IT Schutzbedarf nach MaRisk 2016 analysieren
Der aktuelle Entwurf zur Novellierung der MaRisk fordert neben vielen weitreichenden Neuerungen in einem kleinen Satz im AT 4.3.2 “die Feststellung des Schutzbedarfs, die Ableitung von Sicherheitsanforderungen sowie die Festlegung entsprechender Sicherheitsmaßnahmen” für die Steuerung und das Controlling von IT-Risiken. Was hier kurz und knapp beschrieben ist, bedeutet für viele Organisationen eine wesentliche Änderung aktueller Prozesse im IT-Risikomanagement.
von Karl Viertel ist CEO und Co-Founder von Alyne
Die MaRisk wirft in einem kleinen Satz einen schwierige Frage auf: Wie hoch ist der Schutzbedarf? Gehen wir der Durchführung einer Schutzbedarfsanalyse auf den Grund. Welche Antworten zur Umsetzung einer nachhaltigen Lösung für IT-Risikomanagement gibt es heute? Finanzdienstleister müssen heute in der Lage sein, einem Regulator die angemessene und wirksame Umsetzung der Anforderungen aus der MaRisk AT 4.2.3 zu demonstrieren. So geht’s.
Für welche Objekte ist der Schutzbedarf zu ermitteln?
Die Unterscheidung verschiedener Objekttypen sollte sich an den unterschiedlichen Merkmalen eines Objekttyps richten, welche den Schutzbedarf definieren. Beispielsweise sind eine Anwendung im Personalwesen und ein Produktionsgebäude mit großen Mengen leicht entzündlichen Materials sehr schutzbedürftig aus unterschiedlichen Gründen. Zugleich schränkt die Unterscheidung vieler Kategorien die Vergleichbarkeit ein und erhöht die Komplexität in weiteren Schritten. Wir empfehlen daher die Analyse in folgenden Kategorien:
1. Anwendungen2. Betriebsstätten
3. Datensätze
4. Netzwerkkomponenten
5. Server
6. Nutzerendgeräte
IT-Dienstleistungen mögen manchem Leser in dieser Aufzählung fehlen. Aus unserer Sicht sind Dienstleister recht vollständig über die Anforderungen zur Auftragsdatenverarbeitung oder über die neuen Anforderungen aus der MaRisk AT 9 zu Auslagerungen abgedeckt und daher nicht in unserer Empfehlung enthalten.
Was sind Treiber des Schutzbedarfs?
Jede Kategorie sollte an individuellen Kriterien gemessen werden, aber einige wesentliche Treiber des Schutzbedarfs erstrecken sich über die Kategorien. Zu den wesentlichen Treibern gehören aus unserer Sicht:
1. Werden Produktionsprozesse unterstützt?2. Werden Kunden direkt bedient?
3. Werden (besondere Arten) personenbezogener Daten verarbeitet?
4. Werden regulatorisch relevante Prozesse unterstützt?
5. Gab es in der Vergangenheit häufige Störungen?
6. Wird der Zahlungsverkehr der Organisation unterstützt?
7. Gibt es redundante oder alternative Lösungen?
8. Sind mehrere (externe) Parteien beteiligt?
Hinzu kommen individuelle Kriterien für jede betrachtete Kategorie. In unserer Erfahrung sollte ein Objekt jedoch nicht mit mehr als ca. 25 – 30 Kriterien bewertet werden, da aus unserer Sicht bei mehr Kriterien der Aufwand stärker als die gewonnene Genauigkeit der Bewertung steigt.
Welche Kategorisierung ist sinnvoll?
Die genutzten Kategorien sind sicherlich stark abhängig von den Kategorien, die bereits im Risikomanagement der jeweiligen Organisation definiert sind. Aus unserer Sicht ist die Beschränkung auf drei bis vier Kategorien sinnvoll (z.B. gering, mittel, hoch). Wir geben zu bedenken, dass mehr Kategorien nur hilfreich sind, wenn sich weitere Kategorien auch durch differenzierte Konsequenzen auszeichnen. Mit weiteren Kategorien steigt zudem auch die Komplexität. Wichtig ist bei der Bewertung, dass Kriterien für jede Kategorie im Kontext interpretiert werden, um eine objektive Bewertung zu erhalten. Beispielsweise können auf die Frage der Unterstützung von Produktionsprozessen, die Antwortmöglichkeiten “wesentlicher Produktionsschritt”, “unterstützende Leistungen” und “keine Produktionsrelevanz” mit einer entsprechenden Gewichtung versehen werden. Dies ermöglicht einen Rückschluss auf die entsprechende Kategorie, ohne die verantwortliche Person direkt nach der Kategorie zu fragen. In Kombination mit 25 – 30 weiteren Faktoren ergibt sich dann eine differenzierte und objektive Einteilung in die zutreffende Kategorie.
Welche Konsequenzen sind zu ziehen? Nach erfolgreicher Ermittlung des Schutzbedarfs eines Objekts ist die Dokumentation der Entscheidung die erste Konsequenz. In dem oben angeführten Beispiel der Kategorisierung in geringen, mittleren und hohen Schutzbedarf, empfehlen wir folgende Reaktion:
Hoher Schutzbedarf
1. Dokumentation der Entscheidung
2. Information an den zuständigen Risikomanager
3. Detaillierte Erhebung des Risikos in weiterer Analyse
4. Definition von Schutzmaßnahmen zur Reduktion des Risikos in den Bereich der Risikotoleranz
Mittlerer Schutzbedarf
1. Dokumentation der Entscheidung
2. Information an den zuständigen Risikomanager
3. Abfrage wesentlicher Risiken
Geringer Schutzbedarf
1. Dokumentation der Entscheidung
Was sind Erfolgs- und Risikofaktoren für eine erfolgreiche Ermittlung des Schutzbedarfs?
Damit Organisationen einerseits diese regulatorische Anforderung effizient umsetzen können und andererseits Mehrwert durch erhöhte Risikotransparenz generieren können, sind einige Erfolgs- und Risikofaktoren zu beachten:
Risikofaktoren
1. Bewertungen nach “Bauchgefühl”Die direkte Frage nach einer Schutzbedarfskategorie führt in unserer Erfahrung selten zu einer objektiven Bewertung. Entweder fällt es einzelnen Verantwortlichen schwer, das Objekt im Gesamtkontext zu sehen, oder der eigene Verantwortungsbereich wird in seiner Bedeutung überschätzt.
2. 100% Vollständigkeit verfolgen
Datenbanken und Listen von Anwendungen, Server, etc. sind in vielen Unternehmen von schlechter Datenqualität geprägt. Das Risiko besteht, viel Zeit bei der Vervollständigung dieser Daten aufzuwenden und die eigentliche Schutzbedarfsermittlung zu vernachlässigen. Wir empfehlen die erfolgreiche Bewertung z.B. 90% aller Objekte der Vervollständigung aller Datenquellen vorzuziehen.
3. Ein-Mal-Aktionen
Der Schutzbedarf von IT-Objekten wird sich durch externe und interne Faktoren stetig ändern. Entsprechend ist eine regelmäßige Überprüfung der Bewertung dringend zu empfehlen.
Erfolgsfaktoren
1. Nachhaltige DokumentationSelbst in vermeintlich kleineren IT-Organisationen übersteigt die Komplexität der Schutzbedarfsanalyse die einfache Nutzung von Excel. Eine nachhaltige Lösung wird selbst mittelfristig effizienter sein.
2. Self Service
Nutzen Sie eine zentrale Lösung, auf die bei Bedarf von allen beteiligten Verantwortlichen zugegriffen werden kann, anstelle von versendeten Fragebögen. Dies reduziert organisatorischen Aufwand und macht eine kontinuierliche Analyse möglich.
3. Keep it simple
Eine komplexe, langwierige Befragung, welche alle Randfälle und Ausnahmen abdeckt, wird die Bewertung der großen Mehrheit von eindeutig klassifizierten Fällen erheblich erschweren. Das eigentliche Ziel, Transparenz über die gesamte Risikosituation zu erhöhen, wird dadurch nicht besser erreicht.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/34473
Schreiben Sie einen Kommentar