Im Banken- und Finanzwesen sind umfassende Sicherheitsvorkehrungen nicht nur klassischerweise besonders verbreitet, sondern auch gesetzlich vorgeschrieben. Das Bundesdatenschutzgesetz (BDSG) und das Kreditwesengesetz (KWG), allem voran der § 25a KWG, bilden dabei eine wesentliche Grundlage. Beim Outsourcing von Banken-IT müssen auch IT-Dienstleister den für das Bankgewerbe gesetzlich erforderlichen Sicherheitsanforderungen gerecht werden. Obwohl in Branchen außerhalb des Banken- und Finanzsektors die Regelungen des KWG nicht bindend sind, kann doch das Einhalten entsprechender Sicherheitsvorkehrungen beziehungsweise die Berücksichtigung von KWG-Anforderungen im Dienstleistungsverhältnis auch dort den Erfolg und die Qualität von Outsourcing-Projekten positiv beeinflussen.
Das KWG bildet die rechtliche Grundlage der Bankenaufsicht. Der § 25a KWG fordert dabei geeignete Regelungen zur Steuerung und Überwachung von Sicherheitsrisiken, um die Ordnungsmäßigkeit der Bankgeschäfte und Geschäftsorganisation zu gewährleisten. Er erfasst auch Aspekte, die bei der Auswahl eines Dienstleisters zu berücksichtigen sind – darunter fallen unter anderem Verträge, Leistungsbeschreibungen oder Qualitätsstandards; explizit nennt der Paragraph die Notwendigkeit angemessener Sicherheitsvorkehrungen beim Einsatz elektronischer Datenverarbeitung. Verantwortlich für das KWG zeichnet die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), deren Ziel die Sicherstellung der Funktionsfähigkeit, Stabilität und Integrität des gesamten deutschen Finanzsystems ist.
Neben Sicherheitsmaßnahmen zur Garantie geschützter Zugriffe auf vertrauliche Daten fordert die BaFin auch eine hohe Verfügbarkeit. Kommt es beim Dienstleister beispielsweise zu einem Systemausfall, so muss dennoch eine ordnungsgemäße Fortführung des Geschäftsbetriebs gewährleistet sein. Die BaFin hat zudem das Recht, Banken und ihre Dienstleister zu überprüfen; weiter steht der Dienstleister in einer permanenten Informations- und Handlungspflicht gegenüber der Bank. "Dienstleistungsunternehmen einer Bank haben daher besondere Sicherheits- und Qualitätsstandards einzuhalten", so Karen Heidtmann, Leiterin "Recht" der Fiducia IT AG, einem großen IT-Dienstleister für genossenschaftliche Banken in Deutschland.
Eine Lösung für die konkrete Umsetzung der Anforderungen liefert der § 25a KWG nicht. Er schreibt aber unter anderem Steuerungs- oder Kontrollmöglichkeiten der Geschäftsleitung vor. "Die BaFin fordert bei einer Zusammenarbeit mit Outsourcing-Dienstleistern angemessene Sicherheitsmaßnahmen und eine umfassende Sicherheitskontrolle. Wie diese in die Tat umzusetzen sind, müssen die Unternehmen selbst regeln", erklärt Lutz Bleyer, Leiter "Zentrale Security" der Fiducia IT AG. Anhaltspunkte für eine umfassende Sicherheitspolitik mit qualitativen Kontrollverfahren geben auch hier anerkannte nationale und internationale Standards, wie das BSI-Grundschutzhandbuch (vgl. S. 6), der ISO-Standard 17799 (vgl. S. 13) oder auch die IT Infrastructure Library (ITIL).
Zudem helfen verschiedene Prüfungsstandards (PS) des Institutes der Wirtschaftsprüfung (IDW), beispielsweise IDW PS 330 "Abschlussprüfung bei Einsatz von Informationstechnologie" oder IDW PS 880 "Erteilung und Verwendung von Softwarebescheinigungen", bei der Umsetzung der in § 25a KWG geforderten Sicherheitskontrollen. "Erst wenn alle Forderungen und Fragen sämtlicher Prüfungsunterlagen entsprechend der Vorgaben mit 'ja' beantwortet werden können, wird eine Anwendung für den Kunden freigeschaltet", beschreibt Bleyer das Vorgehen verantwortungsbewusster Dienstleister.
Die Basis für eine erfolgreiche Umsetzung der vom KWG geforderten Kontroll- und Überwachungsvorschriften ist ein rund um die Uhr stabil funktionierendes Rechenzentrum mit höchsten Ansprüchen an die Sicherheit und Verfügbarkeit von Daten und Systemen – das bedeutet beispielsweise:
Das KWG verlangt zudem ordnungsgemäße Regelungen für die Verbindlichkeit von Informationen. Dies erfordert unter anderem einen stringenten Nachweis, dass an einer Transaktion beteiligte Personen diese auch tatsächlich autorisiert haben – inklusive Nichtabstreitbarkeit. Aus diesem Grund müssen für sämtliche Informationssysteme strenge Sicherheitsrichtlinien für die logischen Zugriffs- und die physischen Zugangskontrollen sowie ein manipulationssicheres Login eingesetzt werden.
Hinzu kommen umfassende Planungen und Sicherungsmaßnahmen für Notfälle bis hin zum Schutz von Rechenzentren gegenüber Extremsituationen wie Überschwemmungen, Bränden oder Flugzeugabstürzen. Gerade im Bereich von Banken und Finanzdienstleistern ist naturgemäß die schnelle Wiederherstellung von Daten unter Ausschluss von Inkonsistenzen bedeutend. Die Fiducia IT AG hat sich beispielsweise zum Ziel gesetzt, selbst einen totalen Systemausfall in spätestens acht Stunden zu beheben: Innerhalb von zwei Stunden erfolgen Bestandsaufnahme, Fehleranalyse und gegebenenfalls Reparaturen. Zum anschließenden Starten der Betriebssysteme bleiben maximal vier Stunden und nach weiteren zwei Stunden müssen Anwendungen wieder für die Kunden bereitstehen.
Um unter anderem eine qualitative Notfallvorsorge gewährleisten zu können, verlangt der § 25a KWG Prüfungen zur Ordnungsmäßigkeit des Einsatzes von Informationstechnik, die eine umfassende Sicherheit der Rechenzentren bestätigen. Im Falle einer Auslagerung von Funktionen auf ein externes Unternehmen ist die auslagernde Bank dennoch für die regelmäßige Durchführung von Kontrollen bei ihrem Dienstleister mit verantwortlich: "Die Auslagerung von Bereichen auf ein anderes Unternehmen, die für die Durchführung der Bankgeschäfte oder Finanzdienstleistungen wesentlich sind, darf weder die Ordnungsmäßigkeit dieser Geschäfte oder Dienstleistungen noch die Steuerungs- oder Kontrollmöglichkeiten der Geschäftsleitung ... beeinträchtigen. Das Institut hat sich insbesondere die erforderlichen Weisungsbefugnisse vertraglich zu sichern und die ausgelagerten Bereiche in seine internen Kontrollverfahren einzubeziehen." (§ 25a, Abs. 2 KWG)
Für so genannte "Mehrmandantendienstleister", die beispielsweise eine Vielzahl von Banken mit einem einheitlichen Anwendungsverfahren betreuen, erfolgt die Prüfung sinnvollerweise nicht durch jede einzelne Bank, sondern durch die interne Revision des Dienstleisters sowie durch eine deutsche Wirtschaftsprüfungsgesellschaft. "Der Kunde profitiert so von einem zuverlässigen Outsourcing-Partner, der alle geforderten Kontrollen regelmäßig erfolgreich durchführen lässt und ihm jährlich einen umfassenden Prüfungsbericht zur Vorlage an den Abschlussprüfer übergibt", erklärt Rudi Kölmel, Leiter der internen Revision bei der Fiducia IT AG.
Zudem müssen Kunden über Mängel informiert werden: Sollte ein Systemausfall eintreten, ist der Dienstleister dazu verpflichtet, den Banken über Ursachen und die getroffenen Maßnahmen Bericht zu erstatten. Um dem gerecht zu werden, sollte ein Anbieter ganzjährig interne Prüfungen durchführen. Die Revision der Infrastruktur sollte dazu sowohl physische Sicherungsmaßnahmen umfassen, welche die Gebäudesicherheit betreffen, als auch logische Zugriffskontrollen (z. B. Passwortregelungen, Datensicherungs- und Auslagerungsverfahren) sowie Maßnahmen für den geordneten Regelbetrieb und Verfahren für den Notbetrieb. Kontrollen im Umfeld des KWG erfolgen dabei nach strengen Richtlinien der BaFin zu Ausgestaltung und Ablauf der internen Revision sowie zur Durchführung der jährlichen Untersuchungen durch externe Prüfungsgesellschaften.
Banken und Finanzinstitute sind gesetzlich verpflichtet, beim Einsatz elektronischer Datenverarbeitung strengen Sicherheitsvorkehrungen gerecht zu werden, die insbesondere auch für ausgelagerte Dienste gelten. Diese Regelungen gewährleisten unter anderem Datenschutz, Datensicherheit und die Ordnungsmäßigkeit der Datenverarbeitung; sie unterliegen außerdem speziellen Prüfungsrichtlinien. Wo das Thema Sicherheit auch außerhalb des Banken- und Finanzsektors eine besondere Rolle spielt, können auch andere Branchen von den hierzu eingerichteten stringenten Sicherungs- und Kontrollmechanismen profitieren. Um Outsourcing-Vorteile mit möglichst geringem Risiko nutzen zu können, sollten die von der BaFin geforderten Kontrollen daher auch bei anderweitigen besonders sicherheitssensitiven Outsourcing-Beziehungen zum Standard gehören.
Sonja Mohr ist PR-Beraterin bei der Fleishman-Hillard Munich GmbH.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#6, Seite 85