitliche praktische Umsetzung der Regelungen Vielfalt der Kulturen Herausforderung: wertschätzende Kommunikation von Kritik Seite 7 Update 2017: gemeinsame Prüfungserfahrungen
Prioritäten im europäischen Kontext (Folie vom 07.10.2015) - sehr ähnlich zur bisherigen nationalen Praxis Ablauforganisation, Dokumentation, Strategien und Systemarchitektur Aufbauorganisation und Auslagerungen Informationsrisikomanagement IT-Sicherheitsmanagement IT-Betrieb Einkauf von Software, Anwendungsentwicklung und Projektmanagement Datenqualitätsmanagement IT-Notfallmanagement IT-Berichtswesen IT-Revision Seite 8 Update 2017: Cybersecurity Management ergänzt
Cybersicherheit Seite 9
Cybersicherheit Cybersicherheit genießt weltweit nicht nur bei Bankenaufsehern große Aufmerksamkeit. Das National Institute of Standards and Technology (NIST) hat am 12.02.2014 das Cybersecurity Framework veröffentlicht. Viele Institutionen (z. B. EZB, G7) kopieren bzw. adaptieren dieses NIST Rahmenwerk zur Cybersicherheit. Seit 10.01.2017 steht der Entwurf einer Aktualisierung dieses Rahmenwerks zur Konsultation. Die grundlegende Struktur des Rahmenwerks bleibt bestehen, eine neue Kategorie wird der Sektion Identify hinzugefügt: Supply Chain Risk Management. Seite 10
Cybersicherheit Seite 11
Cybersicherheit - Supply Chain Risk Management ID.SC-1: Cyber supply chain risk management processes are identified, established, assessed, managed, and agreed to by organizational stakeholders ID.SC-2: Identify, prioritize and assess suppliers and partners of critical information systems, components and services using a cyber supply chain risk assessment process ID.SC-3: Suppliers and partners are required by contract to implement appropriate measures designed to meet the objectives of the Information Security program or Cyber Supply Chain Risk Management Plan. Seite 12
Cybersicherheit - Supply Chain Risk Management ID.SC-4: Suppliers and partners are monitored to confirm that they have satisfied their obligations as required. Reviews of audits, summaries of test results, or other equivalent evaluations of suppliers/providers are conducted. ID.SC-5: Response and recovery planning and testing are conducted with critical suppliers/providers Seite 13
Cybersicherheit - Prüfungserfahrungen Im Wesentlichen nichts Neues aus Prüfersicht, Prüfung von Informationsund Cybersicherheit ist weitgehend dasselbe Eine bedeutsame Herausforderung sind die sich rapide enwickelnden technischen und prozessualen Möglichkeiten der Angreifer und Verteidiger Defizite in Organisation, Technik und Prozessen behindern in vielen Häusern die Verteidigung gegen Cyberangriffe Seite 14
Cybersicherheit - Prüfungserfahrungen Wesentliche Feststellungen werden nach wie vor auch bei Cybersicherheits-Prüfungen in folgenden Themengebieten getroffen: Informationsrisikomanagement Security Information and Event Management (SIEM) Auslagerung Business Continuity Management Benutzerrechte Anwendungsentwicklung und Individuelle Datenverarbeitung Seite 15
Exemplarische Ausführungen zu Fokusthemen - Three Lines of Defence (Folie vom 07.10.2015) 1st Line of Defence Operatives Management und internes Kontrollsystem 2nd Line of Defence Unabhängige Funktion (z. B. CISO) Setzung von Regeln Von der 1st Line unabhängige Überwachung der Einhaltung der Regeln Risikomanagement 3rd Line of Defence Interne Revision prozessunabhängige Überprüfung Seite 16 Update 2017: Nach wie vor relevant
Exemplarische Ausführungen zu Fokusthemen - Facetten zum IT-Sicherheitsmanagement (Folie vom 07.10.2015) Keine ausreichend unabhängige IT-Sicherheitsfunktion Mangelhafte Governance zu Firewall-Regeln Keine ausreichenden Penetrationstests für IT-Systeme Unzureichende Verschlüsselung vertraulicher Daten Unsystematisches Schwachstellenmanagement (Vulnerability Scans) Mangelnde Übersicht zu IT-Systemen und deren Konfiguration (CMDB) Unsystematische Maßnahmen zur Data Leakage Prevention Unzureichende Behandlung von Cloud Computing Seite 17 Update 2017: Nach wie vor relevant
Cloud Computing Seite 18 Caspar David Friedrich: Der Wanderer über dem Nebelmeer
Cloud Computing Aufsichtliche Vorgaben Einige Cloud Computing Lösungen (z. B. on-premise private cloud) sind gar keine Auslagerung. Es gelten die üblichen Regelungen zur Informationssicherheit. Viele Cloud Computing Lösungen (z. B. on-premise private cloud (managed), offpremise private cloud, public cloud, hybrid cloud) sind selbstverständlich Auslagerungen. Daher gelten neben den üblichen Regelungen zur Informationssicherheit auch die Regelungen zu Auslagerung. Das BSI veröffentlichte explizite Anforderungen an Cloud-Dienste: Anforderungskatalog Cloud Computing (C5) Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten: https://www.bsi.bund.de/de/themen/digitalegesellschaft/cloudcomputing/anforder ungskatalog/anforderungskatalog_node.html Seite 19
Cloud Computing Herausforderungen Viele Herausforderungen bei Cloud-Diensten sind unabhängig davon, ob diese ausgelagert sind oder nicht Ist das spezifische Know-How samt Erfahrung zur Virtualisierung (z. B. für virtuelle Netzwerke) in angemessenem Umfang intern vorhanden? Kann die zusätzliche Komplexität aus der Virtualisierung nahezu sämtlicher Systemebenen angemessen beherrscht werden? Wie ist die Mandantentrennung gewährleistet? Wie berücksichtigt die Interne Revision Cloud Computing? Können die Risiken aus der Wertschöpfungs- und Lieferkette angemessen gesteuert werden (Supply Chain Risk Management)? Seite 20
Cloud Computing Transparenz des Cloud Anbieters Wo? In welchem Land und an welchem Ort liegen meine Daten physisch bzw. können meine Daten aus Vertragssicht liegen? Wie kann ich das verifizieren? Wer? Welche Menschen greifen lesend/ schreibend/ administrierend auf meine Daten zu? In welchem Land arbeiten diese Menschen? Dienstleister des Cloud Anbieters? Wie? Nach welchen Arbeitsabläufen (Entwicklung, Betrieb, Datenmanagement) werden meine Daten in der Cloud verarbeitet? Welche Schlüsselkontrollen sind in diese Arbeitsabläufe integriert? Kann das Institut bzw. die Aufsicht diese Arbeitsabläufe und Schlüsselkontrollen (auch bei Dienstleistern des Cloud Anbieters) ungehindert vor Ort prüfen? Werden Rechtsrisiken bei Datenverarbeitung im europäischen und außereuropäischen Ausland angemessen gesteuert (Durchsetzbarkeit)? Seite 21
Zusammenfassung Seite 22
Kontakt Jörg Bretz Deutsche Bundesbank Hauptverwaltung Frankfurt Referat Bankgeschäftliche Prüfungen Taunusanlage 5 60329 Frankfurt Seite 23