Neues Werkzeug für das IT-Management

Da Finanzdienstleister Vorreiter im Bereich der IT-Governance sind und keine andere Branche stärker reguliert ist sowie höheren Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität von Daten und Informationen unterliegt, ist eine kritische Überprüfung des aktuellen IT-Governance Managements insbesondere in Bezug auf IT-Securityund IT-Compliance-Gesichtspunkte unverzichtbar.
Anforderungen an die IT-Governance
Der Finanzdienstleistungssektor unterliegt einer Vielzahl rechtlicher und regulativer Anforderungen in Bezug auf die IT. Speziell die regulativen IT-Anforderungen haben hierbei in letzter Zeit stark zugenommen. Insbesondere sind hier die Mindestanforderungen an das Risikomanagement (MaRisk), Basel II und der Payment Card Industry Data Security Standard (PCI DSS) zu nennen.

Zielsetzung dieser Anforderungen ist der angemessene Umgang mit Daten und Informationen sowie die Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität von IT-Systemen und zugehörigen IT-Prozessen. Hierfür ist bei der Ausgestaltung der IT grundsätzlich auf gängige Standards abzustellen und deren Eignung regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen. Zu den Standards zählen zum Beispiel das ITIL Framework, der CobiT Standard, das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und die Norm ISO 27002 der International Standards Organization.1)

Die rechtlichen Anforderungen umfassen unterschiedliche Bereiche und lassen sich in Anlehnung an die Bitkom-Studie „Matrix der Haftungsrisiken“2) in strategische, konzeptionelle sowie operative Anforderungen untergliedern.

Strategische Anforderungen: Hierbei geht es um Themen wie die Sicherstellung einer bedarfs- und rechtskonformen IT-Nutzung sowie um die Bestellung eines betrieblichen Datenschutzbeauftragten. Relevante gesetzliche Grundlagen ergeben sich hierbei beispielsweise aus dem Gesellschaftsrecht in Form des § 91 II AktG bzw. in Form des § 43 GmbHG sowie aus dem Datenschutzrecht in Form des § 4f, § 43 I und II BDSG.2) Zentrale Bedeutung kommt zudem § 25a KWG zu. Dieser stellt in Abs. 1 konkrete Vorgaben für Risikomanagement und Kontrollsysteme und definiert ferner in Abs. 2 Anforderungen für den Einsatz der elektronischen Datenverarbeitung. Konkret werden eine ordnungsgemäße Geschäftsorganisation, ein angemessenes internes Kontrollverfahren und angemessene Sicherheitsvorkehrungen für den IT-Einsatz gefordert sowie Rahmenbedingungen in Bezug auf Steuerungs-, Kontroll- und Prüfungsmöglichkeiten für die Auslagerung von Geschäftsbereichen gesetzt.

Ausdrücklich betont sei an dieser Stelle, dass nach § 25a KWG die Risikosteuerung und -kontrolle unwiderruflich in der Verantwortung des Vorstandes liegt und der Kontrollpflicht des Aufsichtsrates unterliegt.3),4),5) Vorstand und Aufsichtsrat sind folglich für die Schaffung eines angemessenen Rahmens für das IT-Security Management mit entsprechenden Reporting- und Frühwarnsystemen verantwortlich. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) definiert zudem allgemeine Leitungsaufgaben in Bezug auf die Sorgfaltspflicht des Vorstandes für die Teilbereiche Risikomanagement und -überwachung.6)

Konzeptionelle Anforderungen ergeben sich in Form der Einführung eines Sicherheitskonzepts (inklusive Katastrophenund Zugriffsschutz) sowie eines Datenschutzkonzepts ” 2. Zudem gilt es, angemessene Regelungen für den Zugang von externen Dritten zu Datenverarbeitungssystemen zu treffen sowie ein professionelles Vorgehen für die Beschaffung von IT-Systemen und für die Durchführung von IT-Projekten zu etablieren. Auch die Sicherstellung von Vertraulichkeit (und Geheimhaltung), Integrität und Verfügbarkeit der IT-Systeme und IT-Anwendungen fällt in diesen Bereich.

Relevante gesetzliche Anforderungen sind auch hier § 91 II AktG bzw. § 43 GmbHG aus dem Bereich des Gesellschaftsrechts, insbesondere aber § 9 BDSG und die Anlage zu § 9 BDSG i. V. m. § 823 BGB. Darüber hinaus gilt es die Anforderungen aus Zivilrecht (§ 437, § 634 BGB) und Handelsrecht (§ 377 HGB) zu erfüllen. Im Kontext der Sicherstellung von Vertraulichkeit und Geheimhaltung spielt zudem das Sicherheitsüberprüfungsgesetz in Form der §§ 2, 7 bis 10 SüG eine Rolle.2)

Operative Anforderungen zielen auf die ordnungsgemäße Abbildung der wirtschaftlichen Verhältnisse des Unternehmens in der Buchführung und die Sicherstellung der datenschutzrechtlichen Konformität. Außerdem gilt es, angemessene Maßnahmen für den Einsatz von Spam- und Viren-Filtern, die Nutzung von E-Mail und Internet am Arbeitsplatz, die Verhinderung von Schädigung Dritter durch firmeneigene IT, den virenfreien Daten-/Datenträgeraustausch, die Durchführung regelmäßiger Backups, die Verwendung lizenzierter Software sowie die Einhaltung der Urheberrechte zu treffen.

Relevante gesetzliche Anforderungen entstammen auch hier dem Handelsrecht (§ 239 Abs. 4 HGB), Gesellschaftsrecht (§ 91 II AktG) und Datenschutzrecht (§§ 7, 9, 43, 44 BDSG). Weitere Anforderungen ergeben sich aber auch aus dem Telekommunikationsgesetz (§§ 1, 88, 89, 91 ff TKG), dem Strafrecht (§ 206 II Nr. 2 StGB oder § 303a StGB), dem Grundgesetz (Art 2 i. V. m. Art 1) sowie gegebenenfalls dem Betriebsverfassungsgesetz (§§ 75, 80, 87, 88, 90 BetrVG).5)
Compliance-Anforderungen an die IT-Governance
Das folgende simplifizierte Beispiel verdeutlicht, welche negativen Konsequenzen der unzureichende Schutz vertraulicher Daten haben kann und wie wichtig daher eine angemessene Integration desselben im Rahmen der IT-Governance ist. Nach § 93 I AktG sowie § 43 I GmbHG steht die Unternehmensleitung für eine ordentliche und gewissenhafte Unternehmensführung sowie ein gesetzeskonformes Verhalten des Unternehmens ein.

Diese Verantwortung kann nicht delegiert werden. Vorstandsmitglieder/Geschäftsführer haben somit dafür Sorge zu tragen, dass die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) eingehalten werden. Konkret besagt zum Beispiel § 9 BDSG i.V.m. der Anlage zu § 9 Satz 1 BDSG, dass Maßnahmen zu treffen sind, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, um entsprechende Zugangs-, Zutritts-, Zugriffs- und Eingabekontrollen zu gewährleisten.

Wird diese Bestimmung nicht erfüllt, indem zum Beispiel im Kreditinstitut eine Passwortrichtlinie fehlt oder die Passwortkomplexität zu einfach ist und man sich nicht an die Vorgaben gängiger Best Practice-Standards wie beispielsweise das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnologie oder die Normen ISO 2700x der International Standards Organization hält (mindestens acht Zeichen bestehend aus Buchstaben und Sonderzeichen oder Zahlen/regelmäßiger Wechsel etc.), drohen empfindliche Strafen:

• Bußgeld bis zu 250.000 € (§ 43 II BDSG),
• Freiheitsstrafe bis zu zwei Jahren (§ 44 I BDSG i. V. m. § 203 V StGB),
• Schadensersatz (§ 7 BDSG) durch verantwortliche Stelle,
• Konsequenzen der BaFin auf Grund der Nichterfüllung der MaRisk.

Lösungsansatz für das IT-Governance Management
Die aufgeführten Compliance-Anforderungen machen deutlich, dass sich das IT-Governance Management an gängigen Best Practice-Standards zu orientieren und ein angemessenes und umfassendes Kondiebanktroll- und Steuerungssystem zu integrieren hat. Hierfür ist es wichtig, geeignete Kennzahlen zu konzipieren und sinnvoll zu integrieren. Dies ist im Rahmen eines Forschungsprojektes am Institut ibi research an der Universität Regensburg geschehen.

Das Ergebnis ist der Compliance Navigator. Dieses DV-Tool berücksichtigt die Bereiche Compliance, Advisory bzw. Weisungswesen, Performance, Audit und Repository. Die Steuerung basiert auf einem integrierten Controlling-System. Der Umsetzungsgrad (unter anderem Befüllungsgrad) und die Qualität der Umsetzung werden anhand von Balanced Scorecard basierten Auswertungen kontrolliert und gesteuert. Auf oberster Ebene gibt das Cockpit einen Überblick über den Stand des IT-Governance Managements im Unternehmen. Einzelaspekte werden mittels Drill Down in unteren Ebenen sichtbar.

Zielsetzung des Bereichs „Compliance“ ist es, die Einhaltung der beschriebenen rechtlichen und regulativen Anforderungen sicherzustellen. Zur Strukturierung des Compliance-Bereichs bietet es sich in Anlehnung an die Matrix der Haftungsrisiken nach Bitkom an, die drei Dimensionen strategisch, konzeptionell und operativ zu verwenden. Gesetze und Verordnungen werden in diese Dimensionen untergliedert, im System hinterlegt und die unternehmensindividuelle Dokumentation der Umsetzung der entsprechenden Anforderung direkt zugewiesen.

Der Bereich „Advisory“ bzw. „Weisungswesen“ basiert auf gängigen IT-Standards. Diese sind in einer Art Informationsbibliothek abgebildet und fachlichen Ebenen zugeordnet. Für jede einzelne Ebene gilt es, entsprechende individuelle Regelungen im System einzustellen.

Der Bereich „Performance“ hat das Ziel, Effektivität und Effizienz bei der Auswahl der Maßnahmen zu gewährleisten. Er gliedert sich in einen strategischen Zweig („Tun wir die richtigen Dinge?“) und einen operativen Zweig („Tun wir die Dinge richtig?“).

Zur Beantwortung dieser Fragen wurden geeignete Kennzahlen konzipiert und integriert. Für jede der eingestellten Kennzahlen wird ein Ist-Wert erhoben und mit einem vorab im System hinterlegten Soll-Wert verglichen. Der aus dem Verhältnis resultierende Wert ist der so genannte Zielerreichungsgrad (ZEG). Im Sinne einer Kennzahlenhierarchie werden dabei mehrere Kennzahlen zu einer Kennzahlengruppe zusammengefasst und anschließend entsprechenden standardisierten Ebenen (Organisation, Notfallvorsorge etc.) zugewiesen. Sowohl die Kennzahlen als auch die Kennzahlengruppen und die Ebenen können individuell gewichtet und ausgewertet werden.

Die Zielsetzung des Bereichs „Audit“ ist es, die Qualität der getroffenen Regelungen bezüglich der IT-Security zu überprüfen bzw. sicherzustellen. Dabei gilt es, Audits nach standardisierten Katalogen wie zum Beispiel IT-Grundschutz, ISO 27002 oder IDW PH 9.330.1 durchzuführen.

Im Rahmen des Bereichs „Repository“ schließlich werden Business Impact-Analysen bezüglich der vorhandenen Geschäftsprozesse durchgeführt, um die wirtschaftliche Bedeutung dieser Prozesse zu identifizieren.

Aufbauend darauf diagnostiziert die Schutzbedarfsfeststellung für jedes in der IT-Strukturanalyse identifizierte IT-Objekt (Prozesse, Anwendungen, Systeme), inwiefern bezüglich der Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) Schutzbedarf besteht. Zudem ist für jedes IT-Objekt die Ausfallwahrscheinlichkeit (probability of default) für den besten Fall (most likely case) und für den schlechtesten Fall (worst case) zu ermitteln. Ergebnis dieser gesamten Prozedur ist eine Risk Map, in der genau identifiziert werden kann, an welchen Stellen noch Handlungsbedarf besteht.
Fazit
Nicht nur um in Zukunft negative Meldungen in Bezug auf einen unangemessenen Umgang mit elektronischen Daten zu vermeiden, wird das IT-Governance Management für die Banken in den nächsten Jahren eine der zentralen Rollen spielen. IT-Governance und IT-Compliance sind nicht als lästige und zeitraubende Pflicht zu verstehen, denn sie haben positive Effektivitäts- und Effizienzeffekte für die gesamte Unternehmensinfrastruktur. So können beispielsweise die Arbeitsaufwände durch die aufbereiteten und strukturiert vorhandenen Daten gesenkt sowie Berater- und Wirtschaftsprüfertage reduziert werden. Die transparentere Definition und Überprüfung von Zielvorgaben stellt sicherlich einen weiteren Vorteil dar.
Literatur
1) Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht: Konsultation - Neufassung der Mindestanforderungen an das Risikomanagement (MaRisk), BaFin 2007.
2) Vgl. Bundesverband Informationswissenschaft Kommunikation und neue Medien: Leitfaden - Matrix der Haftungsrisiken, www.bitkom.de/de/themen_gremien/36725_31034.aspx.
3) Vgl. Bieg, Hartmut; Krämer, Gregor; Waschbusch, Gerd: Bankenaufsicht in Theorie und Praxis, Bankakademie, 2003.
4) Vgl. Romeike, Frank; Finke, Robert: Erfolgsfaktor Risikomanagement, Chance für Industrie und Handel, Methoden, Beispiele, Checklisten, Gabler, 2003.
5) Vgl. Schaar, Peter: Datenschutz im Internet, C. H. Beck, 2002.
6) Vgl. Bundesrat: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG),
www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/BBD203-98.pdf?von=00000&bis=00000.