Mit dem IT Risk Assessment zentralen Herausforderungen der VAIT begegnen
Gemeinsam konnten wir ein Verständnis für die Informationsrisiken in der Cloud erarbeiten & den Kunden auf ein BaFin-Audit vorbereiten
Durch ein IT Risk Assessment nach den Vorgaben der VAIT-Novelle konnte die Umsetzung von Cloud Migrationen deutlich professionalisiert werden.
Als führender Anbieter von Finanz- und Vorsorgelösungen mit ca. 10.000 Mitarbeitenden betreibt unser Kunde mehrere Rechenzentren in Deutschland. Im Jahr 2018 wurden erste Workloads in AWS umgesetzt. Recht schnell konnte der Kunde die Vorteile der Cloud für sich nutzen und entschied sich deshalb dazu, dort auch kritischere Workloads zu betreiben.
Jedoch sieht sich unser Kunde durch die VAIT (Versicherungsaufsichtliche Anforderungen an die IT) aus dem Rundschreiben der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) seit Jahren einer großen Herausforderung gegenüber. Viele Anforderungen sind nur vage formuliert. Eine mangelhafte Umsetzung kann aber bei Prüfungen seitens der BaFin zu problematischen Findings führen.
Für den Betrieb dieser Workloads wollte der Kunde ein strukturiertes und gut durchdachtes Konzept umsetzen, da die ersten Workloads im Jahr 2018 eher einem Versuch als einem Projekt glichen. Im Rahmen der IT-Strategie des Kunden sollten VAIT-relevante Applikationen zu AWS migriert werden. Hierbei mussten die regulatorischen Anforderungen, wie z. B. eine BaFin-Anzeige bei relevanten Auslagerungen, entsprechend den Standards vorbereitet und umgesetzt werden. Als besonders herausfordernd empfand der Kunde den Bereich des IT Risk Assessment.
Informationssicherheitsrisiken für die Cloud bewerten und mitigieren
Im Verlauf der individuellen Cloud Journey hat der Kunde seinerseits eine Risikobewertung durchgeführt, wie es für einen Versicherer üblich ist. Dabei wurden vorrangig Geschäfts- und Projektrisiken bewertet und die Schutzziele der Informationssicherheit nur bedingt berücksichtigt. Daher war eine Betrachtung nach Vertraulichkeit, Integrität und Verfügbarkeit nicht möglich. Ausgehend von den VAIT ist eine Betrachtung der Informationssicherheitsrisiken bei kritischen Workloads notwendig, um das aktive Management von Informationssicherheitsrisiken zu ermöglichen.
Die Maßnahmen zur Absicherung der Cloud waren nicht ausreichend gut gewählt und dokumentiert. Die mangelhafte Dokumentation der Risiken und Maßnahmen erschwerte dem Kunden zudem die Überwachung und aktive Risikosteuerung.
Die VAIT machten eine Betrachtung der Informationssicherheitsrisiken bei kritischen Workloads unumgänglich. Mängel bei der Dokumentation auf Kundenseite können im Rahmen von Audits zu schwerwiegenden Findings führen, da die Funktionalität von Prozessen nicht nachgewiesen werden kann.
Während der Erstellung der IT-Risikobewertung war nur wenig technisches und cloudspezifisches Wissen mit einbezogen. Die Kombination aus einer Systematik, die nicht aus der Informationssicherheit kommt, und dem fehlenden technischen Wissen führten zu deutlichen Mängeln in der Umsetzung der IT-Risikobewertung im Sinne der VAIT.
Bereits getroffene Maßnahmen wurden nicht ausreichend umgesetzt, da sie hinsichtlich Anforderungen, Verantwortlichkeiten und zeitlichem Horizont zu unspezifisch formuliert wurden. Das fehlende technische Wissen führte dazu, dass zwar die AWS-Infrastruktur bewertet wurde – nicht aber die einzelnen Assets (in Form von Workloads und deren Komponenten). Jedoch ist auch diese Bewertung notwendig.
Ein Vorteil: Viele der Maßnahmen können zentral über die Infrastruktur gesteuert werden und somit Risiken für die Applikationen effektiv abmildern.
Überarbeitung der Risikobewertung
Nachdem Skaylink gemeinsam mit dem Kunden die Missstände aufgearbeitet hatte, wurden konkrete Anpassungen vorgenommen. Skaylink arbeitete aus unterschiedlichen Quellen eine Bedrohungsliste für die spezifischen Cloud-Risiken heraus. Diese basiert nicht nur auf der jahrelangen Erfahrung unserer Expert*innen, sondern auch auf den Best Practices und Empfehlungen aus der ISO 27005.
Auf Basis der relevanten Bedrohungen konnten wir gemeinsam mit dem Kunden Schwachstellen identifizieren, initiale Risiken ableiten und passende Maßnahmen identifizieren. Mit der Umsetzung der Maßnahmen kann das Risiko auf ein akzeptables Niveau gesenkt werden.
Zur Überwachung der Maßnahmen wurden diese in ein Maßnahmenregister übertragen, in dem die die zentralen Informationen zur Umsetzung festgehalten sind. Um die Risiken nachhalten zu können, wurden sie in einem Risikoregister abgelegt. Auch das Risikoregister enthält alle wichtigen Informationen. Beide Register ermöglichen es, die Anforderungen bei einer externen Prüfung zu erfüllen.
Umgesetzte Lösungen
- IT Risk Assessment nach den Vorgaben der VAIT-Novelle
Amazon Web Services (AWS) als Cloud-Infrastruktur - ISO 27005 als Basis für Bedrohungsliste und Risikobewertung
- Maßnahmenkatalog zur Überwachung und Umsetzung von Sicherheitsmaßnahmen
- Risikoregister zur Dokumentation und Verfolgung von Risiken
Was wir erreichen konnten
Dank unserer umfassenden Expertise konnten wir dem Kunden helfen, wichtige Bausteine in ein übergreifendes Informationsrisikomanagement einzusetzen. Ausgehend vom IT Risk Assessment konnten wir weitere Bereiche identifizieren, die im Falle eines BaFin-Audits möglicherweise problematisch gewesen wären.
In der folgenden Grafik ist das übergreifende Informationsrisikomanagement exemplarisch dargestellt. Es reicht von der Kontextdefinition über IT Risk Assessment und Risikobewertung bis hin zur Risikoakzeptanz und dem Abschluss einer Iteration.
Für ein gutes Informationsrisikomanagement ist der stetige Austausch hinsichtlich Risikokommunikation und -beratung unerlässlich. Ebenfalls sind die Überwachung und Überprüfung der Risiken sowie Maßnahmen als eine anhaltende Aktivität aufzubauen.
Die ganzheitliche Betrachtung der Informationsrisiken ist für Kunden aus dem Finanzsektor von zentraler Bedeutung. Die BaFin wird nach eigenen Aussagen bei zukünftigen Prüfungen der VAIT-Umsetzung vermehrt den Fokus auf das Informationsrisikomanagement legen – dies wurde im Juni 2022 im Rahmen der Veranstaltung „IT-Aufsicht bei Versicherungen und Pensionsfonds“ verkündet. Darüber hinaus wurde dort das Ausmaß der Probleme innerhalb des Informationssicherheits-Risikomanagements aufgezeigt.
Die BaFin gliedert Findings (Prüfungsfestellungen) in insgesamt vier Kategorien – von F1 bis F4. Als F1 gelten geringfügige Mängel. F4 bezeichnet schwerwiegende Mängel, die unverzüglich beseitigt werden müssen und einen aufsichtlichen Handlungsbedarf nach sich ziehen können. Bei vergangenen BaFin-Audits führte der Bereich Informationsrisikomanagement bei fast 50 Prozent aller Unternehmen zu F4-Findings.
Wichtige Learnings
Wir empfehlen, das eigene Informationsrisikomanagement von einem unabhängigen Dritten bewerten zu lassen, um das Risiko eines F4-Findings zu reduzieren.
Mit der gemeinsamen Risikoaufarbeitung für die Cloud konnte der Kunde weiter sensibilisiert werden. Er wird nun keine F4-Feststellung im Informationsrisikomanagement befürchten müssen. Auch konnten wir die notwendige Struktur sowie dazugehörige Prozesse und Verantwortlichkeiten gemeinsam mit dem Kunden identifizieren.
Fazit
Der Kunde ist nun in der Lage, Informationsrisiken zu identifizieren, zu analysieren und zu bewerten. Hierdurch kann das Informationsrisikomanagement professionalisiert und das Arbeiten mit Informationssicherheitsrisiken nachhaltig sicher gestaltet und den Gefahren der Cloud entsprechend adaptiert werden.
Die Risiken werden nun nachgehalten und regelmäßig oder anlassbezogen erneut bewertet. Vereinzelnd werden externe Expert*innen hinzugezogen, um weitere fundierte Einschätzungen zu erhalten.
Die neue Vorgehensweise wurde durch Wirtschaftsprüfer*innen bestätigt und abgenommen. Somit stehen dem Kunden keine großen Überraschungen durch BaFin-Audits bevor. Sichergestellt wird dies insbesondere dadurch, dass der Kunde informierte und für unbeteiligte Dritte nachvollziehbare Entscheidungen zur Risikobewertung und Maßnahmenumsetzung fällen kann.
Was wir erreicht haben: Der Kunde kann auf überflüssige Maßnahmen verzichten, die lediglich Kosten verursachen und Prozesse verlangsamen. Zudem wurden weitere Maßnahmen strukturiert abgeleitet, um Risiken effizient abzumildern. Typischerweise werden Verfügbarkeitsrisiken aus einer subjektiven Wahrnehmung heraus als zu hoch eingestuft. Durch das strukturierte Vorgehen können diese Risiken objektiviert und entsprechende Maßnahmen abgeleitet werden. Insbesondere der fließende Übergang zwischen Applikations- und Infrastrukturrisiken wird nun nachvollziehbar bewertet.
"Gemeinsam mit dem Kunden konnten wir ein Verständnis für die Informationsrisiken in der Cloud erarbeiten. Dabei bewahrheitete sich der Satz ‚Die Risiken in der Cloud sind nicht höher – es sind andere Risiken‘. Aus einem notwendigen Übel wurde eine moderne Herangehensweise für den Umgang mit neuen Technologien."