Bereits zum dritten Mal treffen sich am 6. und 7. Juni 2011 Banker und IT-Dienstleister zum Finance Forum Germany im Wiesbadener Kurhaus. Einen Workshop zum Sicherheits-Thema Identitäts-Management wird Gerd Rossa vom Rostocker Institut für System-Management leiten. CIO.de hat vorab mit ihm über den neuen Personalausweis, Compliance und Kernbanken-Systeme aus der Cloud gesprochen.
Der Branchenverband Bitkom glaubt, dass der neue Personalausweis Online-Banking pushen wird. Unterstützen Sie diese These?
Foto: Gerd Rossa
Rossa: Der neue Personalausweis ist ja eigentlich nur eine Karte, die alternativ mit digitaler Signatur versehen werden kann, für die wiederum ein Lesegerät erforderlich ist. Er kann die Authentifizierung im Web sicherer machen, insofern glaube ich schon, dass er die Verbreitung von Online-Banking unterstützt. Das setzt allerdings voraus, dass die Banken ihren Kunden Lesegeräte zur Verfügung stellen.
Was mit Kosten verbunden ist.
Rossa: Ja, aber Banken gleichen ja auch finanzielle Verluste und Image-Schäden aus, die ihnen durch nichtgesichertes Online-Banking entstehen. Die Geldinstitute haben also durchaus ein Eigeninteresse an höherer Sicherheit.
Wo sehen Sie Hemmnisse für die Ausbreitung von Online-Banking?
Rossa: Die Nutzung des neuen Ausweises setzt natürlich eine gewisse Technik-Affinität voraus. Das könnte nicht nur ältere Menschen ausschließen, sondern auch die sogenannten bildungsfernen Schichten.
Unabhängig von der Sicherheit beim Online-Banking - Geldinstitute beklagen sich gern über allzu viele Sicherheitsbestimmungen und Compliance…
Rossa: Angefangen hat das Ganze mit den Bilanzfälschungsskandalen des Energiekonzerns Enron 2001. Daraus resultierte der Sarbanes-Oxley Act, kurz SOX, mit seinen verschärften Gesetzen zur Unternehmensberichterstattung. Mittlerweile ist daraus eine Umsatzgenerierungs-Maschine für Wirtschaftsprüfer entstanden.
Im schlimmsten Fall haften IT-Vorstände persönlich
Sie können die Klagen der Banker nachvollziehen?
Rossa: Ich will das Thema nicht herunterspielen - gerade im sensiblen Finanzbereich ist Compliance von erheblicher Bedeutung. Die Banken sind in besonderem Maße dafür verantwortlich, dass sie ihre Risiken und deren Einflussmöglichkeiten kennen. Im schlimmsten Fall haften IT-Vorstände ja auch persönlich für Schäden. Wobei das natürlich eine Frage der Beweisbarkeit ist.
Was also raten Sie Banken?
Rossa: Sie müssen bestimmte Sorgfaltspflichten einhalten, angemessene Kontrollen und Verfahren installieren und interne Sicherungsmaßnahmen ergreifen. Wesentliche Vorgaben sind hier durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in den Mindestanforderungen an das Risikomanagement (MARisk) definiert. IT-gestützte Prozesse sind zum Aufbau eines Risiko-Managements unverzichtbar.
Was kann die IT konkret tun?
Rossa: Nehmen Sie das Beispiel Identitäts- und Zugangsmanagement. Eine Identitäts-Management-Lösung sollte ein effektives Rollenmodell, Prozessmanagement und ein dazu passendes Regelwerk beinhalten. Wenn Connectoren für die automatische Verteilung von Userdaten in die Zielsysteme sorgen, kann die Nutzer- und Rechteverwaltung weitgehend automatisiert werden. Und je höher der Automatisierungsgrad, desto sicherer die Nutzer- und Rechteverwaltung.
Wie lautet Ihre Einschätzung zum großen Thema Cloud?
Rossa: Die Cloud stellt die IT- und Datensicherheit von Banken vor neue Herausforderungen. Wobei unterschieden werden muss zwischen einer private Cloud innerhalb der Bank und einer public Cloud. Wer sich als Banker für einen internationalen Anbieter entscheidet, muss sichergehen, dass die Daten nicht in irgendeinem südamerikanischen Land liegen, wo es Datenschutz bestenfalls im Ansatz gibt.
Rechtsrahmen für public Cloud immer noch Grauzone
Auf unserer US-Schwesterpublikation CIO.com war kürzlich von einer Bank die Rede, die angeblich alles über die Cloud bezieht, selbst ihr Kernbanken-System.
Rossa: (lacht) Bei denen eröffne ich kein Konto! Nein, ernsthaft: Ich kann mir nicht vorstellen, dass Banken so etwas machen und ihr Kernbanken-System in einer public Cloud betreiben. Meiner Meinung nach gehört public Cloud Computing zu den "Kritischen Infrastrukturen" - der Rechtsrahmen dafür ist immer noch weitgehend Grauzone. Insbesondere regulierte Branchen wie der Finanzsektor müssen genau prüfen, was in die public Cloud geht beziehungsweise aus ihr bezogen wird - sensible Daten sollten die Unternehmensgrenze auch weiterhin nicht passieren.
Professor Gerd Rossa ist Hauptgeschäftsführer des iSM (Institut für System-Management) in Rostock. Vor Gründung des iSM 1998 arbeitete er in der Geschäftsleitung eines SW-Unternehmens und eines IT-Consultingunternehmens. Außerdem war der Diplomphysiker an der Universität Rostock 30 Jahre im Rechenzentrum und in der Wirtschaftsinformatik in Lehre und Forschung tätig.