Risiken beim Outsourcing erkennen, steuern und minimieren

Das Risikomanagement beim Fremdbezug von Leistungen ist eines der Themen, die uns in Zukunft weiter intensiv beschäftigen werden. Kein Unternehmen kann und will heute mehr alle Leistungen rund um die Produkt- und Serviceerstellung selbst erbringen. Das Outsourcing ermöglicht die Konzentration auf die Kernkompetenzen und schafft Kostenvorteile durch Skaleneffekte bei Dienstleistern und Zulieferern. Auf der anderen Seite der Medaille stehen die Risiken durch das Outsourcing. Schon der Ausfall eines Lieferanten von Bauteilen im Wert weniger Euros bringt komplette Lieferketten zum Stillstand. Im Finanzdienstleistungsbereich ist das Outsourcing daher ein zunehmend wichtiges Thema bei Prüfungen durch die Aufsichtsorgane BaFin und Bundesbank. Die aktuelle Konsultation zu den Bankaufsichtlichen Anforderungen an die IT “BAIT” zur Konkretisierung der MaRisk machen dies deutlich. Die Auslagerungssteuerung ist eines von acht Themen dieses Rundschreibens.

In einem zweiteiligen Beitrag auf  der Plattform 3GRC habe ich einige Grundlagen zum Supply Chain Continuity Management zusammengefasst:

Supply Chain Resilience – Absicherung der kritischen Lieferketten

Supply Chain Continuity Management – Vorsorge für Notfälle in der Lieferkette

Ich freue mich auf Ihr Feedback.

Öffentliche Konsultation des Rundschreibens „Bankaufsichtliche Anforderungen an die IT” (BAIT)

Die BAIT (Bankaufsichtliche Anforderungen  an die IT) konkretisieren die Anforderungen der MaRisk an die Ausgestaltung der Informationstechnologie durch BaFin und Deutsche Bundesbank.

Die Konkretisierungen umfassen die Themen

  • IT-Strategie
  • IT-Governance
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • Benutzerberechtigungsmanagement
  • IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  • IT-Betrieb (inkl. Datensicherung)
  • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen.

Das Rundschreiben, das nunmehr im Entwurf zur Konsultation vorliegt, adressiert die Geschäftsleitung der Kreditinstitute und soll die Anforderungen der MaRisk konkretisieren. Die Anforderungen der MaRisk bleiben hiervon unberührt. Daneben bleiben die Institute verpflichtet, “bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards und sowie grundsätzlich auf den Stand der Technik abzustellen.”

Die Konsultationsphase endet am 5. Mai 2017.

Gestalten Sie die BCM-News im zehnten Jahr!

Das neue Jahr ist gestartet und die Tage vergehen schon wieder wie im Flug. Die BCM-News werden dieses Jahr schon zehn Jahre alt- unglaublich aber wahr. Auch im zehnten Jahr wird es hier wieder tagesaktuelle News und Beiträge rund um die Themen BCM, Informationssicherheit, Krisenmanagement und physische Sicherheit geben.

Bestimmen Sie mit, welche Themen in den redaktionellen Beiträgen behandelt werden sollen. Bitte geben Sie hierzu möglichst konkrete Themen und Fragestellungen in den Kommentaren zu diesem Beitrag an.Nutzen Sie die Gelegenheit und treiben Sie die BCM-News auch im zehnten Jahr als führendes Informationsportal für BCM in Deutschland weiter voran. Auch Gastbeiträge sind selbstverständlich wieder herzlich willkommen.

Ich freue mich auf Ihre Rückmeldungen.

„Tear down the wall“ – integrierte Umsetzung des Sicherheitsmanagements

Auf dem Online-Drehkreuz 3GRC für Governance Risk & Compliance ist heute mein Artikel “Tear down the wall” – integrierte Umsetzung des Sicherheitsmanagements erschienen. An einem praktischen Beispiel wird die Notwendigkeit der Integration der verschiedenen Disziplinen des Sicherheitsmanagements eines Unternehmens beschrieben. Noch arbeiten oftmals die Disziplinen Business Continuity Management, Informationssicherheit, physische und personelle Sicherheit, Datenschutz und Risikomanagement eher neben- als miteinander. Hierdurch werden wichtige Synergieeffekte verschenkt und ein einheitliches übergreifendes Sicherheitsniveau kann nicht geschaffen werden. Ich freue mich über Ihre Rückmeldungen und Meinungen.

Die Konsequenzen der Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi) für das BCM

ein  Gastbeitrag von Dr. Christian Zänker (Business Continuity Partner, zaenker@bcmpartner.de) für die BCM-News.

Was bedeuten die neuen regulatorischen Anforderungen für das BCMS der Institute?

Im Mai vergangenen Jahres wurden von der BaFin mit Rundschreiben 4/2015 die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi) veröffentlicht. Nach Aussage der BaFin müssen die Institute nach Ablauf der 6-monatigen Übergangsfrist ab dem 05.11.2015 mit Prüfungen durch die Bankenaufsicht rechnen. Weiterlesen…

Aktuelle Übersicht “BCM Legislations, Regulations & Standards produced by the BCI”

Es gibt national und international zahlreiche Gesetze, Standards und Normen, die bei der Umsetzung des Business Continuity Managements zu beachten sind. Trotz des internationalen ISO Standards ISO 22301 haben Behörden und Institutionen national ergänzende spezifische Anforderungen an das Business Continuity Management. In Deutschland ist zum Beispiel das IT-Sicherheitsgesetz zu nennen, aber auch branchenspezifische Standards und Regelungen. Gerade für international agierende Unternehmen ist es sehr bedeutsam, diese nationalen Anforderungen in den einzelnen Ländern zu kennen und zu berücksichtigen. Das Business Continuity Institute (BCI) hat hierzu einen sehr umfassenden Überblick erstellt:  BCM Legislations, Regulations & Standards produced by the BCI. Diese Zusammenstellung internationaler Gesetze, Normen und Standards für das BCM wurde im Januar 2015 aktualisiert und steht nach Registrierung auf der Seite des BCI kostenfrei zum Download zur Verfügung.

Das Buch zum IT-Sicherheitsgesetz

Wer sich intensiver mit dem IT-Sicherheitsgesetz auseinandersetzen will oder muss, findet beim Bundesanzeiger Verlag das aktuell erschienene Buch “IT-Sicherheitsgesetz”:

“Die kommentierte Materialsammlung zum IT-Sicherheitsgesetz unterrichtet über Konsequenzen hieraus und gibt einen Überblick darüber, welche Änderungen sich in welchen Gesetzen ergeben. In einer kurzen Einleitung erläutert der Autor Werdegang, Begründung und Auswirkungen des IT-Sicherheitsgesetzes. Im Anschluss werden die geänderten Normen nebst Gesetzesbegründung aufgeführt und kommentiert. Einen Gesamtüberblick zur veränderten Rechtslage gibt eine umfassende Synopse.”

Bezug über den Bundesanzeiger Verlag

Aktuelles zum IT-Sicherheitsgesetz

Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Bereits die ersten Entwürfe des Gesetzes wurden heftigst diskutiert. Die Spannungskurve ist nach der Verabschiedung allerdings nicht abgesunken, da viele Fragen erst durch Rechtsverordnungen geklärt und festgelegt werden müssen. Hierzu gehören die betroffenen Unternehmen und Dienstleistungen wie auch die konkreten Anforderungen aus dem Gesetz. Dass das IT-Sicherheitsgesetz keine langweilige und trockene Angelegenheit wird, zeigte die Veranstaltung der Gesellschaft für Informatik zu diesem Thema am vergangenen Freitag in Frankfurt. Trotz Streiks bei der Lufthansa war die Veranstaltung sehr gut besucht. Den Gastgeber Bahn hat dies natürlich auch sehr gefreut ;-). Weiterlesen…

IT-Sicherheitsgesetz ist verabschiedet

Am vergangenen Freitag, den 12. Juni 2015 wurde das IT-Sicherheitsgesetz im Bundestag verabschiedet. Unter dem Eindruck der erfolgreichen Cyber-Attacken auf das IT-System wurden noch Änderungen am Gesetz vorgenommen.

So gilt das Gesetz jetzt auch für Bundesbehörden:

“(1) Das Bundesamt erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes. Das Bundesministerium des Innern kann im Benehmen mit dem IT-Rat diese Mindeststandards ganz oder teilweise als allgemeine Verwaltungsvorschriften für alle Stellen des Bundes erlassen. Das Bundesamt berät die Stellen des Bundes auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards. Für die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach diesem Absatz empfehlenden Charakter.”

Zudem sind Verstöße gegen das IT-Sicherheitsgesetz jetzt strafbewehrt mit einem Maximalbetrag von 100.000 Euro. Dies betrifft die Vorkehrungen für die IT-Sicherheit, aber auch die Benennung der Kontaktstelle sowie die Meldepflichten.

Der Gesetzgeber geht nach wie vor davon aus, dass maximal 2.000 Unternehmen als Betreiber kritischer Infrastrukturen vom IT-Sicherheitsgesetz betroffen sein werden:

“Nach aktuellen Schätzungen wird die Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen bei maximal 2.000 Betreibern liegen. Weiterhin wird geschätzt, dass pro Betreiber maximal sieben Meldungen von IT-Sicherheitsvorfällen pro Jahr erfolgen.”

Die Betreiber kritischer Infrastrukturen sorgen in Erfüllung des Gesetzes für

“- die Einhaltung eines Mindestniveaus an IT-Sicherheit,

 

– den Nachweis der Erfüllung durch Sicherheitsaudits,

 

– die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI sowie

 

– das Betreiben einer Kontaktstelle.”

Die Meldepflicht beinhaltet:

„Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen 1. führen können oder 2. geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten.“

Dass ich das IT-Sicherheitsgesetz nicht ausschließlich auf IT-Sicherheitsvorfälle bezieht, wird aus der Meldepflicht deutlich. Störungen in der Verfügbarkeit von IT, Komponenten oder Prozessen, die zu einer Beeinträchtigung der Funktionsfähigkeit von Organisationen führen gehören eindeutig in das Aufgabengebiet des Business Continuity Management.

Dies trifft vor allem Unternehmen, die als Betreiber kritischer Infrastrukturen den Anforderungen des IT-Sicherheitsgesetzes entsprechen müssen und die bislang noch keinen vergleichbaren regulatorischen Anforderungen genügen müssen.

“Die Verpflichtung zur Einhaltung eines Mindestniveaus an IT-Sicherheit wird dort zu Mehrkosten führen, wo kein hinreichendes IT-Sicherheitsniveau vorhanden ist. Der entstehende Aufwand hängt einerseits vom erforderlichen Sicherheitsniveau und andererseits vom jeweiligen Status quo des Normadressaten ab.

Mit Spannung blicken wir auf die Inhalte der Rechtsverordnung, die den Adressatenkreis der Betreiber kritischer Infrastrukturen regeln wird.

Quellen:

Gesetzesentwurf IT-Sicherheitsgesetz (pdf)

Beschlussempfehlung IT-Sicherheitsgesetz (pdf)

Kritik am IT-Sicherheitsgesetz in der ersten Lesung im Bundestag

Am Freitag, den 20. März 2015 fand im Bundestag die erste Lesung des Entwurf für das IT-Sicherheitsgesetz statt. Der Entwurf wurde im Bundestag kontrovers diskutiert. Die Bundesregierung sieht sich mit dem Gesetz als als “Vorbild und Vorreiter der IT-Sicherheit”, so Bundesinnenminister Dr. Thomas de Maizière. Die Opposition bemängelte an dem Entwurf, dass nicht geklärt ist, welche Unternehmen zu den Kritischen Infrastrukturen gehören. Dies soll im Rahmen von Rechtsverordnungen nach Verabschiedung des Gesetzes geregelt werden. In einer ersten Zahl wurden 2.000 betroffene Unternehmen genannt. Wie viel Substanz diese Größenordnung hat, wird sich noch zeigen. Nimmt man zum Beispiel alleine die Energie- und Wasserversorger hinzu, wird diese Zahl kaum zu halten sein. Mit dem IT-Sicherheitsgesetz kommt auch eine Meldepflicht für Sicherheitsvorfälle bei Unternehmen der Kritischen Infrastrukturen. Welche Vorfälle gemeldet werden müssen und was mit den gesammelten Daten passiert, ist im Gesetzesentwurf ebenfalls nicht genau geregelt. Der Cyber-Sicherheitsrat hat zudem gar verfassungsrechtliche Bedenken gegenüber dem Gesetzesentwurf: Behörden des Bundes werden von den Pflichten der Kritischen Infrastrukturen nicht erfasst und müssen demzufolge keine vergleichbare Pflichten zum Schutz vor Cyberattacken leisten. Einig sind sich zumindest alle Parteien, dass Aktivitäten zum Schutz vor Cyber-Attacken dringend nötig sind.

Aus meiner bescheidenen Sicht ist die Definition der Kritischen Infrastrukturen tatsächlich ein kritischer Erfolgsfaktor für die Wirksamkeit des Gesetzes. Die Verlagerung der Definition des Scopes der gesetzlichen Regelungen auf die nachgelagerten Rechtsverordnungen hat zumindest Unsicherheit und Diskussionen erzeugt, die die Verabschiedung des Gesetzes verzögern können. Zur Zeit laufen branchenbezogene Studien zur Definition der kritischen Prozesse für die Kritischen Infrastrukturen. Zudem finden Gespräche mit den Branchenvertretern statt. Es gilt auch je Branche die Standards festzulegen, die von den betroffenen Unternehmen einzuhalten sind. Die Lobbyarbeit läuft sicherlich hinter den Kulissen auf Hochtouren. Die bereits stark regulierten Branchen wie Finanzdienstleister werden mit den Konsequenzen dieses Gesetzes wesentlich leichter umgehen können als Unternehmen, die sich diesen Anforderungen erst neu stellen müssen. Gerade für mittelständische Unternehmen kann dies zu einer Herausforderung werden, aber gerade diese Unternehmen sind auch besonders stark gefährdet, ohne dass das Bewusstsein – und Budget – hierfür immer vorhanden ist. Es besteht Handlungsbedarf und ein erster Schritt muss getan werden. Der Gesetzgeber wäre gut beraten, gerade den mittelständischen Unternehmen auch bessere Hilfsmittel zur Umsetzung an die Hand zu geben. Das Umsetzungsrahmenwerk für den BSI 100-4 Standard Notfallmanagement ist ein guter Ansatz in diese Richtung. Mehr davon, kann ich da nur appellieren. Auch der BSI 100-4 hat mittlerweile eine dicke Staubschicht angesammelt. Vorschriften sind das eine, doch darf man gerade kleine und mittelständische Unternehmen bei der Umsetzung nicht alleine lassen – auch wenn wir als Berater den Bedarf natürlich gerne ganz uneigennützig aufgreifen 😉