Die Informationssicherheit in den Sparkassen ist ge­mein­sam mit dem Datenschutz ein hohes Gut. Also müssen Methoden und Verfahren immer wieder auf einen aktuellen Stand der Standards und der aufsichts­rechtlichen Anforderungen gebracht werden. Die jetzt zu planenden Au­dit­programme sollen aktuelle Bedrohungen und Risiken aufdecken hel­fen und die Informationssicherheit stärken. 

Das Management der Informationssicherheit in der Sparkassen-Finanz­grup­pe orientiert sich gemäß MaRisk AT 7.2 an den Standards der ISO-Normen­reihe 2700x. Alle Sparkassen setzen für Planung, Umsetzung und Dokumentation das SIZ-Produkt „Sicherer IT-Betrieb“ (SITB) – künf­tig RiMaGo ISM – ein, um den eigenen und den externen Anforderungen an das Informationssicherheits- und ‑risikomanagement gerecht zu werden.

BBL

Stellt man sämtliche Anforderungen schematisch-logisch dar, so zeigt sich deutlich, welche zentrale Bedeutung ein funktionierendes Infor­ma­tionssicherheits- und Informationsrisikomanagement (ISM) hat. Die Komplexität von IT-Compliance in Sparkassen und Banken zeigt Abbildung 1.

Planvolles strategisches Vorgehen

Auf ihrem Weg zu den mehrjährigen Auditprogrammen beschreibt die Sparkasse Ulm die zentralen Herausforderungen: Dazu gehört die risi­koorientierte Priorisierung im gesetzten dreijährigen Zeitrahmen. Neben den DSGV-Anforderungsprofilen muss auch die Standortbe­trachtung einbezogen werden, die eine große Rolle spielt. Gemeinsam mit den Fachabteilungen wird man laut Klaus Stephan, Informationssicher­heits­beauftragter (ISB) der Sparkasse Ulm, verbindliche Schrittfolgen festlegen.

Vor dem Hintergrund der gestiegenen regulatorischen Anforderungen hat die Sparkasse bereits Anfang 2020 wichtige Beteiligte, die sich gezielt um die Umsetzung der Bankaufsichtlichen Anforderungen an die IT (BAIT) kümmern sollen, organisato­risch zusammengeführt.

Entstanden ist auf diese Weise ein neuer, interdisziplinär besetzter Bereich aus Informationssicherheitsmanagement, IT-Steuerung und -Governance sowie weiteren Einheiten wie Verwaltung, Bau, Organisationsmanagement und IT-Administration.

Mit die größte Herausforderung ist für Stephan das Zeitmanagement. Er verweist darauf, dass die Fachbereiche mit den DSGV-Anforderungs­pro­fi­len „Neuland“ betreten. Das zeigt sich bei vielen Themen mit Bezug zu Banktechnik und IT.

Vor allem die IT-Service-Sparkassen mit sinkender eigene IT haben in der Vergangenheit immer mehr operative IT-Leistungen ausgelagert. In der Schnittstelle zum ISM fehlt aus Sicht von Stephan deshalb genau hier zunehmend das Know-how von Spezialisten, die sehr IT-spezifische Anforderungen (RQs) umsetzen. Zugleich sind die BAIT-Anforderungen in diesem Kontext jedoch gestiegen.

Trotzdem ist es Aufgabe der Fachabteilungen, die DSGV-Profile bei den Dienstleistern anzufordern. Doch viele Dienstleister außerhalb der Spar­kassen-Finanzgruppe sind danach mit Bankbetriebsthemen zu wenig vertraut. Die Sparkasse Ulm muss sie deshalb zunächst mit den neuen tiefgreifenden Anforderungsprofilen vertraut machen, um die Leistungen überhaupt auf Risikorelevanz prüfen zu können.

Auditarten

BBL

Gemäß den Anforderungen der ISO-Normenreihe 2700x steht der Ma­nage­mentrahmen zur Informationssicherheit (organisatorische Konzepte, Konzepte ISMS-Schnittstellen) jährlich auf dem Prüfstand. Alle weiteren für  Sparkassen relevanten Maßnahmen sind in einem Drei-Jahres-Zyklus zu überprüfen. Zusätzlich müssen die Institute weitere Audits planen und durchführen: Managementsystem-Audits, Delta-Audits, szenariobasierte Audits sowie vertiefende Audits (siehe Abbildung 2). Alle Auditarten sind immer relevant und jährlich zu berücksichtigen.

Für die mit SITB v18 verbundenen Änderungen bei der Auditprogramm-Planung sowie die gestiegenen Anforderungen an die Audit-Durchfüh­rung benötigen die Institute vor allem mehr zeitliche Ressourcen. Das bestätigt Dieter Knörle, ISB bei der Kreissparkasse Ravensburg. Er muss nun aufwendiger planen und mit den szenariobasierten Kontrollen weit mehr Detailanforderungen als bisher beachten.

Insgesamt gibt es im SITB v18 derzeit 965 Anforderungen, Require­ments (RQ) genannt. Die Auditierung dieser RQs kann zwar mit Aus­nah­me des sogenannten Managementrahmens auf drei Jahre verteilt werden. Rund die Hälfte der Anforderungen ist jeweils individuell in den DSGV-Anforderungsprofilen für die verschiedenen Elemente der IT-Umgebung zu beantworten. Das vervielfacht den Aufwand – auch wenn etliche Auditantworten mehrfach verwendet werden können. Eine weitere Herausforderung ist in Ravensburg die Vorbereitung auf die Einführung der Software RiMaGo im kommenden Jahr.

Bereits 2021 wird das Nachfolgeprodukt des Sicheren IT-Betriebs in einem aufwendigen Migrationslauf die bisherige Anwendung Simon+ in rund 100 Sparkassen ersetzen. Mit RiMaGo sollen künftig die vielfältigen BAIT-Anforderungen leichter erfüllbar werden. Kein leichter Umstieg – zusätzlich zu Audits und Beantwortung der DSGV-Anforderungsprofile.

Bei der Planung des Auditprogramms bindet Knörle im Sinne eines ganzheitlichen Ansatzes die verschiedenen Akteure arbeitsteilig ein. Ressourcenschonende Planung hat hier wie bei der Sparkasse Ulm höchste Priorität.

Die beim Deutschen Sparkassenverlag (DSV) gebuchten Unterstüt­zungs­tage können helfen, effizient vorzugehen und alle relevanten Beteiligten (zum Beispiel Revision, Risiko- und Projektmanagement, Organisation, Vertriebssteuerung) ins Boot zu holen.

Verständnisgrundlage schaffen

Mit dem neuen Audit-Programm gemäß SIZ-Produkt „Sicherer IT-Betrieb“ (SITB) V18 besteht – aufgrund einer stärkeren Anlehnung an die ISO 2700x – die Herausforderung zunächst darin, sich intensiv in die Materie einzulesen.

BBL

Grundvoraussetzung für die neue Herangehensweise ist, dass sich alle  Informationssicherheitsbeauftragten in die Dokumente einarbeiten, die Abbildung 3 zeigt.

Die ISO-Normen werden in der Sparkasse zumeist nicht vorliegen. Ihre Beschaffung ist zwar ratsam, aber nicht zwingend erforderlich, da die Dokumente im SITB die Normen berücksichtigen. Auf jeden Fall sollten die blau markierten Dokumente gelesen und für die eigenen Umsetzungen genutzt werden. Mit der in SITB V18 geänderten Auditvorgehensweise kommen auf ISBs viele neue Begrifflichkeiten (Download am Ende des Beitrags) zu.

________________________________
 

Hier finden Sie weitere Beiträge aus den Betriebswirtschaftlichen Blättern (BBL)

⇒ Infotipp: Setzen Sie auf diesen Link ein Bookmark – und Sie haben jederzeit einen Überblick über die Betriebswirtschaftlichen Blätter.

________________________________

Audittiefe und Auditbreite

Eine Auditrichtlinie mit allen Rahmenparametern muss das Institut in jedem Fall erstellen. Dabei kann es auf das Muster aus dem SITB zurückgreifen. Weiterhin ist ein rollierendes Auditprogramm über drei Jahre aufzustellen.

Dabei ist die Wahl der Audits und die damit verbundene Audittiefe von entscheidender Bedeutung. Während ein Managementsystem-Audit in der Regel auf Ebene der Anforderungsgruppen (GR = Group of Requirements, siehe Liste der Begrifflichkeiten) durchgeführt wird, erfolgt das neue szenariobasierte Audit auf Ebene der Einzelanforderungen (RQ).

Die jeweilige Vorgehensweise hat demnach Einfluss auf die Aufwände für ein Audit sowie die Audittiefe. Letztere bestimmt die Anzahl der zu betrachtenden Stichproben. Diese sollten sich nach der Bedeutung für die Informationssicherheit (zum Beispiel am Schutzbedarf -Risiko-), orientieren. Um Angemessenheit, Wirksamkeit und Konformität zu bewerten, ist eine ausreichende Anzahl von Stichproben erforderlich. Ein szenariobasiertes Audit erfordert mehr Stichproben als ein Managementsystem-Audit, lie­fert jedoch konkretere Aussagen hinsichtlich möglicher Schwach­stellen und Risiken.

Auditprogramm und Hilfsmittel

Besondere Aufmerksamkeit erfordert die Drei-Jahres-Planung der Au­dits. Innerhalb dieser Zeit müssen alle SITB-Anforderungen mindestens einmal übergreifend auditiert werden. Risikoorientiert sind Audits für schutz­bedürftige Bestandteile der IT-Umgebung häufiger zu berück­sich­tigen. Beispielsweise sind alle Standorte innerhalb von drei Jahren zu kontrollieren. Hier empfiehlt sich die Begehung mindestens eines Standorttyps pro Jahr.

Beim Erstellen des Auditprogramms muss man beachten, dass der Managementrahmen (Kapitel 4 bis 10 der ISO/IEC 27001:2013) jährlich unabhängig zur auditieren ist. Ebenso verhält es sich mit dem Delta-Audit. Dabei werden sowohl die Änderungen zur Vorversion des SITB als auch gesetzliche und regulatorische sowie eigene Änderungen des Instituts auditiert.

Situativ und anlassbezogen können vertiefende Audits erforderlich sein – etwa bei Erkenntnissen aus einem Audit oder nach einem sicherheits­rele­vanten Vorfall. Im Zuge vertiefender Audits stehen Anforderungen im Fokus, die in der Regel über die Anforderungen des SITB hinausgehen. Zu diesem Zweck lassen sich eigene Checklisten oder Hilfsmittel wie vom Bundesamt für Sicherheit in der Informationstechnik nutzen.

BBL

Im Erhebungsmanagement des SIZ-Produkts „Sicherer IT-Betrieb“ sind für alle Audits (Erhebungen) Auditprofile zu allen Konzeptkategorien hinterlegt: Betriebskonzepte, logische und technische Konzepte, Notfallbehandlung, physische Konzepte und Vertragsbeziehungen sowie die jeweils aktuellen DSGV-Anforderungsprofile (siehe Abbildung 4).

Auditdurchführung

Zur Durchführung der Audits werden verschiedene Methoden verwendet:

• Dokumentenprüfung: Sichtung relevanter Dokumente (zum Beispiel Arbeitsanweisungen oder Konzepte);
• Befragungen: Interviews oder schriftliche Befragung der jeweils zuständigen Personen;
• Beobachtung: Beobachtung von Tätigkeiten und Aktionen sowie Einstellungen an Systemen (Konfigurationen);
• Verwendung von Checklisten und Fragebögen;
• Standortbegehung.
• Stichproben: Soweit im Zeitrahmen möglich, werden im Managementsystem-Audit Stichprobenkontrollen an Systemen und in Räumen vorgenommen. In szenariobasierten und vertiefenden Audits sind Stichproben oder vollständige Kontrollen obligatorisch.

Voraussetzung für die erfolgreiche Auditdurchführung sind folgende Dokumente:

• Strukturanalyse und Schutzbedarfsfeststellungen für alle Objekte des Geltungsbereichs (dies schließt unter anderem Standorte und Räume mit ein).
• Wesentliche Anweisungen für das Informationssicherheitsmanage­mentsystem (ISMS): Organigramm, Informations­sicherheitsleitlinie, Rahmenbedingungen zum  IS-Risikomanagement, Richtlinie Informa­tions­klassifizierung, IT-Strategie, Notfallhandbuch, Berichterstattung des ISB.
• Übersicht der Dienstleister mit Relevanz für die Informationssicher­heit inklusive der gegebenenfalls vorhandenen Anforderungsprofile.
• Dokumentationen zur Notfallvorsorge.
• Risikokatalog und Risikobehandlungsplan für den Geltungsbereich.
• Ergebnisse des Audits aus dem Vorjahr und gegebenenfalls aus den Vorjahren (Gesamtaudit).
• Beantwortete Anforderungsprofile (soweit Gegenstand des Audits).
• Weitere Dokumente für das geplante Audit (zum Beispiel Datensiche­rungs­konzept, Virenschutzkonzept, Programmeinsatz- und Programm­frei­gabeverfahren, Sensibilisierungskonzept).
   

Es empfiehlt sich, das komplette aktuelle SITB-Verzeichnis mit allen relevanten Unterlagen bereitzustellen. Für das Audit durch externe Auditoren sollte die Sparkasse die Auditfragen (Anforderung RQs und Anforderungsgruppen GR) vorab beantworten, um eine ebenso effiziente wie effektive Durchführung zu gewährleisten.

Unterschied zwischen Kontrollen und Audits

Die Fachabteilung (1st line of defense) ist für die Umsetzung der Richt­linien und Verfahren, für das Interne Kontrollsystem (IKS), für die Risikoübernahme und die Umsetzung der risikomindernden Maßnahmen zuständig. Sie führt etwa die Kontrollen durch, indem sie ein DSGV-Anforderungsprofil nutzt. Dabei wird der Soll-Ist-Vergleich im Rahmen der Selbsteinschätzung dokumentiert.

Das ISM-Team (2nd line of defense) verantwortet die Definition der Richtlinien und Verfahren, die Rollen und Verantwortlichkeiten, die Überwachung des IKS sowie die Darstellung von Abweichungen. Dazu führt das ISM-Team Audits durch.

Funktioniert die Zusammenarbeit zwischen Fachabteilung und ISM-Team gut, lassen sich die Kontrollen – beispielsweise auf Basis der Anforderungsprofile der 1st line – für Audits der 2nd line nutzen. Das spart Aufwand in der 2nd line. Umgekehrt reduziert sich der Aufwand in der 1st line, wenn das ISM-Team die Beantwortung der Anforderungs­profile erklärt und mitunterstützt. Ein eingespielter Prozess erweist sich erfahrungsgemäß als vorteilhaft.

Tipps für die Auditierung von Standorten

Hier ist mindestens jährlich eine Stichprobe gefordert – unter der Vor­aussetzung, dass die Fachabteilung (1st line) angemessene Über­prü­fungen vornimmt. Dazu werden die Anforderungsprofile zu Räumen und Lokationen eingesetzt, wobei man meist zwischen Standorten mit Zen­tralfunktionen, Standorten mit selbst erbrachten IT-Dienstleistungen und Filialen unterschiedet.

Gleichartige Standorte lassen sich gruppieren – wenn etwa in den Stand­orten gleichartige Tätigkeiten bezogen auf die Informationssicherheit er­bracht werden oder gleichartige Risikosituationen vorliegen.

Besonders zu betrachten sind Standorte mit Tätigkeiten, die nur dort erbracht werden oder Standorte mit besonderen physischen Gegeben­heiten. Vorgeschrieben ist die Begehung durch das ISM-Team jährlich für einen Standorttyp – also Hauptstelle, Filiale, SB-Stelle.

Falls die Fachabteilung angemessene Überprüfungen von Standorten und Räumen auf Basis der SITB-Anforderungen durchführt und die Ergebnisse in den DSGV-Anforderungsprofilen dokumentiert, kann das ISMS diese als Basis für Audits der Standorttypen nutzen.

Die Sparkasse Ulm will der DSV-Empfehlung folgen und zunächst eine größere baulich und technisch konstante Geschäftsstelle auditieren. So lassen sich hier viele unterschiedliche szenariobasierte Raumgegeben­heiten gleichzeitig, das heißt ressourcenschonend prüfen. Und aufgrund der momentanen Coronasituation kann in größeren Räumlichkeiten flexibler gehandelt werden. Andere Filialtypen, die in den kommenden Jahren möglicherweise von Umbaumaßnahmen, Zusammenlegungen oder auch digitalen Neuerungen betroffen sein könnten, folgen später.    

Eine Orientierung für Auditprogramme bietet die Zusammenfassung von Praxisbeispielen, die jedoch nicht als Muster dienen (siehe Download am Ende des Beitrags).

Die Tücken der Realität

Soweit zur Auditprogrammplanung und zum stringenten Vorgehen über die vielzitierten drei Jahre. Wie sieht die Realität aus? Die Sparkasse Ulm arbeitet aktuell an der Beantwortung der Profile für individuelle Datenverarbeitung (IDV), Server-proprietäre Systeme wie die eigene Telefonanlage und das eigene ZV-System, um hier ab Anfang 2021 Stichproben für den Soll-Ist-Vergleich erheben zu können.  

Ein ganzheitliches Vorgehen beim szenariobasierten Audit umfasst im ersten Schritt einen Soll-Soll- und im zweiten Schritt den Soll-Ist-Vergleich. Wie geht bei möglichen Schwachstellen der Fachbereich mit den Anforderungen um? To-do-Listen, Verfahrensdokumentationen, Betriebskonzepte und nicht allein Arbeitsanweisungen können laut ISB Stephan auch mit Blick auf die künftige fachliche Ausrichtung hilfreich sein.    

Und was passiert, wenn im zweiten Jahr „Störungen“ auftreten, wenn etwa die Durchführung von Audits nicht fristgerecht durchgeführt werden konnte? Dies kann dazu führen, dass im dritten Jahr die restlichen 33 Prozent der Auditgegenstände nicht auditiert werden können.

Auch an dieser Stelle lohnt ein Blick in den zur Pflichtlektüre zählenden SITB-Leitfaden zum Erstellen eines Auditprogramms. So ist mindestens jährlich das Auditprogramm zu überprüfen. Entscheidend ist dabei, dass die jährlich durchzuführenden Audits berücksichtigt und alle Anforde­run­gen im Drei-Jahres-Turnus auditiert werden.

Bei ungeplanten Ereignissen wie Informationssicherheitsvorfällen oder neuen Schwachstellen kann daraus folgen, dass ein neues Audit geplant oder ein geplantes Audit verschoben werden muss. Über alle Änderungen zum Auditprogramm muss der ISB die Managementebene möglichst zeitnah informieren.

Externe Hilfe  

Für eine solide Auditplanung sind die Aufwände zu schätzen, zu doku­men­tieren, in der Jahresplanung zu berücksichtigen und bei allen Beteiligten zu planen. Eine vollständige Übersicht der Audit-Aufwände findet sich im Wiki IT-Consulting des DSV. Hilfe zur Selbsthilfe bietet das Muster-Auditprogramm (siehe Download am Ende des Beitrags) als Excel-Tabelle sowie einem Mitschnitt der Live-Demo des Erhebungsmanage­ments auf den Symposien 2020. Die Experten des IT-Consulting-Teams im DSV unterstützen mit Erklärvideos im Wiki zur Planung und Durchfüh­rung von Audits. Eine schnelle Übersicht bietet „IT-Compliance in Banken und Sparkassen“.

Kompakt online oder an einem Tag in Präsenz informiert zu allen Inhalten das DSV-Seminar „Praxisnahe Auditplanung und -durchführung gemäß SIZ-Produkt „Sicherer IT-Betrieb“ v.18“. Die Inhalte sind online verfügbar:

• IT-Compliance in Banken und Sparkassen: dsv-gruppe.de/dsv/infosicherheit-it-compliance
• Wiki IT-Consulting: dsv-gruppe.de/dsv/wiki
• IT-Consulting: dsv-gruppe.de/pub/it-consulting

Fazit

Mit den neuen mehrjährigen Auditprogrammen wird der zusätzliche Dokumentationsaufwand komplexer. Die Auditplanung soll jedoch durch die zeitliche Streckung auf drei Jahre, das neue Erhebungsmodul im „Sicheren IT-Betrieb“ und die DSGV-Anforderungsprofile beherrschbar bleiben.

Die operative IT-Sicherheit stellen zwar zu einem Großteil die IT-Dienst­leister sicher. Aber bei vielen Dienstleistern außerhalb der Sparkassen-Finanzgruppe stehen die Institute vor der Herausforderung, zunächst die spezifischen Anforderungen im Bankbetrieb vermitteln zu müssen, bevor sie die neuen DSGV-Profile einfordern können.

Auch dies erklärt, warum die Informationssicherheitsbeauftragten mit Blick auf die hohe Zusatzbelastung ihrer ISM-Teams und der Fachab­teilungen die Relevanz einer guten strategischen Planung betonen. Gilt es doch auch, mit begrenzten Personalressourcen die Akzeptanz für die neue Vorgehensweise im eigenen Hause sicherzustellen.

Als wichtige Handlungsmaxime nennen die Experten vor Ort Risikomini­mie­rung gepaart mit Pragmatismus. Seminare und unterstützende Materialien geben hierzu praxisnahe Hinweise, damit sich schon mithilfe weniger Fragen möglichst viele Schwachstellen erfassen lassen. Ob sich durch die Umsetzung der neuen Anforderungen auch tatsächlich die Informationssicherheit erhöht, wird am Ende nur das Audit feststellen können.   

Autoren
Sabine Schuster ist Produktmanagerin mit fachlicher Führung beim Deutschen Sparkassenverlag (DSV) in Stuttgart.
Peter Schwarz ist IT-Consultant beim DSV.
Robert Kaltenböck ist Leiter der Abteilung IT-Consulting beim DSV.
Hans-Georg Walther ist Referent für IT-Compliance und Informations­sicher­heitsbeauftragter beim Sparkassenverband Niedersachsen (SVN) in Hannover.

Hier finden Sie weitere Beiträge aus den Betriebswirtschaftlichen Blättern (BBL)

⇒ Infotipp: Setzen Sie auf diesen Link ein Bookmark – und Sie haben jederzeit einen Überblick über die Betriebswirtschaftlichen Blätter.