Cloud und E-Personalausweis
"Bei denen eröffne ich kein Konto!"
Unabhängig von der Sicherheit beim Online-Banking - Geldinstitute beklagen sich gern über allzu viele Sicherheitsbestimmungen und Compliance…
Rossa: Angefangen hat das Ganze mit den Bilanzfälschungsskandalen des Energiekonzerns Enron 2001. Daraus resultierte der Sarbanes-Oxley Act, kurz SOX, mit seinen verschärften Gesetzen zur Unternehmensberichterstattung. Mittlerweile ist daraus eine Umsatzgenerierungs-Maschine für Wirtschaftsprüfer entstanden.
Im schlimmsten Fall haften IT-Vorstände persönlich
Sie können die Klagen der Banker nachvollziehen?
Rossa: Ich will das Thema nicht herunterspielen - gerade im sensiblen Finanzbereich ist Compliance von erheblicher Bedeutung. Die Banken sind in besonderem Maße dafür verantwortlich, dass sie ihre Risiken und deren Einflussmöglichkeiten kennen. Im schlimmsten Fall haften IT-Vorstände ja auch persönlich für Schäden. Wobei das natürlich eine Frage der Beweisbarkeit ist.
Was also raten Sie Banken?
Rossa: Sie müssen bestimmte Sorgfaltspflichten einhalten, angemessene Kontrollen und Verfahren installieren und interne Sicherungsmaßnahmen ergreifen. Wesentliche Vorgaben sind hier durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in den Mindestanforderungen an das Risikomanagement (MARisk) definiert. IT-gestützte Prozesse sind zum Aufbau eines Risiko-Managements unverzichtbar.
Was kann die IT konkret tun?
Rossa: Nehmen Sie das Beispiel Identitäts- und Zugangsmanagement. Eine Identitäts-Management-Lösung sollte ein effektives Rollenmodell, Prozessmanagement und ein dazu passendes Regelwerk beinhalten. Wenn Connectoren für die automatische Verteilung von Userdaten in die Zielsysteme sorgen, kann die Nutzer- und Rechteverwaltung weitgehend automatisiert werden. Und je höher der Automatisierungsgrad, desto sicherer die Nutzer- und Rechteverwaltung.
Wie lautet Ihre Einschätzung zum großen Thema Cloud?
Rossa: Die Cloud stellt die IT- und Datensicherheit von Banken vor neue Herausforderungen. Wobei unterschieden werden muss zwischen einer private Cloud innerhalb der Bank und einer public Cloud. Wer sich als Banker für einen internationalen Anbieter entscheidet, muss sichergehen, dass die Daten nicht in irgendeinem südamerikanischen Land liegen, wo es DatenschutzDatenschutz bestenfalls im Ansatz gibt. Alles zu Datenschutz auf CIO.de