Umsetzung bis Ende 2006 gefordert

Basel II-Vorgaben für die IT-Sicherheit bei Banken

22. Dezember 2005
Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Von der Gefahr, die Kontrolle über Kernprozesse an den Outsourcing-Partner zu verlieren bis zum Testen der Software: IT-Verantwortliche in Banken müssen ihr Unternehmen 2006 den Bestimmungen vom Basler Ausschuss für Bankenaufsicht anpassen. Dazu legt die österreichische Nationalbank einen detaillierten Leitfaden vor.

Die Sicherheit ihrer IT-Technologie rückt für BankenBanken ins Zentrum ihrer StrategienStrategien: Die neuen Eigenkapitalbestimmungen erfordern ein Risiko-Management in Fragen wie Software-Qualität, OutsourcingOutsourcing oder IT-Sicherheit. Die österreichischen Nationalbanker haben gemeinsam mit der Finanzmarktaufsichtsbehörde (FMA) alle Punkte systematisch aufgelistet. Fazit: Ohne eine grundlegende IT-Strategie artet die Informationstechnologie in ein unübersichtliches Flickwerk aus, das nicht nur die Sicherheit der Bank gefährdet, sondern künftig auch ihre Wettbewerbsfähigkeit. Alles zu Outsourcing auf CIO.de Alles zu Strategien auf CIO.de Top-Firmen der Branche Banken

Eine umfassende IT-Strategie entscheidet demnach über Infrastrukturelles wie Standorte, Hardware und bauliche Sicherheitsmaßnahmen ebenso wie über die Software und den Einsatz der Mitarbeiter sowie deren Aus- und Weiterbildungen. Außerdem schreibt sie die Sicherheitspolitik des Unternehmens fest.

Beispiel Verantwortung für die IT-Sicherheit: Die Autoren des Leitfadens wägen zwei Möglichkeiten ab. Wird das Security-Team in die IT-Abteilung eingebunden, ist es näher am Tagesgeschäft. Gehört es zu einer eigenen Unit, die die gesamte Unternehmenssicherheit von baulichen Maßnahmen bis zu IT-Fragen bündelt, ist die Kontrolle wirksamer.

Die Autoren unterscheiden bei der IT-Sicherheit in drei wesentliche Kategorien: Computerprogramme, die entwickelt worden sind, um Schäden zu verursachen (MalwareMalware), sowie unbefugte Zugriffe von außen und von innen. Obwohl der letzte Punkt auf die Bankangestellten zurückgeht, fällt er nicht nur unter den Begriff Mitarbeiterrisiko. Präventive Maßnahmen sind auch von den IT-Verantwortlichen zu entwickeln. Alles zu Malware auf CIO.de

Zur Startseite