- Startseite
-
- Prozesse optimieren
-
- Komplexität als Preis für Sicherheit – muss das sein?
Komplexität als Preis für Sicherheit – muss das sein?
In der täglichen Arbeit einer Sparkasse gibt es viele Abläufe, die über den klassischen Bankbetrieb hinausgehen, wie etwa der Kauf von Software oder der Abschluss von Verträgen. Diese Entscheidungen können weitreichende, oft nicht sofort sichtbare Folgen haben und lösen eine Reihe von erforderlichen Handlungen aus, die auf verschiedene interne sowie externe Regelwerke oder gesetzliche Vorgaben zurückzuführen sind.
Ein einfaches Beispiel:
Ein Fachbereich möchte eine Web-Anwendung anschaffen. Auf den ersten Blick scheint dies ein einfacher Prozess zu sein, denn ich muss eigentlich nur einen Softwarehersteller finden und einen Vertrag abschließen. Aus Sicht des Fachbereichs wird ein Bedarf definiert, der beispielsweise wie folgt lauten könnte: „Wir wollen eine Anwendung, mit der wir am PC und am Tablet unser Personalmanagement durchführen sowie die Mitarbeitenden selbst auf ihre individuellen Daten zugreifen können.“ – Klingt in Zeiten der stetigen Digitalisierung erst einmal nicht ungewöhnlich. Jedoch löst dieser Bedarf eine Kette von notwendigen Handlungen aus, die aufgrund externer Vorgaben wie der MaRisk, der BAIT, der DSGVO und des Informations-Sicherheitsmanagements erforderlich werden.
Diese Handlungen umfassen u. a. die Durchführung einer Vertragsvorprüfung, einer Risikoermittlung, eines Anwendungseinsatzverfahrens und der Festlegung eines Schutzbedarfs, aber auch eine Überprüfung hinsichtlich der Datenschutz- und Informationssicherheitsmaßgaben. Hierbei steht insbesondere im Fokus, welche Daten auf welche Weise verarbeitet werden, aber auch wo die Daten gehalten werden und welche Sicherheitsvorkehrungen der Dienstleister getroffen hat, um die Daten vor unberechtigten Zugriffen und Verfälschungen zu sichern. Die Bewertung und die Einhaltung der gesetzlichen Anforderungen machen den Prozess weitaus komplexer, als es auf den ersten Blick erscheinen mag.
Das ist jedoch weder die Willkür der Überwachungsfunktionen noch der Orga. Es handelt sich um Maßnahmen, die im Rahmen eines funktionsfähigen Risikomanagements notwendig sind!
Ziel dieser Maßnahmen ist der Schutz der Sparkasse sowie die Reduzierung potenzieller Risiken, welche sich beispielsweise aus dem Verlust oder der Verfälschung von Daten aufgrund unzureichender IT-Sicherheitsmaßnahmen ergeben können. Zudem können Bußgelder oder SREP-Aufschläge drohen, wenn die aufsichtlichen und gesetzlichen Anforderungen missachtet oder umgangen werden.
In der Praxis wird nicht selten davon berichtet, dass die Erfassung und die Überprüfung von Anwendungen und Verträgen nach den genannten Anforderungen meist erst nach der tatsächlichen Anschaffung oder Inbetriebnahme durchgeführt werden. Dies stellt einen Verstoß gegen die entsprechenden Anforderungen dar, da die Handlungen VOR dem Abschluss eines Vertrags oder der Inbetriebnahme einer Anwendung stattfinden müssen. Nicht zu vergessen sind hierbei auch die in den Folgejahren auftretenden Folgetätigkeiten, die sich aus einer regelmäßigen Steuerung- und Überwachung von Anwendungen und Verträgen ergeben.
Auch die Frage der betrieblichen Notwendigkeit der Anschaffungen sollte gestellt werden, um Erfassungs- und Kontrollaufwände sowie monetäre Aufwendungen so gering wie möglich zu halten!
Mit Tools wie RiMaGo und einer Vielzahl an standardisierten Unterstützungsprozessen sollen diese Arbeitsschritte klarer definiert und ihre Komplexität reduziert werden. Damit diese Unterstützungsinstrumente ihre volle Wirkung entfalten können, bedarf es jedoch einer konsequenten Umsetzung und Nutzung dieser. Das bedingt u. a. die Einbindung der Fachbereiche als Verantwortliche für ihre Verträge und Anwendungen, aber auch klare Vorgaben, welche Informationen beispielsweise in RiMaGo zu erfassen sind – notfalls auch durch die konsequente Administration von Pflichtfeldern. In unseren Projekten zeigt sich zumeist, dass gezielte Schulungs- und Sensibilisierungsmaßnahmen zur Fachlichkeit und Technik sowie die Vermittlung der Sinnhaftigkeit der Überprüfungsschritte meist auch eine besseres Zusammenarbeitsmodell erzeugen.
Auch durch kommende Neuerungen wie beispielsweise die Anforderungen der DORA kann es essenziell werden, dass Sparkassen eine intensivere Auseinandersetzung mit dieser Thematik vornehmen und sich die Fragen stellen:
- Sind unsere Mitarbeitenden ausreichend informiert und sensibilisiert?
- Nutzen wir die Prozesse bereits wie der Standard es vorsieht?
- Können wir die technischen Hilfsmittel und Vorgehensweisen optimieren, um die Fachbereiche bei der technischen Erfassung zu unterstützen?
Die aufsichtlichen Anforderungen mit den aktuellen Methoden und technischen Standardlösungen der Sparkassen-Finanzgruppe zu erfüllen, ist die Pflicht – sie effizient umzusetzen, sollte eine streng vorgeschriebene Nebenbedingung sein. Wir zeigen Ihnen, wie es gelingt.