Jeder europäische Finanzdienstleister ist dazu verpflichtet, eine Vielzahl regulatorischer Normen und Gesetze in Bezug auf den Einsatz seiner Informationstechnologie zu berücksichtigen.

Diese Pflichten sind sowohl beim Eigenbetrieb als auch beim Outsourcing der IT (z.B. in die Google-, Azure- oder Amazon-Cloud) zu erfüllen. Wesentliche Pflichten resultieren für Banken aus dem Kreditwesengesetz (KWG, insb. § 25a, 25b), den Mindestanforderungen an das Risikomanagement (MaRisk, insb. AT 7.2, 7.3, 9), der DORA-Verordnung („Digital Operational Resilience Act“) und der DSGVO.

Das Versicherungsaufsichtsgesetz (VAG, insb. § 23) ist für Versicherungen anstelle des Kreditwesengesetzes maßgeblich.

Seit dem 1.1.2016 existieren für Versicherungen im Gegensatz zu Banken keine MaRisk mehr. Die Anforderungen an die IT-Compliance werden für Versicherungen durch die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) konkretisiert. Das Pendant für Banken sind die BAIT, die Bankaufsichtlichen Anforderungen an die IT.

Banken und Versicherungen müssen z.B. beim Outsourcing ihrer IT die Implementierung angemessener technologischer Sicherheitsmaßnahmen gewährleisten. Beispiele hierfür sind starke Verschlüsselungsmechanismen, Verfahren der Mandanten- und Netzwerktrennung sowie ein Sicherheits- und Zugriffsmonitoring.

In dem beschriebenen Kontext verfügen wir über breites und detailliertes Know-how:

Strategisches Monitoring

Durch ein strategisches Monitoring sind unsere Kunden immer up to date bei neuen oder geänderten regulatorischen Anforderungen. Neben der Transparenz über bevorstehende Soll-Ist-Abweichungen werden passgenaue, unmittelbar umsetzbare Maßnahmen vorgeschlagen. Durch deren Umsetzung, werden eventuelle Soll-Ist-Abweichungen geschlossen, bevor die jeweilige Anforderung in Kraft tritt. Das strategische Monitoring wird auch als aktiver Managed Service mit garantierten Service Leveln angeboten.

Beratung zu Normen und Standards

Im Zentrum unserer Beratungsleistungen steht das IT-Compliance-Niveau, das unser Kunde erreichen möchte. In Hinblick auf die spezifische Zielsetzung werden Sollprozesse, Konzepte oder Richtlinienänderungen ausgearbeitet. Häufig kommt es in diesem Zusammenhang zu dem passgenauen Einsatz branchenführender Standards, wie ISO 27002:2022, C5:2020 und ISO/IEC 29100:2011.

Durch Schwachstellenanalyse ausgewählter IT-Systeme und IT-Architekturen werden Sicherheitslücken proaktiv erkannt, bevor sie schlagend werden. In diesem Zusammenhang besitzen Penetration Tests eine hohe Bedeutung. In einem nächsten Schritt werden nach dem Bekanntwerden von Schwachstellen häufig die IT-Sicherheitsmaßnahmen kritischer Systeme weiterentwickelt. Betreffen die Sicherheitslücken weite Teile der IT-Landschaft, werden zentrale IT-Sicherheitsprozesse, wie z.B. das Service- oder Vulnerabilitymanagement, gestärkt.

Umsetzung und technologische Implementierung

Durch den vermehrten Einsatz von Cloud-Plattformen kommt dem Einsatz technologischer Sicherheitsmechanismen auf einem hohen Reifegrad eine hohe  Bedeutung zu. Die kritischen Mechanismen sind Verschlüsselung mit einem eigenen Schlüssel inklusive einer Schlüsselrotation, Netzwerk-/Mandantentrennung sowie Monitoring von Security Events und kritischen Zugriffen. Neben technologischen Umsetzungen sind in diesem Zusammenhang häufig neue Sollprozesse organisatorisch zu verankern. Zusätzlich sind Anpassungen an Schnittstellen zwischen IT-Systemen typisch.

Michael Grunenberg

Geschäftsführer

E-Mail: michael.grunenberg@grunenberg-comp.de