Prozessoptimierung: die Fähigkeit, sich selbst zu helfen

Die Digitalisierung schreitet voran. Damit geht auch eine Öffnung der IT-Systemlandschaft von Kredit- und Finanzinstituten im Sinne einer Open Finance einher. Dieser Trend birgt neben vielen Chancen auch zunehmend Risiken im Bereich Informations- und Kommunikationstechnologie. Die Palette von Bedrohungen ist breit, Auswirkungen gefährden die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und IT-Systemen. Finanzinstitute müssen IKT-Risiken durch geeignete Maßnahmen und Mechanismen reduzieren oder vermeiden. Ein strukturierter Prozess soll zudem eine turnusmäßige Überprüfung garantieren und mögliche Schwachstellen aufdecken. Deren Behebung macht oftmals Anpassungen bestehender Anwendungen nötig, und zwar von eigener wie auch Fremdsoftware. Die Aufsicht fordert in diesem Zusammenhang den Aufbau entsprechender Prozesse und Maßnahmen zum Incident- und Releasemanagement im Rahmen des Software-Development-Lifecycle. Grundlage dafür sind unter anderem BAIT, ZAIT und DORA.

Software-Lifecycle-Management beugt Risiken vor

Der Lebenszyklus moderner IT-Anwendungen wird immer kürzer, Anpassungen in Form von Releases/Updates oder Funktionserweiterungen immer häufiger. Die Abstände zwischen den einzelnen Iterationen verringern sich zudem ständig. Der Grund: wachsender Wettbewerbsdruck, neue Trends und die Notwendigkeit, sich schneller an die Bedürfnisse der Kundschaft anzupassen. Dieses Tempo, ergänzt um die zunehmende Digitalisierung und Technologisierung der gesamten Finanzwelt, bietet Angriffsflächen für potenzielle Bedrohungen – die sogenannten IKT-Risiken.

IKT-Risiken können durch verschiedene Methoden oder Überprüfungen festgestellt werden. Häufig müssen Institute die verwendete Software – Drittanbieter oder individuelle Datenverarbeitung (IDV) – anpassen, wenn sie Schwachstellen oder potenzielle Risikobereiche identifizieren. Dies hat anhand von angemessenen Prozessen zu erfolgen und muss Anforderungsermittlung, Entwicklungsziel, technische Umsetzung, Qualitätssicherung, Test, Abnahme, Freigabe und Überführung in den Regelbetrieb inklusive Wartung abdecken.

Das Software-Lifecycle-Management betrifft somit eine Vielzahl interner Bereiche und unterschiedliche Stakeholder mit heterogenen Interessen. PPI erstellt daher entsprechend den individuellen Bedürfnissen ein Vorgehensmodell, um die Anforderungen der vorgenannten Bereiche gemäß den regulatorischen Vorgaben zu erfüllen und aufsichtsgerecht zu dokumentieren. Zu diesen Vorgaben zählen beispielsweise die Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie die Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT).

Die Prüfberichte der Europäischen Zentralbank (EZB) und der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zeigen in jüngerer Vergangenheit immer häufiger Schwachstellen in vielen Gebieten des Software-Lifecycle-Managements auf. Die größten Pain-Points betreffen dabei die Fähigkeit, geeignete Abläufe für Teilbereiche des Software-Lifecycles zu konzipieren:

  • Implementierung eines geeigneten Testprozesses mit Fokus auf das agile Projektvorgehen entlang des gesamten agilen Entwicklungsprozesses (In-Sprint-Test bis Abnahmetest)
  • Deployment-Vorgehen über die einzelnen Umgebungen bis hin zur Produktion
  • Wartungsprozess zur turnus- oder anlassbezogenen Überprüfung
  • Releasemanagement
  • Incident-Management-Prozess (Hotfix-Prozess)

Wie kann SDLC-Management IKT-Risiken vermeiden?

Einer der wichtigsten Aspekte des Software-Development-Lifecycle-Managements ist das Identifizieren und Minimieren von Risiken. Werden nun die Sicherheitsüberlegungen hinsichtlich der IKT-Risikokomponente in jede Phase des SDLCs integriert, können Schwachstellen von vornherein unterbunden beziehungsweise vermieden werden.

Zum Beispiel trägt das frühzeitige Identifizieren von Sicherheitslücken während der Anforderungsanalysephase dazu bei, dass Projektteams diese Lücken bereits in der Anforderungsdefinition schließen können. Das Einführen von Sicherheitsprüfungen in der Implementierungs- und Testphase ist geeignet, Fehler zu identifizieren und zu beseitigen, bevor das System in Produktion geht. Durch ein passendes SDLC-Management lernen alle Prozessbeteiligten, sich selbst zu helfen. Voraussetzung: geeignete und angepasste Prozesse und Maßnahmen, die zu den jeweiligen IT-Assets passen.

Das Leistungsversprechen von PPI

Wir analysieren Ihre bisherigen Prozesse und Dokumentationen über den gesamten Lebenszyklus Ihrer Anwendungen. Diese Erkenntnisse vertiefen wir in Workshops und Einzelinterviews mit allen Prozessbeteiligten wie etwa den fachlichen und technischen Anwendungsverantwortlichen. Wir gleichen anschließend die gewonnenen Erkenntnisse gegen die aufsichtsrechtlichen Vorgaben sowie die Vorgaben der internen Revision ab. Das Ergebnis ist eine Offene-Punkte-Liste zum gesamten Software-Development-Lifecycle mit konkreten Vorschlägen zur Mitigation und einer geeigneten Umsetzungspriorität.

Weitere Informationen finden Sie in unserem interaktiven Leistungsangebot. Sprechen Sie uns gern persönlich an.

Können wir Sie unterstützen?

 Andreas Bruckner

Andreas Bruckner

Senior Manager

Kontakt
 Matthias Koslowski

Matthias Koslowski

Managing Consutant

Kontakt

Das könnte Sie auch interessieren

Identity- und Accessmanagement

Wir unterstützen Sie bei der Implementierung eines robusten Identity and Access Managements und sorgen so dafür, dass Datenzugriffe oder Systemänderungen nur durch autorisierte Mitarbeiter erfolgen. Unser IAM-Quick-Check liefert Ihnen innerhalb von nur zehn Tagen eine Problemfeldanalyse und Handlungsempfehlungen.

Mehr erfahren

Threat Detection and Response

Die Cyberkriminalität nimmt ständig zu. Um Angriffe oder Betrugsversuche rasch zu erkennen und schnell reagieren zu können, ist die Implementierung und kontinuierliche Verbesserung moderner Lösungen wie SOC, SIEM, XDR oder SOAR unerlässlich. Unsere Experten unterstützen Sie dabei prozessual und technisch.

Mehr erfahren