IDV – Blaupause oder Maßanzug?

IDV – Blaupause oder lieber Maßanzug?

Das Thema kennen alle. Schnell eine Datenabfrage in der operativen Anwendung starten und in Excel die Daten weiterverarbeiten, mehrere Datenquellen und Sichten miteinander verknüpfen, einige Verweise zu anderen Datenquellen – und ein neues Reporting, eine Auswertung für das Management stehen bereit. Die Excel-Datei speichern und per Mail zur Verfügung stellen, wer denkt in der Kette noch an den Schutzbedarf der eigentlichen Daten aus der ehemals gesicherten Anwendung?

Alle Schutzmaßnahmen, die die eigentliche Anwendung mit sich bringt, um die Kriterien Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen, sind ausgehebelt, für die Excel-Datei oder ACCESS-Anwendung gelten ab sofort eigene Regeln – die Regeln der Ersteller und User.

Gegen diese weitverbreitete und in der Praxis auf Grund mangelnder IT-Unterstützung auch notwendige Vorgehensweise wirken die Vorgaben der MaRisk und BAIT, der VAIT und KAIT für den Umgang mit Individueller Datenverarbeitung – „IDV“. Vor der Herausforderung, das Thema IDV in Banken, Versicherungen und Kapitalverwaltungsgesellschaften organisatorisch durch geeignete Methoden, Verfahren und Prozesse zu regeln, stehen fast alle Institute. Dabei ist es wesentlich, risikoorientiert das richtige Maß zu finden: Ein „zu viel“ lähmt die Organisation und ist je nach Auswirkung praktisch nicht lebbar; die Umsetzung eines Minimalprinzips wird den regulatorischen Anforderungen nicht gerecht.

In der Praxis suchen die Institute daher gern nach einer Blaupause, einem Standardvorgehen, mit dem das notwendige, ungeliebte und scheinbar kleine Thema einfach und schnell gelöst werden kann- die Realität ist leider nicht so einfach, da die Thematik „IDV“ äußerst vielschichtig ist!

Ein wesentlicher methodischer Aspekt „von der Stange“ ist eine Prozesslandkarte als Einstiegsbasis. Die relevanten Bereiche/Prozesse werden benannt und bilden in der Folge ein Raster, an Hand dessen diverse Elemente von vorne hinein aus dem IDV-Verfahren ausgeklammert werden können. Gerade bei Dienstleistern von Branchen, die das Thema IDV über die Auslagerungsanforderungen ihrer Kunden überhaupt erst „erben“, ist dieses Vorgehen dringend zu empfehlen.

Weitere Leitplanke und Ausgangspunkt für die Einordnung einer Datei als IDV/non-IDV bietet das Informationssicherheitsmanagement, welches den zentralen Rahmen in Bezug auf die Ermittlung des Schutzbedarfs bereitstellt. Bei der Quantifizierung möglicher Schäden kann auf die finanziellen Schadensklassen aus dem OpRisk zurückgegriffen werden.

Ein darauf aufsetzendes Standardverfahren als einfaches, aber sicheres Raster und Vorgehensmodell, welches schnell implementiert werden kann und den Fachbereichen als Hilfsmittel für die nachvollziehbare und fachbereichsübergreifend einheitliche Identifikation von IDV dient, ist oftmals der sinnvolle Einstiegspunkt für die konkrete IDV-Umsetzung.

Innerhalb dieses Rasters ist jedoch zwingend eine Austarierung erforderlich, um das Thema „IDV“ für das jeweilige Institut angemessen auszugestalten. Hier stellt sich -abhängig von einer Vielfalt von Themen – die Frage nach dem Umfang der zu implementierenden Maßnahmen: „Ab welcher Komplexität einer Excel-Lösung benötige ich einen formalen Softwareentwicklungsprozess? Ab wieviel Zeilen Code spricht man von „echter“ Programmentwicklung? Was ist mit nur einmalig genutzten Lösungen? Wie löst man die Anforderung der zentralen Inventarisierung sowie der Archivierung?

Die Erfahrungen aus diversen Projekten haben gezeigt: Es gibt für diese Fragen nicht DIE EINE Lösung. Mit Sicherheit sind viele Aspekte grundsätzlich eins zu eins für alle nutzbar, erfordern aber immer individuelle Anpassungen, zugeschnitten auf das Geschäftsmodell, die IT-Landschaft und die Organisation. In der Regel beinhaltet eine neue Lösung für ein IDV-Verfahren 50(+) % an Individualität!

In hohem Maße sinnvoll ist die Abschichtung entlang der Schutzbedarfskategorien – Anforderungen resultierend aus dem Schutzbedarf der Vertraulichkeit oder Verfügbarkeit sind deutlich anders zu behandeln als Anforderungen an eine hohe oder sehr hohe Integrität einer Lösung. Gerade an dieser Stelle ist der Maßanzug gefragt, um zu verhindern, dass in der Breite eine viel zu große Lösung mit erheblichem Mehraufwand etabliert wird, welche trotz Ihres Umfangs für die Risikoreduktion nahezu keinen Mehrwert bietet. Bei der Erfüllung der Schutzanforderungen an die Verfügbarkeit können die Notfallpläne eines Unternehmens in aller Regel herangezogen werden, Anforderungen resultierend aus der Vertraulichkeit sind oftmals bereits über bestehende Maßnahmen im Kontext der Umsetzung der DSGVO und ein funktionierendes Benutzerberechtigungsmanagement sichergestellt.

Kritisch sind praktisch immer Lösungen, bei denen hohe oder sehr hohe Anforderungen an die Integrität gestellt werden, da diese vollumfänglich nach einem Anwendungsentwicklungsprozess zu bearbeiten sind. Hier liegt objektiv die größte Herausforderung und auch das größte Risiko für ein Unternehmen. In allen Bereichen des geforderten „anständigen“ Entwicklungsprozesses gibt es in der Regel gravierende Mängel, es fehlt an einer (ausreichenden) Dokumentation, einer Trennung von Entwicklungs-, Test und Produktionsumgebung sowie eines geregelten Testvorgehen, d.h. eine geordnete Softwareentwicklung findet erst gar nicht statt.

So wird aus dem anfangs vermeintlich kleinen Thema IDV schnell ein grundsätzliches Thema in der Anwendungsentwicklung und dem IT-Sicherheitsmanagement wie auch das Schaubild zeigt.

Fazit: Ziel der Umsetzung von Anforderungen an die IDV muss es sein, ein schlankes, aber wirkungsvolles Verfahren zu entwickeln, dieses im Sinne der Effizienz mit Augenmaß auszugestalten und dabei mit den bestehenden ISM-Verfahren und weiteren Ergebnistypen, u.a. dem BCM in den Instituten zu verzahnen.

Mit einem derart abgestimmten IDV-Verfahren, das die Facetten der aufsichtsrechtlichen Anforderungen abdeckt und gleichzeitig die spezifischen Bedürfnisse eines Instituts risikoorientiert abbildet, ist auch das Thema IDV schlank und wirkungsvoll in der Organisation zu verankern. Eine Blaupause ist dabei sinnvoll zum Start, aber Maßnehmen sollte man dennoch.

tomoro Task force Ansprechpartner

IDV – Blaupause oder Maßanzug?