Schlagwort: Digitalisierung

Simplyfying IT-Compliance

Digi­ta­li­sie­rung Risi­ko­ma­nage­men­t/-sys­te­me Ban­ken – Ant­wort auf zuneh­men­de Bedro­hun­gen durch Cyber-Risi­ken und stei­gen­de Kos­ten durch IT-Compliance

Moder­nes Ban­king ist digi­tal. Eine leis­tungs­star­ke IT-Platt­form und effi­zi­en­te IT-Pro­zes­se sind der Erfolgs­trei­ber für die Geschäfts­mo­del­le der Zukunft. Die Anfor­de­run­gen an das IT-Manage­ment der Ban­ken sind immens. Neben strik­ter Kos­ten­kon­trol­le rücken ange­sichts der Bedro­hung durch Cyber-Angrif­fe Infor­ma­ti­ons­si­cher­heit und IT-Risi­ko­ma­nage­ment in den Fokus. Die Insti­tu­te sehen sich mit immer stren­ge­ren, zuneh­mend tech­ni­schen regu­la­to­ri­schen Vor­ga­ben (BAIT, EBA, MaRisk, ISO 27000) und strik­terer Aus­le­gung sowie effek­ti­ven Umset­zungs­kon­trol­len im Rah­men von Sonderprüfun­gen kon­fron­tiert. Ent­schei­der im IT-Manage­ment benö­ti­gen daher zukünf­tig „auf Knopf­druck“ voll­stän­di­ge Trans­pa­renz über das aktu­el­le IT-Risi­ko bzw. die Gefähr­dungs­si­tua­ti­on ihrer Orga­ni­sa­tio­nen als Gesamt­über­blick mit Wech­sel­wir­kun­gen, Abhän­gig­kei­ten, Redundan­zen, gemappt auf die aktu­ell gül­ti­gen Vor­ga­ben, um effek­tiv steu­ern zu kön­nen. Der Im­pact von Ver­än­de­run­gen regu­la­to­ri­scher Rah­men­be­din­gun­gen soll­te sofort sicht­bar und effek­ti­ve Maß­nah­men zur Umset­zung der neu­en Vor­ga­ben und Miti­ga­ti­on der insti­tuts­spe­zi­fi­schen Risi­ko­po­si­ti­on ableit­bar sein. Auf­grund der herr­schen­den Kom­ple­xi­tät der IT-Struk­tu­ren der Häu­ser und der anwend­ba­ren Regu­lie­rung bie­tet ein digi­ta­les Frame­work „Digi­tal Regu­la­to­ry Com­pli­an­ce“, DIRC, mit leis­tungs­star­ker Soft­ware­un­ter­stüt­zung (Platt­form­tech­no­lo­gie) hier­bei erheb­li­che Effizienzvorteile.

Ein aktu­el­ler Fach­bei­trag von ban­kon Manage­ment Con­sul­ting GmbH & Co. KG zusam­men mit fin­leap con­nect GmbH und der fin­leap Toch­ter 42Stages GmbH als Reg­Tech-Spe­zia­list in der Fach­zeit­schrift „die bank“ beschreibt die zuneh­men­den Her­aus­for­de­run­gen für Ban­ken durch Cyber-Risi­ken sowie stei­gen­de regu­la­to­ri­sche Anfor­de­run­gen und zeigt pra­xis­er­prob­te digi­ta­le Lösungs­an­sät­ze (Link):

https://​www​.die​-bank​.de/​h​o​m​e​/​b​a​n​k​e​n​-​s​i​n​d​-​a​u​f​-​d​i​g​i​t​a​l​e​-​r​i​s​i​k​o​m​a​n​a​g​e​m​e​n​t​s​y​s​t​e​m​e​-​a​n​g​e​w​i​e​s​e​n​-​2​0​0​37/

Fazit und Aus­blick
Die Digi­ta­li­sie­rung der IT-Com­pli­an­ce ist für Ban­ken unver­zicht­bar. Nur durch intel­li­gen­ten Ein­satz von Platt­form­tech­no­lo­gie kön­nen die Kos­ten­syn­er­gien geschaf­fen wer­den, die lang­fris­tig die Ren­ta­bi­li­tät und Wett­be­werbs­fä­hig­keit der Insti­tu­te sichern. Der Erfolg liegt in der Kom­bi­na­ti­on von Bank­fach­lich­keit und Tech­no­lo­gie. Ein Frame­work wie DIRC kann die effi­zi­en­te Umset­zung unterstützten.

Die Digi­ta­li­sie­rung steht auch im Bereich IT-Com­pli­an­ce erst am Anfang ihrer Mög­lich­kei­ten. Mittelfris­tig ist davon aus­zu­ge­hen, dass das DIRC-Frame­work um eine wei­te­re Ebe­ne „Pro­filing“ erwei­tert wird. Durch Ein­satz von Mus­ter­er­ken­nung und künst­li­cher Intel­li­genz (KI) sol­len orga­ni­sa­to­ri­sche Schwach­stel­len früh­zei­tig iden­ti­fi­ziert und vor­aus­schau­end Risi­ken z. B. aus ver­än­der­ten regu­la­to­ri­schen Rah­men­be­din­gun­gen ein­ge­schätzt wer­den können.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www.ban​kon​.de
E‑Mail: research@bankon.de


Wei­te­re Autoren:

Patrick Gie­sen

Mana­ging Direc­tor | 42Stages GmbH

Patrick Gie­sen beglei­te­te als Prü­fer und Bera­ter vie­le Ban­ken im Kon­text von Auf­sichts­prü­fun­gen, war CISO und GW-Beauf­trag­ter und ent­wi­ckelt das hier vor­gestellte Framework.

Andre­as Reuß

CCO | fin­leap con­nect GmbH

Andre­as Reuß ver­fügt als ehe­ma­li­ger Part­ner einer WP-Gesell­schaft und Betrei­ber einer Open Ban­king Platt­form über umfang­rei­che Erfah­rung mit der Umset­zung regu­la­to­ri­scher Anforderungen.

IAM – Fluch oder Segen

Umset­zung regu­la­to­risch erwei­ter­ter Anfor­de­run­gen im Eigen­in­ter­es­se der Banken

Ver­schär­fung der BAIT bei IAM zwingt zum Handeln

Am 16. August 2021 hat die BaFin die neue Fas­sung ihrer Bank­auf­sicht­li­chen Anfor­de­run­gen an die IT (BAIT) ver­öf­fent­licht, wel­che noch am sel­ben Tag in Kraft getre­ten sind.

Der Schwer­punkt der Neu­hei­ten liegt hier­bei nun­mehr weni­ger auf grund­le­gen­den Ände­run­gen als viel­mehr auf der Erwei­te­rung und Anpas­sung diver­ser Anfor­de­run­gen. Die­ses gilt auch für das zen­tra­le The­men­feld des Iden­ti­ty & Access Manage­ments (IAM).

Die BAIT beschreibt detail­lier­te Anfor­de­run­gen an IT-Berech­ti­gungs­kon­zep­te, Geneh­mi­gungs- und Kon­troll­pro­zes­se, Rezer­ti­fi­zie­rung der Berech­ti­gun­gen sowie Nach­voll­zieh­bar­keit und Doku­men­ta­ti­on sämt­li­cher Einrichtungs‑, Ände­rungs- und Deak­ti­vie­rungs­pro­zes­se. Unter IAM fal­len damit alle Funk­tio­nen und Arbeits­schrit­te im Zusam­men­hang mit der Admi­nis­tra­ti­on von Iden­ti­tä­ten und der Ver­wal­tung von Zugriffs­rech­ten sowie die damit ver­bun­de­ne Nachweisführung.

Von beson­de­rer Bedeu­tung ist die vor­ge­nom­me­ne Ergän­zung des Abschnitts 6.1. Mit ihm wur­de zusätz­lich in die BAIT auf­ge­nom­men, dass jeg­li­che Zugriffs‑, Zugangs- und Zutritts­rech­te auf Bestand­tei­le bzw. zu Bestand­tei­len des Infor­ma­ti­ons­ver­bun­des stan­dar­di­sier­ten Pro­zes­sen und Kon­trol­len unter­lie­gen sol­len, was kon­kret alle Berech­ti­gun­gen von Betriebs­sys­tem- über Daten­bank- bis Anwen­dungs­ebe­ne betrifft, und zwar auch für tech­ni­sche Zugän­ge bzw. Nutzer.

Aku­ter Hand­lungs­be­darf in der deut­schen Finanzszene

Für Deutsch­lands Ban­ken gilt mit Inkraft­set­zung der neu­en BAIT der Vor­satz „zeit­nah agie­ren und nicht erst, wenn die Auf­sicht an die Tür klopft“. Dies soll­te nicht im Lich­te eines Zug­zwangs gese­hen wer­den, son­dern im urei­ge­nen Inter­es­se der Insti­tu­te. Der Stand der tech­ni­schen Ent­wick­lung sowie der Digi­ta­li­sie­rung erhöht das Risi­ko betrü­ge­ri­scher Sys­tem­zu­grif­fe in erheb­li­chem Maße. In der Vor­beu­gung und Bekämp­fung betrü­ge­ri­scher Mög­lich­kei­ten sind koor­di­nie­ren­de Maß­nah­men erfor­der­lich, die man mit Bord­mit­teln und einer „dezen­tra­len teil­ma­nu­el­len Lösung“ von Zugriffs- und Berech­ti­gungs­kon­trol­len nicht mehr beherr­schen kann.

Der aus die­sen regu­la­to­ri­schen Anfor­de­run­gen resul­tie­ren­de Inves­ti­ti­ons­be­darf sowie die Bean­spru­chung unter­neh­mens­in­ter­ner Res­sour­cen gehen in vie­len Fäl­len über „das Mach­ba­re“ weit hin­aus. Auch vor dem Hin­ter­grund bereits erfolg­ter oder anste­hen­der Ver­la­ge­run­gen von Anwen­dun­gen in eine Cloud-Lösung gilt es, effi­zi­ent vor­zu­ge­hen und effek­ti­ve Ergeb­nis­se zu erzeugen.

Im Kon­text der welt­weit zu begrü­ßen­den posi­ti­ven, aber auch bedroh­lich nega­ti­ven Effek­te der fort­schrei­ten­den Digi­ta­li­sie­rung, han­delt es sich hier um eine not­wen­di­ge, gera­de aber auch für die mit hoch­sen­si­blen Daten ope­rie­ren­de Finanz­dienst­leis­tungs­bran­che maxi­mal sinn­haf­te Inves­ti­ti­on in die Zukunft.

Die sich in Sum­me erge­ben­den Vor­tei­le über­wie­gen den ver­meint­li­chen Auf­wand und brin­gen sogar ins­ge­samt mit­tel­fris­tig Kos­ten­vor­tei­le, da wesent­li­che Pro­zes­se auto­ma­ti­siert wie­der­ver­wend­bar sind und die manu­el­le Admi­nis­tra­ti­on in den Hin­ter­grund rückt.

Was ist zu tun

Gemäß öffent­lich zugäng­li­chem Zah­len­ma­te­ri­al waren bis Ende 2020 etwa 60 % der Finanz­in­sti­tu­te inten­si­ver mit dem The­ma befasst, davon ver­füg­te die Hälf­te der Insti­tu­te bereits über ein­ge­führ­te IAM-Sys­te­me. Hier ist, bezo­gen auf die gesam­te Com­mu­ni­ty, also noch ein deut­li­cher Weg zu beschreiten.

Wie­der ein­mal han­delt es sich um ein The­ma an der Schnitt­stel­le zwi­schen Fach­lich­keit und IT, wobei IAM-Pro­jek­te kei­ne pri­mä­ren IT-Vor­ha­ben sind, son­dern die Fach­lich­keit mit kla­ren Vor­ga­ben für User-Pro­fi­le und Rol­len­be­schrei­bun­gen vorlegt.

Par­al­lel dazu erfolgt der Abschluss der Sys­tem­aus­wahl. Eine Viel­zahl der Anbie­ter von IAM-Sys­te­men waren in der Ver­gan­gen­heit US-ame­ri­ka­nisch geprägt. Inzwi­schen haben sich aber in den letz­ten fünf bis zehn Jah­ren im deutsch­spra­chi­gen Raum eine Rei­he von Lösungs­an­bie­tern etabliert.

Ins­ge­samt bie­tet sich die Chan­ce zum „Auf­räu­men“ durch Löschung von über­hol­ten Zugän­gen (Mit­ar­bei­ter sind gar nicht mehr im Haus oder haben die Posi­tio­nen und damit Auf­ga­ben­zu­stän­dig­kei­ten gewech­selt) und Schaf­fung einer kla­ren und siche­ren Struk­tur mit sich selbst steu­ern­den Mechanismen.

Vor­ge­hens­mo­dell

Von Vor­teil ist die Ein­schal­tung einer erfah­re­nen und unab­hän­gi­gen Instanz in die Aus­wahl­pro­zes­se und vor­be­rei­ten­den Akti­vi­tä­ten, um die Umset­zungs­pha­se eines IAM-Pro­jekts mög­lichst kom­pakt zu gestal­ten. Immer wie­der hat sich gezeigt, dass die Kom­ple­xi­tät eines sol­chen Vor­ha­bens deut­lich unter­schätzt wird. Sowohl den gesetz­li­chen als auch den eige­nen Anfor­de­run­gen des Hau­ses ist in aus­rei­chen­dem Maße Rech­nung zu tra­gen. Ins­ge­samt geht es dar­um, inno­va­tiv in die Zukunft zu inves­tie­ren (Sta­te of the Art), aber gleich­zei­tig den Bogen nicht zu über­span­nen und mit Blick auf Cost-Value-Fak­to­ren eine ange­mes­se­ne Lösung mit ver­träg­li­cher Pro­jekt­lauf­zeit zu imple­men­tie­ren, wel­che auch für klei­ne­re und mit­tel­gro­ße Häu­ser geeig­net ist (maxi­ma­le Nut­zung vor­han­de­ner, aber vor allem erfor­der­li­cher Funktionalitäten).

Das fol­gen­de Schau­bild illus­triert die wesent­li­chen Eck­pfei­ler eines voll inte­grier­ten IAM-Lösungsansatzes:

IAM - Schaubild Artikel MJH

Im Pro­jekt­ab­lauf geht es u. a. um das Auf­set­zen einer IAM-Stra­te­gie, die Durch­füh­rung von Vor­ar­bei­ten wie Bestands­ana­ly­se, Bestands­be­rei­ni­gung sowie die Kon­zep­ti­on und Über­ar­bei­tung des Rol­len­mo­dells (IT vs. Busi­ness) unter Beach­tung gefor­der­ter Funk­ti­ons­tren­nun­gen. Wei­te­re Hand­lungs­fel­der betref­fen die tech­ni­sche Anfor­de­rungs­auf­nah­me (z. B. Inte­gri­tät in die Umsys­te­me, User Expe­ri­ence, Work­flows), die Pro­zess­ge­stal­tung, die Erstel­lung und Aus­wer­tung von RFI/RFP, die Sys­tement­schei­dung sowie die Kon­zep­ti­on der Sys­tem­an­bin­dun­gen (z. B. HR). Nach Instal­la­ti­on und Umset­zung der tech­ni­schen Kon­zep­te in der Ent­wick­lungs­um­ge­bung, einer aus­rei­chen­den technisch/fachlichen Test- und Abnah­me­pha­se (Nut­zung agi­ler Pro­jekt­me­tho­dik) sowie der zeit­ge­rech­ten Durch­füh­rung von Anwen­der­schu­lun­gen kann „die neue IAM-Welt“ in Pro­duk­ti­on an den Start gehen.

Je nach geleis­te­ter Vor­ar­beit und Kom­ple­xi­tät der Unter­neh­mens- und Anwen­dungs­struk­tur kann das Pro­jekt­vor­ha­ben einen Zeit­raum von sechs bis 18 Mona­ten in Anspruch neh­men. ban­kon beglei­tet Sie als neu­tra­ler Part­ner bei der Sys­tem­aus­wahl, Vor­be­rei­tung und Umset­zung Ihres IAM-Projekts.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www.ban​kon​.de
E‑Mail: research@bankon.de


aktiver Vertrieb

Aktiver Vertrieb – wenn nicht jetzt, wann dann?

Coro­na hat das Jahr 2020 geprägt. Sicher­lich. Coro­na prägt auch das Jahr 2021. Sicher­lich. Aber nicht so wie das Jahr zuvor.

Aber was hat sich für alle Ban­ken, Spar­kas­sen und Finanz­dienst­leis­ter geän­dert? Es ist ein immer kla­re­res Bild der Zukunft.

  1. Die ers­ten Impf­stof­fe sind bereits zuge­las­sen. Es gibt einen Plan. Und natür­lich gibt es auch Rück­schlä­ge. Aber eines ist doch klar. Bis zum Ende des Jah­res wird Coro­na die Gesell­schaft nicht mehr in der Zan­ge haben
  2. Die wirt­schaft­li­chen Ein­schnit­te sind da. Ein­zel­ne The­men wur­den enorm beschleu­nigt. Ande­re wer­den die Coro­na-Kri­se nicht über­ste­hen. Aber: Die Grund­rich­tung hat sich nicht ver­än­dert: Digi­ta­li­sie­rung, öko­lo­gi­sche Rah­men­be­din­gun­gen etc.
  3. Wir sind der­zeit in Zei­ten, in den die ver­trieb­li­chen Ideen mehr denn je gefragt sind. Sie geben Ori­en­tie­rung – sowohl für die Kun­den als auch für die eige­nen Mitarbeiter

Was von Coro­na blei­ben wird. Es wird noch lee­rer wer­den in den Filia­len. Im soge­nann­ten sta­tio­nä­ren Ver­trieb. Hier gibt es zwei Mög­lich­kei­ten. Noch mehr vom sta­tio­nä­ren Ver­trieb auf­ge­ben oder die Chan­cen aus dem sta­tio­nä­ren Ver­trieb neu nutzen.

Denn zwei Din­ge sind immer noch für die Kun­den der Zukunft von hoher Bedeu­tung. Der per­sön­li­che Ansprech­part­ner. Und die per­sön­li­che Sicherheit.

Mehr denn je ist jetzt der Moment, die­se bei­den Wege kon­se­quent zu gehen. Aber hier­zu braucht es Füh­rung – eine ange­pass­te Füh­rung. Es gilt die Ange­bo­te für den Kun­den­kreis noch bes­ser zu gestal­ten und die Mit­ar­bei­ter im sta­tio­nä­ren Ver­trieb noch stär­ker als bis­her zu führen.

Die Mit­tel ste­hen hier­für bereit:

  • Die Ver­triebs­ideen für das The­ma Sicher­heit sind in der Finanz­wirt­schaft tief ver­an­kert, ste­cken sozu­sa­gen in der DNA
  • Das Ver­trau­en, der wich­tigs­te Kom­mu­ni­ka­ti­ons­wert, ist – so zei­gen es Stu­di­en – in den Ban­ken­grup­pen stark ausgeprägt
  • Die Ver­triebs­sys­te­me las­sen eine Füh­rung bis auf die Ver­triebs­mit­ar­bei­ter zu

Aber: Es geht jetzt nicht dar­um, den Workload zu mes­sen und den Ver­trieb wei­ter­hin ana­log zu steu­ern. Es geht jetzt dar­um, die digi­ta­len Mög­lich­kei­ten auch für den sta­tio­nä­ren Ver­trieb zu nut­zen, um die Effek­ti­vi­tät der Ver­triebs­pro­zes­se erheb­lich zu verbessern.

In die­sem Kon­text hat ban­kon vor­ge­dacht und das not­wen­di­ge Umden­ken mit ver­schie­de­nen Kun­den in OSPlus umgesetzt.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen The­men­um­feld ab.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www.ban​kon​.de
E‑Mail: research@bankon.de