6 gute Gründe für ProLog:

  • maximiert Ihre IT-Sicherheit und IT-Verfügbarkeit

  • Umsetzung der MaRISK Novelle BAIT ab Herbst 2017

  • Umsetzung der Vorgaben aus den BSI-Handbüchern zum Thema „Sicherer IT-Betrieb“

  • Beachtung des Mitarbeiterdaten- schutzes (BDSG und EU- DSGVO)

  • Standard Protokollierungs- und Auditierungskonzept mit fertigen Berichtspaketen

  • keine Investitionskosten, sondern Servicepauschale in €/Monat/ Mitarbeiter

Ihr Werkzeug  - IT@WORK ProLog -

Die anhaltende Regulierungsflut trifft Deutschlands Finanzinstitute hart. Die Umsetzung gesetzlicher Vorgaben für Revision und Compliance wird ab Ende 2017 mit der MaRISK Novelle BAIT (Bankaufsichtliche Anforderungen an die IT und Anfang 2018 mit der neuen europäischen EU-DSGVO (Datenschutzgrundverordnung) umso wichtiger.

Eine Fülle von Regularien ergießt sich bereits heute über die Finanzlandschaft, die besonders das Risikomanagement und die IT-Systeme im Bereich Risikosteuerung treffen. Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (EU-DSGVO) mit verschärften Regeln in Kraft. Werden dann personenbezogene Daten von EUBürgern gestohlen, drohen dem betroffenen Finanzinstitut hohe Geldbußen. Für die Finanzindustrie heißt das: Tempo machen bei der Umstellung.

Neben den gesetzlichen gilt es aber auch eine Reihe unternehmensinterner Vorschriften zu beachten, wie zum Beispiel: Betriebs- und Handlungsanweisungen und Compliance Richtlinien. Neue Berichtspflichten werden die bisherige Praxis ablösen müssen.

Diese Anforderungen schaffen eine Fülle von organisatorischen Herausforderungen, die eine konzeptionelle Darstellung aller damit verbundenen Prozesse und Systeme zwingend erforderlich machen und klassischerweise in ein Protokollierungs- und Auditierungskonzept des Finanzinstituts einfließt.


Wichtige Inhalte des Konzeptes sind unter anderem:

  • Einhaltung der Gesetze des KWG, Telemediengesetz, BDSG und DSGVO
  • MaRISK Novelle BAIT (Bankaufsichtliche Anforderungen an die IT) ab Herbst 2017
  • Umsetzung der Vorgaben aus den Handbüchern des BSI (Bundesamt für Sicherheit in der Informationstechnik) zum Thema „Sicherer IT-Betrieb“
  • Definition von Grundsätzen zur Protokollierung
  • Bestimmung der relevanten Systeme und Anwendungen
  • Erstellung einer Risikobetrachtung
  • Erarbeitung eines Umsetzungsleitfadens
  • Definition des N-Augen Prinzips zwecks Mitarbeiterdatenschutz
  • Datenmaskierung mit Pseudonymisierung

Rechtliche Herausforderungen

Die gesetzlichen Rahmenbedingungen für die Banken, Versicherungen und Leasinggesellschaften sind im Folgenden detailliert beschrieben:

Fazit:

Alle diese gesetzlichen Vorgaben setzen das Vorhandensein eines Systems zum Erfassen und Auswerten von Ereignismeldungen voraus. Dies wiederum erfordert zwingend eine konzeptionelle Darstellung aller damit verbundenen Prozesse und Systeme in Form eines Protokollierungs- und Auditierungskonzeptes.

Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz (BDSG) fordert von Unternehmen eine Reihe regulatorischer Richtlinien sicher zu beherrschen und anzuwenden. Dies sind u.a.:

  • Datenvermeidung und -Sparsamkeit
  • Pseudonymisierung aller persönlichen Informationen
  • Sicherstellung der Zulässigkeit der Datenerhebung
  • Diverse technische und organisatorische Maßnahmen


EU-Datenschutzgrundverordnung

Im Rahmen der Einführung der EU-DSGVO kommen ab Mai 2018 neue Anforderungen auf den IT- Betrieb zu. Dies betrifft vor allem den Schutz von personenbezogenen Daten welche besonders geschützt werden müssen.


Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Im Rahmen des KonTraG kam es 1998 zu einer Reihe von Anpassungen für Unternehmen. Es for- dert beispielsweise von Vorständen: „ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ können. Diese wichtige Anforderung an Unternehmen setzt für die IT neben Monitoring auch Protokollierung voraus.


Telemediengesetz

Die Verwendung von Kundendaten konfrontiert Unternehmen mit ähnlichen Anforderungen wie die Verwendung interner Ereignisinformationen. Das TMG fordert spezifizierte organisatorische und technische Maßnahmen im Umgang mit diesen Daten wie z.B.:

  •  „Eine Maßnahme [...] ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungs- verfahrens.“
  • „Der Diensteanbieter darf [...] Nutzungsprofile bei Verwendung von Pseudonymen erstellen [...]“

Kreditwesengesetz

Unternehmen und Organisationen, die unter das KWG fallen, werden im Rahmen der Regelungen zu besonderen organisatorischen Pflichten angehalten. Diese sind in Bezug auf die IT und die Verwendung von Logdaten u.a.:

  • Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen [...]“
  • „angemessene personelle, technische und organisatorische Ausstattung des Instituts“ 
  • „die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme“.

IT-Sicherheitsgesetz

Verpflichtet deutsche Unternehmen in „infrastrukturkritischen“ Bereichen zu ausführlichem Reporting bei Angriffsfällen. Diese Bereiche umfassen:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen


MaRisk BAIT für Sparkassen

Die Konzepte des Handbuchs „Sicherer IT-Betrieb“ der Finanzinformatik beschreiben die in Ma-Risk BAIT genannten gesetzlichen Anforderungen genau. Im Speziellen sind dies:

  • Referenz auf BDSG (Datensparsamkeit, -vermeidung und Pseudonymisierung)
  • Protokollierung Auswertung der Protokolle, aus AT 7.2 MaRisk und §9 BDSG
  • BAIT neue Bankaufsichtliche Herausforderungen in der IT

Unsere Lösung

IT@WORK ProLog® bietet für die Sparkassen eine etablierte und stan- dardisierte Lösung mit fertigen Paketen für Alarmierungen, Filter und Berichte.

Sparkassenberichts– und Alarmierungspaket

Entwickelt in Zusammenarbeit mit Banken für Banken. Diese automatisierten Berichte wurden bereits in den verschiedensten Verbandsgebieten in Deutschland erfolgreich geprüft und sind sofort einsetzbar. Die Pakete werden ständig im Rahmen des Wartungsvertrages gepflegt und erweitert. Zum Umfang der Berichte gehören unter anderem die Auswertung von Ereignissen für Microsoft Server 2003-2016, Microsoft Files Server, Linux, VMware, CISCO, Exchange, Lotus Notes, ...

 Berichtspakete Entwickelt in Zusammenarbeit mit Banken für Banken. Diese automatisierten Berichte wurden be- reits in den verschiedensten Verbandsgebieten in Deutschland erfolgreich geprüft und sind sofort einsetzbar. Das Berichtspaket wird ständig im Rahmen des Wartungsvertrages gepflegt und erwei- tert. Zum Umfang der Berichte gehören unter anderem die Auswertung von Ereignissen für Micro- soft Server 2003-2016, Microsoft Files Server, Linux, VMware, CISCO und Lotus Notes. Abb. 1 zeigt einen Ausschnitt aus dem Management-Report der täglich vom SIEM-Administrator kontrolliert wird

Abb. 1 zeigt einen Ausschnitt aus dem Management-Report der täglich vom SIEM-Administrator kontrolliert wird.

Security made in Germany

Pseudonymisierung


ProLog pseudonymisiert nach diversen Kriterien den Benutzerbezug in einer Ereignismeldung. Hierbei werden die sensiblen Informationen technisch von der Ereignismeldung getrennt. ProLog bietet auch die Möglichkeit einen LDAP konformen Server (z.B. OpenLDAP, MS AD...) für die Pseudonymisierung anzubinden. Mit der logischen Trennung des Benutzerbezug vom Ereignis, kann man unterschiedliche Speicherfristen definieren.

Abb. 2 zeigt eine „Write Operation“ im Dashboard von ProLog FileAudit. Rot umrandet ist der pseu- donymisierte Benutzername.

Abb. 2 zeigt eine „Write Operation“ im Dashboard von ProLog FileAudit. Rot umrandet ist der pseudonymisierte Benutzername.

Lizenzierung

Aufgrund der intelligenten Angebotsform als Servicepauschale in €/ Monat/MA (Anzahl Mitarbeiter) ist die Lösung für kleine und große Institute höchst interessant. Mit der Kündigungsfrist von drei Monaten auf Quartalsende ist die Lösung ad hoc und temporär auch für Institute anwendbar, die bereits planen selektives Outsourcing umzusetzen oder darüber nachdenken.

N-Augen-Prinzip

Die Mitarbeiter eines klassischen deutschen Mittelständlers (zirka 500+ IT-Anwender) erzeugen im Schnitt 2 Millionen Ereignismeldungen pro Tag. Dies ist de jure eine Massendatenerhebung mit personenbezogenen Daten und damit ein harter Verstoß gegen das BDSG und die kommende EU- DSGVO.

Das N-Augen Prinzip ist eine organisatorische Lösung, die prozesstechnisch in ProLog fest verankert ist. Ohne die Zustimmung Dritter kann kein IT-Administrator einen Personenbezug in der Darstellung der Ereignismeldungen im Dashboard oder in einem Bericht herstellen.
Dieses Prinzip stellt jeden Datenschutzbeauftragten, Betriebs– und Personalrat zufrieden.

Abb. 3 zeigt den jeweils zu definierenden N-Augen Prozess des Unternehmens

FileAudit

Unser FileAudit liefert mehr Sicherheitsinformationen als die Auditfunktion des Microsoft File Server. Mit FileAudit kann man gezielt einzelne wichtige Dateien und/oder Dateiverzeichnisse schützen.


IT-Monitoring und IT-Verfügbarkeit

Viele unserer Sparkassenkunden nutzen unsere Lösung nicht nur für die Umsetzung und Überwachung der IT-Compliance sondern zusätzlich für das IT-Monitoring und IT-Verfügbarkeit.


Protokollierungs– und Auditierungskonzept

Aus der Erfahrung von vielen externen Audits ist ein Rahmen für ein Protokollierungs– und Auditierungskonzept entstanden, welcher im Zusammenspiel unserer Consultants und den Fachabteilungen des Kunden kundenspezifisch angepasst und gepflegt werden kann.


Services

Zusammen mit unseren Partnern bieten wir Ihnen IT@WORK ProLog® als „on Premise“ oder Cloud- Lösung an. Der Trend bei unseren Kunden geht eindeutig hin zur „Managed Security Service“ Lösung.


Unsere Mitarbeiter und Partner stehen Ihnen gerne persönlich zur Verfügung um mehr über die Lösungsmöglichkeiten mit IT@WORK ProLog® zu erfahren. Nutzen Sie unsere Informationsveranstaltungen, Webinare oder kontaktieren Sie uns einfach über Telefon oder E-Mail.