Schlagwort: Banken

Cloudfeld

Cloudcomputing für Banken – Eine gute Vorbereitung ist entscheidend

Die rich­ti­ge Cloud Stra­te­gie als Erfolgsbasis

Die hohe Geschwin­dig­keit des Wan­dels setzt Ban­ken aller Grö­ßen­ord­nun­gen unter Druck, die Agi­li­tät zu erhö­hen, die Digi­ta­li­sie­rung vor­an­zu­trei­ben und Inno­va­tio­nen zu beschleu­ni­gen. Auf­grund die­ser Ent­wick­lun­gen stellt sich nicht mehr die Fra­ge, “ob“, son­dern „wann“ und in wel­chem Umfang die Cloud­nut­zung für ein Finanz­in­sti­tut ein ech­tes The­ma sein wird.

Ein­her­ge­hend mit der Cloud­nut­zung wird u. a. eine Ver­rin­ge­rung von Kos­ten, eine stets moder­ne Infra­struk­tur und die Ein­hal­tung von stren­gen Sicherheits‑, Com­pli­ance– sowie regu­la­to­ri­schen Anfor­de­run­gen in Aus­sicht gestellt. Selbst den Zweif­lern ist nun klar, dass eine „digi­ta­li­sier­te Bank“ eine Men­ge zu bie­ten hat. Inno­va­tio­nen ermög­li­chen immer mehr neue Pro­duk­te, Pro­zes­se oder neue bzw. erwei­ter­te Geschäfts­mo­del­le. Inno­va­ti­ons­zy­klen wer­den kür­zer und offe­ner. Zudem wer­den die Daten zusam­men mit der IT-Infra­struk­tur immer mehr zu einem Innovationstreiber.

Wie geht man ein der­ar­ti­ges Vor­ha­ben rich­tig an, wel­che Ent­schei­dun­gen und Vor­be­rei­tun­gen sind not­wen­dig und was sind die kri­ti­schen Erfolgsfaktoren?

Grund­sätz­lich braucht ein der­ar­ti­ges Vor­ha­ben zu Beginn die Bereit­schaft, sich auf Ver­än­de­run­gen ein­zu­las­sen. Es han­delt sich dabei erst­mal um ein Vor­ha­ben, das mit kon­kre­ten fach­lich-funk­tio­na­len und pro­zes­sua­len Anfor­de­run­gen unter­legt wer­den soll­te. Im Grun­de geht es um die Defi­ni­ti­on einer indi­vi­du­ell aus­zu­ar­bei­ten­den Cloud Stra­te­gie. Ein Me-too-Ansatz, d. h. die Imi­ta­ti­on bereits defi­nier­ter Stra­te­gien ist nicht zwangs­läu­fig erfolgreich.

Die fol­gen­de Abbil­dung gibt einen ers­ten Über­blick, wel­che Stake­hol­der Anfor­de­run­gen an die Cloud­nut­zung defi­nie­ren, wel­cher Nut­zen ermög­licht wer­den kann und wel­che Ange­bo­te grund­sätz­lich in Fra­ge kommen:

Abbil­dung 1: Bei der Cloud Stra­te­gie sind unter­schied­li­che „Anfor­de­rer“ mit einzubeziehen

Ins­ge­samt han­delt es im Rah­men der Cloud Stra­te­gie um eine kon­struk­ti­ve Kon­ver­sa­ti­on, in der es um pro­zes­sua­le, funk­tio­na­le und archi­tek­to­ni­sche Ent­schei­dun­gen geht. Die Basis des geschäft­li­chen Erfolgs bil­den mit hoher Wahr­schein­lich­keit archi­tek­to­nisch gute Sys­te­me mit dem rich­tig defi­nier­ten Ser­vice­an­ge­bot. Die Clou­dan­bie­ter bie­ten ent­spre­chen­de Frame­works an, um sich mit den rele­van­ten grund­le­gen­den Fra­gen aus­ein­an­der­zu­set­zen. Ein gutes Ver­ständ­nis der nutz­ba­ren IT-Ser­vices eines Clou­dan­bie­ters sind für eine Erst­ein­schät­zung und deren Rea­li­sier­bar­keit hilfreich.

Die The­men einer Cloud Stra­te­gie bekom­men je Insti­tut sicher­lich eine unter­schied­li­che Gewich­tung. Die fol­gen­de Auf­stel­lung kann jedoch für eine ers­te Ein­ord­nung dienen.

1. Prüfung bzgl. nutzbarer Cloud-Modelle

  • Im ers­ten Schritt soll­te es dar­um gehen, die in Fra­ge kom­men­den Cloud­mo­del­le zu ver­ste­hen und sei­ne Anwen­dungs­land­schaft ent­spre­chend zu clus­tern, wel­che Tei­le der IT in die Cloud ver­la­gert wer­den kön­nen und wel­ches Modell in Fra­ge kommt.
  • Die Unter­schei­dung nach Pri­vat Cloud, Public Cloud, Hybrid Cloud usw. ist hier­bei zu bewer­ten. Dabei soll­ten die unter­schied­li­chen Vor­tei­le der Model­le abge­wo­gen werden.
  • Grund­le­gen­de und wesent­li­che Cha­rak­te­ris­ti­ka der Bereit­stel­lung und der Bedie­nung sind näher zu betrachten.
  • Defi­ni­ti­on der Cloud­bau­stei­ne sowie der grund­le­gen­den glo­ba­len Infrastruktur
  • Iden­ti­fi­zie­ren von Quel­len für Doku­men­ta­ti­on oder tech­ni­sche Unter­stüt­zung (zum Bei­spiel White­pa­per oder Sup­port-Tickets des Cloudanbieters)

2. Festlegung von Infrastruktur Prinzipien für einen effizienten Betrieb

  • Im zwei­ten Schritt wer­den Anfor­de­run­gen defi­niert, die sich an die Bereit­stel­lung und den Betrieb der Infra­struk­tur in der Cloud ergeben.
  • Es sind Mög­lich­kei­ten zu prü­fen, wel­che Preis­mo­del­le und Moni­to­ring-Ser­vices ange­bo­ten wer­den. Es sind Ser­vices zu wäh­len, die:
  • die Ent­wick­lung unter­stüt­zen und Workloads effek­tiv ausführen
  • Ein­bli­cke in die Betriebs­ab­läu­fe gewäh­ren und
  • den geschäft­li­chen Mehr­wert unter­stüt­zen­de Pro­zes­se und Ver­fah­ren fort­lau­fend verbessern.
  • Zu betrach­ten sind eben­falls Ser­vices für die Nut­zung tech­ni­scher Kom­po­nen­ten der Infra­struk­tur (Ser­ver, Daten­ban­ken, Spei­cher, Netz­werk usw.). Hier­bei geht um die Iden­ti­fi­ka­ti­on von Ser­vices, die den tech­ni­schen Betrieb, die Last­ver­tei­lung, Ska­lie­rung usw. betreffen.

3. Festlegung von Anforderungen an die Sicherheit, Definition von Schutzmaßnahmen

  • Bei den Prin­zi­pi­en zur Sicher­heit wird beschrie­ben, wie Daten, Sys­te­me und Kom­po­nen­ten geschützt wer­den können.
  • Es geht hier dar­um, wie Cloud-Tech­no­lo­gien genutzt wer­den kön­nen, um die Sicher­heits­la­ge zu ver­bes­sern, bzw. um regu­la­to­ri­sche Anfor­de­run­gen mit Ser­vices in der Cloud abzu­de­cken. Die klas­si­schen The­men sind das Benut­zer­ma­nage­ment für die Orga­ni­sa­ti­on, Authen­ti­fi­zie­rungs­ver­fah­ren, Iden­ti­fi­zie­rungs- und Zugriffs­ver­fah­ren, Ein­satz auto­ma­ti­sier­ter Sicher­heits­ver­fah­ren, Schutz der Daten sowie die Tren­nung von Daten und Nutzern.
  • Zu defi­nie­ren sind Haupt­aspek­te für Sicher­heit und Com­pli­ance der Cloud-Platt­form und des Sicherheitsmodells.

4. Festlegung von Prinzipien zur Erreichung einer zuverlässigen und effizienten Infrastruktur

  • Durch die Vor­ga­be von KPIs oder beim Über­schrei­ten von Schwell­wer­ten kön­nen auto­ma­ti­sier­te Reak­tio­nen aus­ge­löst wer­den. Hier­bei geht es nicht nur um tech­ni­sche KPIs, son­dern auch um Kenn­zah­len von Geschäftsabläufen.
  • Eine „tem­po­rä­re“ Test­um­ge­bung kann effi­zi­ent und fle­xi­bel kon­fi­gu­riert wer­den, um fest­zu­stel­len, wel­che Ereig­nis­se zu Feh­lern füh­ren. Kos­ten fal­len dann ledig­lich für die Nut­zung der Test­um­ge­bung an.
  • Die Mes­sung von Kapa­zi­täts­aus­las­tun­gen, Ska­lie­run­gen, Elas­ti­zi­tä­ten sowie die Nut­zung steu­ern­der Ser­vices ver­ein­facht das tech­ni­sche Design erheblich. 
  • Zusätz­li­che Ser­vices, wie auto­ma­ti­sier­te Benach­rich­ti­gun­gen, ergän­zen das Ser­vice­an­ge­bot. Ser­vice­kon­tin­gen­te und die Netz­werk­to­po­lo­gie müs­sen für die zu erbrin­gen­den Geschäfts­ab­läu­fe ange­mes­sen defi­niert sein. Je nach Preis­mo­dell kön­nen durch geziel­te Buchung von Kapa­zi­tä­ten oder Volu­mi­na Kos­ten deut­lich redu­ziert werden.

5. Prüfung Kostenmanagement und Preismodelle

  • Im Rah­men der ange­bo­te­nen Preis­mo­del­le geht es um den kos­ten­op­ti­mier­ten Betrieb der defi­nier­ten Infra­struk­tur. Für die Opti­mie­rung der Kos­ten wer­den im Rah­men der Kon­to­ver­wal­tung und im Preis­ma­nage­ment von den Clou­dan­bie­tern Ser­vices zur Redu­zie­rung der Kos­ten angeboten.

6. Einleitung des Transformationsprozesses

  • Durch den Umzug in die Cloud erge­ben sich struk­tu­rel­le, pro­zes­sua­le, orga­ni­sa­to­ri­sche sowie wirt­schaft­li­che Veränderungen.
  • Ver­ant­wor­tun­gen und Zustän­dig­kei­ten ver­la­gern sich, Anfor­de­rungs­pro­fi­le ändern sich. So könn­te bei­spiel­wei­se ein IT-Mit­ar­bei­ter statt einer ope­ra­ti­ven Ver­ant­wor­tung für den Betrieb einer Platt­form in die Rol­le eines Dienst­leis­ter­steue­rers für Platt­for­men wechseln.
  • Ver­än­de­run­gen sind bereits im Rah­men der Cloud Stra­te­gie auf Pro­zess­ebe­ne zu iden­ti­fi­zie­ren und deren Umsetz­bar­keit in der Cloud zu verifizieren.
  • Da sich durch die Cloud­nut­zung v. a. auch das Risi­ko­pro­fil des Insti­tuts ver­än­dert, sind in der fol­gen­den Abbil­dung Aus­zü­ge wesent­li­cher Risi­ken auf­ge­führt, die von Ände­run­gen betrof­fen sind.
Abbil­dung 2: Ver­än­der­tes Risi­ko­pro­fil durch Cloudnutzung

Was sind nun die Gewinner bzw. Verlierer?

Durch eine Viel­zahl erfolg­rei­cher Pro­jek­te ken­nen wir die kri­ti­schen Erfolgs­fak­to­ren auf der stra­te­gi­schen und der ope­ra­ti­ven Ebe­ne und ver­fü­gen über umfang­rei­che Erfah­run­gen bei der Aus­rich­tung des Geschäfts­mo­dells bzw. der Errei­chung der gewünsch­ten Posi­tio­nie­rung durch eine indi­vi­du­ell defi­nier­te Cloud Strategie.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen Themenumfeld.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Fallschirm im Schnee

6. MaRisk-Novelle Änderungen AT 9 wesentliche Auslagerung für Sparkassen

Herausforderungen für nicht systemrelevante Kreditinstitute

ban­kon berät seit Jah­ren sei­ne Kun­den in Ban­ken und Spar­kas­sen bei der Bewäl­ti­gung von regu­la­to­ri­schen Her­aus­for­de­run­gen, die wei­ter­hin mit einer nicht enden­den Dyna­mik die Orga­ni­sa­ti­ons- und Pro­zess­struk­tu­ren der Häu­ser tref­fen. Wir beob­ach­ten für unse­re Kun­den die regu­la­to­ri­schen Ent­wick­lun­gen und sind zu einem frü­hen Zeit­punkt nah an den Auf­sichts­be­hör­den und deren Anfor­de­rungs­ent­wick­lun­gen dran. Aktu­ell sind die Arbei­ten der BaFin und der Spar­kas­sen zum The­ma der 6. MaRisk-Novel­le Ände­run­gen AT 9 ‑Aus­la­ge­rung- in vol­lem Gan­ge. So bewer­ten wir für die Spar­kas­sen die sich nun­mehr kon­kre­ti­sie­ren­den Anfor­de­run­gen an das Out­sour­cing- und Aus­la­ge­rungs­ma­nage­ment, die Pro­vi­der­steue­rung sowie das Risikomanagement.

Für die Spar­kas­sen, die nicht der euro­päi­schen Ban­ken­auf­sicht unter­lie­gen, tre­ten die EBA-Leit­li­ni­en/­neu­en Out­sour­cing-Stan­dards erst mit Über­füh­rung in natio­na­les Recht in Kraft. Die Über­füh­rung erfolgt sei­tens der BaFin über die Novel­le des Moduls AT 9 der MaRisk (6. MaRisk-Novel­le). Die­ser Pro­zess star­te­te im Herbst 2020 und wird im Jahr 2021 mit Hoch­druck weiterverfolgt.

Sich ver­än­dern­de The­men und Rah­men­be­din­gun­gen für die Spar­kas­sen wer­den hier von ban­kon nur exem­pla­risch benannt:

  • Aus­dif­fe­ren­zie­rung in der Kate­go­ri­sie­rung von großen/komplexen vs. kleinerer/weniger kom­ple­xer Insti­tu­te im Sin­ne der MaRisk-Novellierung
  • Para­me­ter zur Gestal­tung Risi­ko­ana­ly­se und Ergän­zung einer Sze­na­rio­ana­ly­se (qua­li­ta­ti­ve Ansät­ze vs. inter­ne und exter­ne Verlustdatensammlung)
  • Kon­kre­ti­sie­rung Rol­le zen­tra­ler Aus­la­ge­rungs­be­auf­trag­ter und wei­te­rer Rol­len wie z. B. Revision
  • Gestal­tungs­spiel­räu­me für zen­tra­le Erleich­te­run­gen nutz­bar gestal­ten (gemein­sa­me Not­fall­plä­ne, Aus­la­ge­rungs­re­gis­ter, etc.)
  • Gestal­tung und Nut­zung von Auslagerungsmusterverträgen

Die deut­schen Spar­kas­sen haben unter der Regie des Spit­zen­ver­ban­des DSGV und der Regio­nal­ver­bän­de reagiert und haben Ende 2020 ein Pro­jekt mit dem Ziel auf­ge­setzt, Rah­men­be­din­gun­gen, Vor­ga­ben und Hilfs­mit­tel zur Umset­zung der Vor­ga­ben aus der 6. Novel­le für ihre Mit­glieds­in­sti­tu­te zu ent­wi­ckeln und die­se in der Fol­ge nutz­bar für die Häu­ser zu gestalten.

Der DGSV und die Regio­nal­ver­bän­de stel­len bereits heu­te und in über­ar­bei­te­ter Form zukünf­tig den Spar­kas­sen zen­tral Hand­bü­cher, Instrumente/Tools zum Aus­la­ge­rungs­ma­nage­ment sowie einen Aus­la­ge­rungs­mus­ter­ver­trag über die Kanä­le wie z. B. InDok+ und den Umset­zungs­bau­kas­ten zur Ver­fü­gung. Dar­über hin­aus kön­nen die Spar­kas­sen im Rah­men eines indi­rek­ten Steue­rungs­an­sat­zes sog. „Wer­tungs­hil­fen“ für Dienst­leis­ter über die Regio­nal­ver­bän­de in Anspruch nehmen.

Die Spar­kas­sen müs­sen heu­te und auch nach der Novel­lie­rung in Eigen­ver­ant­wor­tung die Maß­nah­men und Akti­vi­tä­ten zum Aus­la­ge­rungs­ma­nage­ment umsetzen.

Dabei wer­den die Spar­kas­sen aut­ark ent­schei­den müs­sen, in wel­chem Umfang sie auf die zen­tra­len Emp­feh­lun­gen und Instrumente/Tools der Ver­bands­sei­te zurück­grei­fen. Juris­ti­sche und kauf­män­ni­sche Bewer­tun­gen sowie Risi­ko­aspek­te wer­den von den Spar­kas­sen wei­ter­hin indi­vi­du­ell ver­ant­wor­tet wer­den müssen.

Die Gesamt­ver­ant­wor­tung für das Aus­la­ge­rungs­ma­nage­ment ver­bleibt auch nach er 6. Novel­le der MaRisk AT 9 bei der jewei­li­gen Spar­kas­se. Eine voll­stän­di­ge Ver­la­ge­rung der Ver­ant­wor­tung auf eine zen­tra­le Steue­rungs­ein­heit ist mit gro­ßer Wahr­schein­lich­keit nicht möglich.

Dem­nach müs­sen alle Spar­kas­sen in Deutsch­land nach der Been­di­gung der vor­be­rei­ten­den Ver­bands­pro­jek­te, die Umset­zung der 6. MaRisk-Novel­le Ände­run­gen AT 9 aktiv gestal­ten, die zen­tral vor­ge­ge­be­nen Emp­feh­lun­gen ihres Spit­zen­ver­bands bewer­ten und mit Blick auf die Indi­vi­dua­li­tät ihres Hau­ses die Nut­zung jeweils umsetzen.

Ger­ne hel­fen wir Ihnen bei der Bewer­tung, der Umset­zungs­ent­schei­dung und der ope­ra­ti­ven Imple­men­tie­rung der not­wen­di­gen Metho­den und Pro­zes­se und schaf­fen somit gemein­sam die opti­ma­le Aus­rich­tung Ihres Hau­ses auf die regu­la­to­ri­schen Anforderungen.

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text der MaRisk sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Background.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Cybersecurity

„Tiber-EU und Tiber-DE“ – Die europäische Antwort auf Cyberkriminalität in Banken?

Angrif­fe von Hackern auf Kre­dit­in­sti­tu­te sind kein loka­les oder natio­na­les Phä­no­men. Viel­mehr ist es ein welt­wei­tes The­ma, des­sen Auf­tre­ten nicht mehr nur „hin­ter vor­ge­hal­te­ner Hand“ dis­ku­tiert wird, son­dern bei­na­he im Wochen­tur­nus Schlag­zei­len in der Pres­se erzeugt.

In Deutsch­land waren bis­her im Jahr 2020 vie­le rele­van­te Ban­ken und Insti­tuts­grup­pen betrof­fen. Sei es mit­tel­bar, weil Kre­dit­kar­ten­in­for­ma­tio­nen unbe­rech­tig­ten Per­so­nen zugäng­lich wur­den oder unmit­tel­bar, weil Bank­funk­tio­na­li­tä­ten für Kun­den nicht mehr zugäng­lich waren. Der Glau­be, dass vor allem FinTechs oder Ban­ken mit Inter­net- oder Mobil­ge­rät-Schwer­punkt Ziel von Cyber­kri­mi­na­li­tät sind, hat sich als Irr­glau­be herausgestellt.

Neben wirt­schaft­li­chen Schä­den ist es vor allem der Repu­ta­ti­ons­scha­den in Form von Ver­trau­ens­ver­lust, der für die betrof­fe­nen Insti­tu­te rele­van­te Aus­wir­kun­gen haben kann.

Begriff­lich wer­den ganz all­ge­mein Straf­ta­ten, bei denen die Täter moder­ne Infor­ma­ti­ons­tech­nik nut­zen, als Cyber­kri­mi­na­li­tät bezeich­net. Fasst man die­sen Begriff etwas enger, so wer­den dar­un­ter Straf­ta­ten ver­stan­den, die auf Com­pu­ter­sys­te­me und Netz­wer­ke zie­len. Hier­un­ter wer­den auch Akti­vi­tä­ten der Cyber­spio­na­ge sub­sum­miert. Die bekann­tes­te Form von Cyber­kri­mi­na­li­tät ist das Phis­hing. Ziel­set­zung ist hier, z. B. Pass­wör­ter, Zugangs­in­for­ma­tio­nen oder per­sön­li­che Daten mit­tels gefälsch­ter E‑Mails oder Web­sites in Erfah­rung zu bringen.

Der Gegen­part zur Cyber­kri­mi­na­li­tät ist für die Ban­ken die Cyber­se­cu­ri­ty. Ziel ist der Schutz vor tech­ni­schen und orga­ni­sa­to­ri­schen Bedro­hun­gen, die die Sicher­heit von IT-Infra­struk­tu­ren und die Daten­si­cher­heit gefähr­den. Unter die­sem Begriff wer­den alle Kon­zep­te und Maß­nah­men zusam­men­ge­fasst, mit denen Ban­ken Gefähr­dun­gen erken­nen, bewer­ten, ver­fol­gen und vor­beu­gen mit der Ziel­set­zung, die Hand­lungs- und Funk­ti­ons­fä­hig­keit schnellst­mög­lich wiederherzustellen.

Das in die­sem Kon­text zu gestal­ten­de Maß­nah­men­bün­del setzt sich aus einer Viel­zahl unter­schied­li­cher Kom­po­nen­ten zusam­men, wie nach­ste­hen­des Prin­zip­bild zeigt.

Tiber; Regulatorik Grafik 1
Prin­zip­bild mit Maßnahmenbündel

Für die Ban­ken stellt sich in die­sem Zusam­men­hang die Fra­ge einer regu­la­to­ri­schen Ori­en­tie­rung, für gro­ße, sys­tem­re­le­van­te oder inter­na­tio­nal agie­ren­de Insti­tu­te auch die eines euro­päi­schen Rah­mens für Cybersecurity.

Das Tiber-EU-Frame­work ist hier ein ers­ter Schritt. Es ist ein Euro­päi­sches Rah­men­werk für ein kon­trol­lier­tes und insti­tuts­in­di­vi­du­el­les Tes­ten in Bezug auf Cyber­an­grif­fe auf den Finanz­markt. Die Anwen­dung ist frei­wil­lig und liegt in der Ent­schei­dungs­ver­ant­wor­tung des ein­zel­nen Kreditinstitutes.

Sechs Ziel­set­zun­gen wer­den durch das Tiber-EU-Frame­work angestrebt:

  • Euro­pa­wei­te Stär­kung der Fähig­keit zur Abwehr von Cyber­an­grif­fen bei Finanzdienstleistungsunternehmen
  • Stan­dar­di­sie­rung und Har­mo­ni­sie­rung im Vor­ge­hen mit der Mög­lich­keit für natio­na­le Anpassungen
  • Leit­fa­den für Behör­den zur natio­na­len Eta­blie­rung und Ori­en­tie­rung zur länderüber­greifenden Vergleichbarkeit
  • Unter­stüt­zung eines län­der­über­grei­fen­den Vor­ge­hens für inter­na­tio­na­le Institute
  • Regu­la­to­ri­sche Ent­las­tung ein­zel­ner EU-Mitgliedsstaaten
  • Gemein­sa­me Doku­men­ta­ti­ons­richt­li­ni­en zum inter­na­tio­na­len Ergebnisaustausch

Unter dem Fokus Infor­ma­ti­ons- und Erkennt­nis­ge­win­nung wer­den kri­ti­sche Bank­sys­te­me mit rea­len Angriffs­sze­na­ri­en (Tak­ti­ken, Tech­ni­ken und Pro­zes­sen) kon­fron­tiert. Simu­liert wer­den in Form eines ethi­schen Hackings pra­xis­na­he Angrif­fe auf bank­fach­li­che Funk­tio­nen und die zugrun­de­lie­gen­den IT-Sys­te­me und IT-Infrastrukturen.

Die­se Ziel­set­zung spie­gelt sich in der Namens­ge­bung Tiber (Thre­at Intel­li­gence-based Ehti­cal Red Team­ing) wie­der. Wobei unter Thre­at Intel­li­gence die auf­be­rei­te­te Bereit­stel­lung aktu­el­ler Infor­ma­tio­nen zur Bedro­hungs­la­ge der IT-Sicher­heit durch Cyber­an­grif­fe und ande­re Gefah­ren aus unter­schied­li­chen Quel­len ver­stan­den wird.

Die Test­durch­füh­rung glie­dert sich in drei Phasen:

Testdurchführung
Drei Pha­sen der Testdurchführung
  1. Vor­be­rei­tung mit der Skiz­zie­rung der Bedro­hungs­si­tua­ti­on und Ris­ken im natio­na­len Finanz­sek­tor sowie dem for­ma­len Start des Tests mit Fest­le­gung der kon­kre­ten Ziel­set­zung, dem Staf­fing des eige­nen Teams und der Beauf­tra­gung der Dienst­leis­tungs­part­ner für Thre­at Intel­li­gence (TI) und Red-Team (RT)
  2. Test­durch­füh­rung durch die Dienst­leis­tungs­part­ner für TI und RT. Der TI-Part­ner erstellt Ziel­set­zung und Bedro­hungs­sze­na­rio für den „Angriff“ durch das RT
  3. In der Abschluss­pha­se erstel­len Angrei­fer (RT) und auch die Ver­tei­di­ger einen Abschluss­re­port, der in gemein­sa­men 360°-Workshops zusam­men­ge­fasst wird und in einen Maß­nah­men­plan mündet

Für das Insti­tut, das einen Tiber-EU-Test durch­führt, ste­hen sechs Zie­le im Vordergrund.

  • Rea­li­täts­na­he Prü­fung der eige­nen Sicherheit
  • Gewin­nung von Erkennt­nis­sen und Infor­ma­tio­nen zu Schwachstellen
  • Pra­xis­ba­sier­te Ver­an­schau­li­chung der Trag­wei­te von Cyberrisiken
  • Sen­si­bi­li­sie­rung der Geschäftsleitung
  • Erkennt­nis über die Not­wen­dig­keit von Schutzmaßnahmen
  • Ein „Durch­fal­len“ oder Nicht­be­stehen ist nicht möglich

Die Durch­füh­rung eines sol­chen ethi­schen Hacker­an­griffs erfor­dert durch das „ange­grif­fe­ne“ Insti­tut, auch wenn die­ser Angriff expli­zit beauf­tragt wird, vor­be­rei­ten­de und beglei­ten­de Maß­nah­men. Die gewünsch­te Rea­li­täts­nä­he kann zu Beein­träch­ti­gun­gen des rea­len Geschäfts­ab­laufs kom­men, denen sich das Insti­tut bewusst sein muss.

Aus die­sem Grund sind fol­gen­de Aspek­te expli­zit in der Vor­be­rei­tung und Durch­füh­rung zu berücksichtigen:

  • Sorg­fäl­ti­ge Aus­wahl der Dienst­leis­tungs­part­ner für Thre­at Intel­li­gence und Red Team
  • Begren­zung des Sco­pes und Abstim­mung inner­halb des Insti­tuts sowie mit der Aufsicht.
  • Vor­ab­re­ge­lung des Umgangs mit Daten und deren Auf­be­wah­rung im Fal­le eines erfolg­rei­chen Hackerangriffs
  • Die ver­trag­li­che Situa­ti­on zwi­schen Bank und bestehen­den IT-Dienst­leis­tungs­part­nern ist zu prü­fen, ob sie die Durch­füh­rung eines Tiber-EU-Tests ermöglichen
  • Pro­zes­sua­le Abschät­zung der Risi­ken des Angriffsszenarios
  • Aus­ge­stal­tung der Test­durch­füh­rung in der Form, dass Aus­wir­kun­gen auf­tre­ten­der Ser­vice­be­ein­träch­ti­gun­gen gering blei­ben und durch vor­be­rei­te­te Maß­nah­men zügig beho­ben wer­den können
  • Umgang mit den doku­men­tier­ten Ergeb­nis­sen des Tests im Span­nungs­feld zwi­schen Offen­le­gung und Vertraulichkeit

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Auf die­ser Grund­la­ge unter­stützt ban­kon effi­zi­ent und ziel­ge­rich­tet die Vor­be­rei­tung und Durch­füh­rung von Tiber-EU-Tests von der Ziel­set­zung bis zur Maßnahmenplanung.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de