IT-Governance und IT-Strategie müssen Hand in Hand gehen

Die Bedeutung von Daten und digitalen Assets im Banking nimmt zu. Es gilt, die in diesem Zusammenhang entstehenden Risiken aktiv zu managen, analog zum klassischen Risikomanagement. Eine adäquate IT-Governance einschließlich der dafür notwendigen Organisationsstrukturen und Prozesse sowie die Kopplung zwischen IT- und Businessstrategie werden regulatorisch gefordert. Sie sind darüber hinaus aber auch notwendig, um die IT-Compliance zu gewährleisten und effizient agieren zu können. Für nachgelagerte Reifegrad- und Gap-Analysen zur Einschätzung des Erfüllungsgrades Ihrer IT-Compliance als auch beim Aufbau adäquater Organisations-, Sicherheits- und Risikomanagementstrukturen stehen die PPI-Experten Ihrer Bank als starker Partner zur Seite.

Externe und interne Vorgaben für die IT-Compliance

Die Ansprüche der Kunden an die Verfügbarkeit und Resilienz von digitalen Banking-Produkten haben in den vergangenen Jahren ebenso zugenommen wie die Vernetzung der Produkte untereinander, etwa im Sinne von Beyond Banking. Entsprechend hoch sind die Ansprüche an die Institute hinsichtlich Stabilität und Sicherheit ihrer Angebote. Eine weitere Herausforderung ist der Trend zum Homeoffice. Mitarbeiter erwarten von ihrem Arbeitgeber mehr Flexibilität und haben sich daran gewöhnt, von verschiedenen Orten zu arbeiten – im Wettbewerb um Nachwuchskräfte wird Remote Work schnell zum Ausschluss- oder Zuschlagskriterium. Die hierfür notwendige IT-Umgebung muss vor Angriffen geschützt werden.

Neben Kunden und Mitarbeitern hat auch die Aufsicht eigene Erwartungen bezüglich des Umgangs mit IKT-Risiken. Vorgaben zum IKT-Risikomanagement wie die Bankaufsichtlichen Anforderungen an die IT (BAIT) oder der Digital Operational Resilience Act (DORA) sollen die IKT der Institute sicherer machen. IT-Compliance wird hier aber nicht nur als Selbstzweck gesehen, sondern auch als Instrument für eine bessere Nutzung der Digitalisierung insgesamt, ohne dabei die Risiken außer Acht zu lassen. Seitens der Aufsicht verfolgte Themen sind beispielsweise das Informationssicherheitsmanagement, die Ausgestaltung von Outsourcing-Maßnahmen oder die interne Sicherung der Systeme durch ein modernes Identitätsmanagement. Sonderprüfungen, etwa nach § 44 Kreditwesengesetz (KWG) testen den Reifegrad der IKT-Risikomanagementsysteme regelmäßig auf Herz und Nieren. PPI unterstützt Ihr Institut mit erfahrenen Beratern über die gesamte Bandbreite von IKT-Sicherheitsthemen hinweg. Dabei profitieren Sie von unseren interdisziplinären Teams, die sich sowohl durch fundierte fachliche Erfahrung als auch technologische Expertise auszeichnen.

IT-Governance

Der Alltag eines Finanzinstituts wird sehr stark von weitreichenden strategischen Festlegungen bestimmt. Dabei ist es unerheblich, ob es sich um den Risikoappetit insgesamt, Zielvorgaben für Nachhaltigkeitsrisiken oder Ähnliches handelt. Die IT bildet da keine Ausnahme. Der Vorstand muss eine IT-Strategie beschließen, die sowohl die langfristigen Ziele bezüglich der Leistungsfähigkeit bestimmt als auch die für deren Erreichen notwendigen Maßnahmen sowie geeignete Kennzahlen zur Messung der Zielerreichung. Anhand der dabei gemachten Vorgaben definiert die IT-Governance die Strukturen zur Steuerung und Überwachung des Betriebes, der Weiterentwicklung der IT-Systeme und -Prozesse. Schließlich nützen die besten verfügbaren IT-Spezialisten im Team nichts, wenn die grundsätzliche Marschrichtung unklar ist. Natürlich müssen beide Vorgaben – Strategie und Governance – laufend auf Aktualität geprüft und, falls notwendig, angepasst werden. Mit diesen Instrumenten in einem hochdynamischen technischen Umfeld zu arbeiten, erfordert Erfahrung und Weitblick – beides Dinge, die unsere Experten aus unzähligen Projekten in der Finanzbranche mitbringen.

GAP-Analysen

Die Prüfung auf Lücken im Vergleich zu den Vorgaben der BAIT ist eine wichtige Maßnahme zur Kontrolle der Einhaltung gesetzlicher und regulatorischer Anforderungen und verhindert böse Überraschungen bei externen Prüfungen. Dabei sollten sowohl die interne Aufbau- und Ablauforganisation als auch die implementierten technischen Maßnahmen unter die Lupe genommen werden. Wir decken mittels individueller, auf Ihre speziellen Anforderungen zugeschnittener Gap-Analysen Schwachstellen und Risiken auf und geben Ihnen Handlungsempfehlungen zur Verbesserung Ihrer IT-Compliance. Unsere GAP-Analysen eignen sich auch als vorbereitende Prüfung für eine externe Prüfung, zum Beispiel durch die Aufsicht.

Compliance-by-Design und Security-by-Design

Von Anfang an den regulatorischen Vorgaben entsprechende IT-Systeme sind ein wichtiger Faktor für jedes Unternehmen, ganz besonders im Banking-Bereich. Dies gilt ebenso für Sicherheitsaspekte: Auch diese müssen so früh wie möglich Eingang in die Konzeption von IT-Lösungen finden, um den Schutz von Systemen und Daten zu gewährleisten. Wir unterstützen Sie dabei schon in frühen Stadien der IT-Entwicklung. Zudem berücksichtigen wir alle rechtlichen Anforderungen bereits während der Planung von IT-Prozessen und -Systemen. Compliance- und Security-by-Design vermeiden teure Nachbesserungen und minimieren Risiken. Zugleich steigt das Vertrauen Ihrer Kunden. Wir beziehen dabei nicht nur aktuelle Vorschriften ein, sondern auch zukünftige Entwicklungen sowie Kosten-Nutzen-Aspekte und bieten Ihnen so langfristig Schutz und Sicherheit.

Prüfungsvorbereitung und -begleitung

Regulatorische Prüfungen können für Unternehmen eine große Herausforderung darstellen. Die Vorbereitung darauf beansprucht Zeit und Ressourcen – eine genaue Kenntnis der relevanten Anforderungen und Regeln ist unerlässlich. Wir unterstützen Sie bei der Vorbereitung auf regulatorische Prüfungen mit unserer jahrzehntelangen Erfahrung in der Finanzindustrie und der tatsächlichen Prüfungspraxis. Dazu verfügen wir über die notwendige fachliche und technische Expertise in der IT-Sicherheit und IT-Compliance. Unsere Spezialisten begleiten Ihr Institut in allen Prüfungsphasen, von der Vorbereitung bis zur Nachbereitung. Mit unseren maßgeschneiderten Lösungen ist eine reibungslose Prüfung gewährleistet.

Outsourcing/Auslagerungsmanagement

Keine Bank kommt im digitalen Zeitalter ohne den kompletten Baukasten aller IT-Anwendungen aus. Dennoch ist sie kein IT-Unternehmen, sondern ein Finanzdienstleister. Eine Auslagerung einzelner Anwendungen oder sogar ganzer Prozesse an spezialisierte, rechtlich selbstständige Dienstleister liegt daher nahe und wird auch branchenweit praktiziert. Dennoch sind solche IT-Outsourcing-Projekte nicht ohne Fallstricke. Denn die Institute geben einen Teil ihrer Autonomie ab, sind aber weiterhin gegenüber Kunden und Aufsicht für die Sicherheit und die Zuverlässigkeit ihrer Prozesse verantwortlich. Die Implementierung nachhaltiger Lösungen für die Umsetzung und Kontrolle von Sicherheitsmaßnahmen bei ausgelagerten Services ist inzwischen ein Muss. Zudem beziehen die Aufsichtsbehörden die Vertragsgestaltungen und die Dienstleister absehbar stärker als bisher in den Überwachungsprozess ein, wie beispielsweise durch eine adäquate End-to-End-Betrachtung über die eigenen Unternehmensgrenzen hinweg. Unsere Spezialisten stehen Ihnen bei der Planung und Durchführung von IT-Outsourcing-Vorhaben gerne zur Seite.

Cloud-Compliance

Die Nutzung der Cloud bietet enormes Potenzial hinsichtlich Skaleneffekten und Aufwandsreduktion bei deutlich steigender Flexibilität für viele Prozesse. Auch intern ermöglichen Cloudanwendungen vielfältige positive Veränderungen: etwa durch die Möglichkeit, unkompliziert Remotearbeit anzubieten. Dieser Trend wird sich weiter verstetigen, und es gilt, die Herausforderungen effizient und kostenbewusst zu steuern. Die notwendige Cloud-Compliance ist im Prinzip eine Sonderform des Outsourcings. Problematisch ist unter anderem die Konzentration auf wenige Big-Tech-Anbieter. Zur Abwehr der bei Cloudlösungen denkbaren neuen Angriffsvektoren müssen alle Sicherheitsanforderungen an Bankprodukte auch in dieser Umgebung erfüllt sein –es macht sogar Sinn, noch darüber hinauszugehen. Bei der Vertragsgestaltung sollten Banken sich immer vergegenwärtigen, dass die Big-Tech-Anbieter im Grundsatz eine andere Verhandlungsposition haben als kleinere Provider. Wir begleiten Sie bei der Lösungsauswahl– egal ob Private oder Public Cloud –, der Implementierung von Sicherheitsstandards sowie beim Anbietermanagement.

Business Continuity Management und IT Service Continuity Management (BCM und ITSCM)

Das Notfallmanagement ist ein bedeutender Bestandteil eines ganzheitlichen Sicherheitskonzepts. Nur so können Kreditinstitute im Ernstfall schnell und zielgerichtet agieren und Schäden minimieren. Wir beraten Sie beim Aufbau effektiver Strukturen und helfen bei der Definition und Umsetzung aller notwendigen Schritte und Maßnahmen. Damit sind Sie im Ernstfall bestmöglich vorbereitet.

Cyberrisiken

In der Rangfolge der Bedrohungen von IT-Systemen nehmen Angriffe von außen den prominentesten Platz ein. In der Tat steigt die Zahl der Attacken, ebenso die Schäden für betroffene Unternehmen. Dies ist zunächst unabhängig davon, ob die Angreifer ideologisch motiviert sind oder monetäre Interessen verfolgen – lediglich der gewählte Angriffsvektor unterscheidet sich abhängig von der Zielrichtung. Die Institute müssen sich daher auf alle Szenarien vorbereiten, seien es etwa Ransomware-Erpressungen oder DDoS-Attacken, die Systeme lahmlegen sollen. Die PPI-Spezialisten helfen bei der Erkennung von Bedrohungsszenarien, entwickeln Verteidigungsstrategien und setzen konkrete Maßnahmen gemeinsam mit Ihrer IT-Abteilung um. Darüber hinaus unterstützen wir auch bei der Bewertung der Cyberrisikolage Ihrer Kunden oder Geschäftspartner, etwa als Teil der Prüfung des Bonitätsrisikos im Kreditgeschäft.

Können wir Sie unterstützen?

 Jan-Paul Neder

Jan-Paul Neder

Head of Information Security Banking

Kontakt
 Andreas Bruckner

Andreas Bruckner

Senior Manager

Kontakt

Das könnte Sie auch interessieren

Compliance-Management

Die Compliance-Organisation ist ein zentrales Element der Risikoabwehr. Schließlich haben Verstöße gegen regulatorische Vorschriften drastische Folgen – bis hin zum Entzug der finanzrechtlichen Genehmigungen. Aktuell erweitert sich der Compliance-Begriff um den Kontext von Sustainable Finance.

Mehr erfahren

Wertpapier-Compliance

Banken und Finanzdienstleister müssen die ständig wachsende Zahl von Gesetzen zur Wertpapier-Compliance analysieren, implementieren und ordnungsgemäß einhalten. Dazu kommen aber noch vielfältige interne und externe Vorgaben. Wenig verwunderlich, dass der Einsatz von RegTech-Lösungen inzwischen Standard ist.

Mehr erfahren

ESG-Compliance

Mit der Sustainable Finance Disclosure Regulation (SFDR), auf deutsch Offenlegungsverordnung, und der EU-Taxonomie hat die EU bereits erste Eckpfeiler für die zukünftige Nachhaltigkeitsberichterstattung eingeschlagen. Davon sind auch Finanzdienstleister betroffen, die bisher weniger strengen Regularien unterlagen.

Mehr erfahren

Data Driven Governance

Die Einhaltung aufsichtlicher und gesetzlicher Vorgaben zum Umgang mit Daten soll die Wertschöpfung aus diesen möglichst nicht blockieren. Dafür gilt es, die organisatorischen und prozessualen Voraussetzungen zu schaffen. Data Governance ist also deutlich mehr als nur Metadaten- und Datenqualitätsmanagement.

Mehr erfahren

KI-Governance

Der Einsatz von KI-Modellen birgt spezielle Herausforderungen: Die sich ständig verändernde Datengrundlage erfordert regelmäßige Überprüfung, Training und gegebenenfalls einen neuen Roll-out der KI-Anwendung. Ein effizientes Datenmanagement funktioniert am besten mit Methoden der Machine Learning Operations (MLOps).

Mehr erfahren