Erwartungen der BaFin an die Informationssicherheit bei Banken

Informationssicherheit bei Banken und die Anforderungen der BaFinGelegentlich werden wir zur Beurteilung der Informationssicherheit bei Banken herangezogen. Teilweise im Rahmen der direkten Unterstützung des Informationssicherheitsmanagements oder in Form der fachlichen Unterstützung der internen Revision einer Bank.

Bei einem unserer Projekte ging es um die Beurteilung der Informationnssicherheit einer Bank durch die interne Revision mit unserer fachlichen Unterstützung. Hierbei galt es insbesondere zu prüfen, ob die Erwartungen der Bankenaufsicht an die Informationssicherheit in dem Institut adäquat umgesetzt wurden.

Informationssicherheit bei Banken und die Anforderungen der BaFin

Grundlage  für die Prüfung waren die diesbezüglichen Anforderungen aus den MaRisk sowie die angemessene Umsetzung der veröffentlichten  Erwartungen des BaFin an die IT Sicherheit bei Banken. Darüber hinaus haben wir weitere Publikationen des BaFin mit Aussagen zur IT Sicherheit bei Banken, beispielsweise im BaFin-Journal, Ausgabe November 2013, auf Seite 22, bei unserer Prüfung, berücksichtigt.

Grundsätzlich erwartet das BaFin bei Banken eine ISO 27001 konforme Umsetzung im Bereich der Informationssicherheit, am besten auf Basis von IT-Grundschutz des BSI. Jedoch können die Maßnahmen der ISO 27001 ggf. nicht mehr ausreichend sein, um die Informationssicherheit in einer Bank zu gewährleisten. In diesem Fall müssen die Banken zusätzliche Sicherheitsmaßnahmen implementieren.

Gerne unterstützen wir Banken bei der Einführung eines Informationssicherheitsmanagements gemäß ISO 27001 bzw. führen entsprechende Zertifizierungen des Informationsverbundes durch. Sprechen Sie uns einfach an.

Prüfung der Sicherheit von RACF und DB2 unter z/OS

Revision von z/OS in Verbindung mit RACF, DB2 und CICSBei diesem Projekt galt es die Ordnungsmäßigkeit und Sicherheit von RACF und DB2 sowie CICS unter dem Betriebssystem z/OS bei einer Bank zu prüfen.

In einem ersten Schritt wurden die vorhandenen Sicherheitskonzepte bezüglich RACF und DB2 sowie CICS sowie deren Integration in das Betriebssystem z/OS bewertet. Unter Berücksichtigung der hierbei gewonnenen Erkenntnisse wurde anschließend überprüft, ob die in den Konzepten getroffenen Vorgaben für RACF, DB2 und CICS in den Systemeinstellungen korrekt umgesetzt wurden und die vorgenommenen Einstellungen dazu geeignet waren, einen wirksamen Zugriffsschutz zu gewährleisten.

Anschließend wurden die vorhandenen Zugriffsberechtigungen in den einzelnen Subsystemen ermittelt und einer Beurteilung unterzogen.

Hierbei wurden die folgenden Aspekte betrachtet:

  • Administration und Systemkonfiguration
  • Benutzermanagement
  • sensitive Systemprivilegien
  • interne und externe DB2-Sicherheit
  • Sicherheit der Zugriffspfade (RACF, SQL, ODBC, JDBC, Netz)
  • Funktionstrennung

Abschließend wurde beurteilt, ob die im laufenden Betrieb getroffenen Maßnahmen ausreichen, die Ordnungsmäßigkeit und Sicherheit von RACF, DB2 und CICS zu gewährleisten. Hierbei wurden u.a. die folgenden Aspekte betrachtet:

  • Wartung und Betrieb
  • Einsatz kritischer Tools
  • Backup- und Recoveryvorkehrungen
  • SMF-Protokollierung und Auditing.

K-Fall-Test gemäß BSI Notfallmanagement

Notfallmanagement Prozess kontinuierlich verbessernBei dem Projekt K-Fall Test galt es, die getroffenen Maßnahmen gemäß BSI Notfallmanagement zu beurteilen und nachzuweisen. Grundlage für die Prüfung bildete der BSI-Standard 100-4 Notfallmanagement. In diesem Zusammenhang wurden das Notfallhandbuch, die Notfallorganisation, die Notfallmanagementprozesse sowie die geplanten Aktivitäten für den K-Fall Test bei dem IT-Dienstleister eines Banken-Verbandes beurteilt und der anschließend durchgeführte K-Fall Test vor Ort begleitet.

Der BSI Notfallmanagement wird in dem BSI Standard 100-4 umfangreich beschrieben und behandelt im Wesentlichen die folgenden Themengebiete:

  • Notfallmanagement Prozess
  • Initiierung des Notfallmanagement Prozesses
  • Konzeption des Notfallmanagements
    • Business Impact Analyse
    • Risikoanalyse
    • Aufnahme des Ist-Zustandes
    • Kontinuitätsregeln
    • Notfallvorsorgekonzept
  • Umsetzung des Notfallvorsorgekonzepts
  • Notfallbewältigung und Krisenmanagement
  • Test und Übungen
  • Aufrechterhaltung und kontinuierliche Verbesserung

Ziel des Projektes war es u.a., die Katastrophenfall-Fähigkeit der wesentlichsten Anwendungssysteme im Rahmen des geplanten Notfalltests unter Beweis zu stellen und gegenüber den Kunden des IT-Dienstleisters in Form einer Bescheinigung zu bestätigen. Bei der Erstellung des Notfallhandbuches sowie der darauf aufbauenden Notfallmaßnahmen wurde darauf geachtet, dass neben den Anforderungen aus dem BSI-Standard 100-4 BSI Notfallmanagement auch die bankaufsichtsrechtlichen Sachverhalte des BaFin (Bundesamt für Finanzdienstleistungsaufsicht)  berücksichtigt wurden und die geschäftskritischen Anwendungen für die Banken innerhalb von maximal vier Stunden wieder zur Verfügung gestellt werden konnten. Hierbei galt es, die IT-Systeme mit den geschäftskritischen Anwendungen zu bestimmen und die Abhängigkeiten dieser Systeme im Rahmen des Notfalltests, insbesondere jedoch im Rahmen der Wiederherstellung des Produktionsbetriebes, zu untersuchen.

Vor Beginn des eigentilichen Notfalltests wurden der K-Fall in Form eines „Trockentest“ durchgespielt. Im Anschluss daran wurde der eigentliche K-Fall getestet. Hierzu wurden die Produktionssysteme an einem Feiertag nahezu vollständig ausgeschaltet. Im Anschluss daran wurde anhand des zuvor gemeinsam erarbeitete Notfallhandbuches der Wiederanlauf im Backup-Rechenzentrum des IT-Dienstleisters innerhalb der maximalen Ausfallzeit von vier Stunden wiederhergestellt. Dieser Notfallbetrieb wurde über mehrere Tage aufrechterhalten. An einem darauf folgenden Wochenende wurde die Rückführung in den Normalbetrieb, d.h. der IT-Betriebes wurde im eigentlichen Produktionsrechenzentrum wiederhergestellt.

Die Kunden des IT-Dienstleisters wurden im Anschluss über den erfolgreichen Katastrophenfall-Test informiert und der erfolgreiche K-Fall-Test wurde in Form eines Testats bescheinigt.

ISO 27001 Zertifikat für ein Stadtwerk erteilt

Erteilung eines ISO 27001 Zertifikat für ein StadtwerkZiel dieses Projektes war die erfolgreiche Durchführung einer ISO 27001 Erst-Zertifizierung bei einem regionalen Energieversorger bzw. Stadtwerk, so dass im Anschluss ein ISO 27001 Zertifikat auf Basis von IT-Grundschutz durch das BSI ausgestellt werden konnte.

Grundlage für die Zertifizierung war das Zertifizierungsschema des BSI. Vor der ISO 27001 Zertifizierung wurde vom Auftraggeber im Rahmen eines über mehrere Monate laufenden internen Projektes die notwendige Dokumentation erstellt sowie die entsprechenden Maßnahmen umgesetzt und erforderliche Prozesse eingeführt.

Projekt: ISO 27001 Zertifikat auf Basis von IT-Grundschutz bei einem Stadtwerk / Energieversorger

Im Zusammenhang mit der ISO 27001 Zertifizierung bei dem Stadtwerk haben wir

  • eine Prüfung der vorhandenen Dokumentation sowie
  • eine Prüfung der vom BSI geforderten Referenzdokumente

durchgeführt. Hierbei haben wir besonders auf die Ausgestaltung der Prozesse des Informationssicherheitsmanagements (ISMS) sowie die korrekte Umsetzung der zu prüfenden Bausteine aus den IT-Grundschutzkatalogen geachtet. Im Anschluss an die Dokumentationsprüfung wurde mit dem ISO 27001 Audit vor Ort fortgefahren und in Stichproben geprüft, ob die in der Dokumentation enthaltenen Angaben angemessen und sachgerecht umgesetzt wurden.

Projektergebnis

Die Ergebnisse über die Dokumentationsprüfung sowie die Prüfung bei dem Auftraggeber vor Ort wurden im Anschluss in einem Auditbericht festgehalten. Dieser wurde dem BSI zur weiteren Prüfung vorgelegt und anschließend wurde vom BSI das ISO 27001 Zertifikat auf Basis von IT-Grundschutz erteilt. Das Projekt wurde von uns innerhalb Time und Budget durchgeführt.

Hinweis!

Bundesnetzagentur schreibt ISO 27001 Zertifizierung vor.

Eine ISO 2001 Zertifizierungen wurde kürzlich von der Bundesnetzagentur für alle Netzbetreiber gefordert und diese hat die Anforderungen in einem ersten  IT Sicherheitskataloges zusammengestellt. Gemäß diesem Sicherheitskatalog sollen alle Netzbetreiber verpflichtet werden, bis spätestens 31. Januar 2018 ein Informationssicherheitsmanagement (ISMS)  gemäß ISO 27001 aufzubauen. Hierbei soll der IT Sicherheitskatalog auf alle Netzkomponenten oder Teilsysteme, die einem unmittelbaren oder mittelbaren Einfluss auf die Netzfahrweise haben, angewendet werden. Hiervon sind fast alle Netzbetreiber betroffen.


Wir unterstützen Sie gerne bei dem Aufbau eines Informationssicherheitsmanagements (ISMS) gemäß ISO 27001, beispielsweise durch ein aktives Coaching Ihrer Mitarbeiter und die Erstellung der notwendigen Dokumentationsunterlagen bzw. bei der Implementierung der notwendigen Prozesse. Außerdem nehmen wir gerne ISO 27001 Zertifizierungsaufträge von Kunden entgegen, bei denen wir nicht zuvor in einem ISO 27001 Beratungsprojekt mitgewirkt haben.

Auf unserer Kontaktseite finden Sie alle Möglichkeiten, mit uns in Kontakt zu treten.