Wie Banken ihr Informationsrisikomanagement effizient umsetzen und effektiv prüfen können

Sicherheit.jpg

In zwei Foren hat sich bei der ADG auf Schloss Montabaur Ende September alles um das Thema „Informationsrisikomanagement effizient umsetzen und effektiv prüfen“ gedreht. Die 80 Teilnehmer aus der genossenschaftlichen FinanzGruppe haben das 14. Forum IT-Revision sowie das 18. Forum IT-Sicherheit 2017 zum einen zur fachlichen Qualifikation mit einer Themenmischung aus der Prüfungspraxis, technischer Entwicklungen, rechtlichen und aufsichtsrechtlichen Anforderungen sowie Praxiserfahrungen und zum anderen zum direkten Austausch mit Kollegen und Fachleuten genutzt.

Das Forum IT-Revision startete mit dem Vortrag „Schwerpunkte der IT-Prüfung“ von Michael Knapp vom Genossenschaftsverband Bayern. Schwerpunktmäßig ging Knapp auf die Themen IT-Infrastruktur, IT-Sicherheitsmanagement, Notfallmanagement, Berechtigungskonzept, Electronic Banking und Qualitätsmanagement ein.

(Aufsichts-)Rechtliche Anforderungen an die IT

Thomas C. Grempe von der Bank für Sozialwirtschaft AG stellte danach in seinem Vortrag seine „Erfahrungen aus einer 44er-Prüfung“ dar. Im Herbst letzten Jahres wurde die Bank einer klassischen MaRisk-Prüfung durch die Bundesbank unterzogen. Im Vordergrund des Vortrags standen dabei weniger detaillierte Inhalte und Ergebnisse der Prüfung, sondern vielmehr zeitliche Abfolgen, Methoden und Vorgehensweisen der Prüfungsplanung und -durchführung. Grempe gab den Teilnehmern abschließend Tipps, wie sie eine Sonderprüfung vorbereiten und strukturieren können.

„Rechtliche und aufsichtsrechtliche Anforderungen an die IT-Prüfung“ lautete das Vortragsthema von Torsten Enk von der Berlincounsel consulting GmbH. Enk gab einen Überblick über die vielfältigen gesetzlichen und aufsichtsrechtlichen Anforderungen sowie berufsfachlichen Standards. Besonderes Gewicht legte er dabei auf die Prüfungsstandards und Rechnungslegungsstandards vom Institut der Wirtschaftsprüfer (IDW).

Stefan Siebenkäs, easyCredit TeamBank AG, lieferte mit „Von Null auf ISO 27001“ einen Praxisbericht einer erfolgreichen Zertifizierung. Nach der Entscheidung für die ISO 27001 als gängiger Standard gemäß AT 7.2 der MaRisk skizzierte der Referent den kompletten Weg vom Projektstart bis zum Abschluss der Zertifizierung, inklusive der extern erbrachten Unterstützungsleistungen. Siebenkäs beendete seinen Bericht mit einer Betrachtung der Mehrwerte seines Projekts für die Bank.

Mithilfe der IT Effizienzsteigerungen generieren

Björn Scherer, Berater der Geno Bank Consult GmbH, sprach im Anschluss über die „Effizienzsteigerung von IT-Prozessen durch die Nutzung von Best Practice Frameworks am Beispiel COBIT 5“. COBIT 5 stellt ein umfassendes Rahmenwerk dar, mit dem Unternehmen ihre Ziele im Rahmen der Governance und des Managements der Unternehmens-IT erreichen können. Scherer demonstrierte, wie sich durch den Einsatz von COBIT 5 eine Ordnungsmäßigkeit, Wirtschaftlichkeit, Anpassung an den technischen Wandel und eine konsequente Ausrichtung an den Zielen der Bank gewährleisten lassen. Im Vordergrund stand der Einsatz der RACI-Matrix, die von Scherer auch für die Umsetzung der Bankaufsichtlichen Anforderungen an die IT (BAIT) vorgeschlagen wurde.

Dr. Haiko Timm von Forum Gesellschaft für Informationssicherheit mbH brachte den Teilnehmern das Thema „Prüfung des Informationssicherheits- und Risikomanagements“ auf die personellen Veränderungen im Informationssicherheitsteam und die Prüfung von selbst entwickelten Anwendungen näher. Ebenso diskutierte er die zukünftigen Anforderungen an die Berichterstattung und die zunehmende Verschmelzung der Bereiche Datenschutz und Informationsrisikomanagement.

IT-Sicherheit: Wie Banken sich vor kriminellen Aktivitäten schützen können

Der zweite Tagungstag findet als gemeinsame Veranstaltung beider Foren statt, da viele Themenstellungen sowohl unter Prüfungsaspekten als auch unter Gesichtspunkten der IT-Sicherheit relevant sind. Den Auftakt des gemeinsamen Tages machte Dr. Jens Gampe von der BaFin mit seinem Vortrag „Kritische IT-Infrastrukturen & Cybersicherheit: Die BAIT als neues Regelwerk umsetzen“. Dr. Gampe stellte zunächst die Kritischen Infrastrukturen (Kritis) vor, zu denen auch der Finanzsektor gezählt wird. Daraufhin ging der Referent näher auf das Bedrohungspotential der Informations- und Kommunikationssicherheit ein. Ein weiteres Thema war die Zielsetzung der BAIT. Dr. Gampe schloss mit dem Hinweis, dass das neue Regelwerk unmittelbar nach der Veröffentlichung der neuen MaRsik zu erwarten ist.

Angriffsszenarien und Schäden der Computerkriminalität standen im Mittelpunkt des Beitrags von Jörg Zimmermann vom TÜV Rheinland i-sec GmbH. Vor dem Hintergrund der fortschreitenden Digitalisierung demonstrierte der Dozent die gewaltigen finanziellen Schäden und gleichermaßen die Herausforderungen sowie Handlungsfelder der Cyber-Security. In seinem Fazit bilanzierte Zimmermann, dass rund 95 Prozent aller Sicherheitsvorfälle auf menschlichem Fehlverhalten beruhen.

In seinem Vortrag „Aktuelles aus dem IT-Recht“ beleuchtete Dr. Philipp Kramer vom Beratungsbüro Gliss & Kramer KG die Themen Vollkontrolle des E-Mail-Verbots, Anzeigepflicht bei Datenabflüsse, Informationspflichten nach der Datenschutzgrundverordnung, Mitarbeiterdatenschutz, Anforderungen an den Betrieb von Telefonanlage unter gegenwärtigen und kommenden juristischen Aspekten.

Aktuelle BSI-Informationen zum IT-Grundschutz

Neuigkeiten aus dem Bundesamt für Sicherheit in der Informationstechnik (BSI) präsentierte Isabel Münch: Mit dem Ziel den IT-Grundschutz auf die Gegebenheiten der Institution zu skalieren, wurde die Ablösung von drei der vier BSI-Standards durch die neue 200er-Serie vorgestellt. Dazu kommen mit der Basis-, Standard- und Kernabsicherung drei unterschiedliche Ausbaustufen des BSI-Grundschutzes. Ergänzend stellte Münch die Struktur des IT-Grundschutzkompendiums vor, das die IT-Grundschutzkataloge noch in diesem Jahr ablösen wird.

Levin Hiltrop berichtete über das Sicherheitsmanagement, die Sicherheitsstrategie und das Verbundlagebild 2016 der genossenschaftlichen Rechenzentrale Fiducia & GAD IT AG. Einen Schwerpunkt stellte die Umsetzung des Modells „3-lines-of-defense“ dar. Hiltrop zeigte anschließend umfangreiche Angriffsmethoden auf Finanzinstitute sowie deren Kunden und die vom Rechenzentrum bereitgestellten Präventivmaßnahmen.

Dr. Frank Bock von der CORONIC GmbH erläuterte den Teilnehmern am Beispiel von VR-Protect und den neuen Sicherheitsverfahren der Fiducia & GAD IT AG, wie sie mit Sicherheit Kosten sparen und Erlöse generieren können. Seinen Fokus richtete Dr. Bock Kostensenkungen und Erlösoptimierungen für Kunden und die Bank durch den Einsatz von VR-Protect und vom VR-Computercheck.

Innovationen: Spagat zwischen klassischer Software und neuen Technologien

Der Berater Andreas Siemes zeigte in seinem Vortrag „Von Big bis Smart Data: Systemarchitekturen und Datenprozesse in der Praxis“, wie sich aus großen Datenmengen durch Methoden der künstlichen Intelligenz verwertbare Daten generieren lassen.

Manuel Schneider von der GLS Gemeinschaftsbank eG demonstrierte in seinem Vortrag „Legacy und Innovation - Chancen und Herausforderungen einer bi-modalen IT in Genossenschaftsbanken“ den Spagat zwischen klassischer Bankensoftware und innovativen neuen Technologien von Fintechs. Der Referent stellte das Potential beider Technologien unter Berücksichtigung der rechtlichen und aufsichtsrechtlichen Anforderungen dar.

Save the date! IT-Foren in 2018 bei der ADG auf Schloss Montabaur

Die beiden IT-Foren der ADG finden im nächsten Jahr vom 19.09. bis 21.09.2018 wieder auf Schloss Montabaur statt. Tragen Sie sich heute bereits den Termin in Ihren Kalender ein und reichen Sie uns gerne im Vorfeld Ihre Wünsche und Anregungen ein.

Ihr Ansprechpartner

Inken Hallberg

Dipl.-Handelslehrerin / Dipl.-Berufspädagogin
Managerin Lernformate und Bildungsarchitektur