Die Transformation der Informationssicherheit zur IKT-Kontrollfunktion

Die IKT-Kontrollfunktion

In einer Welt, in der digitale Bedrohungen zunehmend komplexer werden, übernimmt die IKT-Kontrollfunktion eine zentrale Rolle in Bezug auf die Überwachung und Steuerung des gesamtheitlichen IKT-Risikomanagements und transformiert die ursprüngliche Fokussierung auf die Informationssicherheit.

Mit dem Digital Operational Resilience Act (kurz: DORA), der zum 17.01.2025 in Kraft trat, hat die Europäische Union eine Verordnung beschlossen, die die bestehenden Anforderungen an Unternehmen aus der Finanzbranche transformiert und erweitert. Es ergeben sich unter anderem umfangreiche Auswirkungen auf die Aufbau- und Ablauforganisation (Governance-Struktur) und damit verbundene Prozesse sowie insbesondere auf das IKT-Risikomanagement.

Bisher lag der Fokus vermehrt auf der Informationssicherheit, mit DORA wird der grundsätzliche Fokus auf die Bewertung und das Management von IKT-Risiken gesetzt. Eine besondere Rolle spielt hierbei die geforderte Etablierung einer IKT-Kontrollfunktion. In diesem Beitrag wird der Wandel von der Informationssicherheit hin zur digitalen operationellen Resilienz und insbesondere die Rolle der neuen IKT-Kontrollfunktion näher beleuchtet. Besonders werden die dynamischen Veränderungen in der IKT-Kontrollfunktion sowie die Herausforderungen und Möglichkeiten, die sich aus dieser Transformation ergeben, hervorgehoben.

Der Übergang von IT- und Informationssicherheit zur digitalen operationellen Resilienz

Wenn über die operationelle Resilienz gesprochen wird, ist damit die Fähigkeit gemeint, dass eine Organisation in der Lage ist, nachteiligen Störungen wie Cyberangriffen, Naturkatastrophen, Lieferkettenproblemen oder technischen Ausfällen standzuhalten, sich an sie anzupassen und sich davon zu erholen. Es geht darum, auf das Unerwartete vorbereitet zu sein – von Stromausfällen über Pandemien bis hin zu Cyberangriffen – und sicherzustellen, dass das Unternehmen auch bei solchen Herausforderungen den Geschäftsbetrieb aufrechterhält.

Die Informationssicherheit bezeichnet hingegen den Schutz von Informationen in jeglicher Form – ob digital auf einem Datenträger oder analog auf dem Papier, ob mit Personenbezug oder ohne. Hierbei steht der Schutz von Informationen im Mittelpunkt und beruht dabei auf den Zielen Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität. Das bedeutet, dass sensible Daten vor dem unberechtigten Zugriff Dritter geschützt werden, für berechtigte Nutzer aber zu jeder Zeit vollständig und richtig zugänglich sind.

Ein weiterer Teilbereich der Informationssicherheit ist die IT-Sicherheit, die sich auf die elektronisch gespeicherten Informationen und IT-Systeme bezieht. Das Ziel der IT-Sicherheit ist, Unternehmen und Organisationen gegen Bedrohungen und deren Folgeschäden zu schützen.

Mit der IKT-Kontrollfunktion wird eine gesamtheitliche Betrachtung aller Aktivitäten und Maßnahmen forciert, die notwendig sind, um Auswirkungen aufgrund von Betriebsstörungen möglichst gering zu halten.

Darüber hinaus setzt DORA die aus dem allgemeinen Risikomanagement bereits bekannten Vorgaben auf IKT-Seite fort. Die IT- und Informationssicherheit bleibt ein wesentlicher Bestandteil, allerdings ändert sich die Sichtweise und der Fokus in Bezug auf die Risikobetrachtung.

IKT-Kontrollfunktion – Ein neuer Begriff?

IKT-Kontrollfunktion vs. ISB

Die IKT-Kontrollfunktion ist eine neue Funktion, die gemäß DORA verpflichtend einzuführen ist. Diese neue Funktion ähnelt den Anforderungen an den Informationssicherheitsbeauftragten (ISB), sind jedoch nicht deckungsgleich. Ein Informationssicherheitsbeauftragter ist für alle Fragen rund um die Informationssicherheit in der Institution zuständig. Zu seinen Aufgaben gehört:¹

• den Sicherheitsprozess zu steuern und zu koordinieren,
• die Leitung bei der Erstellung der Informationssicherheitsleitlinie zu unterstützen,
• die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit zu erlassen,
• Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen,
• der Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten,
• sicherheitsrelevante Projekte zu koordinieren,
• sicherheitsrelevante Vorfälle zu untersuchen sowie
• Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren.

Die IKT-Kontrollfunktion ist zuständig für das Management und die Überwachung der IKT-Risiken (siehe hierzu Art. 6 Abs. 4 DORA). Zu seinen Aufgaben gehören unter anderem:²

• das Management und die Überwachung der IKT-Risiken sowie
• die Überwachung der einzelnen Phasen des IKT-Risikomanagementprozesses,
• die Berichterstattung an den Vorstand sowie dessen Beratung,
• Unterstützung und Bewertung der Digital Operational Resilienz Strategie,
• die Festlegung der Ziele und der Risiko-Metriken inklusive der qualitativen und quantitativen Maßnahmen für ihre Erreichung sowie der wichtigsten Leistungsindikatoren,
• die Überwachung der Einstufung der Bestandteile des Informationsverbunds bzw. des IKT-Asset Registers,
• Überwachung der wirksamen Umsetzung von Programmen zur Sensibilisierung für die IKT-Sicherheit und
• die Durchführung von Schulungen zur digitalen operativen Resilienz.

Bei der genaueren Betrachtung der IKT-Risikokontrollfunktion lassen sich durchaus Bestandteile der Verantwortungen des ISBs identifizieren, das Aufgabenspektrum geht jedoch über die bekannten Anforderungen an die Informationssicherheit hinaus und beinhalten zusätzliche Verantwortungen in Bezug zum IKT-Risikomanagement.

Veränderungen der regulatorischen Anforderungen in Bezug auf die IKT-Kontrollfunktion

Durch die aktuelle Fassung der Mindestanforderungen an das Risikomanagement (MaRisk) haben die impliziten Anforderungen an den ISB weiter Bestand und Finanzinstitute sind in der Verantwortung, diese Funktion innerhalb Ihrer Organisation beizubehalten. Auch verweisen etwaige Standards wie die ISO 27001 oder BSI-Standards (IT-Grundschutz, 200-2) weiterhin auf Anforderungen des ISB.

Bis zur Aufhebung der BAIT am 17. Januar 2025 ließen sich daraus konkrete Anforderungen an den ISB identifizieren und ableiten. Bei den Anforderungen aus DORA hingegen lässt sich feststellen, dass der Aufbau, die Struktur sowie der Umfang sich erweitert haben. Auch wenn die bekannten Themengliederungen aus der BAIT sich nicht in DORA wiederfinden lassen, so lassen sich Bestandteile daraus durchaus, verteilt in den einzelnen DORA-Kapiteln, wiedererkennen.

Für die IKT-Kontrollfunktion haben beispielhaft folgende regulatorische Veränderungen Einfluss:

• Neben dem Informationsverbund und den Schutzbedarfsfeststellungen ist ein IKT-Assetmanagement Klassifizierung der IKT-Assets zu etablieren
• Durch das IKT-Assetmanagement sind die IKT-Systeme und -Informationen inklusive deren Wechselwirkung zu identifizieren, klassifizieren und in einem Inventar zu pflegen
• Explizite Schulungs- und Kommunikationspflichten für Mitarbeiter und Leitungspersonal
• Jährliche und änderungsbezogenen Kontrollen der IKT-Alt/Legacy-Systemen
• Überprüfung des Managements der IKT-Geschäftsfortführung
• Berücksichtigung des IKT-Drittparteienrisikos bei IKT-Reaktions- und Wiederherstellungspläne, sowie dem IKT-Asset-Inventar

Organisatorische Einbindung der IKT-Kontrollfunktion in die Aufbau- und Ablauforganisation

Die Aufgaben der IKT-Kontrollfunktion sind weiter gefasst als die des Informationssicherheitsbeauftragten. Durch die weiterhin bestehenden Vorgaben an einen ISB und dessen große Überschneidungsmenge bei den verantwortlichen Themen können die Tätigkeiten auch in Personalunion wahrgenommen werden. Es gibt zusätzlich die Möglichkeit, eine eigene, gegebenenfalls übergeordnete Kontrollinstanz zu implementieren. Gemäß Art. 6 Abs. 10 DORA besteht die Möglichkeit zur Auslagerung der IKT-Risikokontrollfunktion, wobei das Finanzunternehmen uneingeschränkt verantwortlich bleibt. Die Etablierung der IKT-Kontrollfunktion sollte jedes Institut abhängig von seiner Struktur und geplanten Ausrichtung der Risikomanagement-Governance machen. Die Unabhängigkeit, auch aus Konzernstrukturen heraus, ist nichtsdestoweniger sicherzustellen.

Durch den Einfluss der IKT-Kontrollfunktion und die Transformation hin zu einem proaktiven Management der IKT-Risiken sind Unternehmen dazu angehalten ihre Governance-Strukturen zu überdenken und anzupassen, um den geforderten Anforderungen an die IKT-Kontrollfunktion nachzukommen.

In diesem Zusammenhang ist ebenfalls darauf hinzuweisen, dass die IKT-Kontrollfunktion ihre Aufgaben unabhängig und frei von Interessenskonflikten ausüben muss. Konkreter ist eine angemessene Trennung und Unabhängigkeit von IKT-Risikomanagementfunktionen, Kontrollfunktionen und internen Revisionsfunktionen gefordert. Hier wird auf den Ansatz des 3-Lines-of-Defence-Modell oder einem alternativ geeigneten internen Modell verwiesen, welches die geforderte Unabhängigkeit gewährleistet. Bestehende Prozesse und Kontrollen sind in diesem Zuge zu überprüfen, ob deren Konformität mit den regulatorischen Anforderungen gewährleistet ist.

Beispielhaft soll die nachfolgende Grafik darstellen, wie eine mögliche Einbindung der IKT-Kontrollfunktion aussehen könnte.

Fazit & Ausblick

Zusammenfassend lässt sich sagen, dass die IKT-Kontrollfunktion eine zentrale Rolle im Risikomanagement von Finanzinstituten einnimmt und sich der Fokus von der Informationssicherheit hin zum Management von IKT-Risiken ändert. Durch die Einführung der IKT-Kontrollfunktion ergeben sich neue Herausforderungen, aber auch Möglichkeiten für die Finanzinstitute, insbesondere durch das breitere Aufgabenspektrum der IKT-Kontrollfunktion. Hierbei sollte auf den Erfahrungen und Prozessen des ISB aufgebaut werden. Die organisatorische Einbindung der IKT-Kontrollfunktion muss sorgfältig geplant und umgesetzt werden, um die Unabhängigkeit und Wirksamkeit zu gewährleisten.

Zusätzlich ist festzustellen, dass die Anforderungen an die IKT-Kontrollfunktion Einfluss auf die Zusammenarbeit mehrerer Kontrollfunktionen (Zentraler Auslagerungsbeauftragter (ZAB), ISB, Business Continuity Management (BCM), etc.) haben. Während andere Funktionen in Teilen ausgelagert werden können, z.B. zur Muttergesellschaft, empfiehlt die Bundesbank dies für die IKT-Kontrollfunktion explizit nicht. Auch wird die Nähe zu Produkten, Prozessen und Systemen explizit erwähnt und ein angemessenes Maß an Unabhängigkeit gefordert. Die Bedeutung der Funktion wird dadurch einmal mehr herausgestellt.

Um den Anforderungen an die IKT-Kontrollfunktion gerecht zu werden, müssen Finanzinstitute über die notwendigen Ressourcen und Kompetenzen verfügen. So ist es wichtig, dass die Finanzinstitute angemessene Investitionen in die IKT-Kontrollfunktion tätigen, um das Management der IKT-Risiken effizient aufzustellen.

Mittelfristig werden durch die Einrichtung der IKT-Kontrollfunktion und notwendigen Prozessanpassungen u. a. die Vernetzung von Auslagerungsmanagement und Geschäftsfortführungsmanagement zunehmen. Zusätzlich werden Unternehmen einzelne Aufgaben der IKT-Kontrollfunktion identifizieren, welche das Unternehmen auslagern kann, um zusätzliche Effizienzen beim Einsatz der möglicherweise begrenzen Ressourcen zu erwirken.

Insgesamt ist die IKT-Kontrollfunktion ein wichtiger Schritt hin zu einer stärkeren Steuerung von IKT-Risiken, um die Widerstandsfähigkeit von Unternehmen zu erhöhen und somit die digitale operationelle Resilienz zu stärken. Die Finanzinstitute sind gefordert, die Anforderungen umzusetzen und kontinuierlich zu verbessern, um eine nachhaltige und sichere Entwicklung zu gewährleisten.