Digitalization

Die Digitalisierung vereinfacht in der Finanzwelt zahlreiche Prozesse. Online Banking und bargeldloses Bezahlen sind längst selbstverständlich. Doch ohne Schutz haben Hacker leichtes Spiel.

Moderne Bankräuber manipulieren Zahlungsströme und Transaktionen, um Milliardensummen zu erbeuten. Zu den wichtigsten Aufgaben in der Finanzwelt zählt deshalb der Schutz von Geschäftsprozessen und sensiblen Kundendaten. Allerdings besteht in vielen Banken noch Nachholbedarf bei der IT-Sicherheit. Nicht jedes Geldinstitut hat bereits auf die gestiegenen Anforderungen reagiert. Die Bundesanstalt für Finanzdienstleistungsaufsicht BaFin kritisierte im September, dass in vielen Unternehmen die IT-Infrastruktur veraltet und störanfällig ist. Effektiver Schutz ist gefragt, denn auch die Europäische Zentralbank befürchtet, dass Cyberattacken eine neue Finanzkrise auslösen könnten.

Um eine Beeinträchtigung oder gar einen Ausfall mit erheblichen Störungen bei der Versorgung und der öffentlichen Sicherheit vermeiden zu können, müssen Banken das Sicherheitsniveau ihrer IT-Systeme deshalb nachweisen. Die BaFin fordert in den Mindestanforderungen an das Risikomanagement (MaRisk) von jedem Kreditinstitut die Umsetzung eines wirksamen Informationssicherheits-Managementsystems. Laut IT-Sicherheitsgesetz zählen Banken und Finanzdienstleister zu den kritischen Infrastrukturen (KRITIS), wenn sie bestimmte Kriterien erfüllen. Deshalb müssen sie bis zum 30. Juni 2019 nachweisen, dass ihre IT-Systeme angemessen geschützt sind.

 

Sichere Systeme gefordert

„Die IT-Infrastruktur im Bereich Cash Management hat ein hohes Transaktionsvolumen zu gewährleisten und ist daher von den Regelungen des IT-Sicherheitsgesetzes betroffen“, sagt Christoph Bernius, Chief Information Security Officer und Abteilungsleiter Information Security Management der Helaba. „Aus diesem Grund müssen wir alle zwei Jahre nachweisen, dass alle betroffenen Systeme dem Stand der Technik nach angemessen geschützt sind.“ Die Helaba begann deshalb bereits 2016, ein Informationssicherheits-Managementsystem aufzubauen und nach der Norm ISO 27001 auszurichten.

Eine Zertifizierung des Systems wurde schon zu Beginn der Umsetzung geplant. Damit deckt die Helaba auch die regulatorischen MaRisk-Vorgaben ab. „Die Bafin erwartet von jedem Kreditinstitut ein wirksames Informationssicherheits-Managementsystem“, sagt Christoph Bernius. „Indem wir unser Cash Management nach ISO 27001 zertifizieren lassen, gehen wir sogar weiter, als aufsichtsrechtlich gefordert.“

 

Zahlungsverkehr unter der Lupe

Während des Audits wurde das Informationssicherheits-Managementsystem an allen Stellen gründlich untersucht. Das Spektrum reichte von der Kompetenz der Mitarbeiter über das Lieferantenmanagement bis zum physischen und umgebungsbezogenen Schutz, etwa der Sicherheit der genutzten Rechenzentren. Weil die Helaba Cash Management ausschließlich an den Standorten Offenbach, Erfurt, Düsseldorf und Berlin betreibt, kam bei der Zertifizierung sogenanntes ein Multi-Site-Verfahren zum Einsatz.

„Beim Audit lag der Fokus auf den Prozessen des Zahlungsverkehrs und den dafür genutzten Systemen“, berichtet Marcus Ackermann, Lead-Auditor für Informationssicherheits-Managementsysteme bei TÜV Hessen. „Bei der Beurteilung der einzelnen Standorte spielen immer mehrere Aspekte eine Rolle: Von der Anzahl der Mitarbeiter über die erbrachten Dienstleistungen der Niederlassung bis zum damit einhergehenden Risiko.“

 

Premiere für eine Landesbank

Das Ergebnis konnte überzeugen. Die Helaba absolviert regelmäßig interne Audits und Managementbewertungen. Die Managementbewertung ist fester Bestandteil des kontinuierlichen Verbesserungsprozesses, der zudem von definierten und überwachten Zielen zur Informationssicherheit unterstützt wird. Das Risikomanagement ist in der Bank darüber hinaus etabliert und wirksam. Das Management von Sicherheitsvorfällen findet ordnungsgemäß statt und Maßnahmen zur Korrektur und zur zukünftigen Prävention werden anlassbezogen umgesetzt. Die Ergebnisse fließen in das Risikomanagement ein und sorgen so für eine weitere Optimierung.

Mit der Zertifizierung nach ISO 27001 verfügt die Helaba als erste Landesbank bundesweit über eine nachgewiesene Informationssicherheit. Dabei soll es nicht bleiben. Um die gestiegenen Anforderungen an Systeme und Infrastruktur zu erfüllen, stehen weitere Projekte auf dem Programm. „Das zertifizierte Informationssicherheits-Managementsystem war nur der erste Schritt“, sagt Marcus Ackermann. „Damit Daten und Informationen auch nach dem aktuellen Stand der Technik geschützt sind, muss künftig auch der branchenspezifische Sicherheitsstandard erfüllt werden. Auf diesem Weg begleiten wir die Helaba gerne.“