Informationssicherheits-Management:
Soll-Schutzmaßnahmen

Aufsichtsrechtliche Anforderungen stellen die Sparkassen vor neue Herausforderungen: Im Rahmen des Informationssicherheits-Management-Prozesses ist jetzt jedes Institut gefordert, einen Katalog mit verbindlichen Soll-Schutzmaßnahmen zu erstellen.

Aktuellen Anforderungen der Bundesbank im Rahmen der IT-Prüfungen nach §44 KWG zufolge benötigen Finanzinstitute einen Maßnahmenkatalog, der jeder Schutzbedarfsklasse verbindliche Soll-Schutzmaßnahmen zuordnet. Die MaRisk AT 7.2 verlangt, zur Sicherheit von IT-Systemen gängige Standards wie beispielsweise den vom BSI entwickelten IT-Grundschutz einzuhalten. Entsprechend argumentierte die Bundesbank bereits in Vorträgen auf den Symposien Informationssicherheits-Management 2015 in Kiel und Potsdam.

„In der Praxis stellen die neuen Anforderungen einen nicht zu unterschätzenden Mehraufwand dar“, bestätigt Walter Plieschke, IT-Sicherheitsbeauftragter der Sparkasse Leverkusen. Tatsächlich ist die Umsetzung komplex und an Fragen geknüpft, die jedes Institut für sich beantworten muss: In welcher Höhe sind finanzielle Schäden in welchen Schutzbedarfskategorien akzeptabel? Oder welche Ausfallzeiten sind tolerabel und welche Einsatzszenarien gibt es? Die Definition der Schutzbedarfskategorien kann daher von Institut zu Institut variieren. In der Folge unterscheiden sich auch die Soll-Schutzmaßnahmen in den Instituten.

Ein Beispiel: Während für Stadtsparkassen der Ausfall von Geldautomaten für einen Tag noch akzeptabel ist, weil genügend Geldautomaten anderer Institute vorhanden sind, stufen Kreissparkassen bereits wenige Stunden als kritisch ein. So würde die Soll-Schutzmaßnahme im zweiten Fall eine OSPN-Backup-Lösung vorsehen. Ein Instrument, das Instituten künftig hilft: das mit der SIZ „Sicherer IT-Betrieb (SITB)“ Version 14.1 angekündigte Vorgehensmodell. Es sieht vor, dass in den SITB-Konzepten die unterschiedlichen Schutzbedarfe konkretisiert werden.

Best Practice und Muster-Dokumente

Unterstützung bietet das IT-Consulting Team des Deutschen Sparkassenverlags (DSV). Die Experten beraten vor allem mit methodischen Best-Practice-Ansätzen. Das empfiehlt sich insofern, als die Aufsicht eine generische Darstellung bei der Definition der Soll-Schutzmaßnahmen toleriert. Andernfalls müssten Maßnahmen für jeden einzelnen Anwendungs- und Systemtyp definiert werden, was Kosten- und Effizienzsteigerungen erschwert. Die Sparkasse Leverkusen reagierte frühzeitig auf die neuen Anforderungen: „Um die Sicherheitslage optimal im Blick zu behalten, pflegen wir die geforderten und die umgesetzten Maßnahmen pro Anwendung oder System sowie Schutzbedarfsklasse in einer Excel-Tabelle ein. Noch offene Maßnahmen werden damit sofort sichtbar. Diese Vorgehensweise basiert auf SITB-Gesamtaudits durch den DSV“, erklärt Walter Plieschke.

Darüber hinaus bietet der DSV schnelle Hilfe mit seinem Wiki IT-Consulting auf sparkassenverlag.de. Hier finden sich zum Thema Sollmaßnahmen und Schutzbedarf zwei Muster-Dokumente. Auch die Symposien 2016 werden das aktuelle Thema (Termine auf sparkassenverlag.de) behandeln.