Fachbeiträge & Kommentare zu Informationssicherheit

Rz. 368 Der Implementierung geeigneter Steuerungs- und Überwachungsmechanismen kommt bei Dienstleistungen eine besonders wichtige Rolle zu. Während sich Sachleistungen i. d. R. exakt durch entsprechende Spezifikationen im Auslagerungsvertrag umschreiben lassen, erweist sich dies bei Dienstleistungen häufig als schwieriger. Entwickeln die Geschäftspartner bezüglich des Inhalt...mehr

Rz. 2 Die technisch-organisatorische Ausstattung umfasst die Gesamtheit der Einrichtungen und Anlagen zur Leistungserstellung eines Institutes. Hierzu zählen z. B. Grundstücke, Gebäude, Büromaterial oder Aufbewahrungsmöglichkeiten. Es ist evident, dass sich z. B. hinsichtlich der Gebäude bei einem Institut mit weit verzweigtem Filialnetz andere Fragen ergeben als bei einem I...mehr

Rz. 171 Auf Basis der festgelegten "Risikokriterien" ist eine "Risikoanalyse" durchzuführen. Diese Risiko­analyse umfasst neben dem Soll-Ist-Vergleich die Analyse der möglichen Bedrohungen, das ­Schadenspotenzial, die Schadenshäufigkeit sowie den Risikoappetit des Institutes. Sonstige risiko­reduzierende Maßnahmen können auch in die Risikoanalyse einfließen. Laut Tz. 3.9 BAI...mehr

Rz. 85 Vor dem Hintergrund der COVID-19-Pandemie hatte die EBA bereits ab März 2020 an Erleichterungen für Kreditinstitute gearbeitet und erste Überlegungen hierzu im April 2020 veröffentlicht.[1] Die EBA überführte ihre Empfehlungen im Juli 2020 in Leitlinien und konkretisierte diese weiter.[2] Nach dem von der EBA vorgeschlagenen pragmatischen Ansatz für den SREP in 2020 h...mehr

Rz. 106 Soweit sich die Geschäftsprozesse auf IT-Systeme stützen, was nicht zuletzt im Zuge der fortschreitenden Digitalisierung der Finanzbranche mittlerweile zum Standard geworden ist, muss sich der geforderte Grundsatz der Funktionstrennung auch in der IT-Landschaft des Institutes widerspiegeln. Die Anwendungen auf der IT-Ebene dürfen nicht dazu führen, dass die Funktions...mehr

Rz. 164 Auch im Hinblick auf den sonstigen Fremdbezug von IT-Dienstleistungen haben die Institute zunächst die allgemeinen Anforderungen an die ordnungsgemäße Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten (→ AT 9 Tz. 1, Erläuterung). Darüber hinaus sind bei jedem Bezug von Software die damit verbundenen Risiken angemessen zu bewerten (→ AT 7.2 Tz. 4 Satz 2). Wegen...mehr

Rz. 165 Ist der Schutzbedarf ermittelt, soll das Institut nach Tz. 3.6 BAIT in einem "Sollmaßnahmenkatalog" jene Anforderungen definieren, die zur Erreichung des jeweiligen Schutzbedarfes angemessen sind, und diese in geeigneter Form dokumentieren. Insofern enthält der Sollmaßnahmenkatalog lediglich die Anforderungen, nicht jedoch deren konkrete Umsetzung. Auf dieser Basis h...mehr

Rz. 1 Wesentliche Veränderungen in den IT-Systemen im Rahmen von IT-Projekten, deren Auswirkung auf die IT-Aufbau- und IT-Ablauforganisation sowie die dazugehörigen IT-Prozesse sind im Rahmen einer Auswirkungsanalyse zu bewerten (vgl. AT 8.2 Tz. 1 MaRisk). Im Hinblick auf den erstmaligen Einsatz sowie wesentliche Veränderungen von IT-Systemen sind die Anforderungen des AT 7....mehr

Rz. 309 Die BaFin hat am 8. November 2018 eine Orientierungshilfe zu Auslagerungen an Cloud-Anbieter in Form eines Merkblattes veröffentlicht.[1] In diesem mit der Deutschen Bundesbank abgestimmten Dokument wird die aufsichtliche Praxis bei derartigen Konstellationen dargelegt. Gleichzeitig soll bei den beaufsichtigten Unternehmen ein Problembewusstsein im Umgang mit Cloud-D...mehr

Rz. 8 Bei wesentlichen Veränderungen in den IT-Systemen sind ergänzend die "Bankaufsichtlichen Anforderungen an die IT" (BAIT)[1] zu beachten, mit deren Hilfe die MaRisk in den relevanten Bereichen weiter konkretisiert werden. Die Aufsicht erläutert darin auch, was sie unter angemessenen Änderungsprozessen von IT-Systemen versteht (→ AT 7.2 Tz. 3). Die MaRisk und die BAIT si...mehr

Rz. 1 IT-Dienstleistungen umfassen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung. Die Auslagerungen der IT-Dienstleistungen haben die Anforderungen nach AT 9 der MaRisk zu erfüllen. Dies gilt auch für Auslagerungen von IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsun...mehr

Rz. 85 Die bedeutenden Institute und die "großen Förderbanken" müssen allerdings keine exklusive Organisationseinheit ausschließlich für die Compliance-Funktion im Sinne des AT 4.4.2 einrichten. Eine Kombination mit den für andere Compliance-Themen zuständigen Einheiten, insbesondere die Compliance-Funktion nach MaComp sowie die für Geldwäscheprävention, Terrorismusfinanzier...mehr

Rz. 94 Die von der EBA im Februar 2019 veröffentlichten Leitlinien zu Auslagerungen[1] aktualisieren die CEBS-Leitlinien aus dem Jahr 2006 und integrieren die Empfehlungen der EBA zu Outsourcing an Cloud-Anbieter. Darüber hinaus konkretisieren sie die Anforderungen an die Überwachung der Auslagerungen im SREP. Ziel der Leitlinien ist es, die Anforderungen an Auslagerungen eu...mehr

Rz. 105 Die fünfte und sechste MaRisk-Novelle haben zu erheblichen Überarbeitungen der Anforderungen an Auslagerungen geführt.[1] Positiv ist dabei anzumerken, dass die in die MaRisk übernommenen Regelungen deutlich prinzipienorientierter ausgestaltet sind als ihre europäischen Vorgaben. Zwar betont auch die EBA die Bedeutung des Grundsatzes der Proportionalität sowohl bei d...mehr

Rz. 28 Mitarbeiter sowie deren Vertreter müssen in Abhängigkeit von ihren Aufgaben, Kompetenzen und Verantwortlichkeiten über die erforderlichen Kenntnisse und Erfahrungen verfügen. Diese Anforderung setzt voraus, dass Institute über eine entsprechende Personalbedarfsplanung verfügen, in der ebenjene notwendigen Fähigkeiten, Fertigkeiten, die Erfahrung und das Potenzial (d. ...mehr

Rz. 25 Nicht zuletzt aus der Definition einer Störung ergibt sich die Notwendigkeit einer Abgrenzung zwischen der "Störungsbeseitigung" bzw. dem "Vorfallmanagement" und dem "Notfallmanagement". Rz. 26 Die EBA fordert die Etablierung eines "Prozesses zum Management von Vorfällen und Problemen", um operationelle und sicherheitsrelevante IKT-Vorfälle zu überwachen und zu protoko...mehr

Rz. 133 Die Anforderungen an die Funktionalität der Anwendung müssen laut Tz. 7.7 BAIT ebenso erhoben, bewertet, dokumentiert und genehmigt werden wie "nichtfunktionale Anforderungen". Nichtfunktionale Anforderungen an IT-Systeme sind beispielsweise: Anforderungen an die Informationssicherheit, Zugriffsregelungen, Ergonomie, Wartbarkeit, Antwortzeiten, Resilienz.[1] Rz. 134 Zu jede...mehr

Rz. 163 Für die Bestandteile des definierten Informationsverbundes hat das Institut gemäß Tz. 3.4 BAIT regelmäßig und anlassbezogen den "Schutzbedarf" zu ermitteln. Das gilt insbesondere im Hinblick auf die Schutzziele Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität. Die Eckpunkte dafür müssen in einer Informationssicherheitsleitlinie festgelegt werden (→ AT 7.2...mehr

Rz. 196 Beim Bezug von Software sind die damit verbundenen Risiken angemessen zu bewerten. Der isolierte Bezug von Software ist i. d. R. als "sonstiger Fremdbezug von Leistungen" einzustufen. Allerdings sind mit dem Bezug von Software häufig auch Unterstützungsleistungen verbunden. Sofern die Software zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation...mehr

Rz. 59 Die Senior Supervisors Group hat in ihrem Bericht aus dem Jahr 2010 eine wichtige Forderung aufgestellt: Die IT-Strategie muss essenzieller Teil der Geschäftsstrategie sein.[1] Die deutsche Aufsicht erwartet somit, dass die notwendigen Anforderungen an die digitale Transformation auf geschäftspolitischen Grundlagen basieren und strategisch verankert werden.[2] Um eine...mehr

Rz. 60 In der Sondersitzung des MaRisk-Fachgremiums zur Compliance-Funktion am 24. April 2013 hat die Aufsicht nochmals deutlich gemacht, dass die Institute nicht zwingend eine eigenständige Organisationseinheit einrichten müssen, unter der alle wesentlichen Compliance-Themen gebündelt sind. Die Institute haben vielmehr bei der aufbauorganisatorischen Umsetzung der Complianc...mehr

Rz. 191 Mit Blick auf die Auslagerung an Cloud-Anbieter hat die Aufsicht in der im Jahr 2024 veröffentlichten "Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter"[1] das vormals als "Orientierungshilfe"[2] bekannte Dokument unter anderem um das Kapitel "Sichere Anwendungsentwicklung und IT-Betrieb in der Cloud" erweitert.[3] Dabei widmet sich die Aufsicht auch eingehend ...mehr

Rz. 308 Seit der sechsten MaRisk-Novelle haben die Vertragsparteien bei wesentlichen Auslagerungen mit Auslandsbezug im Auslagerungsvertrag die Standorte (d. h. Regionen oder Länder) festzulegen, in denen die Durchführung der Dienstleistung erfolgt und/oder maßgebliche Daten gespeichert und verarbeitet werden. Darüber hinaus ist vertraglich zu vereinbaren, dass das Institut ...mehr

Rz. 118 Der Einsatz von unzureichend getesteten und nicht abgenommenen IT-Systemen kann den gesamten IT-Betrieb erheblich beeinträchtigen. So können z. B. Fehler in der Software nicht erkannt werden, wenn diese nicht ausreichend getestet und freigegeben wird. Solche Fehler gefährden den produktiven Einsatz und die Informationssicherheit der neuen Software sowie unter Umständ...mehr

Rz. 316 Um eine ordnungsgemäße Interne Revision auch im Fall der Auslagerung sicherzustellen, sind im Auslagerungsvertrag Informations- und Prüfungsrechte zugunsten der Internen Revision des auslagernden Institutes zu vereinbaren. Die Interne Revision prüft und beurteilt die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse eines Institutes, unabhängig davon, ob...mehr

Rz. 13 Wie beim Neu-Produkt-Prozess (→ AT 8.1 Tz. 5) sind in die Analysen zu den Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten. Aus Effizienzgründen empfiehlt sich ein vergleichbares Vorgehen wie beim Neu-Produkt-Prozess (NPP), indem die zuständ...mehr

Rz. 4 Die KBV und der GKV-Spitzenverband vereinbaren bis zum 31.3.2022 die Anforderungen an technische Verfahren zum datengestützten zeitnahen Management von Krankheiten über eine räumliche Distanz (telemedizinisches Monitoring; Satz 1). Die Vereinbarung wird im Benehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem Bundesamt für die...mehr

Rz. 5 Die gematik prüft auf der Grundlage der von ihr veröffentlichten Prüfkriterien, ob die Komponenten und Dienste der Telematikinfrastruktur funktionsfähig und interoperabel sind (Satz 1; gematik, Hinweise zur Zulassung, https://fachportal.gematik.de, abgerufen: 8.1.2021). Rz. 5a Die Sicherheit richtet sich nach den Vorgaben der gematik, die im Benehmen mit dem Bundesamt f...mehr

Ab dem 1.1.2021 müssen die gesetzlichen Krankenkassen ihren Patienten eine elektronische Patientenakte (ePA) zur Verfügung stellen. In der Akte können Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte, Impfungen und vieles mehr gespeichertwerden. Die Nutzung der ePA durch den Patienten ist allerdings freiwillig. Entscheidet sich der Patient für eine Nutzung, so kann ...mehr

Hauptmerkmale dieses Servitization-Schrittes hin zum integrierten Lösungsanbieter sind, dass Nutzen und Mehrwert durch die Services entstehen. Verkauft werden Dienstleistungen. Dabei bleiben die Produkte im Eigentum des Herstellers. Wesentliche Teile der Wertschöpfungskette werden gemeinsam mit Partnern erbracht, die integraler Bestandteil des Kundenprozesses sind. Laptopher...mehr

Überblick Jedes Tun und damit auch jedes unternehmerische Handeln ist mit Gefahren und Risiken verbunden. Deshalb werden von verschiedenen Seiten und Anspruchsgruppen (Stakeholder, interessierte Kreise) Anforderungen an jedes Unternehmen gestellt, die Risiken zu minimieren oder zu beseitigen. Es wird also ein aktives Risikomanagement verlangt. Zu den Risiken gehören allerdin...mehr

Seit Oktober 2020 gibt es vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) offiziell als Digitale Gesundheitsanwendung (DiGA) zugelassene Lösungen. Diese sind browserbasiert oder als App erhältlich. Sie sind teilweise auch mit Zusatzgeräten zu nutzen und werden umgangssprachlich als "App auf Rezept" tituliert. Im Rahmen ihrer Zulassung müssen diese DiGA verschi...mehr

Rz. 4 Ergibt die Bewertung der in Abs. 1 genannten Informationen Sicherheitsmängel, kann das BSI der gematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen. Das BSI kann bei abweichenden Entscheidungen der gematik die Entscheidung prüfen und entsprechend der Vorgaben in Art. 15 Abs. 3 der NIS-Richtlinie (Gesetz zur Umsetzung der europä...mehr

Als letzter Schritt sind nun die KPIs festzulegen. Dabei ist zwischen steuerungsrelevanten und berichtspflichtigen KPIs zu unterscheiden. Nachhaltigkeits-KPIs machen das ökologische, soziale und Governance-Engagement von Unternehmen transparent und nachvollziehbar. Folgen sie einem Standard ist sogar der Vergleich zwischen den Unternehmen möglich, wie z. B. die Ermittlung des...mehr

Vorbemerkung Nach dem Abschn. II Ziffer 2 sind Beschäftigte eingruppiert, die sich mit Systemen der Informations- und Kommunikationstechnik befassen ohne Rücksicht auf ihre organisatorische Eingliederung. Zu diesen Systemen zählen insbesondere informationstechnische Hard- und Softwaresysteme, Anwendungsprogramme, Datenbanken, Komponenten der Kommunikationstechnik in lokalen I...mehr

Rz. 317 Es bleibt festzuhalten, dass nach wie vor bei vielen in Betrieb befindlichen Messgeräten der informationstechnische (und möglicherweise automatisierte) Nachweis, dass Messdaten unverändert sind, nicht zu erbringen ist. In einem unsicheren System ist es technisch nicht möglich, Authentizität und Integrität nachzuweisen. Viele Messgeräte erfüllen die aktuellen Anforder...mehr

Rz. 294 Bevor wir zu den tatsächlichen Anforderungen der PTB an die Sicherheit von Messdaten kommen, beschäftigen wir uns mit der Frage, welche Anforderungen überhaupt sinnvoll sind. Dabei geht es nicht darum, konkrete technische Vorgaben oder Vorschläge zu machen, sondern allgemeine Mindestanforderungen aufzustellen. Rz. 295 Zunächst sind hierzu zwei wichtige Aspekte des sta...mehr

Im Bereich der IT-Sicherheit in Unternehmen haben sich in den letzten Jahren immer mehr sog. Awareness-Kampagnen durchgesetzt, um die Mitarbeiter für das Thema Informationssicherheit im Unternehmen zu sensibilisieren. Diese Kampagnen sollen eine nachhaltige Verhaltensänderung der Mitarbeiter erreichen und werden deshalb i. d. R. auf einen längeren Zeitraum bis hin zu mehrere...mehr

Zur Erfüllung öffentlicher Aufgaben müssen sich Staat und Verwaltung immer wieder veränderten gesellschaftlichen, wirtschaftlichen oder technischen Rahmenbedingungen stellen und bestehende Funktionen, Strukturen und Abläufe überdenken.[1] Insbesondere für die Städte und Landkreise, die die Basis des demokratischen Staatsaufbaus darstellen, zeichnet sich dadurch ein immenses S...mehr

Rz. 24 Die Bewertung der Zulässigkeit der Datenverarbeitung war bislang und ist seit 25.5.2018 auf Basis einer Interessenabwägung, die die Interessen von Arbeitgeber und Beschäftigten in Einklang bringen muss, zu treffen (§ 32 Abs. 1 BDSG a.F. und § 26 Abs. 1 BDSG). Die Bewertung ist daher oft vom jeweiligen Einzelfall abhängig. Rz. 25 Für die Verarbeitung der Beschäftigtenda...mehr

Grundsätzlich kann man davon ausgehen, dass ein Mitarbeiter nicht mit dem Gedanken in den Betrieb fährt, am gleichen Tag vom Rettungswagen ins Krankenhaus gebracht zu werden. Ebenso hat der Betrieb kein Interesse daran, den Produktionsprozess durch einen Arbeitsunfall unterbrechen zu lassen. Die klassische Safety kümmert sich darum zu verhindern, dass doch etwas passiert. Da...mehr

In der Lieferkette wächst die Datenvernetzung durch unternehmensübergreifende IT-Anwendungen für Planung, Produktion, Warenfluss, Warenrücksendung und Service. Vor diesem Hintergrund gewinnen Anforderungen an Datenschutz, IT- und Informationssicherheit in den Bewertungsbögen für Lieferanten und Dienstleister an Bedeutung. Die DIN/ISO/IEC 2701-02/2014 detailliert die Anforder...mehr

Komplexe Organisationsformen im Unternehmensalltag (Matrixorganisationen) führen dazu, dass die Gefahr besteht, dass einzelne Bereiche nicht vollständig, vernünftig und lückenlos geregelt werden. Ergeben sich durch komplexe Strukturen unklare Regelungsbereiche, können Haftungsrisiken im Störfall entstehen. Praxis-Beispiel Lücken im Organisationsgeflecht vermeiden Mit Hilfe ein...mehr

Abb. 1: Einflussfaktoren der Exportkontrolle Neben internationalen Embargen fließen die Export Control Regimes in die nationale Gesetzgebung und die damit im Zusammenhang stehenden Exportkontrolllisten. Exportkontrolllisten: Teil I A der AL – Waffen, Munition und Rüstungsmaterial Teil I B der AL – national gelisteten Dual-Use-Güter, sog. 900er Positionen, siehe dazu Anhang 1 der...mehr

Die nachfolgende, nicht abschließende Aufzählung orientiert sich an der Rechtsverbindlichkeit, nicht der wirtschaftliche Bedeutung der Anforderungen. Sorgfaltspflichten nach dem Geldwäschegesetz für gewerbliche Güterhändler Außenwirtschaftsverkehr (Außenwirtschaftsgesetz (AWG)) Exportkontrolle Sanktionen, Embargos und Terrorismusbekämpfung Zollverfahren (Zugelassener Wirtschaftsb...mehr

Für die Ermittlung gefährlicher Güter sind die Klassifizierungen nach ADN/RID/ADNR maßgeblich. Hierbei kann zu einem erheblichen Teil auf die Feststellungen zur Arbeitssicherheit entsprechend der Gefahrstoffverordnung zu gefährlichen Chemikalien (REACH-Verordnung) und der Exportkontrolle (Ausgangsstoffe und Organismen als Dual-Use-Güter) zurückgegriffen werden. Was die Verfah...mehr

Rz. 1 Stand: EL 119 – ET: 10/2019 Diese Agenturen sind EU-Einrichtungen, die spezifische fachliche, wissenschaftliche oder administrative Aufgaben wahrnehmen. Sie sind in den Verträgen nicht vorgesehen, sondern wurden durch besondere Rechtsakte geschaffen. Die EU unterscheidet dabei drei Arten: Exekutivagenturen, die gemäß VO (EG) Nr 58/2003 (ABl EU L 11 vom 16.01.2003) mit b...mehr

Rz. 27 Zitat "Die Integrität ist neben Verfügbarkeit und Vertraulichkeit eines der drei klassischen Ziele der Informationssicherheit."“[38] Laut Glossar des Bundesamtes für Sicherheit in der Informationstechnik bezeichnet Integrität die Zitat "Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen".[39] Im Sinne der Verordnung erfordert die Sicherste...mehr

Die Einführung des besonderen elektronischen Anwaltspostfachs (beA) hat nun auch die Bundesregierung beschäftigt. Einige Abgeordnete hatten die Anfrage an die Bundesregierung gerichtet, wie es u.a. mit der Sicherheit und der Nutzungspflicht der Postfächer stehe (vgl. BT-Drucks 18/9994). Die Bundesregierung sieht, wie aus ihrer Antwort hervorgeht, keine gravierenden Probleme i...mehr

Wenn es um Kriminalitätsbekämpfung geht, wird traditionell zwischen Kriminalität von außen und Kriminalität durch eigene Mitarbeiter unterschieden. Häufig hören wir dabei zur Erläuterung, dass man, ebenso wie sich Kriminalität in der Gesellschaft nicht ausschließen lässt, nicht verhindern könne, dass einzelne Mitarbeiter straffällig würden. Das ist richtig, hilft dem Complia...mehr