Online-Artikel 200604p Fudicia IT
|
|
|
»manage
it«
als
|
Strategische Vorteile sicher nutzen Viele Unternehmen entscheiden sich für Outsourcing und lagern IT-Anwendungen und Dienstleistungen an einen externen IT-Spezialisten aus. Der aus dem Bankenbereich stammende §25a KWG setzt dabei auch Maßstäbe für sicheres Outsourcing in anderen Branchen.
eben Kostensenkungen verfolgen Unternehmen mit der Auslagerung ihrer IT strategische Unternehmensziele wie Ertragssteigerung und das Erreichen von Wettbewerbsvorteilen. Da aber mit der Aufgabenteilung eine starke Vernetzung der Dienstleistungen und IT-Systeme einhergeht, spielt der Sicherheitsaspekt bei der Auswahl eines geeigneten Outsourcing-Partners eine entscheidende Rolle. Für IT-Dienstleister im Banken- und Finanzwesen wie beispielsweise die FIDUCIA IT AG, den größten IT-Dienstleister für genossenschaftliche Banken, sind umfassende Sicherheitsvorkehrungen bereits Standard. Gesetzliche Anforderungen wie das Bundesdatenschutzgesetz (BDSG) und das Kreditwesengesetz (KWG), insbesondere §25a KWG bilden dabei eine wesentliche Grundlage. Obwohl in Branchen außerhalb des Banken- und Finanzsektors die Regelungen des KWG nicht bindend sind, kann doch das Einhalten entsprechender Sicherheitsvorkehrungen beziehungsweise die Berücksichtigung von KWG-Anforderungen im Dienstleistungsverhältnis auch dort den Erfolg und die Qualität von Outsourcing-Projekten positiv beeinflussen. Sicherheitsrisiken steuern und überwachen. Das KWG bildet die rechtliche Grundlage der Bankenaufsicht. Der §25a KWG beinhaltet Regelungen zur Steuerung und Überwachung von Sicherheitsrisiken, um die Ordnungsmäßigkeit der Bankgeschäfte und Geschäftsorganisation zu gewährleisten. Diese umfassen sämtliche Aspekte, die bei der Auswahl eines Dienstleisters zu berücksichtigen sind wie zum Beispiel Verträge, Leistungsbeschreibungen oder Qualitätsstandards. Insbesondere spielen Sicherheitsvorkehrungen beim Einsatz elektronischer Datenverarbeitung eine wesentliche Rolle. Verantwortlich für das KWG zeichnet die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), deren Ziel die Sicherstellung der Funktionsfähigkeit, Stabilität und Integrität des gesamten deutschen Finanzsystems ist. Konkret bedeutet dies unter anderem die Vertraulichkeit und die Gewährleistung der Sicherheit der Daten sowohl gegenüber Manipulationen als auch unbefugtem Zugriff und Diebstahl sowie die Unterstützung korrekter Abrechnungen zu garantieren. Neben den Sicherheitsmaßnahmen zur Garantie eines geschützten Zugriffs auf vertrauliche Daten wie beispielsweise Finanztransaktionen oder Kundenverträge fordert die BaFin die Verfügbarkeit von Daten. Kommt es beim Dienstleister beispielsweise zu einem Systemausfall, muss eine ordnungsgemäße Fortführung des Geschäftsbetriebs gewährleistet sein. Die BaFin hat zudem das Recht, Banken und deren Dienstleister zu überprüfen. Sicherheit braucht Strategie. Eine Lösung für die konkrete Umsetzung der Anforderungen schreibt der §25a KWG nicht vor. Anhaltspunkte für eine umfassende Sicherheitspolitik mit qualitativen Kontrollverfahren geben anerkannte nationale und internationale Standards. So eignen sich das Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (vgl. S.6), der ISO-Standard 17799 (vgl. S.13) oder auch die IT Infrastructure Library (ITIL) als Grundlage für die Sicherheit von Informationen und IT-Systemen. Zudem helfen verschiedene Prüfungsstandards (PS) des Institutes der Wirtschaftsprüfung (IDW) wie beispielsweise IDW PS 330 »Abschlussprüfung bei Einsatz von Informationstechnologie« oder IDW PS 880 »Erteilung und Verwendung von Softwarebescheinigungen« bei der Umsetzung der in §25a KWG geforderten Sicherheitskontrollen. Um Kunden einen höchstmöglichen Sicherheitsschutz zu bieten, erfüllt die FIDUCIA IT AG grundsätzlich sämtliche Prüfungsstandards. Eine Anwendung wird erst dann für einen Kunden »frei geschaltet«, wenn alle wichtigen Standards eingehalten werden können. Die Basis für eine erfolgreiche strategische Umsetzung der geforderten Kontroll- und Überwachungsvorschriften ist ein rund um die Uhr stabil funktionierendes Rechenzentrum, über welches den Banken die vereinbarten Anwendungen zur Verfügung gestellt werden. Das Rechenzentrum muss höchste Ansprüche an die Sicherheit und Verfügbarkeit der Daten und Systeme gewährleisten. Das bedeutet unter anderem: · Bewachung und Überwachung von Gebäude und Technik rund um die Uhr · Sicherheitszonen mit differenzierter Zutrittskontrolle und permanenter Überwachung · Differenzierte Security-Konzepte gegen unberechtigte Zugriffe durch Firewalls (LAN, WAN, Internet) · Rechnerzellen mit autonomer Technik, Brandschutz und netzunabhängiger Not-stromversorgung · Vollautomatisierter, weitgehend bedienerloser Betriebsablauf durch den Einsatz von Robotersystemen zur Datensicherung und Systemmanagementwerkzeugen · 100-prozentige Kapazitätsreserven für den Katastrophenfall (K-Fall)
Für den Notfall gerüstet. Kommt es zu einem Systemausfall, müssen Outsourcing-Unternehmen nach §25a KWG jederzeit vorbereitet sein, um eine ordnungsgemäße Fortführung des Geschäftsbetriebs gewährleisten zu können. Dafür gibt es bei der FIDUCIA IT AG ein konkretes Notfallprogramm inklusive Wiederanlaufplänen sowohl für den Ausfall einzelner Anwendungen als auch für den Katastrophenfall. Hierunter fällt auch der umfassende Schutz von Rechenzentren gegenüber Extremsituationen wie Überschwemmungen, Bränden oder Flugzeugabstürzen. Höchste Priorität hat dabei die Datenerhaltung. Mit Hilfe einer redundanten Datensicherung kann der Ausfall einzelner Festplatten ohne Datenverluste im laufenden Betrieb repariert werden. Auch die so genannte »Spiegelung« beugt Datenverlusten vor. Mit ihr werden alle Daten synchron in zwei oder mehreren Rechenzentren gespeichert. Eine permanente Überwachung der synchronen Datenspeicherung sorgt im Fehlerfall dafür, dass die Systeme automatisch gestoppt werden. Auf diese Weise gibt es bei der Verarbeitung keine Inkonsistenzen. Eine wichtige Rolle spielen bei der Datenerhaltung gesetzlich geregelte Aufbewahrungspflichten. Deshalb sollten auch Archivdaten bei der synchronen Datenspeicherung berücksichtigt werden. Hierbei ist insbesondere auf Migrationsprozesse von älteren Daten zu achten. Tritt ein totaler Systemausfall ein, so muss dieser schnell und ohne Sicherheitsrisiken behoben werden. So benötigt beispielsweise die FIDUCIA IT AG acht Stunden für die Kompension eines totalen Systemausfalls: Innerhalb von zwei Stunden erfolgen eine Bestandsaufnahme, Fehleranalyse und gegebenenfalls Reparaturen. Zum anschließenden Starten der Betriebssysteme bleiben maximal vier Stunden und nach weiteren zwei Stunden werden die Anwendungen wieder für den Kunden bereitgestellt. Vor Online-Freigaben erfolgt gegebenenfalls noch eine Batch-Nachbearbeitung. Ein lesender Online-Zugriff für die Bankmitarbeiter sowie die Selbstbedienung an den Kontoauszugs- und Geldautomaten funktionieren auch während einer Batch-Verarbeitung. Geprüfte Sicherheit für Outsourcing-Dienstleister. Um eine bestmögliche Notfallvorsorge zu gewährleisten, verlangt der §25a KWG Prüfungen zur »Ordnungsmäßigkeit des Einsatzes der Informationstechnologie«, die eine umfassende Sicherheit der Rechenzentren bestätigen. Auf diese Weise sollen insbesondere die ständige Verfügbarkeit von Daten und Anwendungen sowie eine geregelte Zugriffskontrolle auf vertrauliche Dokumente überwacht werden. Im Falle einer Auslagerung von Funktionen auf ein externes Unternehmen ist die auslagernde Bank für die regelmäßige Durchführung von Kontrollen bei ihrem Dienstleister verantwortlich. Banken müssen ihrer jeweiligen Wirtschaftsprüfungsgesellschaft jährlich einen umfassenden Bericht über die Prüfungen zukommen lassen. Für so genannte »Mehrmandantendienstleister« die eine Vielzahl von Banken mit einem einheitlichen Anwendungsverfahren betreuen, erfolgt die Prüfung nicht durch jede einzelne Bank, sondern durch die interne Revision des Dienstleisters sowie durch eine deutsche Wirtschaftsprüfungsgesellschaft. »Das Unternehmen profitiert von einem zuverlässigen Outsourcing-Partner, der alle geforderten Kontrollen regelmäßig erfolgreich durchführen lässt und ihr jährlich einen umfassenden Prüfungsbericht zur Vorlage an den Abschlussprüfer übergibt«, erklärt Rudi Kölmel, Leiter der internen Revision bei der FIDUCIA IT AG. So erhalten die Banken jährlich einen Revisionsbericht des Dienstleisters. Zudem müssen sie über Mängel informiert werden: Sollte ein Systemausfall eintreten, ist der Dienstleister dazu verpflichtet, die Banken über Ursachen und die getroffenen Maßnahmen in Kenntnis zu setzen. Resümee. Banken und Finanzinstitute sind gesetzlich dazu verpflichtet, beim Einsatz elektronischer Datenverarbeitung strengen Sicherheitsvorkehrungen gerecht zu werden, die insbesondere auch für ausgelagerte Dienstleistungen gelten. Diese Regelungen gewährleisten unter anderem den Datenschutz, die Datensicherheit und die Ordnungsmäßigkeit der Datenverarbeitung. Sie unterliegen außerdem speziellen Prüfungsrichtlinien. Das Thema Sicherheit spielt aber auch außerhalb des Banken- und Finanzsektors eine wesentliche Rolle. Denn bereits Störungen einzelner Komponenten in Rechenzentren können Auswirkungen auf die gesamte technische Infrastruktur haben und zu längeren Produktionsunterbrechungen führen. Outsourcing von IT-Dienstleistungen wird auch künftig eine große Rolle spielen. Die Meta Group zeigt in ihrer Studie »IT Trends Branche 2004/05«, dass der Markt für Outsourcing in den nächsten Jahren weiterhin erheblich wachsen wird. So rechnet das Marktforschungsinstitut für das Jahr 2006 mit einem Wachstum von 10,6 Prozent. Um ohne Sicherheitsrisiken von den zahlreichen Vorteilen durch Outsourcing, die sowohl in finanziellen Einsparungen als auch in einem Gewinn an fachlicher Kompetenz durch externe IT-Spezialisten liegen, profitieren zu können, sollten die von der BaFin geforderten Kontrollen bei allen Outsourcing-Beziehungen zum Standard gehören. Lutz Bleyer |
Folgen Sie »manage it« auf Google+
|
