Stellung des Informationssicherheitsbeauftragten

Auswirkungen der BAIT auf die Informationssicherheitsorganisation

Mike Bona-Stecki, IT-Revisor, Sparkasse Langen-Seligenstadt

Die Einrichtung und der Betrieb eines angemessenen und ordnungsgemäßen Informationssicherheitsmanagements auf Basis gängiger Standards ist für Finanzdienstleistungsinstitute ein vergleichsweise „alter Hut“. Die damit einhergehende Forderung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) findet sich auch nach der 5. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) unter AT 7.2 Tz. 2 „…bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen…“ wieder (BaFin (2017), Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk, abrufbar unter: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE /Rundschreiben/2017/rs_1709_marisk_ba.html).

Ausgehend von den gängigen Standards zur Informationssicherheit (ISO 27001, BSI-Standards) haben Institute eine Informationssicherheitsorganisation zu definieren, welche für die Planung und Durchsetzung des Informationssicherheitsprozesses verantwortlich ist. Hierbei muss die Ressourcenplanung für die Unterstützung der Informationssicherheit gewährleisten, dass das beschlossene Sicherheitsniveau auch tatsächlich erreicht werden kann.

Unabhängig von der definierten Informationssicherheitsorganisation verbleibt die Gesamtverantwortung für die Informationssicherheit bei der Geschäftsleitung. Um die Planung und Durchsetzung des Informationssicherheitsprozesses angemessen fördern und koordinieren zu können, ist regelmäßig mindestens eine Person (i. d. R. der Informationssicherheitsbeauftragte) zu benennen. Seitens der BaFin wurden im Rahmen der Veröffentlichung der Bankaufsichtlichen Anforderungen an die IT (BAIT) vom 03.11.2017 nun noch einmal die Erwartungshaltung bezüglich der Verantwortung der Geschäftsleitung und der Stellung des Informationssicherheitsbeauftragten dargelegt (BaFin (2017b), Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT) vom 03.11.2017, abrufbar unter: https://www.bafin.de/SharedDocs/Downloads /DE/Rundschreiben/dl_rs_1710_ba_BAIT.html)

Im Kontext der IT-Governance (BAIT II.2) werden demnach Regelungen zum Informationsrisiko- sowie Informationssicherheitsmanagement erwartet. IT-Governance umfasst dabei die Führung, die organisatorischen Strukturen und Prozesse, welche sicherstellen, dass die Unternehmensziele durch den IT-Einsatz unterstützt und vorangetrieben werden. IT-Governance ist als strategische Aufgabe der Geschäftsleitung zu sehen und legt die Richtlinien, Kriterien und Standards zur Entscheidungsfindung, Überwachung, Messung, Weiterentwicklung und Verbesserung der Leistung der IT und insbesondere auch für das Informationsrisiko- sowie Informationssicherheitsmanagement fest.

Hierbei verweist die BaFin zudem auf die Anforderung, dass jedes Institut über quantitativ und qualitativ angemessene Personalressourcen im Bereich IT und Informationssicherheit – auch unter Berücksichtigung des Standes der Technik sowie der zukünftigen Entwicklung der Bedrohungslage – verfügen muss. Um die Arbeitsaufwände des Informationssicherheitsbeauftragten zeitlich quantifizieren zu können, sollten Institute die Tätigkeiten unter Berücksichtigung der fachlichen Anforderungen gängiger Standards analysieren. Faktoren wie Anzahl der Mitarbeiter, Grad der Heterogenität der IT-Landschaft und IT-Verfahren, Anzahl der zu betreuenden Außenstellen bzw. Auslagerungen oder Anteil der IT-Anwendungen mit einem Schutzbedarf höher als „normal“ sollten hierbei berücksichtigt werden.

Bezüglich der qualitativen Angemessenheit muss der Informationssicherheitsbeauftragte durch eine angemessene Ausbildung, Schulung oder Erfahrung über die erforderlichen Kompetenzen verfügen. Der Nachweis über die Kompetenzerreichung muss von der Organisation erbracht werden können, z. B. über entsprechende Weiterbildungszertifikate in der Personalakte (Bildungshistorie) des jeweiligen Mitarbeiters (Vgl. ISACA (2016), Implementierungsleitfaden ISO/IEC 27001:2013 S. 16.)

Die BaFin schreibt der Funktion des Informationssicherheitsbeauftragten in den BAIT (Kap. II. 4. Tz. 18) dabei die „Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Instituts und gegenüber Dritten“ zu. Mit der Funktion soll das nachhaltige Erreichen des festgelegten Sicherheitsniveaus und der definierten Ziele sowie eine angemessenen Transparenz gegenüber Mitarbeitern und Dritten erreicht werden. Dem Informationssicherheitsbeauftragten werden hierbei u. a. folgende Aufgaben zugerechnet:

  • Unterstützung der Geschäftsleitung bei der Festlegung und Anpassung der Informationssicherheitsleitlinie sowie
  • bei der Lösung von Zielkonflikten im Zusammenhang von Sicherheitsmaßnahmen (Abwägung Betriebswirtschaftlichkeit und Erreichung des Sicherheitsniveaus).
  • Erstellung von Informationssicherheitsrichtlinien sowie deren Überprüfung und Kontrolle.
  • Steuerung des Informationssicherheitsprozesses im Institut sowie dessen Überwachung bei Dienstleistern.
  • Initiierung und Überwachung der Realisierung von Sicherheitsmaßnahmen.
  • Ansprechpartner für Fragen der Informationssicherheit innerhalb des Instituts und für Dritte.
  • Sicherstellung der Behandlung von Informationssicherheitsvorfällen sowie der Berichterstattung zu diesen an die Geschäftsleitung.
  • Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und zu koordinieren.

Grundsätzlich hat die BaFin mit ihren Auslegungen die Funktion des Informationssicherheitsbeauftragten eindeutig der zweiten Verteidigungslinie im Rahmen des „Three Lines of Defence-Models for internal governance“ (TLoD) zugeordnet. Durch die zweite „Verteidigungslinie“ werden Rahmenbedingungen, Richtlinien und Methoden vorgegeben sowie deren operativer Umsetzung durch die erste „Verteidigungslinie“ überwacht und gesteuert. Darüber hinaus obliegt der zweiten „Verteidigungslinie“ die Weiterentwicklung der zugrundeliegenden Managementsysteme. Neben dem Informationssicherheitsbeauftragten können auch der Datenschutz- und Notfallbeauftragte sowie das Risiko- und Compliancemanagement zugerechnet werden (Vgl. Hämmerle (2016), Das Modell der drei Verteidigungslinien zur Steuerung des Risikomanagements im Unternehmen, abrufbar unter: https://www.3grc.de/risikomanagement/three-lines-of-defense-modell/).

Vor diesem Hintergrund hat die BaFin in den BAIT (Kap. II. 4. Tz. 19) auch die Anforderung der organisatorisch und prozessual unabhängig des Informationssicherheitsbeauftragten gefordert. Hierbei ist die Funktion des Informationssicherheitsbeauftragten aufbauorganisatorisch getrennt, von den Bereichen, die für den Betrieb und die Weiterentwicklung der IT-Systeme zuständig sind, anzusiedeln. Eine Kombination der Funktion des Informationssicherheitsbeauftragten mit anderen Funktionen des Institutes ist unter Abwägung der gesetzlichen und regulatorischen Anforderungen jedoch grundsätzlich zulässig (Kap. II. 4. Tz. 20, Erläuterung). Zudem wurden weitere Maßnahmen (bspw. angemessene Ressourcenausstattung, Budget für Informationssicherheitsschulungen im Institut und die persönliche Weiterbildung, unmittelbare und jederzeitige Gelegenheit zur Berichterstattung des Informationssicherheitsbeauftragten an die Geschäftsleitung, etc.) zur Vermeidung möglicher Interessenskonflikte festgelegt.

Zur Sicherstellung eines angemessenen Informationssicherheitsniveaus innerhalb des Institutes und bei den Dienstleistern sowie der Gewährleistung einer sachgerechten Unterstützung und Beratung der Geschäftsleitung sollte nach Auffassung der BaFin die Funktion des Informationssicherheitsbeauftragten grundsätzlich im eigenen Haus vorgehalten werden. An dieser Stelle hat die BaFin in den BAIT (Kap. II. 4. Tz. 20) jedoch auch eine Öffnungsklausel für „regional tätige (insbesondere verbundangehörige) Institute sowie kleine (insbesondere gruppenangehörige) Institute ohne wesentliche eigenbetriebene IT mit einem gleichgerichteten Geschäftsmodell und gemeinsamen IT-Dienstleistern für die Abwicklung von bankfachlichen Prozessen“ geschaffen. Hierdurch können Institute, welche unter die festgelegten Kriterien fallen, einen „gemeinsamen Informationssicherheitsbeauftragten bestellen, wobei vertraglich sicherzustellen ist, dass dieser gemeinsame Informationssicherheitsbeauftragte die Wahrnehmung der einschlägigen Aufgaben der Funktion in allen betreffenden Instituten jederzeit gewährleisten kann.“ Sofern ein Institut von dieser Regelung Gebrauch macht, ist in jedem Institut eine Ansprechperson für den Informationssicherheitsbeauftragten zu benennen. Mit dieser Öffnungsklausel kommt die BaFin den zahlreichen Rückmeldungen der Deutschen Kreditwirtschaft im Rahmen der Konsultation der BAIT entgegen. Im Hinblick auf die zu benennende Ansprechperson sollten die Institute jedoch die gleichen Maßstäbe bez. der Wahrung von Interessenkonflikten wie beim Informationssicherheitsbeauftragten ansetzten.

Zusammenfassend wurde mit den BAIT die Erwartung der BaFin an die Funktion des Informationssicherheitsbeauftragten noch einmal klar definiert. Jedes Institut sollte zur Sicherstellung einer angemessenen Informationssicherheit und unter Berücksichtigung der aktuellen sowie zukünftigen Bedrohungslage die eigene Informationssicherheitsmanagementorganisation hinsichtlich der qualitativen und quantitativen Ressourcen sowie der Aufgabenzuordnung überprüfen. Hierbei sollte berücksichtigt werden, dass nur eine gute zweite „Verteidigungslinie“ als Rückgrat des Institutes zur Stärkung des internen Kontrollsystems beitragen und somit ein effizientes, wirksames und nachhaltiges Informationsrisikomanagement betreiben kann.

PRAXISTIPPS

  • Schaffen Sie eindeutige Verantwortlichkeiten innerhalb des Institutes im Sinne des „Three Lines of Defence Models for internal governance“ (TLoD).
  • Überprüfen Sie die Aufgaben des Informationssicherheitsbeauftragten bezüglich einer klaren Abgrenzung zwischen erster und zweiter „Verteidigungslinie“.
  • Überprüfen Sie die Maßnahmen zur Vermeidung von Interessenskonflikten beim Informationssicherheitsbeauftragten.
  • Überprüfen Sie die quantitativ und qualitativ angemessenen Personalressourcen im Bereich IT und Informationssicherheit. Denken Sie an die Dokumentation der Überprüfung als Nachweis!
  • Überprüfen Sie die vorhandene schriftlich fixierte Ordnung im Bereich der Informationssicherheitsorganisation auf Angemessenheit.
  • Als gerade ernannter oder angehender ISB, sollten Sie anhand Ihrer Stellenbeschreibung, Aufgabenliste oder ähnliches kritisch überprüfen, welche Kompetenzen Sie weiterentwickeln wollen (oder müssen). Gehen Sie aktiv damit um und sprechen Sie Ihren Vorgesetzten an. Sorgen Sie im Verlauf der Gespräche dafür, dass die Personalabteilung involviert wird.
  • Als Vorgesetzter sprechen Sie aktiv an und planen Sie die erforderliche Weiterqualifizierung Ihres ISB. Er/Sie ist stark von der aufsichtsrechtlichen Seite, aber auch von der technischen Entwicklung, gefordert. Ohne regelmäßige Updates kann er/sie dieser Verantwortung nur bedingt gerecht werden.
  • Als Personalverantwortlicher sollten Sie überhaupt die Kompetenzentwicklung des ISB im Auge behalten und strategisch planen. Hier sollten Sie zusammen mit ihm/ihr bzw. mit der verantwortlichen Fachabteilung die (internen und/oder externen) Maßnahmen koordinieren und diese genau dokumentieren. Bei einer (IT-)Prüfung werden diese gebraucht.

SEMINARTIPPS

Pflichten des ISB: Neuerungen BAIT & Prüfungs-/Praxiserfahrungen, 27. Februar 2018, Frankfurt/Offenbach.

Informationssicherheitsleitlinie/-richtlinie: Konkretisierte Anforderungen durch die BAIT, 28. Februar 2018, Frankfurt/Offenbach.

6. Tagung Informationssicherheit, 12.–13. März 2018, Frankfurt/M.

BAIT – Ausgewählte Prüfungs- und Praxisfragen, 14. März 2018, Frankfurt/M.

BUCHTIPPS

Bearbeitungs- und Prüfungsleitfaden: IT-Berechtigungsmanagement, 2016.

Bearbeitungs- und Prüfungsleitfaden: Datenschutz, IT-Sicherheit und Cyber-Risiken, 4. Aufl. 2017.

Beitragsnummer: 31130



1 Antwort

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.