Digitaler Service ist einfach und sicher

Mit der Digitalisierung der Sparkassen wächst die Zahl der Anwendungen im Servicebereich. Für Mitarbeiter und Kunden wird damit vieles einfacher, für die Informationssicherheit vieles komplexer. Ein Praxisbeispiel zeigt, wie man trotz knapper Ressourcen und hohem Regulierungsdruck den Anforderungen gerecht wird.

Die Kreissparkasse Tübingen sieht sich als Digital Player, der den Markenkernwert „Sicherheit geben“ umfassend lebt. „Was für den Mitarbeiter und Kunden mehr Service und Komfort bedeutet, stellt die Informationssicherheit nicht selten vor neue Herausforderungen“, sagt Jürgen Ferber, Mitglied des Vorstands. Als Beispiele nennt der Informationssicherheitsbeauftragte (ISB) Gunter Mahr neben den sozialen Netzwerken auch verschiedene Apps für Service und Beratung.„Effektives Prüfen ist oft schwierig und die Risikoanalyse eine Gratwanderung“, weiß Mahr. Entsprechend hoch ist der Aufwand – auch für die Schutzbedarfsfeststellungen.„Beim Einsatz der Push-TAN-App in Verbindung mit der Sparkassen-App mussten Fragen zur Verwendung beider Apps auf einem einzigen Mobilgerät anhand einer Risikoanalyse geklärt werden“, führt Mahr beispielhaft an. Die enge Zusammenarbeit mit den Fachabteilungen in der Sparkasse wird somit immer wichtiger, wenn es etwa um die Anschaffung von Hard- und Software oder auch um Outsourcing-Fragen geht.

Fachlich gut upgedatet

Komplexe Schutzbedarfsfeststellungen gerade auch in neuen IT-Themenfeldern veranlas-sen die Tübinger bei Bedarf beim Deutschen Sparkassenverlag (DSV) eine zweite Meinung einzuholen oder zu erfragen, wie andere Sparkassen vorgehen.„Mit diesen Leistungen, die wir vom DSV im Rahmen des Prozessunterstützungsvertrags erhalten, gehen wir auf Nummer sicher und schaffen damit einen gewollten Know-how-Transfer in die Sparkasse hinein“, so Vorstandsmitglied Ferber. Regelmäßige Audits und Risikoanalysen bis hin zu Checklisten sowie der Unterstützung bei der Maßnahmen-Umsetzung gehören deshalb zum Angebot. Darauf möchte der ISB Mahr nicht verzichten:„Ich muss das Rad nicht neu erfinden.“ Das zeigte sich zuletzt etwa bei der sicherheitstechnischen Begehung mit dem DSV: Anhand der hierfür erstellten Dokumente (Checkliste, Dokumentation, Protokoll) aktualisierte er seinen Wissensstand für künftige Checks in Eigenregie.

Der SIZ „Sicherer IT-Betrieb“ (SITB) befasst sich in der Version 15 mit den Soll-Schutzmaßnahmen, die in den SITB-Konzepten eindeutig gekennzeichnet und schutzbedarfsabhängig klassifiziert werden. Um es den Sparkassen einfacher zu machen, den individuellen Schutzbedarf zu ermitteln und eventuelle Anpassungen vorzunehmen, erarbeitet der DSV aktuell eine Vergleichstabelle. Hierfür stellten über 30 Kunden ihre Schutzbedarfsfeststellungen bereit. Die anonyme Auswertung samt Ableitungen und Hinweisen für die Praxis erhalten auch die Teilnehmer der Symposien 2017.

Mehr Informationen hierzu auf www.sparkassenverlag.de/symposien.