Aktuelles

BAIT um KRITIS-Modul erweitert
(22.09.2018)

Iin der Fassung vom 14.09.2018 hat die BaFin die BAIT um das optionale KRITIS-Modul erweitert. Das KRITIS-Modul kann von den Adressaten der BAIT dazu verwendet werden, den Nachweis nach § 8a Abs. 3 BSIG zu erbringen.

KRITIS-Betreiber dürfen dem Modul zufolge bei der Entscheidung, ob Risiken akzeptiert oder übertragen werden können, „nicht allein nach betriebswirtschaftlichen Gesichtspunkten" entscheiden, „sondern nur unter Gewährleistung der Versorgungssicherheit“. Bei kritischen Dienstleistungen, bei denen z. B. „Vorkehrungen nach dem Stand der Technik möglich und angemessen sind“, dürfen diese Risiken nicht akzeptiert werden.

Im Hinblick auf die Verfügbarkeit kritischer Dienstleistungen sind insbesondere solche Schutzmaßnahmen geeignet, durch die Risiken bei hohem und sehr hohem Schutzbedarf im Hinblick auf Verfügbarkeit begegnet werden kann. Konzepte der Hochverfügbarkeit sollten dabei geprüft und bei Eignung angewandt werden.

Stets zu berücksichtigen ist das KRITIS-Schutzziel.

IT-Sicherheit mit System, 6. Auflage, erschienen
(22.09.2018)

Die 6. Auflage des Buchs "IT-Sicherheit mit System" ist erschienen. Wenn Sie zu den Ersten gehören wollen, die es lesen, können Sie es im Buchhandel erwerben. Die 6. Auflage wurde neu bearbeitet und dabei strukturell weiterentwickelt.

IT-Sicherheit mit System, 6. Auflage, angekündigt
(18.08.2018)

Als Erscheinungstermin für die 6. Auflage des Buchs "IT-Sicherheit mit System" ist der September 2018 angekündigt. Die 6. Auflage wurde neu bearbeitet und dabei strukturell weiterentwickelt. Der Inhalt und dadurch der Buchumfang sind nochmals gewachsen. Umfangreich aktualisiert und verschiedentlich erweitert worden sind z. B. die Themenfelder Gesetze, Verordnungen, Vorschriften und Anforderungen, Informationsklassifizierung, Risikomanagement, Datenschutzmanagement und Architekturmanagement sowie die Einzelanforderungen zum Cloud Computing.

Durch die digitale Transformation, Cloud-Computing und dynamisch steigende Bedrohungen sowie zunehmende Anforderungen von Gesetzen und Aufsichtsbehörden sind Unternehmen mehr denn je abhängig von der Sicherheit und Kontinuität der Informationsverarbeitung. Die vorhandene Komplexität erfordert ein systematisches Vorgehensmodell, das Sicherheit von Anfang an sowie stets und integrativ berücksichtigt, Effizienz betrachtet und eine kontinuierliche Verbesserung ermöglicht. Die Sicherheitspyramide, die in "IT-Sicherheit mit System" behandelt ist, stellt ein solches Vorgehensmodel dar.

__________

Cloud Computing regeln
(18.08.2018)

Die Nutzung von Cloud Computing ist weit verbreitet. Doch sind sich Mitarbeiter eines Unternehmens darüber im Klaren, dass sie Cloud Computing Services nutzen, z. B. indem sie eine App installieren oder Daten in der Cloud speichern? Verschiedentlich besteht in Unternehmen diesbezüglich Regelungsbedarf. Wenn derartige Regelungen fehlen, können Informationsrisiken und Organisationsverschulden die Folge sein. Ist Ihr Unternehmen diesbezüglich gut aufgestellt? Ich wünsche es Ihnen.

__________

ISO/IEC 27005:2018 ist erschienen
(18.08.2018)

Im Juli 2018 ist die dritte Auflage der ISO/IEC 27005, Informationssicherheitsrisikomanagement erschienen. Der Standard weist eine weitgehend gleichgebliebene Gliederungsstruktur auf.

Kapitel 6 stellt den Informationssicherheitsrisikomanagementprozess im Überblick dar, Kapitel 7 behandelt den Kontext.

Die Risikoidentifikation, die Risikoanalyse und die Risikobeurteilung sind Elemente der Risikobewertung der Informationssicherheit. Bei der Risikobeurteilung entsteht eine Liste von Risiken, die entsprechend den Risikobeurteilungskriterien priorisiert sind. Es folgt die Risikobehandlung, für die vier grundsätzliche Optionen zur Verfügung stehen. Daran schließt sich der Schritt der Risikoakzeptanz an.

Die Schritte bis zur Risikobehandlung werden auf der einen Seite flankiert von der Risikokommunikation und -beratung, und auf der anderen Seite von der Überwachung und Überprüfung.

Der Standard enthält die Anhänge A bis F mit ergänzenden Informationen. Der Anhang B behandelt die Identifikation und Bewertung von Assets und Auswirkungen (impact). Wie auch in der zweiten Auflage unterscheidet der Standard zwischen primären und unterstützenden Assets. Typische Bedrohungen gibt der Anhang C an. Schwachstellen und Methoden zu deren Bewertung nennt der Anhang D. Anhang E behandelt Ansätze zur Bewertung des Informationssicherheitsrisikos.

__________

BAIT und VAIT konkretisieren aufsichtsbehördliche Mindestanforderungen
(18.08.2018)

Die BaFin hat in der BAIT (Rundschreiben 10/2017) vom November 2017 Anforderungen der MaRisk für Banken konkretisiert. In vergleichbarer Weise gibt die BaFin in der VAIT (Rundschreiben 10/2018) vom Juli 2018 „Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG), soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen“ und konkretisiert die MaGo.

Beide Rundschreiben besitzen die gleiche Struktur und – bis auf II.8 die gleichen Kapitelüberschriften. Die Anforderungen in den Kapiteln beziehen sich in beiden Rundschreiben auf IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte und Anwendungsentwicklung inkl. solcher durch Endbenutzer in den Fachbereichen - oftmals als individuelle Datenverarbeitung (IDV) bezeichnet - und IT-Betrieb inkl. Datensicherung. Das jeweils letzte Kapitel bezieht sich auf Outsourcing, das – wie bei externen Anforderungen branchenspezifisch üblich – bei der BAIT als Auslagerung und bei VAIT als Ausgliederung bezeichnet ist.

Sowohl BAIT als auch VAIT fordern u. a.
  • „bei der Ausgestaltung der IT-Systeme“ „und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen“
  • „eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen“
  • Durch die „Methodik zur Ermittlung des Schutzbedarfs (insbesondere im Hinblick auf die Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und „Authentizität")“ „die Konsistenz der resultierenden Schutzbedarfe nachvollziehbar sicherzustellen“
  • „insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten.“
Banken und Versicherungen, für welche die BAIT bzw. VAIT gelten, sollten sicherstellen, dass sie deren Anforderungen erfüllen. Sehr leicht können das Thema „Authentizität“ nicht berücksichtigt, die Methodik zur Schutzbedarfsermittlung nicht konsistent oder die Personalausstattung nicht angemessen sein und bei Prüfungen Feststellungen nach sich ziehen.