deen
Nexia Ebner Stolz

Rechtsberatung

Informationsrisikomanagement als IT-spezifische Anforderung der Finanzaufsicht – Herausforderungen bei der Umsetzung in der Praxis

Spätes­tens seit der Veröff­ent­li­chung der bank­auf­sicht­li­chen An­for­de­run­gen an die IT im No­vem­ber 2017 ist der Um­gang mit Ri­si­ken aus der In­for­ma­ti­ons­tech­no­lo­gie ein we­sent­li­cher Be­stand­teil des Ri­si­ko­ma­nage­ments ei­nes je­den In­sti­tuts. Hier­bei er­gibt sich die stei­gende Re­le­vanz für das Ma­nage­ment IT-spe­zi­fi­scher Ri­si­ken nicht nur aus den re­gu­la­to­ri­schen An­for­de­run­gen, son­dern auch aus ei­ner ge­stie­ge­nen Be­dro­hungs­lage für die IT der Un­ter­neh­men so­wie ei­ner zu­neh­men­den Di­gi­ta­li­sie­rung von Ge­schäfts­mo­del­len und -pro­zes­sen. Wie die Pra­xis der letz­ten Jahre je­doch ge­zeigt hat, stellt die kon­krete Aus­ge­stal­tung ei­nes an­ge­mes­se­nen und gleich­zei­tig prak­ti­ka­blen In­for­ma­ti­ons­ri­si­ko­ma­nage­ments die meis­ten In­sti­tute vor er­heb­li­che Her­aus­for­de­run­gen. Oft­mals be­ginnt die Schwie­rig­keit im Rah­men der Um­set­zung be­reits bei einem ein­heit­li­chen Verständ­nis des Ri­si­ko­be­griffs und setzt sich über die Aus­wahl ei­nes ge­eig­ne­ten Ri­si­ko­ma­nage­ment­pro­zess­mo­dells, der auf­bau- und ab­lauf­or­ga­ni­sa­to­ri­schen Aus­ge­stal­tung so­wie der In­te­gra­tion in das Ge­samt­ri­si­ko­ma­nage­ment des In­sti­tuts fort. Wir möch­ten ein grundsätz­li­ches Verständ­nis für die Sys­te­ma­tik ei­nes ganz­heit­li­chen In­for­ma­ti­ons­ri­si­ko­ma­nage­ment-Sys­tems ver­mit­teln. Zu­dem zei­gen wir we­sent­li­che Her­aus­for­de­run­gen und Lösungs­ansätze aus der Pra­xis auf.

Einordnung der regulatorischen Anforderungen in Bezug auf IT-spezifische Risiken

Zur Gewähr­leis­tung ei­ner ord­nungs­gemäßen Ge­schäfts­or­ga­ni­sa­tion muss ein In­sti­tut nach § 25a KWG bzw. AT 2.2 und AT 4 Ma­Risk über ein an­ge­mes­se­nes und wirk­sa­mes Ri­si­ko­ma­nage­ment verfügen. Das Ri­si­ko­ma­nage­ment dient ins­be­son­dere als Grund­lage für eine lau­fende Be­ur­tei­lung und Si­cher­stel­lung der Ri­si­ko­tragfähig­keit des In­sti­tu­tes. Hier­bei sind min­des­tens die fol­gen­den, aus Sicht der Auf­sicht we­sent­li­chen Ri­si­ken zu berück­sich­ti­gen:

  • Adres­sen­aus­fall­ri­si­ken (ein­schließlich Länder­ri­si­ken),
  • Markt­preis­ri­si­ken,
  • Li­qui­ditätsri­si­ken und
  • ope­ra­tio­nelle Ri­si­ken.

Die bank­auf­sicht­li­chen An­for­de­run­gen an die IT (BAIT) be­inhal­ten in Be­zug auf das Ri­si­ko­ma­nage­ment des In­sti­tu­tes spe­zi­fi­sche An­for­de­run­gen zum Ma­nage­ment von drei Ri­si­koun­ter­ar­ten des ope­ra­tio­nel­len Ri­si­kos. Dies sind die

  • In­for­ma­ti­ons­ri­si­ken (IT-Ri­si­ken),
  • IT-Pro­jekt­ri­si­ken so­wie
  • Ri­si­ken aus dem sons­ti­gen Fremd­be­zug von IT-Dienst­leis­tun­gen bzw. (we­sent­li­chen) Aus­la­ge­run­gen.

Im Fo­kus die­ses Ar­ti­kels ste­hen die In­for­ma­ti­ons­ri­si­ken. Es ist aus un­se­rer Sicht un­be­dingt an­zu­ra­ten, eine Be­trach­tung der an­de­ren bei­den Ri­si­koun­ter­ar­ten im Rah­men der Aus­ge­stal­tung der ei­ge­nen Ri­si­ko­ta­xo­no­mie der ope­ra­tio­nel­len Ri­si­ken vor­zu­neh­men.

Begriffsverständnis Informationsrisiken

Zum grund­le­gen­den Verständ­nis der Ri­si­ko­ta­xo­no­mie des In­sti­tu­tes in Hin­sicht auf das In­for­ma­ti­ons­ri­si­ko­ma­nage­ment ist es wich­tig nach­zu­voll­zie­hen, wie eine Ab­gren­zung zwi­schen In­for­ma­ti­ons­ri­si­ken (oder auch In­for­ma­ti­ons­si­cher­heits­ri­si­ken ge­nannt) und IT-Ri­si­ken er­folgt. In­for­ma­ti­ons­ri­si­ken und IT-Ri­si­ken ha­ben zwar eine große Schnitt­menge, können aber nicht ohne Wei­te­res ein­fach gleich­ge­setzt wer­den. So be­trach­ten In­for­ma­ti­ons­ri­si­ken auch Ri­si­ken für Nicht-IT-Werte (wie bei­spiels­weise Pa­pier­ak­ten), die keine IT-Ri­si­ken dar­stel­len. Zu­gleich kann es IT-Ri­si­ken ge­ben, bei de­nen der zu schützende Wert keine In­for­ma­tion dar­stellt (wie bei­spiels­weise der In­halt ei­nes Bar­geld­au­to­ma­ten). In der Pra­xis gibt es hierzu un­ter­schied­li­che Ansätze, wo­bei eine In­te­gra­tion der IT-Ri­si­ken in die Ri­si­koun­ter­art In­for­ma­ti­ons­ri­siko die gängigste Vor­ge­hens­weise ist. Dies be­trifft ebenso spe­zi­fi­sche IT-Ri­si­ken, wie bspw. die Cy­ber-Ri­si­ken. Die Auf­sicht hat eine ent­spre­chende Denk­weise und er­setzte in den ver­gan­ge­nen Jah­ren den Be­griff IT-Ri­siko suk­zes­sive in ih­ren Rund­schrei­ben durch das In­for­ma­ti­ons­ri­siko. Wie auch im­mer die Ri­si­ko­ta­xo­no­mie aus­ge­stal­tet ist, es muss im­mer si­cher­ge­stellt sein, dass alle re­le­van­ten Ri­si­ken in das Ri­si­ko­ma­nage­ment des In­sti­tuts mit ein­be­zo­gen sind.

Auswahl und Ausgestaltung des Informationsrisikomanagementsystems

Grundsätz­lich ver­fol­gen alle Ri­si­ko­ma­nage­ment­sys­teme das Ziel, Ri­si­ken zu iden­ti­fi­zie­ren, zu be­wer­ten und zu steu­ern bzw. zu über­wa­chen. Dies gilt eben­falls für das In­for­ma­ti­ons­ri­si­ko­ma­nage­ment. Nun gibt es natürlich auch hier un­ter­schied­li­che Ansätze für die Aus­ge­stal­tung der ein­zel­nen Pro­zess­schritte. Rat­sam ist es, sich hier­bei an gängi­gen Stan­dards zu ori­en­tie­ren. Dies ist auch sei­tens der Auf­sicht un­be­dingt ge­for­dert. Die zwei be­kann­tes­ten Stan­dards für die Um­set­zung ei­nes In­for­ma­ti­ons­ri­si­ko­ma­nage­ment­sys­tems sind die ISO-Norm 27005, als ver­bin­dende Norm zwi­schen der ISO 27001 und der ISO 31000, so­wie der BSI-Stan­dard 200-3. Beide Stan­dards ver­fol­gen eine ähn­li­che Her­an­ge­hens­weise, wo­bei sie sich im De­tail durch­aus un­ter­schei­den. Die ISO-Norm 27005 ist ins­ge­samt ge­ne­ri­scher vom An­satz und bie­tet da­her dem Un­ter­neh­men die Möglich­keit ei­ner in­di­vi­du­el­le­ren Um­set­zung. Der An­satz des BSI-Stan­dard 200-3 bie­tet kon­kre­tere Hil­fe­stel­lun­gen für die Im­ple­men­tie­rung, kann aber – wie häufig in der Pra­xis be­ob­ach­tet – dazu ver­lei­ten, die in­di­vi­du­elle Ri­si­ko­sicht des In­sti­tuts zu ver­nachlässi­gen. Wel­cher Stan­dard auch her­an­ge­zo­gen wird, er sollte im­mer mit den re­gu­la­to­ri­schen An­for­de­run­gen so­wie dem Rah­men­werk des In­for­ma­ti­ons­si­cher­heits­ma­nage­ments (z. B. der ISO-Norm 27001) im Ein­klang ste­hen und dies­bezüglich re­gelmäßig überprüft und ggf. an­ge­passt wer­den.

Die er­ste Her­aus­for­de­rung im Rah­men der Im­ple­men­tie­rung der ein­zel­nen Pro­zess­schritte des In­for­ma­ti­ons­ri­si­ko­ma­nage­ments be­trifft die Iden­ti­fi­zie­rung von In­for­ma­ti­ons­ri­si­ken. Hier gilt es zu­erst ein­mal zu ver­ste­hen, über wel­che Sys­te­ma­tik bzw. wel­chen Ka­nal In­for­ma­ti­ons­ri­si­ken auf der Grund­lage der gängi­gen Vor­ge­hens­mo­delle iden­ti­fi­ziert wer­den. Als gängi­ges Vor­ge­hens­mo­dell ist ins­be­son­dere der „Check­lis­ten-An­satz“ zu nen­nen, der auch in den BAIT im Ka­pi­tel zum In­for­ma­ti­ons­ri­si­ko­ma­nage­ment be­schrie­ben wird. Der An­satz ba­siert auf ei­ner Er­he­bung al­ler In­for­ma­ti­ons­kom­po­nen­ten (In­fra­struk­tur­ana­lyse) und dem dar­aus er­stell­ten In­for­ma­ti­ons­ver­bund. Der In­for­ma­ti­ons­ver­bund kann hier­bei un­ter­schied­lich de­tail­reich aus­ge­stal­tet wer­den. Im We­sent­li­chen sind hierin je­doch für das Ge­schäft re­le­vante In­for­ma­tio­nen als ober­ste Ebene des In­for­ma­ti­ons­ver­bun­des, Pro­zesse so­wie Teil­pro­zesse – in de­nen die In­for­ma­tio­nen als In- und Out­put-Fak­to­ren ver­ar­bei­tet wer­den – so­wie für die Pro­zesse und Teil­pro­zesse re­le­vante An­wen­dungs­sys­teme, Da­ten­ban­ken, Ser­ver, Netz­werk­kom­po­nen­ten und Gebäude ein­zu­be­zie­hen. Die ein­zel­nen In­for­ma­ti­ons­kom­po­nen­ten sind im Hin­blick auf ihre ge­gen­sei­tige Abhängig­keit bei der In­for­ma­ti­ons­ver­ar­bei­tung mit­ein­an­der zu verknüpfen. Diese Verknüpfung der ein­zel­nen In­for­ma­ti­ons­kom­po­nen­ten ist die Grund­vor­aus­set­zung für die spätere Ver­er­bung der Schutz­be­darfe im Rah­men der Schutz­be­darfs­fest­stel­lung. Da­her ist es auch von so großer Be­deu­tung, dass die Vollständig­keit der In­for­ma­ti­ons­kom­po­nen­ten (in­klu­sive de­ren be­ste­hende Abhängig­kei­ten) si­cher­ge­stellt ist. Oft­mals be­steht in der Pra­xis die Schwie­rig­keit, dass keine vollständige Land­karte der Ge­schäfts­pro­zesse vor­liegt, was zu einem er­heb­li­chen Auf­wand führen kann, wenn diese erst er­stellt wer­den muss. Zu­gleich zeigt dies be­reits beim Auf­bau ei­nes In­for­ma­ti­ons­ri­si­ko­ma­nage­ment­pro­zes­ses, dass das Ma­nage­ment von In­for­ma­ti­ons­ri­si­ken eine un­ter­neh­mens­weite und durch­aus kom­plexe Auf­gabe ist. Ne­ben den be­reits ge­nann­ten In­for­ma­ti­ons­kom­po­nen­ten ist drin­gend an­zu­ra­ten, auch durch die Fach­be­rei­che be­trie­bene oder ent­wi­ckelte An­wen­dun­gen (sog. in­di­vi­du­elle Da­ten­ver­ar­bei­tun­gen) so­wie Dienst­leis­ter in den In­for­ma­ti­ons­ver­bund mit auf­zu­neh­men. Durch die Auf­nahme von Dienst­leis­tern wird auch den wei­te­ren Kon­kre­ti­sie­run­gen der An­for­de­run­gen der BAIT vom 16.08.2021 nach­ge­kom­men, in de­nen die Ver­net­zung des In­for­ma­ti­ons­ver­bun­des mit Drit­ten ex­pli­zit ge­for­dert ist. Alle In­for­ma­ti­ons­kom­po­nen­ten sind zu in­ven­ta­ri­sie­ren und de­ren Ak­tua­lität ist an­hand von Kon­troll- und Über­wa­chungsmaßnah­men durch­ge­hend si­cher­zu­stel­len. Als In­ven­tar bie­tet sich eine Be­stands­ver­wal­tung in Form ei­ner Con­fi­gu­ra­tion Ma­nage­ment Da­ta­base (kurz CMDB) an.

Ist ein vollständi­ger In­for­ma­ti­ons­ver­bund ge­schaf­fen, gilt es, den Schutz­be­darf für die ein­zel­nen In­for­ma­ti­ons­kom­po­nen­ten zu be­stim­men und min­des­tens jähr­lich bzw. an­lass­be­zo­gen zu ak­tua­li­sie­ren. Hier­bei sind min­des­tens die vier Schutz­ziele

  • Ver­trau­lich­keit,
  • In­te­grität,
  • Verfügbar­keit und
  • Au­then­ti­zität

zu be­wer­ten.

Hin­weis: Die Au­then­ti­zität wird häufig auch als Teil der In­te­grität de­fi­niert.

Die Schutz­be­darfs­fest­stel­lung er­folgt in der Pra­xis häufig noch auf An­wen­dungs­ebene. Dies ist nicht zielführend und aus Sicht der Auf­sicht auch nicht an­ge­mes­sen, da es bei der Schutz­be­darfs­fest­stel­lung im We­sent­li­chen darum geht, das an­ge­strebte Schutz­ni­veau der In­for­ma­tio­nen zu be­stim­men und da­von abhängig, das Schutz­ni­veau al­ler In­for­ma­ti­ons­kom­po­nen­ten, die bei der Ver­ar­bei­tung der je­wei­li­gen In­for­ma­tion ein­ge­bun­den sind. Zielführen­der ist, die Schutz­be­darfs­fest­stel­lun­gen auf der Ge­schäfts­pro­zess­ebene un­ter Ein­be­zug der hier­bei ver­ar­bei­te­ten In­for­ma­tio­nen durch­zuführen. Im An­schluss sind die er­mit­tel­ten Schutz­be­darfe mit ge­eig­ne­ten Ver­fah­ren auf die ein­zel­nen im Ge­schäfts­pro­zess ver­wen­de­ten IT-Kom­po­nen­ten zu ver­er­ben. Die er­folg­ten Schutz­be­darfs­ana­ly­sen so­wie die hierzu an­ge­fer­tigte Do­ku­men­ta­tion ist gemäß den wei­te­ren Kon­kre­ti­sie­run­gen der An­for­de­run­gen der BAIT vom 16.08.2021 im An­schluss durch das In­for­ma­ti­ons­ri­si­ko­ma­nage­ment zu überprüfen.

Für die er­mit­tel­ten Schutz­ni­veaus der In­for­ma­ti­ons­kom­po­nen­ten gilt es, nun Schutzmaßnah­men in Form ei­nes Soll­schutzmaßnah­men­ka­ta­lo­ges zu de­fi­nie­ren. Hier­bei kann auf be­ste­hende An­for­de­rungs­ka­ta­loge, wie z. B. auf die ISO-Norm 27001 (An­nex A) oder auf das IT-Grund­schutz­kom­pen­dium des BSI, zurück­ge­grif­fen wer­den. Hier­bei ist je­doch ausdrück­lich dar­auf hin­zu­wei­sen, dass in­di­vi­du­elle An­for­de­run­gen, die sich bei­spiels­weise aus dem Ge­schäfts­mo­dell oder der in­sti­tuts­ei­ge­nen Gefähr­dungs­lage er­ge­ben, mit ein­be­zo­gen wer­den soll­ten. Zu­dem sind auch spe­zi­fi­sche ex­terne An­for­de­run­gen wie u. a. die der Auf­sicht (wie die Ma­Risk, BAIT, EBA GL), die des Bun­des­mi­nis­te­ri­ums für Fi­nan­zen (wie die GoBD) oder die von In­sti­tu­ten, die un­ter den § 8a BSIG (KRI­TIS) fal­len, zu berück­sich­ti­gen.

Im nächs­ten Schritt gilt es nun, auf der Ba­sis der An­for­de­rungs­ka­ta­loge, die bei­spiels­weise aus der ISO/IEC 27001 ab­ge­lei­tet sein können, Schwach­stel­len zu iden­ti­fi­zie­ren. Hierzu wer­den Soll-Ist-Ab­glei­che durch­geführt, an­hand de­rer kon­kret fest­ge­stellt wird, in­wie­fern die Soll­schutzmaßnah­men in Form von Ist-Schutzmaßnah­men im In­sti­tut um­ge­setzt wur­den. Ein ent­spre­chen­der Ab­gleich kann im Rah­men ei­nes ri­si­ko­ori­en­tie­ren Au­dit­plans oder auch im Rah­men ei­nes den Soll-Maßnah­men zu ge­schlüssel­ten in­ter­nen Kon­troll­sys­tems er­fol­gen. Die er­mit­tel­ten Schwach­stel­len sind der er­ste Hin­weis auf ein mögli­ches Ri­siko.

An die­ser Stelle stellt sich die Frage, ob aus­schließlich über die­ses Vor­ge­hen und die hier­aus fest­ge­stell­ten Schwach­stel­len In­for­ma­ti­ons­ri­si­ken iden­ti­fi­ziert wer­den können bzw. soll­ten. Die Ant­wort lau­tet ganz klar nein. Es gibt viele wei­tere Wege, über die Schwach­stel­len und da­mit po­ten­ti­elle In­for­ma­ti­ons­ri­si­ken zu er­ken­nen sind. Dies sind bei­spiels­weise Ad-hoc-Mel­dun­gen aus den Fach­ab­tei­lun­gen, Ma­jor-In­ci­dents, Fest­stel­lun­gen aus Prüfungs­be­rich­ten oder Be­rich­ten aus Si­cher­heits­ana­ly­sen, wie einem Pe­ne­tra­ti­ons­test, fest­ge­stellte Ab­wei­chun­gen aus dem Not­fall­ma­nage­ment und der Dienst­leis­terüber­wa­chung. Die Liste könnte be­lie­big wei­ter­geführt wer­den. Da­her sollte je­des In­sti­tut im Zuge des Auf­baus sei­nes ei­ge­nen In­for­ma­ti­ons­ri­si­ko­ma­nage­ment­sys­tems in­di­vi­du­ell eru­ie­ren, wel­che Wege hier zu be­trach­ten sind.

Mit den iden­ti­fi­zier­ten Schwach­stel­len geht es nun in den Pro­zess der Ri­si­ko­ana­lyse. Hier­bei ist es wich­tig zu ver­ste­hen, dass Schwach­stel­len nicht per se eine Gefähr­dung, bzw. die­ser nach­ge­la­gert, ein In­for­ma­ti­ons­ri­siko dar­stel­len. Hierzu müssen noch eine re­le­vante Be­dro­hung so­wie ein In­for­ma­ti­ons­wert, der durch die Schwach­stelle und die Be­dro­hung ei­ner Gefähr­dung un­ter­liegt, hin­zu­kom­men. Be­dro­hun­gen wer­den in der Pra­xis häufig auf der Grund­lage von stan­dar­di­sier­ten Be­dro­hungs­ka­ta­lo­gen (z. B. vom BSI) für die Ri­si­ko­ana­lyse her­an­ge­zo­gen. Um die spe­zi­fi­sche Be­dro­hungs­lage des ei­ge­nen In­sti­tuts aber wirk­lich be­ur­tei­len zu können und zu ken­nen, ist es drin­gend ge­bo­ten, re­gelmäßig auch ei­genständig Be­dro­hungs­ana­ly­sen durch­zuführen. Dies ist eben­falls aus Sicht der Auf­sicht er­for­der­lich. Wur­den re­le­vante Gefähr­dun­gen fest­ge­stellt, geht es im Pro­zess­ver­lauf wei­ter zur Be­wer­tung des In­for­ma­ti­ons­ri­si­kos

Hin­weis: Ri­si­ken sind gemäß De­fi­ni­tion des BSI re­le­vante und be­wer­tete Gefähr­dun­gen.

Im Rah­men der Ri­si­ko­be­wer­tung wird der Ri­si­ko­wert (Er­war­tungs­wert) an­hand des Scha­den­po­ten­ti­als, also der mögli­che Scha­dens­wert des Scha­dens­er­eig­nis­ses, so­wie der Scha­denshäufig­keit, also die Wahr­schein­lich­keit des Scha­dens­er­eig­nis­ses, be­rech­net. Hierzu wird oft­mals eine Ri­si­ko­ma­trix her­an­ge­zo­gen, die zu­gleich Ri­si­ko­klas­sen, un­ter Ein­be­zug des Ri­si­ko­ap­pe­tits des In­sti­tuts, be­inhal­tet. Die Pa­ra­me­ter der Ri­si­ko­be­wer­tung in­ner­halb des In­for­ma­ti­ons­ri­si­ko­ma­nage­ments müssen im­mer die Werte/Me­tho­dik des Ri­si­ko­ma­nage­ments des In­sti­tuts wie­der­ge­ben. Da­bei ist wich­tig zu berück­sich­ti­gen, dass das In­for­ma­ti­ons­ri­si­ko­ma­nage­ment Teil des Ge­samt­ri­si­ko­ma­nage­ments des In­sti­tuts ist und so­mit nicht an­de­ren Re­geln fol­gen kann. Die Ri­si­ko­be­trach­tung kann hier­bei in Form von Brutto- und Netto-Ri­si­ken er­fol­gen. Alle Ri­si­ken sind in einem Ri­si­ko­in­ven­tar zu er­fas­sen.

Die iden­ti­fi­zier­ten und be­wer­te­ten In­for­ma­ti­ons­ri­si­ken müssen im nächs­ten Schritt, wie alle Ri­si­ken des In­sti­tuts, ge­steu­ert und über­wacht wer­den. Auch hier gilt es, die Me­tho­dik und Vor­ga­ben des Ri­si­ko­ma­nage­ments des In­sti­tuts zu über­neh­men. Dies können bei­spiels­weise Re­ge­lun­gen zur Höhe und Ge­neh­mi­gung von Ri­si­ko­ak­zep­tan­zen sein. Grundsätz­lich ste­hen klas­si­sch fol­gende Steue­rungs­op­tio­nen für die In­for­ma­ti­ons­ri­si­ken zur Aus­wahl:

  • Ri­si­ko­ver­mei­dung (z. B. Work­arounds),
  • Ri­si­ko­trans­fer (z. B. IT-Ver­si­che­run­gen),
  • Ri­si­kom­in­de­rung (z. B. zusätz­li­che Schutzmaßnah­men oder Kon­trol­len) und
  • Ri­si­ko­ak­zep­tanz (z. B. Ak­zep­tanz von ge­rin­ge­ren Ri­si­ken durch das Ma­nage­ment).

Wie die Steue­rungs­pro­zes­ses schluss­end­lich aus­ge­stal­tet wer­den, ist abhängig vom je­wei­li­gen Ri­si­ko­ma­nage­ment des In­sti­tuts und kann da­her in der Pra­xis sehr un­ter­schied­lich sein. Glei­ches gilt für die Syn­chro­ni­sie­rung des vor­ge­la­ger­ten In­for­ma­ti­ons­ri­si­ko­ma­nage­ments mit dem Ma­nage­ment der ope­ra­tio­nel­len Ri­si­ken. Da In­for­ma­ti­ons­ri­si­ken Be­stand­teil der ope­ra­tio­nel­len Ri­si­ken sind, müssen auch diese im Rah­men der Ri­si­ko­tragfähig­keits­be­rech­nung des In­sti­tuts berück­sich­tigt wer­den. Hier gibt es in der Pra­xis un­ter­schied­li­che Ansätze, wie und ab wel­cher Höhe die In­for­ma­ti­ons­ri­si­ken hier mit ein­be­zo­gen wer­den so­wie in wel­cher Form die Mel­dung der In­for­ma­ti­ons­ri­si­ken an das Ri­si­ko­con­trol­ling er­folgt. Wich­tig ist hier­bei, dass die Pro­zesse den Vor­ga­ben des Ri­si­ko­ma­nage­ments des In­sti­tuts strin­gent fol­gen und dass alle Ri­si­ken auf der Ebene des In­for­ma­ti­ons­ri­si­ko­ma­nage­ments oder des Ri­si­ko­con­trol­lings ef­fek­tiv ge­steu­ert wer­den.

Da­mit das In­for­ma­ti­ons­ri­si­ko­ma­nage­ment sei­nen Auf­ga­ben wirk­sam und zielführend nach­kommt, ist es eben­falls wich­tig, dass eine re­gelmäßige Eva­lu­ie­rung der Pro­zesse des In­for­ma­ti­ons­ri­si­ko­ma­nage­ment­sys­tems vor­ge­nom­men wird. Das Thema der kon­ti­nu­ier­li­chen Ver­bes­se­rung wird der­zeit in der Pra­xis noch stark ver­nachlässigt. Hier soll­ten ent­spre­chende in­terne Kon­troll­sys­teme auf­ge­baut so­wie Ma­nage­ment-Re­views in ge­re­gel­ten Abständen er­fol­gen. Hin­weise auf die Ef­fi­zi­enz des In­for­ma­ti­ons­ri­si­ko­ma­nage­ment­sys­tems kann hier­bei auch die durch die in den BAIT ge­for­derte Be­richt­er­stat­tung an die Ge­schäfts­lei­tung ge­ben, wenn diese ent­spre­chend de­tail­liert aus­ge­stal­tet ist.

Herausforderungen bei der aufbauorganisatorischen Ausgestaltung eines Informationsrisikomanagements

Ab­schließend soll an die­ser Stelle noch ein­mal kurz auf die auf­bau­or­ga­ni­sa­to­ri­sche Aus­ge­stal­tung des In­for­ma­ti­ons­ri­si­ko­ma­nage­ments ein­ge­gan­gen wer­den, da die­ses Thema in der Pra­xis in Tei­len Dis­kus­si­ons­be­darfe her­vor­ruft. Das In­for­ma­ti­ons­ri­si­ko­ma­nage­ment ist eine Auf­gabe der zwei­ten Ver­tei­di­gungs­li­nie des Un­ter­neh­mens. So­mit darf die Funk­tion nicht durch den Be­reich IT, als er­ste Ver­tei­di­gungs­li­nie, ausgeübt wer­den. Viel­mehr muss die Funk­tion un­be­dingt vom Be­reich IT un­abhängig aus­ge­stal­tet sein. Übli­cher­weise wird das In­for­ma­ti­ons­ri­si­ko­ma­nage­ment durch das In­for­ma­ti­ons­si­cher­heits­ma­nage­ment – oft­mals durch den In­for­ma­ti­ons­si­cher­heits­be­auf­trag­ten – durch­geführt bzw. von die­sem ver­ant­wor­tet. Hin­ter­grund hierfür ist, dass das In­for­ma­ti­ons­ri­si­ko­ma­nage­ment einen der we­sent­li­chen Ma­nage­ment­pro­zesse ei­nes In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems dar­stellt (siehe z. B. die ISO-Norm 27001) und so­mit nur schwie­rig durch an­dere Funk­tio­nen, wie z. B. dem Ri­si­ko­con­trol­ling des In­sti­tuts, ver­ant­wor­tet wer­den kann. Wei­ter­hin ist für die ef­fek­tive Steue­rung und Über­wa­chung ei­nes In­for­ma­ti­ons­ri­si­ko­ma­nage­ments spe­zi­fi­sches IT-Wis­sen er­for­der­lich, worüber in der Re­gel nur das In­for­ma­ti­ons­si­cher­heits­ma­nage­ment und der Be­reich IT im In­sti­tut verfügt. Ne­ben der Ver­ant­wor­tung für die Über­wa­chung und Steue­rung des In­for­ma­ti­ons­ri­si­ko­ma­nage­ment­sys­tems gibt es noch wei­tere Auf­ga­ben und Ver­ant­wor­tun­gen in­ner­halb der Pro­zesse des Ma­nage­ments von In­for­ma­ti­ons­ri­si­ken. Dies be­trifft ins­be­son­dere die Ver­ant­wor­tung für die Be­wer­tung und Steue­rung von Ein­zel­ri­si­ken. Diese Ver­ant­wor­tung liegt im­mer bei dem je­wei­li­gen Ri­si­ko­ei­gentümer, der in den meis­ten Fällen der Ei­gentümer der durch die Aus­wir­kung des Ri­si­kos be­trof­fe­ner In­for­ma­tio­nen bzw. des Ge­schäfts­pro­zes­ses ist. Nur die­ser Ri­si­ko­ei­gentümer kann eine Ent­schei­dung hin­sicht­lich Ri­si­ko­be­wer­tung und Ri­si­ko­steue­rung tref­fen. Das In­for­ma­ti­ons­ri­si­ko­ma­nage­ment kann diese Ent­schei­dung, wie zum Teil in der Pra­xis ge­se­hen, nicht tref­fen. Eine be­ra­tende Funk­tion des In­for­ma­ti­ons­ri­si­ko­ma­nage­ments ist hier aber durch­aus not­wen­dig.

nach oben