Aktuelles

MaRisk-Rundschreiben 10/2021
(17.08.2021)

Mit dem Rundschreiben 10/2021 hat die BaFin die Neufassung der MaRisk in der Fassung vom 16.08.2021 veröffentlicht. In AT 7, Ressourcen, und in AT 9, Auslagerung, haben sich u.a. folgende Änderungen ergeben:

In AT 7.2 ist der Begriff Informationsverbund aufgenommen und erläutert.

AT 7.3, Notfallmanagement, wurde deutlich überarbeitet. In den dortigen Erläuterungen (rechte Spalte) ist ausgeführt, dass Institute Auswirkungsanalysen (Business Impact Analysis, BIA) und Risikoanalysen durchführen, um u.a. zeitkritische Prozesse und Aktivitäten sowie sie unterstützende Prozesse und Aktivitäten und notwendige Ressourcen zu ermitteln. Weiterhin sind die Inhalte von Notfallkonzepten angesprochen sowie die mindestens zu berücksichtigenden Notfallszenarien.

in AT 9, Auslagerung, sind die Erläuterungen zum Sonstigen Fremdbezug von Leistungen um weitere Beispiele erweitert worden. In der dortigen Textziffer 7 ist u.a. die Liste der Vertragsinhalte um Punkte erweitert worden, z.B. um das für den Vertrag geltende Recht, die Standorte der Dienstleistungsdurchführung und die Dienstleistungsgüte. Die dortigen Erläuterungen sprechen u.a. die Themen Informations- und Prüfungsrechte, Kündigungsrechte und Sonstige Sicherheitsanforderungen an. Textziffer 12 fordert im Falle von Auslagerungen einen zentralen Auslagerungsbeauftragten. Textziffer 14 fordert ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen.

BAIT
(17.08.2021)

In der Fassung vom 16.08.2021 hat die BaFin die BAIT weiter entwickelt und u.a. um díe Kapitel "Operative Informationssicherheit", "IT-Notfallmanagement" und "Management der Beziehungen mit Zahlungsdienstnutzern" erweitert. Das Kapitel "Benutzerberechtigungsmanagement" ist ersetzt durch das weiter entwickelte Kapitel "Identitäts- und Rechtemanagement".

Im Kapitel IT-Governance hat die BaFin In Textziffer 2.3. im Passus "quantitativ und qualitativ angemessen mit Personal auszustatten" den Begriff "Personal" durch den Begriff "Ressourcen" ersetzt. Die dazugehörige Erläuterung führt "personelle, finanzielle und sonstige Ressourcen" an.

Textziffer 8.8. fordert die Erhebung des aktuellen und die Schätzung des künftigen Leistungs- und Kapazitätsbedarfs der IT-Systeme.

Das Kapitel 10 fordert IT-Notfallpläne mit Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen sowie die festgelegten Parameter für Wiederanlaufzeit (RTO) und in Bezug auf den hinnehmbaren Datenverlust die RPO. Abhängigkeiten zu vor- und nachgelagerten Geschäftsprozessen sowie zu anderen eingesetzten IT-Systemen und (IT-) Dienstleistern müssen berücksichtigt werden. Mindestens jährlich ist die Wirksamkeit der IT-Notfallpläne zu prüfen. Weiterhin ist der Nachweis zu erbringen, dass die zeitkritischen Aktivitäten und Prozesse bei Ausfall eines Rechenzentrums u.a. aus einem ausreichend entfernten Rechenzentrum erbracht werden können.

__________

2020 

Corona-Pandemie
(15.12.2020)

Die Corona-Pandemie hält die Welt in Atem. Nach dem ersten Lockdown im März/April 2020 hatte Deutschland die Infektionszahlen relativ gut im Griff. Wegen rasant steigender Neuinfektionszahlen beschlossen Bund und Länder ab dem 2. November 2020 einen Teil-Lockdown. Der steile Anstieg der Fallzahlen flachte dadurch zwar ab, ging jedoch nicht zurück. Am 13. Dezember 2020 beschließen Bund und Länder den Shutdown vom 16. Dezember 2020 bis zum 10. Januar 2021. (vgl. mdr.de, Die Chronik der Corona-Krise, eingesehen am 15.12.2020, 13:13 Uhr)

Aus meiner Sicht gilt Folgendes: Für Unternehmen, die ihren Betrieb aufrecht erhalten dürfen bzw. können, ist es wichtig, das Infektionsrisiko zu senken, um so coronabedingte Ausfälle in der Belegschaft zu reduzieren, die im Einzelfall auch sehr lange dauern können, und ihrer Fürsorgepflicht sowie gesellschaftlichen Verantwortung nachzukommen. Gleichzeitig sind Unternehmen auf Kunden und Lieferanten angewiesen. Je mehr Menschen ihren Beitrag leisten, desto eher besteht die Chance auf Lockerungen und dass die deutsche und die Weltwirtschaft sich erholen.

Folgende Maßnahmen halte ich persönlich auf Basis meines Kenntnisstands, freibleibend und ausschließlich aus meiner fachlichen, d.h. insbesondere weder juristischen noch medizinischen noch politischen Sicht, für angeraten – insbesondere solange die Infektionszahlen nicht sehr gering sind –, wobei diese Maßnahmen in jedem Einzelfall und auf Basis der Gegebenheiten zum jeweiligen Zeitpunkt zu prüfen und anzupassen sind:

1. Unternehmen sollten ihrem Personal erläutern, warum welche Pandemie-Regeln für das Unternehmen gelten und wie wichtig deren Einhaltung für jeden Einzelnen, für das Unternehmen und für die Gesellschaft ist. In der Folge sollte das Unternehmen seine Belegschaft regelmäßig dazu sensibilisieren. Auch ein Hinweis darauf, wie sich 1,5 m Abstand abschätzen lassen, können hilfreich sein.

2. Unternehmen sollten – so weit wie irgend möglich – auf Remote-Arbeit umstellen. Manche Unternehmen schafften dies bereits beim ersten Lockdown innerhalb kürzester Frist und teilweise für fast die vollständige Belegschaft. Web-Meetings statt Vor-Ort-Meetings haben sich bei Unternehmen oftmals bewährt. Vor-Ort-Meetings sollten dementsprechend durch Web-Meetings ersetzt werden.

3. Grundsätzlich sollte beim Betreten und innerhalb von Gebäuden des Unternehmens die Einhaltung der AHA+L-Regeln, d. h. Abstand halten, Hygiene beachten und Alltagsmaske (Mund-Nase-Schutz) tragen sowie regelmäßiges Lüften, gefordert sein. Der Belegschaft sollte vom Unternehmen in Einklang mit den Empfehlungen der Regierung die Nutzung der Corona-Warn-App empfohlen werden.

4. Beim Betreten eines Gebäudes sollte eine Desinfektion der Hände mittels eines berührungslosen Desinfektionsmittelspenders angeboten und angeraten sein, sofern gesundheitliche Gründe dem nicht entgegenstehen.

5. Die Anzahl der Personen in einem Fahrstuhl sollte so reduziert werden, dass dort ein Mindestabstand von 1,5 m einhaltbar ist. Mund-Nasen-Schutz sollte auch dort Pflicht sein.

6. Räume sollten möglichst nur mit einer Person besetzt sein. Am Arbeitsplatz selbst ist kein Mund-Nasen-Schutz zu tragen, sofern sich die Person während ihrer Arbeitszeit allein im Raum befindet. Lüften mindestens zu Beginn und am Ende der Arbeitszeit erscheint dennoch angeraten.

7. Sollte die Belegung von Räumen mit mehreren Personen im Einzelfall unumgehbar sein, sollten die Personen einen Abstand von mindestens 1,5 m einhalten, Alltagsmaske tragen und die Räume hinreichend regelmäßig kurzzeitig, aber ausreichend gelüftet werden. Personen sollten in Bezug auf das Lüften an kühlen und kalten Tagen auf das Tragen dafür geeigneter Kleidung hingewiesen werden (z. B. Zwiebel-Look).

8. Raumlufttechnische Anlagen des Gebäudes sollten möglichst mit HEPA-14-Filtern versehen und diese entsprechend den Angaben der Hersteller gewartet werden.

9. Personen, die bei anderen eine Verletzung der unternehmensspezifischen Pandemie-Regelungen feststellen, sollten diese Personen freundlich, aber bestimmt auf die Einhaltung der Regeln hinweisen.

10. Mitarbeiter, die beruflich unterwegs sind, sollten verpflichtet sein, die AHA-Regeln einzuhalten, d. h. Abstand halten, Hygiene beachten und Alltagsmaske tragen.


__________

2018 

BAIT um KRITIS-Modul erweitert
(22.09.2018)

In der Fassung vom 14.09.2018 hat die BaFin die BAIT um das optionale KRITIS-Modul erweitert. Das KRITIS-Modul kann von den Adressaten der BAIT dazu verwendet werden, den Nachweis nach § 8a Abs. 3 BSIG zu erbringen.

KRITIS-Betreiber dürfen dem Modul zufolge bei der Entscheidung, ob Risiken akzeptiert oder übertragen werden können, „nicht allein nach betriebswirtschaftlichen Gesichtspunkten" entscheiden, „sondern nur unter Gewährleistung der Versorgungssicherheit“. Bei kritischen Dienstleistungen, bei denen z. B. „Vorkehrungen nach dem Stand der Technik möglich und angemessen sind“, dürfen diese Risiken nicht akzeptiert werden.

Im Hinblick auf die Verfügbarkeit kritischer Dienstleistungen sind insbesondere solche Schutzmaßnahmen geeignet, durch die Risiken bei hohem und sehr hohem Schutzbedarf im Hinblick auf Verfügbarkeit begegnet werden kann. Konzepte der Hochverfügbarkeit sollten dabei geprüft und bei Eignung angewandt werden.

Stets zu berücksichtigen ist das KRITIS-Schutzziel.

__________

IT-Sicherheit mit System, 6. Auflage, erschienen
(22.09.2018)

Die 6. Auflage des Buchs "IT-Sicherheit mit System" ist erschienen. Wenn Sie zu den Ersten gehören wollen, die es lesen, können Sie es im Buchhandel erwerben. Die 6. Auflage wurde neu bearbeitet und dabei strukturell weiterentwickelt.

__________

IT-Sicherheit mit System, 6. Auflage, angekündigt
(18.08.2018)

Als Erscheinungstermin für die 6. Auflage des Buchs "IT-Sicherheit mit System" ist der September 2018 angekündigt. Die 6. Auflage wurde neu bearbeitet und dabei strukturell weiterentwickelt. Der Inhalt und dadurch der Buchumfang sind nochmals gewachsen. Umfangreich aktualisiert und verschiedentlich erweitert worden sind z. B. die Themenfelder Gesetze, Verordnungen, Vorschriften und Anforderungen, Informationsklassifizierung, Risikomanagement, Datenschutzmanagement und Architekturmanagement sowie die Einzelanforderungen zum Cloud Computing.

Durch die digitale Transformation, Cloud-Computing und dynamisch steigende Bedrohungen sowie zunehmende Anforderungen von Gesetzen und Aufsichtsbehörden sind Unternehmen mehr denn je abhängig von der Sicherheit und Kontinuität der Informationsverarbeitung. Die vorhandene Komplexität erfordert ein systematisches Vorgehensmodell, das Sicherheit von Anfang an sowie stets und integrativ berücksichtigt, Effizienz betrachtet und eine kontinuierliche Verbesserung ermöglicht. Die Sicherheitspyramide, die in "IT-Sicherheit mit System" behandelt ist, stellt ein solches Vorgehensmodel dar.

__________

Cloud Computing regeln
(18.08.2018)

Die Nutzung von Cloud Computing ist weit verbreitet. Doch sind sich Mitarbeiter eines Unternehmens darüber im Klaren, dass sie Cloud Computing Services nutzen, z. B. indem sie eine App installieren oder Daten in der Cloud speichern? Verschiedentlich besteht in Unternehmen diesbezüglich Regelungsbedarf. Wenn derartige Regelungen fehlen, können Informationsrisiken und Organisationsverschulden die Folge sein. Ist Ihr Unternehmen diesbezüglich gut aufgestellt? Ich wünsche es Ihnen.

__________

ISO/IEC 27005:2018 ist erschienen
(18.08.2018)

Im Juli 2018 ist die dritte Auflage der ISO/IEC 27005, Informationssicherheitsrisikomanagement erschienen. Der Standard weist eine weitgehend gleichgebliebene Gliederungsstruktur auf.

Kapitel 6 stellt den Informationssicherheitsrisikomanagementprozess im Überblick dar, Kapitel 7 behandelt den Kontext.

Die Risikoidentifikation, die Risikoanalyse und die Risikobeurteilung sind Elemente der Risikobewertung der Informationssicherheit. Bei der Risikobeurteilung entsteht eine Liste von Risiken, die entsprechend den Risikobeurteilungskriterien priorisiert sind. Es folgt die Risikobehandlung, für die vier grundsätzliche Optionen zur Verfügung stehen. Daran schließt sich der Schritt der Risikoakzeptanz an.

Die Schritte bis zur Risikobehandlung werden auf der einen Seite flankiert von der Risikokommunikation und -beratung, und auf der anderen Seite von der Überwachung und Überprüfung.

Der Standard enthält die Anhänge A bis F mit ergänzenden Informationen. Der Anhang B behandelt die Identifikation und Bewertung von Assets und Auswirkungen (impact). Wie auch in der zweiten Auflage unterscheidet der Standard zwischen primären und unterstützenden Assets. Typische Bedrohungen gibt der Anhang C an. Schwachstellen und Methoden zu deren Bewertung nennt der Anhang D. Anhang E behandelt Ansätze zur Bewertung des Informationssicherheitsrisikos.

__________

BAIT und VAIT konkretisieren aufsichtsbehördliche Mindestanforderungen
(18.08.2018)

Die BaFin hat in der BAIT (Rundschreiben 10/2017) vom November 2017 Anforderungen der MaRisk für Banken konkretisiert. In vergleichbarer Weise gibt die BaFin in der VAIT (Rundschreiben 10/2018) vom Juli 2018 „Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG), soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen“ und konkretisiert die MaGo.

Beide Rundschreiben besitzen die gleiche Struktur und – bis auf II.8 die gleichen Kapitelüberschriften. Die Anforderungen in den Kapiteln beziehen sich in beiden Rundschreiben auf IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte und Anwendungsentwicklung inkl. solcher durch Endbenutzer in den Fachbereichen - oftmals als individuelle Datenverarbeitung (IDV) bezeichnet - und IT-Betrieb inkl. Datensicherung. Das jeweils letzte Kapitel bezieht sich auf Outsourcing, das – wie bei externen Anforderungen branchenspezifisch üblich – bei der BAIT als Auslagerung und bei VAIT als Ausgliederung bezeichnet ist.

Sowohl BAIT als auch VAIT fordern u. a.
  • „bei der Ausgestaltung der IT-Systeme“ „und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen“
  • „eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen“
  • Durch die „Methodik zur Ermittlung des Schutzbedarfs (insbesondere im Hinblick auf die Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und „Authentizität")“ „die Konsistenz der resultierenden Schutzbedarfe nachvollziehbar sicherzustellen“
  • „insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten.“
Banken und Versicherungen, für welche die BAIT bzw. VAIT gelten, sollten sicherstellen, dass sie deren Anforderungen erfüllen. Sehr leicht können das Thema „Authentizität“ nicht berücksichtigt, die Methodik zur Schutzbedarfsermittlung nicht konsistent oder die Personalausstattung nicht angemessen sein und bei Prüfungen Feststellungen nach sich ziehen.