Skip to main content
Bewertung der Unternehmens IT durch Banken und Versicherungen als Teil des operationellen Risikos nach Basel II und III
Allgemein

Bewertung der Unternehmens IT durch Banken und Versicherungen als Teil des operationellen Risikos nach Basel II und III

von 21. Juli 2016August 9th, 2021Keine Kommentare

Unternehmen, die vor der Entscheidung stehen, auch sicherheitskritische Daten (im Hinblick auf den Unternehmenserfolg) bei sich vor Ort, also in einer eigenen IT-Infrastruktur zu halten oder Daten – beispielsweise im Rahmen von SharePoint Online – in eine gesicherte externe Umgebung zu speichern, müssen eine Reihe von Fragen für sich beantworten und eine Risikoabwägung vornehmen.
Hilfreich ist zu verstehen, wie Banken das Risiko im Hinblick auf eine mögliche Kreditvergabe beurteilen.

Operationelles Risiko als Faktor für die Kreditvergabe

Wenn Unternehmen einen Kredit beantragen, bewertet die Bank natürlich als erstes die Unternehmenskennzahlen, also etwa die Bilanz des Unternehmens. Nach den Eigenkapitalvorschriften nach Basel II und Basel III wird aber ebenso das „operationelle Risiko“ bewertet.

Den Begriff des „operationellen Risikos“ definiert der Baseler Ausschuss als „Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen eintreten“. Einer der betrachteten Schlüsselbereiche ist dabei auch die IT eines Unternehmens. Dort gelagerte Risiken zu reduzieren, ist also elementar. Defizite in der IT können hohe Sollzinsen oder gar Kreditabsagen bewirken.

Aber welche Kriterien legt die Bank bei der Beurteilung des Risikos an?
Zunächst wird beurteilt, ob die Daten einen elementaren Wert für den Unternehmenserfolg darstellen. Das können wertvolle Konstruktionszeichnungen oder patentierte Verfahrensbeschreibungen sein, die besonders gegen Datenverlust geschützt werden müssen. Ein Verlust von Daten durch Schäden an der IT, beispielsweise durch einen Brand oder gar der Zugriff von unbefugten Dritten auf unternehmenskritische Daten könnte direkt zu einer Gefährdung des Unternehmens führen.

Anschließend wird genau untersucht, welche Maßnahmen das Unternehmen betreibt, um dem Datenverlust vorzubeugen und welches Risikomanagement greift.

 

Wesentliche Faktoren, die bewertet werden, sind:

Wie erfolgt die …

  • …Zutrittskontrolle (Vermeidung unbefugten Zutritts auf DV-Anlagen)
  • …Zugangskontrolle (Vermeidung unbefugter Nutzung von DV-Systemen)
  • …Zugriffskontrolle (Berechtigte Anwender können ausschließlich auf die ihrer Berechtigung unterliegenden Daten zugreifen)
  • …Weitergabekontrolle (Daten können bei elektronischer Übertragung, Transport oder ihrer Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden)
  • …Eingabekontrolle (Ermöglicht die nachträgliche Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt wurden)
  • …Auftragskontrolle (Daten, die im Auftrag verarbeitet werden, können nur entsprechend der Weisung des Auftraggebers verarbeitet werden)
  • …Verfügbarkeitskontrolle (Daten sollen gegen zufällige Zerstörung oder Verlust geschützt sein)

Das Unternehmen muss auf all diese Fragen eine befriedigende Antwort liefern und den Nachweis führen, wie die Kontrollen umgesetzt werden. Daraus folgend muss das Risikomanagement des Unternehmens unter anderem folgenden Anforderungen entsprechen:

  • Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Ihre Eignung ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.
  • Für Notfälle in kritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen mitzuteilen.
  • Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind festzulegen. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen.

Letztendlich geht es um die Beurteilung der Datensicherheit!

ISO-Zertifizierung als Möglichkeit zur Einhaltung der Banken-Anforderungen

Um möglichst attraktive Konditionen bei der Bank oder Versicherung zu erhalten, muss das Unternehmen also die o. a. Fragen befriedigend beantworten und die Vorgaben umfassend erfüllen. Eine Möglichkeit bietet die Zertifizierung der IT nach ISO 27001. Die Norm ISO/IEC 27001 ist der internationale Standard für die Realisierung eines wirksamen Informationssicherheit-Managementsystems (ISMS) und bildet die strukturelle Basis zum Schutz von vertraulichen Daten, für die Sicherstellung ihrer Integrität sowie zur Verbesserung der Verfügbarkeit von Informationen.

Zertifizierung der Unternehmens-IT nach ISO 27001

Die notwendige Zertifizierung kann durch ein festgelegtes Verfahren erlangt werden und ist leider sehr zeit- und kostenaufwändig; das dabei erlangte „Grundschutz-Zertifikat“ ist zwei Jahre gültig und muss entsprechend erneuert werden. Die Zertifizierung der eigenen IT-Infrastruktur leisten sich überwiegend nur Großunternehmen, für den Mittelstand ist die Zertifizierung meist zu kostenaufwändig und bindet gleichzeitig noch interne Ressourcen für die Durchführung.

Alternativ: Einsatz einer ISO-zertifizierten Lösung eines externen Anbieters

Alternativ zur kostenaufwändigen Zertifizierung eigener Lösungen kann gefahrlos auf Microsoft-Lösungen gesetzt werden.
SharePoint-Online, Exchange Online und CRM Dynamics sind selbstverständlich nach ISO 27001 zertifiziert und entsprechend daher den strengen Beurteilungskriterien nach Basel II und Basel III. Mit dem Einsatz dieser Lösungen wir also die Zertifizierungssicherheit der Unternehmens-IT gewährleistet.

Je mehr der Geschäftsbetrieb auf die technische Infrastruktur angewiesen ist, desto stärker hängt letztlich auch die Bonität und somit die Kreditentscheidung von einem aktiven IT-Risk-Management ab. Wer bei der IT spart, indem er auf nicht-zertifizierte Lösung setzt, verschlechtert sein Rating und kann in zweiter Konsequenz durch ungünstige Kreditkonditionen mehr Kapital verlieren, als er durch seine Sparmaßnahmen gewinnt.

 

Bildquelle: pixabay

Tags:

Martin Ihde

Martin Ihde

Jahrgang 1970, geboren und aufgewachsen in Berlin. Martin lebt und arbeitet seit 2008 in Schleswig-Holstein. Der Schwerpunkt seiner Arbeit liegt im Produktmanagement und der Projektleitung. Auch nach über 20 Jahren Erfahrung in der IT- und Telekommunikationsbranche ist er neugierig geblieben und interessiert sich für neue Ideen und Lösungen. Privat hält ihn seine Familie mit zwei Töchtern auf Trab. Martin kocht gerne thailändisch, interessiert sich für Gegenwartsliteratur, hört viel Musik (gerne auf Vinyl) und fährt bei Wind und Wetter mit dem Fahrrad. Kontaktieren Sie Martin Ihde auf Xing oder LinkedIn.

Kommentiere den Beitrag

Bleiben Sie auf dem Laufenden mit unserem Newsletter

Jetzt zum Dicide Newsletter anmelden und monatlich Tipps & Tricks für modernes Arbeiten sichern!