IT-Sicherheitsmanagement in Banken

Rezension von Frank Roselieb

Ob externe Hackerangriffe mit Trojanischen Pferden, der allzu sorglose Umgang von Bankangestellten mit ihren persönlichen Kennwörtern oder die bewusste Datenmanipulation durch Angestellte eines ausgegliederten Rechenzentrums - die Systeme der Informationstechnologie (IT) in Kreditinstituten bergen vielfältige Sicherheitsrisiken. Einerseits müssen die Banken immer weniger Mitarbeitern immer weitergehende Zugriffsrechte auf vertrauliche Dokumente einräumen. Zudem zwingt der hohe Wettbewerbsdruck die Kreditinstitute zur schrittweisen Öffnung ihrer internen IT-Infrastruktur für externe Dienstleister und Kunden - beispielsweise im Rahmen des Online-Banking. Andererseits sind einem allzu weitreichenden IT-Sicherheitsmanagement - neben organisatorischen und technischen Barrieren - auch rechtliche Grenzen gesetzt.

Auf welche Arten von IT-Sicherheitsrisiken sollten sich Banken im Internet-Zeitalter einstellen? Wie weit können E-Mails, Telefongespräche oder Online-Transaktionen der Mitarbeiter überwacht werden? Welche technischen Hilfsmittel ermöglichen eine frühzeitige Erkennung von Hackerangriffen und Manipulationsversuchen? Antworten auf diese Fragen gibt der Sammelband von Prof. Dr. Peter Roßbach (Hochschule für Bankwirtschaft in Frankfurt am Main) und Prof. Dr. Hermann Locarek-Junge (Technische Universität Dresden). Zusammen mit 26 Autoren aus der Wissenschaft, von Kreditinstituten und Beratungsgesellschaften widmen sich die beiden Hochschullehrer den organisatorischen, technischen und rechtlichen Aspekten des IT-Sicherheitsmanagements in Banken.

• Organisation: Prof. Dr. Hermann Locarek-Junge skizziert zunächst die Ausgangssituation des IT-Risikomanagements eines Kreditinstituts und verdeutlicht die dabei zu beachtenden Komponenten. Dr. Jörn Voßbein, Geschäftsführer der UIMC Dr. Vossbein GmbH & Co. KG aus Wuppertal, beschreibt anschließend die erforderlichen aufbau- und ablauforganisatorischen Regelungen eines IT-Sicherheitsmanagements und stellt alternative Organisationsmittel - wie Handbücher und Richtlinien - vor. Prof. Dr. Reinhard Voßbein von der Universität Essen verdeutlicht, wie durch Auditierung und Zertifizierung des IT-Sicherheitssystems dem Streben der Banken nach Integrität und Vertraulichkeit der Daten sowie hoher Verfügbarkeit der Systeme entsprochen werden kann.

• Die schrittweise Entwicklung und proaktive Verbesserung eines IT-Sicherheitskonzeptes mit Hilfe von Risikoanalysen steht im Mittelpunkt des Beitrags von Prof. Dr. Dirk Stelzer von der Technischen Universität Ilmenau. Dabei werden beispielsweise die Ursachen und Konsequenzen von IT-Gefährdungen mit Szenario- und Simulationsanalysen detailliert untersucht. Marcus Bräuhäuser, Dr. Peter Biltzinger und Carsten Lorenz von IBM Global Services aus München erläutern anschließend das methodische Vorgehen bei einer qualitativen Risikoanalyse in der IT-Beratungspraxis. Dargestellt werden insbesondere die notwendigen Analyseschritte auf der Prozess-, Organisations-, Applikations- und IT-Infrastrukturebene.

• Der Messung und Bewertung von operationellen Risiken (z.B. fehlerhaften Prozessen, rechtswidriger Aktivitäten von Mitarbeitern oder den Auswirkungen von Naturkatastrophen) im Lichte von Basel II widmen sich Melanie Jörg von der Commerzbank AG und Prof. Dr. Peter Roßbach von der Hochschule für Bankwirtschaft (beide aus Frankfurt am Main). Unter der Überschrift "Wie sichert man eine Internetbank?" verdeutlicht Dr. Erhard Petzel von der NetBank AG aus Hamburg in einer abschließenden Fallstudie, wie die Sicherheitsanforderungen von Kunden und Banken in ein integriertes Modell des IT-Sicherheitsmanagements überführt werden können.

• Technik: Im mit knapp 50 Seiten längsten Beitrag des Buches gibt Prof. Dr. Peter Roßbach zunächst einen sehr umfassenden Überblick über die Bedrohungen der IT-Sicherheit aus technischer Sicht - von Anwenderfehlern über Datendiebstahl bis zur Programmanipulation. Vorgestellt werden auch alternative Angriffstechniken (z.B. Scanning, Trojanische Pferde und Buffer-Overflows). Wie Angriffe auf IT-Systeme rechtzeitig erkannt und erfolgreich abgewehrt werden können, verdeutlichen die proaktiven und reaktiven Empfehlungen der Autoren Alexander Behnke, Michael Maus und Dr. Markus Schäffter von der Secaron AG aus Hallbergmoos bei München. In die Aufgaben, Architektur und Arbeitsweise von Firewalls führt der Beitrag von Klaus Engel und Dr. Andreas Rösch von der Rösch & Associates Information Engineering GmbH aus Frankfurt am Main ein.

• Welche Erfahrungen die WestLB Systems GmbH, der Financial IT-Dienstleister der Westdeutschen Landesbank in Düsseldorf, mit der Einführung von sogenannten "Intrusion Detection Systems" gemacht hat, erläutert Michael Hennecke. Den nicht-technischen Bedrohungen und sonstigen Angriffen auf die IT-Sicherheit (z.B. durch Vorspielen einer Pseudo-Legitimation oder dem bewussten Ausnutzen der Autoritätsgläubigkeit mancher Bankangestellter) widmen sich Dr. Stephan Feil, Dr. Peter Biltzinger und Marcus Bräuhäuser von IBM Global Services aus München. Die Einsatzmöglichkeiten biometrischer Verfahren - wie Gesichtserkennung oder Fingerabdruckanalyse - im IT-Sicherheitsmanagement einer Bank stehen im Mittelpunkt des Beitrags von Marcus Klische, einem freien IT-Security-Berater aus Berlin.

• Frank Losemann vom Institut für Telematik aus Trier und Dr. Armin Ratz von der Dresdner Bank AG aus Frankfurt am Main skizzieren in einer Fallstudie den Aufbau eines konzernweiten Zertifikatmanagements bei der Dresdner Bank. Was bei der Auslagerung von Bankdienstleistungen im Bezug auf das IT-Sicherheitsmanagement zu beachten ist und welche Anforderungen das Bundesaufsichtsamt für das Kreditwesen an ein solches Outsourcing stellt, verdeutlicht Stefan Keller von CSC Ploenzke aus Wiesbaden. Konstantin Petruch von der Detecon International GmbH aus München analysiert abschließend den Sicherheitsfaktor "Mensch" und zeigt Möglichkeiten eines präventiven IT-Sicherheitsmanagements in einer Bank auf.

• Recht: Die Auswirkungen des Geldwäschegesetzes, der Mindestanforderungen an das Betreiben von Handelsgeschäften und weiterer Regelungen des Bundesaufsichtsamtes für das Kreditwesen auf die Gestaltung der IT-Infrastruktur in Banken erläutern Dr. Markus Escher und Dr. Jörg Kahler von der Anwaltssozietät Gassner Stockmann und Kollegen aus München. Prof. Dr. Christoph Schalast von der Hochschule für Bankwirtschaft aus Frankfurt am Main analysiert anschließend die Schnittstellen zwischen dem Bankaufsichtsrecht einerseits mit dem Telekommunikations- und Multi-Media-Recht andererseits. Betrachtet werden dabei insbesondere das Teledienstegesetz (TDG) sowie das Telekommunikationsgesetz (TKG).

• Den Möglichkeiten und Grenzen der Mitarbeiterüberwachung in den Bereichen Telefon, E-Mail und Internet aus der Perspektive des Verfassungs-, Telekommunikations- und Datenschutzrechtes widmen sich Dr. Georg F. Schröder und Florian Hess von PricewaterhouseCoopers Veltins aus München. Dr. Stefan Werner von der Credit Suisse Deutschland AG aus Frankfurt am Main beschließt den Sammelband mit einer Diskussion der allgemeinen Beweislastgrundsätze und besonderen Sorgfaltspflichten im elektronischen Geschäftsverkehr der Kreditinstitute.

Insgesamt ist den beiden Herausgebern und ihren 26 Autoren ein lesenswerter Sammelband gelungen, der angemessen kritisch und aktuell in die verschiedenen Facetten des IT-Sicherheitsmanagements in Banken einführt. Sicherlich kann das Buch vertiefende Fachliteratur zu den einzelnen Themenbereichen nicht ersetzen. Zur Sensibilisierung für die Probleme und Lösungsansätze des IT-Sicherheitsmanagement in Kreditinstituten bietet es zweifellos eine gelungene Mischung aus akademisch geprägten Fachaufsätzen und praxisnahen Fallbeispielen. IT-Sicherheitsmanagern in Banken und Sparkassen sowie bei externen Dienstleistern sei es daher zur Lektüre empfohlen.

Peter Roßbach / Hermann Locarek-Junge (Hrsg.),
IT-Sicherheitsmanagement in Banken,
Bankakademie-Verlag, Frankfurt am Main, 2002,
366 Seiten, EUR 43.00,
ISBN 3-933165-61-X

| Bestellen |

Erstveröffentlichung im Krisennavigator (ISSN 1619-2389):
6. Jahrgang (2003), Ausgabe 4 (April)