IT-Risiko-Management im DORA-Zeitalter: Kritische Assets, Abhängigkeiten und die zentrale Rolle der Configuration Management Database
Die zunehmende Digitalisierung und Abhängigkeit von IT-Systemen stellt Unternehmen vor neue Herausforderungen in Bezug auf die Verwaltung und den Schutz ihrer Informations- und IKT-Assets. Regulatorische Anforderungen, insbesondere durch BAIT/VAIT (Bankaufsichtliche Anforderungen an die IT/Versicherungsaufsichtliche Anforderungen an die IT) und die neue EU-Verordnung DORA (Digital Operational Resilience Act), setzen klare Vorgaben für den Umgang mit IT-Ressourcen. Diese Regularien verpflichten Unternehmen, ihre Informations- und IKT-Assets genau zu identifizieren, zu klassifizieren und die Verbindungen sowie Abhängigkeiten zwischen diesen Assets zu erfassen.
Anforderungen der BAIT/VAIT /ZAIT und DORA
Die BAIT/VAIT /ZAIT-Vorgaben dienen der Sicherstellung einer robusten und sicheren IT-Infrastruktur in Unternehmen, insbesondere im Finanz- und Versicherungssektor. Sie verlangen eine präzise Verwaltung von IT-Assets und Informationssystemen, um Risiken aus Cyberbedrohungen und technischen Störungen zu minimieren. Zu den wichtigsten Anforderungen gehören:
-
Festlegung eines Informationsverbunds und Schutzbedarfsfeststellung: Unternehmen müssen ihre IT-Systeme in Informationsverbünde einteilen und den Schutzbedarf dieser Verbünde gemäß den kritischen Geschäftsprozessen bewerten. Dieser Prozess stellt sicher, dass kritische Informations- und IKT-Assets entsprechend ihrer Bedeutung für das Unternehmen priorisiert und abgesichert werden.
-
IKT-Asset-Management: Im Rahmen des IKT-Asset-Managements müssen alle IKT-gestützten Unternehmensfunktionen und die unterstützenden Informations- und IKT-Assets identifiziert und klassifiziert werden. Besonders im Fokus stehen dabei kritische Assets, die für den reibungslosen Betrieb des Unternehmens essenziell sind.
-
Dokumentation von Abhängigkeiten zu IKT-Drittdienstleistern: Unternehmen müssen die Verbindungen und Abhängigkeiten zu externen IT-Dienstleistern genau erfassen, um das Risiko von Unterbrechungen durch Drittparteien zu minimieren. Auch die Cyberrisiken, die durch Schwachstellen in den Systemen dieser Dienstleister entstehen können, sind zu berücksichtigen.
Die neue DORA-Verordnung, die sich ebenfalls auf die IT-Sicherheitsanforderungen von Unternehmen konzentriert, ergänzt diese Vorgaben. Sie fordert die Ermittlung und Klassifizierung aller IKT-Assets und Informationssysteme, die kritische Geschäftsprozesse unterstützen. Ein wesentlicher Aspekt von DORA ist die Verpflichtung, Abhängigkeiten von Drittdienstleistern systematisch zu erfassen, um die Resilienz der IT-Systeme zu stärken. Damit werden Unternehmen gezwungen, über den Betrieb ihrer eigenen IT-Infrastruktur hinauszublicken und externe Risiken zu berücksichtigen.
DORA stellt sicher, dass Unternehmen eine durchgängige Überwachung und Dokumentation ihrer IT-Assets vornehmen. Dies beinhaltet auch eine genaue Analyse der Verbindungen zwischen den einzelnen Systemen und die Erstellung von Notfallplänen für den Fall von Störungen oder Ausfällen.
1. Informationsassets:
Informationsassets sind Daten oder Informationen, die für ein Unternehmen wertvoll sind und einen wesentlichen Beitrag zum Erreichen der Geschäftsziele leisten. Diese Assets können sowohl digitale als auch nicht-digitale Formen annehmen und beinhalten:
- Dokumente (physisch oder digital), z. B. Verträge, Geschäftspläne, oder Berichte.
- Datenbanken, in denen wichtige Kunden- oder Transaktionsdaten gespeichert werden.
- Proprietäre Informationen oder geistiges Eigentum, z. B. Patentinformationen oder technische Designs.
- Betriebsdaten, die die internen Abläufe und Prozesse des Unternehmens betreffen.
- Benutzerdaten oder personenbezogene Informationen, wie sie oft in CRM-Systemen oder anderen Kundendatenbanken gespeichert sind.
Beispiele von Informationsassets:
- Kundeninformationen in einem CRM-System.
- Mitarbeiterdaten in einer HR-Datenbank.
- Finanzberichte, die für die interne Entscheidungsfindung genutzt werden.
Wert von Informationsassets: Diese Assets sind kritisch für den Betrieb, da der Verlust oder die Offenlegung sensibler Informationen finanzielle und rechtliche Konsequenzen haben kann.
2. IKT-Assets (Informations- und Kommunikationstechnologie-Assets):
IKT-Assets sind die technologischen Ressourcen (Hardware, Software, Netzwerke), die verwendet werden, um Informationsassets zu erstellen, zu speichern, zu verarbeiten oder zu übertragen. Sie unterstützen den Betrieb und die Geschäftsprozesse eines Unternehmens und stellen sicher, dass die Informationsassets effizient und sicher verwaltet werden können.
Beispiele von IKT-Assets:
- Hardware: Server, Computer, Netzwerkgeräte (Router, Switches), Speicherlösungen.
- Software: Betriebssysteme, Anwendungen (z. B. ERP-Systeme, CRM-Software), Datenbankmanagementsysteme.
- Netzwerk-Infrastruktur: Internetverbindungen, VPNs, Cloud-Dienste, Kommunikationsnetzwerke.
- Sicherheitslösungen: Firewalls, Antivirenprogramme, Verschlüsselungstools.
- Rechenzentren oder Cloud-Infrastruktur, die von Drittanbietern bereitgestellt werden.
Wert von IKT-Assets: Diese Ressourcen sind entscheidend, um den sicheren und effizienten Betrieb der Informationssysteme sicherzustellen, ohne die Unternehmensprozesse gestört werden. Ein Ausfall oder eine Störung in einem IKT-Asset kann dazu führen, dass wichtige Informationen nicht zugänglich sind oder Sicherheitslücken entstehen.
Umsetzung der Anforderungen in der Praxis
Um die regulatorischen Anforderungen in die Praxis umzusetzen, müssen Unternehmen ihre IT-Infrastruktur und ihre Informationssysteme auf verschiedenen Ebenen strukturieren und dokumentieren. Zwei zentrale Prozesse spielen dabei eine entscheidende Rolle: die Konfiguration der Informations- und IKT-Assets und die Erfassung ihrer Verbindungen und Interdependenzen.
1. Konfiguration von Informations- und IKT-Assets
Die Konfiguration bezieht sich auf die spezifischen technischen Einstellungen, die vorgenommen werden, um sicherzustellen, dass ein Asset seine Funktion effizient und sicher erfüllt. In der Praxis bedeutet dies:
-
Software-Management: Unternehmen müssen sicherstellen, dass alle Softwarekomponenten regelmäßig aktualisiert und mit den neuesten Sicherheitspatches versehen sind. Besonders im Hinblick auf Cybersecurity ist dies essenziell, um bekannte Schwachstellen zu schließen.
-
Zugriffsrechte und Berechtigungen: Die Verwaltung der Zugriffsrechte ist ein weiteres kritisches Element. Unternehmen müssen sicherstellen, dass nur autorisierte Mitarbeiter Zugang zu sensiblen Daten und Systemen haben. Diese Konfiguration sollte regelmäßig überprüft und angepasst werden.
-
Netzwerk- und Sicherheitskonfigurationen: Die Einrichtung von Netzwerken, Firewalls und VPN-Zugängen muss präzise vorgenommen werden, um die Sicherheit der Datenübertragung zu gewährleisten. Jede Komponente sollte so konfiguriert sein, dass unbefugte Zugriffe und Datenverluste verhindert werden.
-
Hardware-Management: Neben der Software spielt auch die Hardware eine zentrale Rolle. Server, Speicherlösungen und Netzwerksysteme müssen so konfiguriert werden, dass sie den Anforderungen des Unternehmens entsprechen und gleichzeitig hohe Verfügbarkeit und Sicherheit gewährleisten.
Diese Konfigurationen sorgen dafür, dass die IKT-Assets und Informationssysteme den täglichen Geschäftsanforderungen gerecht werden und gleichzeitig vor Bedrohungen geschützt sind.
2. Erfassung der Verbindungen und Interdependenzen
Neben der Konfiguration der einzelnen Assets ist es ebenso wichtig, die Verbindungen und Abhängigkeiten zwischen den verschiedenen IT-Systemen zu verstehen und zu dokumentieren. Dieser Prozess stellt sicher, dass Unternehmen wissen, wie ein Ausfall eines Assets andere Assets und Geschäftsprozesse beeinträchtigen kann. In der Praxis umfasst dies:
-
Dokumentation von Systemverbindungen: Unternehmen sollten alle Verbindungen zwischen ihren IT-Systemen erfassen, sei es zwischen Datenbanken und Anwendungen oder zwischen Backup-Systemen und Speichereinheiten. Diese Dokumentation ermöglicht es, potenzielle Schwachstellen zu identifizieren.
-
Erfassung von Abhängigkeiten zu Drittanbietern: Viele Unternehmen nutzen externe IT-Dienstleister, um bestimmte Geschäftsprozesse zu unterstützen. Die Abhängigkeiten von diesen Diensten müssen klar definiert und dokumentiert werden. Unternehmen sollten zudem sicherstellen, dass sie alternative Lösungen parat haben, falls ein externer Dienstleister ausfällt.
-
Interdependenzen in kritischen Geschäftsprozessen: Es ist entscheidend, die Abhängigkeiten zwischen IT-Systemen und den kritischen Geschäftsprozessen zu analysieren. Dies ermöglicht eine Priorisierung der IT-Assets im Notfall und stellt sicher, dass die wichtigsten Geschäftsprozesse weiterhin funktionieren.
Eine Configuration Management Database (CMDB) kann dabei helfen, alle relevanten Informationen zu den IT-Systemen und ihren Verbindungen zu speichern. Solche Datenbanken sind zentral für die Planung von Wiederherstellungsmaßnahmen im Falle von Störungen und tragen dazu bei, Risiken proaktiv zu managen.
Fazit
Die Konfiguration von Informations- und IKT-Assets sowie die Erfassung ihrer Verbindungen und Abhängigkeiten sind wesentliche Bestandteile eines robusten IT-Asset-Managements. Regulatorische Anforderungen wie BAIT/VAIT und DORA stellen sicher, dass Unternehmen ihre IT-Infrastruktur auf einem hohen Sicherheitsniveau betreiben und gleichzeitig Risiken aus Cyberbedrohungen und Systemausfällen minimieren. Die Umsetzung dieser Anforderungen in der Praxis erfordert eine sorgfältige Planung und Dokumentation, um sicherzustellen, dass alle relevanten Assets und Verbindungen erfasst und entsprechend geschützt sind. Nur so können Unternehmen die Resilienz ihrer IT-Systeme gewährleisten und den Anforderungen der digitalen Transformation gerecht werden.