Das IT-Notfallmanagement in Kreditinstituten darf nicht dem Zufall überlassen werden. Im Notfall müssen alle Beteiligten genau wissen, was wann und von wem zu tun ist. Ohne unternehmensweite Awareness und ohne klare organisatorische sowie prozessuale Vorkehrungen geht es nicht.
Wer schon einmal einen Blick in das Triebwerk eines Passagierflugzeuges werfen konnte, hat dort sicher das komplexe System an Schläuchen, Drähten und anderen mechanischen Komponenten gesehen, das elektronisch vom Cockpit aus gesteuert wird. Doch was kann passieren, wenn es Fehlfunktionen gibt oder sogar ein Flugzeugtriebwerk ausfällt? Wie können Pilot und Co-Pilot das Flugzeug mit nur einem verbleibenden Triebwerksaggregat sicher steuern? Und welche Möglichkeiten bleiben, wenn auch dieses nicht mehr zur Verfügung steht und somit aus einem Ausfall ein Notfall wird?
Die Piloten müssen die passenden Entscheidenden schnell treffen, um die Flugfähigkeit aufrechtzuerhalten und das Flugzeug (hoffentlich) sicher zu landen. Und auch wenn Erfahrung und „Instinkt“ dabei sicher eine recht wichtige Rolle spielen, ist das möglichst akkurate Abarbeiten von zuvor festgelegten Standardverfahren im Team am Ende entscheidend.
Notfallmaßnahmen müssen vorbereitet werden
Damit das im Ernstfall gelingt, trainieren Piloten in Simulatoren Notfallmaßnahmen und gehen nach den zuvor festgelegten Abläufen und Handlungen vor. Ereignisse und dadurch gewonnene Erkenntnisse werden dokumentiert und zur Qualitätssicherung bei Wartungsmaßnahmen sowie für die Flugsicherheit im Allgemeinen mit dem Flugzeughersteller besprochen.
Nun geht es bei der Sicherstellung des ordnungsgemäßen Geschäftsbetriebes von Kreditinstituten nicht um „Leben oder Tod“. Gleichwohl ist die Bedeutung nicht zu vernachlässigen: Von einem mindestens ausreichend funktionierenden IT-Betrieb mit seinen Abhängigkeiten, Anwendungen und Abläufen und der vereinbarungsgemäßen Wiederherstellung bei Ausfällen und in Notfällen hängt für jedes einzelne Institut unmittelbar die Aufrechterhaltung der Geschäftsprozesse ab. Gleichzeitig geht es dabei immer auch um die Sicherheit von Daten und damit in letzter Konsequenz um die Sicherheit von Einlagen und Kundengeldern.
Die möglichen Risiken im IT-Betrieb müssen also identifiziert und passende Lösungen entwickelt und hinterlegt werden. Diese Notwendigkeit ergibt sich ganz besonders mit Blick auf die Aufrechterhaltung der kritischen Geschäftsprozesse. Für den Fall von Funktionsbeeinträchtigungen oder beim Ausfall von wichtigen IT-Anwendungen, ‑Komponenten oder ‑Prozessen muss ähnlich wie beim Flugbetrieb ein klares Vorgehen vereinbart und dokumentiert werden. Nur so werden Abhängigkeiten, Abläufe, Zuständigkeiten und Verantwortungen für alle Beteiligten ausreichend klar, um auch im Notfall schnell und richtig handeln zu können. Im Rahmen eines präventiv ausgerichteten Notfallmanagements und unter Einbeziehung aller relevanten Beteiligten müssen Aktivitäten und Prozesse bei gravierenderen Ausfällen oder in Folge entstehender Notfälle festgelegt und deren Durchführung im Rahmen von Notfalltests erprobt werden.
Gesetzliche und bankaufsichtliche Anforderungen an das Notfallmanagement
Die grundlegenden gesetzlichen Vorgaben und bankaufsichtlichen Anforderungen an das (IT-) Notfallmanagement der Institute sind im Kreditwesengesetz (KWG) und den Mindestanforderungen an das Risikomanagement (MaRisk) für alle Institute nachlesbar.
Paragraph 25a des KWG, der besondere organisatorische Pflichten und Verordnungsermächtigungen regelt, fordert etwa:
„(1) Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. (…) Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat; das Risikomanagement umfasst insbesondere (…) die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme (…).“
Nicht zuletzt aufgrund der Bedeutung des Notfallmanagements für die Bewertung der Risikotragfähigkeit konkretisieren daraufhin die MaRisk die Anforderungen und nehmen im Zusammenhang mit Auslagerungen erneut darauf Bezug. Die Ausführungen der MaRisk sind allgemein gehalten und beziehen sich auf das ganzheitlich im Institut vorzuhaltende Notfallmanagement der Institute und beinhalten keine IT-spezifische Konkretisierung der Anforderungen. So verlangen die Anforderungen beispielsweise, dass für Notfälle bei zeitkritischen Aktivitäten und Prozessen Vorsorge in Form eines Notfallkonzeptes getroffen wird. Die Vorgaben lauten wie folgt:
- Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren.
- Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen.
- Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen mitzuteilen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
- Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen.
- Es ist vorab festzulegen, welche Kommunikationswege im Notfall verwendet werden sollen. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen.
Konkretisierung der Anforderungen für das Notfallmanagement
Die im November 2017 von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichten „Bankaufsichtlichen Anforderungen an die Informationstechnologie“ (BAIT) konkretisieren aktuell (Stand Februar 2019) noch nicht, wie das IT-Notfallmanagement umgesetzt werden sollen. Für andere Anforderungsbereiche, etwa das Informationsrisikomanagement, das Benutzerberechtigungsmanagement oder auch das Auslagerungsmanagement von IT-Dienstleistungen ist das bereits durch die aktuellen BAIT erfolgt. Aufgrund der zentralen Bedeutung des IT-Notfallmanagements für die Aufrechterhaltung des Geschäftsbetriebes wird die deutsche Aufsicht das höchstwahrscheinlich im Verlauf des Jahres nachholen und in der BAIT ergänzen.
Die deutsche Aufsicht in Form der BaFin und der Deutschen Bundesbank haben in einem ersten Austausch mit Instituten, Verbänden und großen IT-Dienstleistern dargelegt, wie die Anforderungen an das IT-Notfallmanagement der Institute konkretisiert und welche möglichen Inhalte in der BAIT aufgenommen werden sollen. Für die Aufsicht steht fest, dass das IT-Notfallmanagement ein integraler Bestandteil eines gesamten Notfallmanagements sein muss und in Folge eine Verzahnung des zentralen Betriebskontinuitätsmanagement (BCM) mit dem IT-Kontinuitätsmanagement (ITCM)unerlässlich ist.
Die Institute und die IT-Dienstleister sollen einen fortlaufenden IT-Notfallmanagementzyklus implementieren. Dieser soll das Notfallmanagement in Gesamtheit abbilden, den Geltungsbereich festlegen und grundlegende rechtliche Anforderungen und Vorgaben sowie eine konkrete Zielsetzung umfassen und letztlich organisatorischer Voraussetzungen planen und etablieren.
Dafür müssen die Banken und Dienstleister auch Rollen und Verantwortlichkeiten festlegen sowie Leitlinien und Notfallhandbücher erstellen. Bei der Konzeption sollten die verantwortlichen Stellen berücksichtigen, dass sie über ein aktuelles Verzeichnis der IT-Systeme und Prozesse verfügen und die (zeit)kritischen Prozesse, IT-Systeme und Notfallpläne identifizieren und priorisieren, um die festgelegten Prozesse und IT-Schutzziele einhalten zu können.
Als weitere wichtige Grundlage muss ein „definiertes Krisenmanagement“ mit eindeutigen Festlegungen der Ablauforganisation inklusive Prozessen und Aufgaben für den Krisenfall genauso wie eine geregelte interne und externe Kommunikation beispielsweise mit Kunden, Partnern und Aufsichtsbehörden vorhanden sein.
Um die Wirksamkeit der Notfallpläne zu überprüfen, sollte dies unter Einbeziehung aller Beteiligten regelmäßig getestet und das Vorgehen und die Ergebnisse dokumentiert werden. Tests und Übungen sollen dabei zukünftig noch stärker entlang realistischer Notfall-Szenarien und idealerweise auch in den Produktivsystemen durchgeführt werden.
Insgesamt erinnern die Aufseher an die Gesamtverantwortung der Geschäftsleitungen, die ein funktionierendes Notfallmanagement der Institute sicherstellen müssen.
Mögliche Maßnahmen und Aktivitäten der Kreditinstitute
Um den aufsichtlichen Anforderungen gerecht zu werden, sind in den Kreditinstituten eine Reihe von grundlegenden Maßnahmen und Aktivitäten erforderlich. Als Basis für alle konzeptionellen und operativen Maßnahmen im Rahmen eines IT-Notfallmanagements sollte jedes Institut zunächst die für sich notwendigen organisatorischen Voraussetzungen prüfen bzw. schaffen, sofern nicht vorhanden.
Im Fokus steht dabei die Implementierung einer Organisationseinheit bzw. Stelle, die ein entsprechendes Notfallmanagement-Konzept zur Notfallvorsorge und Notfallbehandlung im Eintrittsfall erstellt und dessen institutsweite Umsetzung unter Beachtung der Vorgaben des BCM koordiniert. Dazu kann beispielsweise eine vom IT-Betrieb und von der Anwendungsentwicklung bzw. der Anwendungsbetreuung unabhängig agierende Einheit oder Stelle in der bestehenden IT-Organisation implementiert werden. Diese ist dann als ITCM für eine umfassende Notfallvorsorge mit risikomindernden Maßnahmen, für die schnellstmögliche bzw. anforderungskonforme Wiederherstellung der IT-Leistung im Notfall und für das Krisenmanagement verantwortlich. Sie ist weiterhin dafür zuständig, das IT-Notfallvorsorgekonzept, die IT-Notfallplanung (inklusive der Wiederherstellungs- und Wiederanlaufpläne) und ein IT-Notfalltestkonzept zu erstellen und zu aktualisieren sowie regelmäßige Notfalltests unter Einbeziehung beauftragter IT-Dienstleister zu koordinieren und die Ergebnisse zu begleiten. Die damit verbundenen Aufgaben und Zuständigkeiten dürfen aber nicht mit denen des gleichermaßen erforderlichen „Availabiltity-Management“ (AVM) verwechselt werden, das integraler Aufgabenbestandteil des IT-Betriebs sein kann.
Für den Umsetzungserfolg eines (IT-)Notfallmanagements sollte unbedingt institutsweit „Awareness“ geschaffen werden. In Abhängigkeit von der Beschaffenheit und Komplexität der jeweiligen Organisation sind teilweise umfangreiche verständnisfördernde Kommunikationsmaßnahmen und inhaltlich-fachliche Klärungen zu Begriffen und Definitionen erforderlich. Auch diese Aufgaben benötigen eine zentrale Steuerung, die im Rahmen eines ITCM wahrgenommen werden sollte. Indem eine verantwortliche zentrale Stelle relevante Informationen bündelt und bewertet, wird es zudem möglich, potenzielle Unterbrechungen des IT-Geschäftsbetriebs zu antizipieren und angemessene Vorsorgemaßnahmen zu treffen.
Die im Rahmen der IT-Notfallvorsorge bzw. des IT-Notfallmanagements durch das ITCM zu erledigenden Aufgaben lassen sich vereinfachend wie folgt zusammenfassen:
- Identifikation und Bewertung von Risiken, die aus einer schwerwiegenden Störung und/oder IT-Notfällen resultieren können,
- Planung und Vorbereitung der Wiederherstellung von IT-Leistungen (IT-Notfallvorsorge) sowie von aufbau- und ablauforganisatorischen Maßnahmen zur Aufrechterhaltung und Wiederaufnahme des Geschäftsbetriebs bei Eintritt eines IT-Notfalls,
- Planung, Koordination und Begleitung von IT-Notfalltests und Übungen,
- Durchführung von Awareness-Maßnahmen, Reviews und Qualitätssicherungsmaßnahmen (zur kontinuierlichen Verbesserung).
Erste Einschätzung und Ausblick
Ein funktionierendes (IT)-Notfallmanagement der Institute ist sehr wichtig. Daher ist es grundsätzlich nur konsequent, die aufsichtlichen Anforderungen in den BAIT nach dem Vorbild der bisherigen Inhalte und unter Wahrung des Proportionalitätsprinzips zu konkretisieren und so die Transparenz zu erhöhen. Entscheidend ist aber, dass immer auch bedacht wird, ob und in welchem Umfang zusätzlicher Aufwand erforderlich bzw. vertretbar ist. Mit Blick auf die geforderten Notfalltests und ‑übungen im Produktivbetrieb muss unbedingt bewertet werden, in welchem Umfang solche Tests wirklich erforderlich sind, da mit diesen unnötige Risiken für den Betrieb einhergehen. Die Aufsicht sollte daher bei den ausstehenden Konkretisierungen erneut Fingerspitzengefühl beweisen und den begonnenen Dialog mit Instituten und Verbänden fortsetzen. Wie gut dies gelingt und wie sich in Folge die aufsichtliche Prüfungspraxis gestaltet, bleibt Abzuwarten.