Auditprogramm aufsichtskonform aufstellen

03.03.2021

Die IT-Compliance stellt Sparkassen und Banken vor enorme Herausforderungen. Stetig wachsende aufsichtsrechtliche Anforderungen bewirken, dass viele Institute längst an ihre Kapazitätsgrenzen gestoßen sind. Mit der Umstellung auf das neue mehrjährige Auditprogramm erhöhen sich Komplexität und Aufwand zusätzlich. Worauf sollten Sparkassen achten und welche praktischen Hilfen gibt es?

Die Informationssicherheit in den Sparkassen ist gemeinsam mit dem Datenschutz ein hohes Gut. Also müssen Methoden und Verfahren immer wieder auf einen aktuellen Stand der Standards und der aufsichtsrechtlichen Anforderungen gebracht werden. Die jetzt zu planenden Auditprogramme sollen aktuelle Bedrohungen und Risiken aufdecken helfen und die Informationssicherheit stärken.

Das Informationssicherheits-Management in der Sparkassen-Finanzgruppe ist gemäß MaRisk AT 7.2 an den Standards der ISO-Normenreihe 2700x orientiert. Alle Sparkassen setzen für die Planung, Umsetzung und Dokumentation das Produkt SIZ „Sicherer IT-Betrieb“ (SITB) ‒ künftig RiMaGo ISM ‒ ein, um den eigenen und den externen Anforderungen an das Informationssicherheits- und -risikomanagement gerecht zu werden.

Stellt man sämtliche Anforderungen schematisch-logisch dar, so zeigt sich deutlich, welche zentrale Bedeutung ein funktionierendes Informationssicherheits- und Informationsrisiko-Management hat. Wie komplex sich die IT-Compliance in Sparkassen und Banken darstellt, zeigt Abbildung 1:

 

Klicken Sie auf die Grafik, um die Ansicht zu vergrößern.

Planvolles strategisches Vorgehen

Auf ihrem Weg zu den mehrjährigen Auditprogrammen beschreibt die Sparkasse Ulm die zentralen Herausforderungen. Dazu gehöre die risikoorientierte Priorisierung im gesetzten dreijährigen Zeitrahmen. Neben den DSGV-Anforderungsprofilen gelte es auch die Standortbetrachtung einzubeziehen, die eine große Rolle spiele. Gemeinsam mit den Fachabteilungen werde man die Schrittfolgen verbindlich festlegen, erklärt Klaus Stephan, ISB der Sparkasse Ulm. Vor dem Hintergrund der gestiegenen regulatorischen Anforderungen führte die Sparkasse Anfang 2020 wichtige Beteiligte organisatorisch zusammen, die sich gezielt um die Umsetzung der Bankaufsichtlichen Anforderungen an die IT (BAIT) kümmern sollen. So entstand ein neuer interdisziplinär besetzter Bereich aus Informationssicherheits-Management, IT-Steuerung und -Governance sowie Einheiten wie Verwaltung, Bau, Organisationsmanagement und IT-Administration.

Als eine der größten Herausforderungen nennt der ISB das Zeitmanagement. Zu bedenken gibt er, dass die Fachbereiche mit den DSGV-Anforderungsprofilen „Neuland“ betreten. Das zeige sich bei vielen Themen mit Bezug zu Banktechnik und IT. Insbesondere die IT-Service-Sparkassen mit immer weniger werdender eigener IT lagerten immer mehr operative IT-Leistungen aus. In der Schnittstelle zum ISM fehle deshalb genau hier zunehmend das Know-how von Spezialisten, die sehr IT-spezifische Anforderungen (RQs) umsetzten, gleichwohl seien die BAIT-Anforderungen in diesem Kontext gestiegen. Trotzdem ist es Aufgabe der Fachabteilungen, die DSGV-Profile bei den Dienstleistern anzufordern. Doch viele Dienstleister außerhalb der Sparkassen-Finanzgruppe sind laut Stephan mit Themen im Bankbetrieb zu wenig vertraut. Diese muss die Sparkasse nun zu den neuen tiefgreifenden Anforderungsprofilen entsprechend vertraut machen, um die Leistungen auf Risikorelevanz prüfen zu können.

Auditarten

Gemäß den Anforderungen der ISO-Normenreihe 2700x steht der Management-Rahmen zur Informationssicherheit (organisatorische Konzepte, Konzepte ISMS-Schnittstellen) jährlich auf dem Prüfstand. Alle weiteren für die Sparkassen relevanten Informationssicherheits-Maßnahmen sind in einem Drei-Jahres-Zyklus zu überprüfen. Zusätzlich müssen die Institute weitere Audits planen und durchführen: Managementsystem-Audits, Delta-Audits, szenariobasierte Audits, Vertiefende Audits.

Alle Auditarten sind immer relevant und jährlich zu berücksichtigen.

Die mit SITB v18 verbundenen Änderungen bei der Auditprogramm-Planung sowie die gestiegenen Anforderungen an die Audit-Durchführung fordern insbesondere die zeitlichen Ressourcen der Institute heraus. Das bestätigt auch Dieter Knörle, ISB bei der Kreissparkasse Ravensburg. Er muss nun aufwendiger planen und mit den szenariobasierten Kontrollen weit mehr Detailanforderungen als bisher beachten. Insgesamt gibt es im SITB v18 derzeit 965 Anforderungen, Requirements (RQ) genannt. Die Auditierung dieser RQs kann zwar mit Ausnahme des sogenannten Management-Rahmens auf drei Jahre verteilt werden, jedoch sind circa die Hälfte der Anforderungen jeweils individuell in den DSGV-Anforderungsprofilen für die verschiedenen Elemente der IT-Umgebung zu beantworten. Das vervielfacht den Aufwand, auch wenn etliche Auditantworten mehrfach verwendet werden können.

Eine weitere Herausforderung ist in Ravensburg die Vorbereitung auf die Einführung der Software RiMaGo in 2022. Bereits 2021 wird das Nachfolgeprodukt des Sicheren IT-Betriebs in einem aufwendigen Migrationslauf die bisherige Anwendung Simon+ in rund 100 Sparkassen ersetzen. Mit RiMaGo sollen künftig die vielfältigen BAIT-Anforderungen leichter erfüllbar werden. Kein leichter Umstieg ‒ zusätzlich zu Audits und Beantwortung der DSGV-Anforderungsprofile.

Bei der Planung des Auditprogramms bindet Knörle im Sinne eines ganzheitlichen Ansatzes die verschiedenen Akteure arbeitsteilig ein. Ressourcenschonende Planung hat hier wie bei der Sparkasse Ulm höchste Priorität. Die beim Deutschen Sparkassenverlag (DSV) gebuchten Unterstützungstage können helfen, effizient vorzugehen und alle relevanten Beteiligten (u. a. Revision, Risiko- und Projektmanagement, Organisation, Vertriebssteuerung) ins Boot zu holen.

Verständnisgrundlage schaffen

Mit dem neuen Audit-Programm gemäß dem SIZ-Produkt „Sicherer IT-Betrieb“ (SITB) V18 besteht ‒ aufgrund der stärkeren Anlehnung an die ISO 2700x ‒ die Herausforderung zunächst darin, sich intensiv in die Materie einzulesen.

Grundvoraussetzung für die neue Herangehensweise ist, dass sich alle Informationssicherheitsbeauftragten in folgende Dokumente einarbeiten:

Abbildung 3: Grundlagen für Audits

Die ISO-Normen werden in der Sparkasse zumeist nicht vorliegen. Ihre Beschaffung ist zwar ratsam, aber nicht zwingend erforderlich, da die Dokumente im SITB die Normen berücksichtigen. Auf jeden Fall sollten die blau markierten Dokumente gelesen und für die eigenen Umsetzungen genutzt werden.

Mit der in SITB V18 geänderten Auditvorgehensweise kommt eine Vielzahl neuer Begrifflichkeiten auf den ISB zu, die Übersicht finden Sie hier.

Audittiefe und Auditbreite

Eine Auditrichtlinie mit allen Rahmenparametern muss das Institut in jedem Fall erstellen. Dabei kann es auf das Muster aus dem SITB zurückgreifen. Weiterhin ist ein rollierendes Auditprogramm über drei Jahre aufzustellen.

Dabei ist die Wahl der Audits und die damit verbundene Audittiefe von entscheidender Bedeutung. Während ein Managementsystem-Audit in der Regel auf Ebene der Anforderungsgruppen (GR = Group of Requirements, siehe Link1) durchgeführt wird, erfolgt das neue szenariobasierte Audit auf Ebene der Einzelanforderungen (RQ). Die jeweilige Vorgehensweise hat demnach Einfluss auf die Aufwände für ein Audit sowie die Audittiefe. Letztere bestimmt die Anzahl der zu betrachtenden Stichproben. Diese sollten sich nach der Bedeutung für die Informationssicherheit, zum Beispiel am Schutzbedarf (Risiko), orientieren. Um die Angemessenheit, Wirksamkeit und Konformität zu bewerten, ist eine ausreichende Anzahl von Stichproben erforderlich. Ein szenariobasiertes Audit erfordert mehr Stichproben als ein Managementsystem-Audit, liefert jedoch konkretere Aussagen hinsichtlich möglicher Schwachstellen und Risiken.

Auditprogramm und Hilfsmittel

Besondere Aufmerksamkeit erfordert die Drei-Jahres-Planung der Audits. Innerhalb dieser Zeit müssen alle SITB-Anforderungen mindestens einmal übergreifend auditiert werden. Risikoorientiert sind Audits für schutzbedürftige Bestandteile der IT-Umgebung häufiger zu berücksichtigen. Beispielsweise sind alle Standorte innerhalb von drei Jahren zu kontrollieren. Hier empfiehlt sich die Begehung mindestens eines Standorttyps pro Jahr. Beim Erstellen des Auditprogramms muss man beachten, dass der Managementrahmen (Kapitel 4 bis 10 der ISO/IEC 27001:2013) jährlich unabhängig zur auditieren ist. Ebenso verhält es sich mit dem Delta-Audit. Dabei werden sowohl die Änderungen zur Vorversion des SITB als auch gesetzliche und regulatorische sowie eigene Änderungen des Instituts auditiert.

Situativ und anlassbezogen können vertiefende Audits erforderlich sein, beispielsweise bei Erkenntnissen aus einem Audit oder nach einem sicherheitsrelevanten Vorfall. Im Zuge von vertiefenden Audits stehen Anforderungen im Fokus, die in der Regel über die Anforderungen des SITB hinausgehen. Hierzu lassen sich eigene Checklisten oder Hilfsmittel wie etwa vom Bundesamt für Sicherheit in der Informationstechnik nutzen.

Im Erhebungsmanagement des SIZ-Produkts „Sicherer IT-Betrieb“ sind für alle Audits („Erhebungen“) Auditprofile zu allen Konzeptkategorien hinterlegt: Betriebskonzepte, logische und technische Konzepte, Notfallbehandlung, physische Konzepte und Vertragsbeziehungen sowie die jeweils aktuellen DSGV-Anforderungsprofile.

Abbildung 4: Ein typisches generisches Auditprogramm:

Klicken Sie auf die Grafik, um die Ansicht zu vergrößern.

(Auszug aus muster.is-audits.programm, Ausarbeitung DSV IT-Consulting)

Auditdurchführung

Zur Durchführung der Audits werden verschiedene Methoden verwendet:

  • Dokumentenprüfung: Sichtung relevanter Dokumente, z. B. Arbeitsanweisungen oder Konzepte
  • Befragungen: Interviews oder schriftliche Befragung der jeweils zuständigen Personen
  • Beobachtung: Beobachtung von Tätigkeiten und Aktionen
  • Einstellungen an Systemen (Konfigurationen)

 

 

  • Verwendung von Checklisten und Fragebögen
  • Standortbegehung
  • Stichproben: Soweit im Zeitrahmen möglich, werden im Managementsystem-Audit Stichprobenkontrollen an Systemen und in Räumen vorgenommen.

    In szenariobasierten und vertiefenden Audits sind Stichproben oder vollständige Kontrollen obligatorisch.

  •  

     

    Voraussetzung für die erfolgreiche Auditdurchführung sind folgende Dokumente:

     

     

    • Strukturanalyse und Schutzbedarfsfeststellungen für alle Objekte des Geltungsbereichs. Dies schließt unter anderem Standorte und Räume mit ein.
    • Wesentliche Anweisungen für das Informationssicherheits-Managementsystem (ISMS): Organigramm, Informationssicherheits-Leitlinie, Rahmenbedingungen zum IS-Risikomanagement, Richtlinie Informationsklassifizierung, IT-Strategie, Notfallhandbuch, Berichterstattung des ISB.
    • Übersicht der Dienstleister mit Relevanz für die Informationssicherheit inklusive der gegebenenfalls vorhandenen Anforderungsprofile
    • Dokumentationen zur Notfallvorsorge
    • Risikokatalog und Risikobehandlungsplan für den Geltungsbereich
    • Ergebnisse des Audits aus dem Vorjahr und gegebenenfalls aus den Vorjahren (Gesamtaudit)
    • Beantwortete Anforderungsprofile (soweit Gegenstand des Audits)
    • Weitere Dokumente für das geplante Audit (u. a. Datensicherungskonzept, Virenschutzkonzept, Programmeinsatz- und Programmfreigabeverfahren, Sensibilisierungskonzept)

    Es empfiehlt sich, das komplette aktuelle SITB-Verzeichnis mit allen relevanten Unterlagen bereitzustellen. Für das Audit durch externe Auditoren sollte die Sparkasse die Auditfragen (Anforderung RQs und Anforderungsgruppen GR) vorab beantworten, um eine ebenso effiziente wie effektive Durchführung zu gewährleisten.

    Unterschied zwischen Kontrollen und Audits

    Die Fachabteilung (1st line of defense) ist für die Umsetzung der Richtlinien und Verfahren, für das Interne Kontrollsystem (IKS), für die Risikoübernahme und die Umsetzung der risikomindernden Maßnahmen zuständig. Sie führt zum Beispiel die Kontrollen durch, indem sie ein DSGV-Anforderungsprofil nutzt. Dabei wird der Soll-Ist-Vergleich im Rahmen der Selbsteinschätzung dokumentiert.

    Das ISM-Team (2nd line of defense) verantwortet die Definition der Richtlinien und Verfahren, die Rollen und Verantwortlichkeiten, die Überwachung des IKS sowie die Darstellung von Abweichungen. Dazu führt das ISM-Team Audits durch.

    Funktioniert die Zusammenarbeit zwischen Fachabteilung und ISM-Team gut, lassen sich die Kontrollen ‒ beispielsweise auf Basis der Anforderungsprofile der 1st line ‛ für Audits der 2nd line nutzen. Das spart Aufwand in der 2nd line. Umgekehrt reduziert sich der Aufwand in der 1st line, wenn das ISM-Team die Beantwortung der Anforderungsprofile erklärt und mitunterstützt. Ein eingespielter Prozess erweist sich erfahrungsgemäß als vorteilhaft.

    Tipps für die Auditierung von Standorten

    Hier ist mindestens jährlich eine Stichprobe gefordert ‒ unter der Voraussetzung, dass die Fachabteilung (1st line) angemessene Überprüfungen vornimmt. Dazu werden die Anforderungsprofile zu Räumen und Lokationen eingesetzt, wobei man meist zwischen Standorten mit Zentralfunktionen, Standorten mit selbst erbrachten IT-Dienstleistungen und Filialen unterschiedet. Gleichartige Standorte lassen sich gruppieren ‒ zum Beispiel, wenn in den Standorten gleichartige Tätigkeiten bezogen auf die Informationssicherheit erbracht werden oder gleichartige Risikosituationen vorliegen.

    Besonders zu betrachten sind Standorte mit Tätigkeiten, die nur dort erbracht werden oder Standorte mit besonderen physischen Gegebenheiten. Vorgeschrieben ist die Begehung durch das ISM-Team jährlich für einen Standorttyp, also Hauptstelle, Filiale, SB-Stelle. Falls die Fachabteilung angemessene Überprüfungen von Standorten und Räumen auf Basis der SITB-Anforderungen durchführt und die Ergebnisse in den DSGV-Anforderungsprofilen dokumentiert, kann das ISMS diese als Basis für Audits der Standorttypen nutzen.

    Die Sparkasse Ulm will der DSV-Empfehlung folgen und zunächst eine größere baulich und technisch konstante Geschäftsstelle auditieren. So lassen sich hier viele unterschiedliche szenariobasierte Raumgegebenheiten gleichzeitig, das heißt ressourcenschonend prüfen. Und aufgrund der momentanen Corona-Situation kann in größeren Räumlichkeiten flexibler gehandelt werden. Andere Filialtypen, die in den kommenden Jahren möglicherweise von Umbaumaßnahmen, Zusammenlegungen oder auch digitalen Neuerungen betroffen sein könnten, folgen später.

    Eine Orientierung für Auditprogramme bietet die Zusammenfassung von Praxisbeispielen, die jedoch nicht als Muster dienen finden Sie hier.

    Die Tücken der Realität

    Soweit zur Auditprogrammplanung und zum stringenten Vorgehen über die vielzitierten drei Jahre. Wie sieht die Realität aus? Die Sparkasse Ulm arbeitet aktuell an der Beantwortung der Profile für individuelle Datenverarbeitung (IDV), Server-proprietäre Systeme wie beispielsweise die eigene Telefonanlage und das eigene ZV-System, um hier ab Anfang 2021 Stichproben für den Soll-Ist-Vergleich erheben zu können.

    Ein ganzheitliches Vorgehen beim szenariobasierten Audit beinhaltet im ersten Schritt einen Soll-Soll und im zweiten Schritt den Soll-Ist-Vergleich. Wie geht bei möglichen Schwachstellen der Fachbereich mit den Anforderungen um? ToDo-Listen, Verfahrensdokumentationen, Betriebskonzepte und nicht allein Arbeits-anweisungen können laut ISB Stephan auch mit Blick auf die künftige fachliche Ausrichtung hilfreich sein.

    Und was passiert, wenn im zweiten Jahr „Störungen“ auftreten, etwa wenn die Durchführung von Audits nicht fristgerecht durchgeführt werden konnte? Dies kann dazu führen, dass im dritten Jahr die restlichen 33 Prozent der Auditgegenstände nicht auditiert werden können. Auch hierzu lohnt ein Blick in den zur Pflichtlektüre zählenden SITB-Leitfaden zum Erstellen eines Auditprogramms. So ist mindestens jährlich das Auditprogramm zu überprüfen. Entscheidend ist dabei, dass die jährlich durchzuführenden Audits berücksichtigt und alle Anforderungen im Drei-Jahres-Turnus auditiert werden.

    Bei ungeplanten Ereignissen wie Informationssicherheitsvorfällen oder neuen Schwachstellen kann daraus folgen, dass ein neues Audit geplant oder ein geplantes Audit verschoben werden muss. Über alle Änderungen zum Auditprogramm muss der ISB die Managementebene möglichst zeitnah informieren.

    Externe Hilfe

    Für eine solide Auditplanung sind die Aufwände zu schätzen, zu dokumentieren, in der Jahresplanung zu berücksichtigen und bei allen Beteiligten zu planen. Eine vollständige Übersicht der Audit-Aufwände findet sich im Wiki IT-Consulting des DSV. Hilfe zur Selbsthilfe bietet das Muster-Auditprogramm (s. Datei Muster-Auditprogramm) als Excel-Tabelle sowie einem Mitschnitt der Live-Demo des Erhebungsmanagements auf den Symposien 2020. Die Experten des IT-Consulting-Teams im DSV unterstützen mit Erklärvideos im Wiki zur Planung und Durchführung von Audits. Eine schnelle Übersicht bietet „IT-Compliance in Banken und Sparkassen“.

    Kompakt online oder an einem Tag in Präsenz informiert zu allen Inhalten das DSV-Seminar „Praxisnahe Auditplanung und -durchführung gemäß SIZ-Produkt „Sicherer IT-Betrieb“ v.18“.

    IT-Consulting: dsv-gruppe.de/pub/it-consulting

    Fazit

    Mit den neuen mehrjährigen Auditprogrammen wird der zusätzliche Dokumentationsaufwand komplexer. Die Auditplanung soll jedoch durch die zeitliche Streckung auf drei Jahre, das neue Erhebungsmodul im „Sicheren IT-Betrieb“ und die DSGV-Anforderungsprofile beherrschbar bleiben. Die operative IT-Sicherheit stellen zwar zu einem Großteil die IT-Dienstleister sicher. Aber bei vielen Dienstleistern außerhalb der Sparkassen-Finanzgruppe stehen die Institute vor der Herausforderung, zunächst die spezifischen Anforderungen im Bankbetrieb vermitteln zu müssen, bevor sie die neuen DSGV-Profile einfordern können. Auch dies erklärt, warum die Informationssicherheitsbeauftragten mit Blick auf die hohe Zusatzbelastung ihrer ISM-Teams und der Fachabteilungen die Relevanz einer guten strategischen Planung betonen. Gilt es doch auch, mit begrenzten Personalressourcen die Akzeptanz für die neue Vorgehensweise im eigenen Hause sicherzustellen. Als wichtige Handlungsmaxime nennen die Experten vor Ort Risikominimierung gepaart mit Pragmatismus. Seminare und unterstützende Materialien geben hierzu praxisnahe Hinweise, damit sich schon mithilfe weniger Fragen möglichst viele Schwachstellen erfassen lassen. Ob sich durch die Umsetzung der neuen Anforderungen auch tatsächlich die Informationssicherheit erhöht, wird am Ende nur das Audit feststellen können.

    Infos zu IT-Consulting unter dsv-gruppe.de/pub/it-consulting

  •  

     

     

     

     

     

     

     

    Beitrag

    Erschienen in den BBL Betriebswirtschaftliche Blätter am 19.01.2021

    Ansprechperson Produkt
    Sabine Schuster


    +49 711 782-22162


    Ansprechperson für Journalist:innen
    Andrea Steinwedel

    Referentin Konzernkommunikation


    +49 711 782-22102