In der Banken-IT ticken die Uhren anders. Regularien wie die BAIT, MaRisk und höchste Anforderungen an Datenschutz und -sicherheit machen Instituten aus der Finanzbranche das Leben herausfordernder.
Einfacher wird es mit einem IT-Dienstleister wie noris network, der neben technischen Voraussetzungen auch die Vorschriften aus der Branche bedienen und die entsprechenden Zertifizierungen vorweisen kann.
Die strategische Konzeption von Architektur und Prozessen, Zuständigkeiten innerhalb der Organisation, Beglaubigungen über Standards und das Notfallmanagement, das Risikomanagement und die im Betrieb verwendeten Komponenten – in der IT von Finanzdienstleistern geht nichts ohne die Bankaufsichtlichen Anforderungen an die IT (BAIT). Sinn und Zweck der von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichten Vorschriften ist es in erster Linie, die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit von verarbeiteten Daten zu gewährleisten. Auch konkrete technische Maßnahmen zur Absicherung digitaler Arbeitsabläufe fallen in den Wirkungsbereich der BAIT. Dazu zählen: Schwachstellenmanagement, Perimeterschutz, Netzwerksegmentierung, Penetrationstests, simulierte Angriffe und Verschlüsselung von Daten. Kurz: Alles, was in der IT von Banken, Sparkassen und anderen Finanzdienstleistern passiert, muss haarklein dokumentiert werden.
Das Problem bei der Sache: Um den Schutzbedarf regelmäßig ermitteln zu können, müssen Finanzinstitute einen permanenten Überblick über alle Bestandteile ihres Informationsverbunds gewährleisten – und dazu gehört die Einbindung möglicher Unterauftragnehmer, wie es im BAIT-Abschnitt „Fremdbezug von IT-Dienstleistungen“ heißt. Er definiert Anforderungen an den Umgang mit externer Software und Services wie Cloud-Diensten oder Backup-Lösungen. Damit stehen also auch IT-Dienstleister und Rechenzentrumsbetreiber in der Pflicht, die Vorgaben aus der BAIT oder die Mindestanforderungen an das Risikomanagement (MaRisk) umsetzen zu müssen.
TSI Level 4: Mehr geht nicht
Für Unternehmen aus der Finanzdienstleistungsbranche bedeutet das, dass es bei der Auswahl des passenden Anbieters um mehr geht als um technische Expertise. IT-Dienstleister für dieses Branchensegment stehen in der Pflicht, ihren Teil zur Einhaltung der Regularien beizutragen. Das beginnt bereits mit der Standortwahl Deutschland mit seinen vergleichsweise strengen Datenschutzrichtlinien.
Aber auch ein bestätigtes IT-Sicherheitsniveau durch Zertifizierungsinstanzen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder TÜV geben Gewissheit darüber, dass Betreiber von Hochverfügbarkeitsrechenzentren wissen, wovon sie sprechen. Dazu gehören neben der internationale Cyber-Security-Zertifizierung ISO-27001 für Informationssicherheitsmanagementsysteme (ISMS) etwa die Zertifizierung nach TÜV „Trusted Site Infrastructure“ (TSI) mit dem höchstmöglichen Level 4 wie bei noris network. Um auch für den Katastrophenfall eine Verfügbarkeit und Absicherung garantieren und die Vorgaben zur Bannmeile erfüllen zu können, sollten Datacenter-Anbieter die so genannte Georedundanz im „Angebot“ haben. Dabei handelt es sich um ein Verfahren – und ein Kriterium des BSI – das speziell für Unternehmen mit hohen oder sehr hohen Anforderungen an die Verfügbarkeit entwickelt wurde. Um die Auswirkungen von beispielsweise Naturkatastrophen möglichst gering halten zu können, sollten Rechenzentren für die Einhaltung der Georedundanz mindestens 100 bis 200 Kilometer voneinander entfernt stehen. Damit übernimmt das zweite Datacenter bei einem Totalausfall des ersten den gesamten IT-Betrieb und hält dann trotz der Einschränkung weiterhin Hochverfügbarkeitsstrukturen für die weitere Ausfallsicherheit bereit. In der Banken-IT ticken die Uhren eben anders.