• 1000

Die Digitalisierung der Finanzbranche schreitet voran: die Bedeutung von IT wird sich in den kommenden Jahren grundlegend ändern. Der Einsatz neuer Technologien, künstlicher Intelligenz, die Automatisierung von Prozessen und die Vernetzung der Wertschöpfungsketten werden unseren Arbeitsalltag bestimmen. 

Was bedeutet diese Entwicklung für die Informationen, die bei Kreditinstituten und Versicherungen verarbeitet werden - die sogenannten „Informationswerte“ (information assets)? Welchen sich ändernden oder neuen Bedrohungen sind sie ausgesetzt? Was sind die wesentlichen Informationsrisiken, die auf sie wirken? Wie schnell können Informationsrisiken identifiziert und richtig bewertet werden? Wie schnell werden die erforderlichen Maßnahmen umgesetzt?

In einer digitalen Welt können Risiken, die auf Unternehmensinformationen wirken, nicht ausgeschlossen werden. Wichtig ist daher, ein flexibles, regelbasiertes und proaktives Management von Informationsrisiken aufzubauen und kontinuierlich weiterzuentwickeln. So können Informationen anhand der Kritikalität und der individuellen Bedrohungslage in Hinblick auf deren Verfügbarkeit, Vertraulichkeit, Integrität (inkl. Authentizität) angemessen sowie wirtschaftlich sinnvoll geschützt werden.

Ein ganzheitliches Informationssicherheits- und Informationsrisikomanagement etablieren

Zunächst gilt es ein Zielbild für das Informationssicherheits- und Informationsrisikomanagement (ISM und IRM) zu definieren, um die Sicherheit Ihrer Informationswerte effektiv steuern zu können. In der Praxis sind aktuelle Umsetzungen oftmals durch regulatorische Vorgaben und externe Feststellungen getrieben, die im Rahmen von Prüfungen der BaFin oder der EZB identifiziert wurden. Die hieraufhin erarbeiteten Prozesse und Methoden weisen häufig hohe manuelle Aufwände und viele Medienbrüche auf. Das verlangsamt den Identifikations- und Bewertungsprozess für Informationsrisiken und kann die Aussagekraft über die Gesamtrisikolage zeitlich sowie inhaltlich verzerren. In der digitalen Welt stellt dies eine der größten Bedrohungen für Kreditinstitute und Versicherungen dar.

Deshalb sollten die Prozesse zum Informationssicherheits- und Informationsrisikomanagement konsolidiert und überarbeitet werden, um sie zu vereinfachen und zu beschleunigen. 

Wir helfen Ihnen, eine holistische Sicht auf die Informationssicherheit und Ihr Informationsrisikomanagement zu entwickeln, damit Sie für die Anforderungen der digitalen Welt gewappnet sind.

Die wichtigsten Trends beim Informationssicherheits- und Informationsrisikomanagement

Welche Möglichkeiten haben Finanzdienstleister und Versicherungen in der digitalen Welt, die kritischen Informationswerte des Unternehmens angemessen und effizient zu schützen?

  • Vereinfachung

Durch die im Informationssicherheits- und Informationsrisikomanagement abzubildenden Einzelprozesse entstehen häufig eine hohe Komplexität und hohe Aufwände bei allen, an den jeweiligen Prozessen Beteiligten. 

Ein wichtiger Schritt sowohl zu mehr Effizienz als auch Konsistenz ist die Harmonisierung und Zusammenführung von Prozessen.

So basieren zum Beispiel das Informationsrisikomanagement, die Business-Impact- Analyse und die Maßnahmen im Datenschutz darauf, dass die Kritikalität von Prozessen und Informationen beurteilt wird. Diese Prozesse weisen den gleichen Ausgangspunkt bei unterschiedlichen Betrachtungsweisen auf. Darüber hinaus ist jede der genannten Disziplinen auf die Zuarbeit der IT im Hinblick auf die, hinter den Unternehmensinformationen liegende, relevante IT-Architektur angewiesen. 

Wir setzen mit Ihnen einen durchgängigen Prozess für alle Disziplinen auf und integrieren Ihre IT innerhalb unseres Ansatzes. So werden Ihre Fachbereiche größtmöglich entlastet und Sie erhalten konsistente, miteinander vergleichbare Ergebnisse. 

  • Automatisierung 

Aktuell findet eine fortschreitende Abkehr von der Nutzung eigenerstellter, dezentraler Dateien statt. Stattdessen werden integrierte GRC-Tools oder spezialisierte Toollösungen angestrebt. Diese ermöglichen es, das Informationssicherheits- und Informationsrisikomanagement Ende-zu-Ende abzubilden und die Ergebnisse aus den einzelnen Prozess- und Bewertungsschritten miteinander zu verzahnen. Die zusätzliche Abbildung von digitalen Workflows, die die Bearbeitung vereinfachen, ermöglicht es den Verantwortlichen, sich einen schnellen und ganzheitlichen Überblick zur Informationsrisikolage zu verschaffen.

Neben der Frage zum Einsatz von Tools erfolgen zunehmend Diskussionen über die eingesetzte Methodik für die Bewertung von Informationsrisiken. Diese reichen ausgehend von eher traditionellen qualitativen Methoden, über semi-quantitative bis hin zu gänzlich quantitativen Methoden. Qualitative Methoden zum Informationsrisikomanagement entsprechen dem traditionellen Vorgehen und beinhalten qualitative Aspekte entsprechender Informationsrisiken. Im Falle von quantitativen Methoden erfolgen Bewertungen auf Grundlage einer z.T. komplexen quantitativen Bewertungsskala. Während qualitative Bewertungen primär auf Expertenmeinungen basieren, die sich daher erschwert automatisieren lassen, kann ein eher quantitativ ausgestalteter, regelbasierter Ansatz die Automatisierung unterstützen.

  • Kostenersparnis 

Eine Entscheidung für das Umsetzen von notwendigen Maßnahmen, um ein angestrebtes Schutzniveau Ihrer Informationswerte zu erreichen, ist mit Investitionen verbunden.

Um die Investitionen für risikoreduzierende Maßnahmen dort einsetzen zu können, wo sie die optimale Wirkung, also die maximale Risikoreduktion erzielen, sollte die Vergleichbarkeit risikoreduzierender Wirkung der Maßnahmen sichergestellt sein. Die Bewertung von Informationsrisiken sollte dabei auf unternehmensweit gültigen, einheitlichen Methoden erfolgen. 

Etabliert sind häufig vorwiegend qualitative Kategorien. Um die Investitionsentscheidung auf Basis einer kaufmännischen Kosten-Nutzen-Abwägung zu unterstützen sind allerdings quantitative Verfahren zu bevorzugen. Hierbei kommt es auf eine differenzierte Betrachtung der Schadensverteilung an. Die ausschließliche Berücksichtigung des maximalen Schadens - wie häufig in der Schutzbedarfsanalyse angewendet - ist vor diesem Hintergrund nicht sinnvoll.

  • Transparenz 

Aufgrund der Dynamik bei den Bedrohungen und Informationsrisiken, ist es häufig schwierig ein transparentes Bild über ein - im Idealfall anzustrebendes - Schutzniveau sowie die tatsächliche Informationsrisikosituation zu erhalten.

Häufig ist die Folge dieser Dynamik, dass Informationswerte nicht angemessen geschützt werden und neuartige Bedrohungen, insbesondere aus dem Umfeld der Cyber-Kriminalität, vermeintlich überraschende Folgen nach sich ziehen.

Um böse Überraschungen zu reduzieren, sollte bereits bei der Konzeption des Informationssicherheits- und Informationsrisikomanagement-Frameworks eine fachgerecht begründete Kalkulation des Schutzniveaus und Auswirkung einer jeden Bedrohung sowie Maßnahme vorgenommen werden. Zusätzlich sind geeignete Messpunkte und aussagekräftige Key-Performance- und Key-Risk-Indikatoren notwendig, um transparente und fundierte Entscheidungen treffen zu können. 

Der Ansatz erlaubt eine zeitnahe, fundierte sowie präzise Antwort auf die dynamische Situation. 

Der Ansatz erfordert aber auch, dass alle Informationen miteinander verzahnt werden und zeitnah vorliegen. Der Trend der Automatisierung ist der Schlüssel hierzu.

Aktuelle Herausforderungen im Kontext des Informationssicherheits- und Informationsrisikomanagement:

  • Wie schaffen wir ein Management der Informationsrisiken, das den Herausforderungen einer vernetzten, schnellen und digitalisierten Welt gerecht wird?
  • Wie schaffen wir Effizienzen in der Identifikation und Bewertung von Informationsrisiken?
  • Wissen wir wirklich, wie kritisch welche Informationen sind und wo sie zu verorten sind?
  • Ihre Bedrohungslage verändern sich ständig, unter anderem durch rapide Entwicklungen der Cyber-Kriminalität?
  • Die Digitalisierung schreitet unaufhörlich voran und Sie möchten Cloud-Services nutzen?
  • Ihr Informationssicherheits- und Informationsrisikomanagement basiert auf historisch geprägten Excel-Tapeten und „Insellösungen“?
  • Beim Zusammenspiel mit Ihren Dienstleitern fehlt Ihnen letztlich immer wieder die Transparenz?
  • Es gibt Unklarheiten zu den Verantwortlichkeiten, insbesondere zwischen den Fachbereichen und der IT? 
  • Bei Ihrer Schutzbedarfsanalyse fehlen quantifizierbare Messgrößen sowie Methoden für eine passgenaue und kostensparende Schutzbedarfsfeststellung?
  • Ihre Soll-Maßnahmen zum Schutz Ihrer Informationswerte resultieren allein aufgrund der Schutzbedarfsfeststellung?
  • Sie sind sich nicht sicher, ob Ihre Maßnahmen ausreichen, um die Informationen über den gesamten Informationsverbund hinweg zu schützen?
  • Ihr Informationssicherheitssystem und Informationsrisikomanagementsystem wird isoliert betrachtet, da Ihnen eine Verzahnung mit anderen Unternehmensbereichen, wie OpRisk/NFRM, BCM, Dienstleistersteuerung, Datenschutz fehlt?

Sie haben sich gefragt, wie Sie die Herausforderungen bewältigen können?

KPMG unterstützt Sie mit viel Erfahrung, Know-how und einer strukturierten Vorgehensweise dabei, Ihr Informationssicherheits- und Informationsrisikomanagement für die digitale Welt fit zu machen. Wir unterstützen Sie in Ihrem Informationsrisikomanagement risikoorientiert, stets fundierte und ressourcensparende Entscheidungen zu treffen und im Kampf gegen die Informationsrisiken zu bestehen, da unsere Informationssicherheitsmanagement-Schutzmethoden speziell auf Kreditinstitute und Versicherungen abgestimmt sind:

1. Digital Maturity@IRM / ISM:

Hierbei wird ein Fitnesscheck Ihrer bestehenden Informationssicherheits- und Informationsrisikomanagement-Prozesse, -Konzepte, -Methoden sowie Verzahnung mit anderen relevanten Prozessen durchgeführt. 

Die Ergebnisse dieser Analyse zeigen Ihnen Potenziale auf, wie Sie Ihr Informationssicherheits- und Informationsrisikomanagement für die Zukunft ausrichten und dabei keine Überraschungen erleben. 

2. Methodikwahl und -umsetzung: 

Wir entwickeln gemeinsam sinnvolle Verbesserungsmöglichkeiten und Alternativen zu den von Ihnen eingesetzten Informationssicherheits- und Informationsrisikomanagement-Methoden. Hierbei greifen wir auf umfangreiche nationale und internationale Erfahrungswerte und Vergleichsmodelle zurück. Ziel ist es, die fortschreitende Automatisierung zu nutzen, um Ihre Investitionsentscheidungen transparent zu unterlegen.

3. Prozesse im Informationssicherheits- und Informationsrisikomanagement verzahnen und klare Governance aufsetzen:

Durch abgestimmte und vereinheitlichte (Teil-) Prozesse sorgen wir für die notwendige Effizienz innerhalb Ihrer Informationssicherheits- und Informationsrisikomanagement-Prozesse. Die konsistente Implementierung der Prozesse nach dem 3-Lines-of-Defense-Modell ermöglicht es nicht nur, regulatorischen Vorgaben gerecht zu werden, sondern schafft auch klare Rollen und Verantwortlichkeiten und wird den operativen Anforderungen gerecht.

Dabei versuchen wir stehts die bereits existierenden Rollen weiterzuverwenden, um den prozessualen Aufwand zu reduzieren.

4. Tooling: Kooperationen / „Alliances“

Wir unterstützen Sie bei der Implementierung von toolbasierten integrierten Prozesslösungen. Mit Hilfe eines möglichst hohen Automatisierungsgrads entwickeln wir gemeinsam Ihr Informationssicherheits- und Informationsrisikomanagement.

Durch unsere langjährige Erfahrung und Kooperationen mit gängigen Tool-Anbietern, helfen wir Ihnen den für Ihre Anforderungen optimalen Anbieter zu finden, der Ihrer bestehenden Anwendungslandschaft und IT-Architektur gerecht wird.

5. Schnittstellenthemen: 

Wir helfen Ihnen notwendige Schnittstellen zu anderen Prozessen (z.B. OpRisk/NFRM, Outsourcing, BCM, operative IT-Security) und Ergebnisobjekten (z.B. CMDB) zu identifizieren und deren Harmonisierung umzusetzen, um ein ganzheitliches Informationssicherheits- und Informationsrisikomanagement aufzubauen.

Die langjährige Erfahrung der KPMG-Mitarbeiter - bei Mandanten unterschiedlicher Größe und Geschäftsmodellen - stellt sicher, dass der Aufbau des Informationssicherheits- und Informationsrisikomanagement neben den aufsichtsrechtlichen und marktüblichen Anforderungen auch die individuellen unternehmerischen Rahmenbedingungen berücksichtigt.