BAIT-Anforderung: Sollmaßnahmen

Wie sich Sollmaßnahmen leichter ableiten und umsetzen lassen

Ein Blick in die Anforderung der BAIT (Bankaufsichtliche Anforderungen an die IT) nach einem Sollmaßnahmenkatalog und schon stellt sich die Frage: Wie können die dazu notwendige Schutzbedarfsfeststellung auf Geschäftsprozessebene effizient bewältigt und sinnvolle Sollmaßnahmen abgeleitet werden?

Sind Zutrittsschutz oder bauliche Maßnahmen für einen Serverraum nicht anders zu regeln als für ein Archiv oder Foyer oder etwa die Kantine? Braucht ein SB-Gerät wirklich eine Testumgebung? Ist die „ausreichende Regenwasserableitung“ für Kundenbereiche erforderlich? Diese und viele weitere Fragen stellen Sparkassen, sobald sie auf die im SITB („Sicherer IT-Betrieb“) definierten schutzbedarfsabhängigen Anforderungen stoßen, die als Basis für Sollmaßnahmenkataloge dienen können. Die aufsichtsrechtlichen Anforderungen sind ebenso anspruchsvoll wie zeitintensiv. Gefragt sind deshalb standardisierte Vorgehensweisen.

Neuer Standard mit Folgen

Neben der ISO 27001 und dem BSI Standard 200-2 fordert nun auch die BAIT explizit, die Betrachtung von Geschäftsprozessen und Informationen bei der Schutzbedarfsfeststellung. Noch ist der Umsetzungsgrad in den Instituten sehr heterogen. Workflow-Tools wie beispielsweise Beluga von der Finanz Informatik (FI) oder Simon Plus vom SIZ können unterstützen, indem sie die Schutzbedarfsfeststellung auf Geschäftsprozessebene erleichtern. Doch wie werden Sollmaßnahmen entwickelt? Im SIZ-Produkt „Sicherer IT-Betrieb“ (SITB) sind circa 1000 Anforderungen, sogenannte Requirements (RQ), definiert. Diese müssen mithilfe von Anforderungsprofilen konkretisiert werden. Das betrifft beispielsweise die jeweils relevanten RQ für Server, Drucker oder Software-Anwendungen. Im DSGV-Workshop mit Beteiligung des Deutschen Sparkassenverlags (DSV) wurden gängige Anforderungsprofile bereits vordefiniert. Daraus können die Betreiber der IT (intern/extern) die konkreten Sollmaßnahmen entwickeln und in Betriebshandbüchern oder Service Levels festschreiben.

Beispiel aus der Praxis

Von der Excel-Liste über den Drucker bis zur FI-Software: Um die Kritikalität aller Anwendungen zu erheben und deren Schutzbedarf auf der Prozessebene abzuleiten, absolvierte die Kasseler Sparkasse mehrtägige Workshops mit den Fachbereichen. Der DSV unterstützte dabei konzeptionell, auch im Hinblick auf den optimalen Einsatz des Beluga-Tools, das neben dem Schutzbedarf außerdem die Notfallplanung und das Verzeichnis der Verarbeitungstätigkeiten gemäß DSGVO für alle rund 170 Prozesse der nordhessischen Sparkasse einbezieht und umfassend transparent macht. „Im Rahmen des jährlichen Re-Audits mit dem DSV hilft uns nicht zuletzt auch die Infrastruktur-Analyse, um den geforderten Standard einzuhalten“, bestätigt Holger Schneider, Informationssicherheits-Beauftragter.

Für ein möglichst weitgehend standardisiertes Vorgehen in den Instituten entwickelte der DSV Best Practice-Ansätze und setzt diese bei seinen Kunden ein. Zusätzlich bietet er unter anderem Hilfsmittel im Wiki IT-Consulting, Seminare zur Schutzbedarfsfeststellung auf Prozessebene sowie Audits mit Blick auf Standardisierungen und Unterstützung bei der Einführung von Tools, wie zum Beispiel Beluga.

Infos auf www.sparkassenverlag.de/it-consulting