kait - herausforderungen marktumschau
TRANSCRIPT
KAIT
Herausforderungen und Marktumschau der KVGen durch die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT)
2Deloitte 2019
KAIT im Überblick
3Deloitte 2019
Aufsicht reagiert auf die geänderte Risikolage im IT-BereichKAIT
12/05 VeröffentlichungMaRisk
WegfallInstitutseigenschaft
12/07
VeröffentlichungInvMaRisk
06/10
VeröffentlichungKAMaRisk01/17
VeröffentlichungKAITK
04/19
VeröffentlichungKAIT
10/19
• § 28 KAGB: (1) Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere:1. ein angemessenes Risikomanagementsystem5. angemessene Kontroll- und Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung
• KaMaRisk3 Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. (…) ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen, (…) eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt (…)5 Die IT-Systeme sind vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen zu testen
4Deloitte 2019
• Veröffentlichung der Konsultationsfassung im April 2019
• Veröffentlichung der finalen KAIT am 2. Oktober 2019
• Konkretisierung der gesetzlichen Anforderungen der §§28, 29, 30 und 36 Kapitalanlagegesetzbuch (KAGB) sowie der §§ 4 bis 6 KAVerOV
• Die Anforderungen der Artikel 38 bis 66 sowie der Artikel 75 bis 82 der AIFM Level 2-VO gelten unmittelbar. KAIT stellt somit eine Konkretisierung dar
• Das Rundschreiben soll anwendbar auf KVGen im Sinne des § 17 KAGB sein, soweit diese über eine Erlaubnis nach § 20 Abs. 1 KAGB verfügen
• Die prinzipienorientierten Anforderungen sollen die Umsetzung des Proportionalitätsprinzips ermöglichen
• Erweiterung der IT-Governance neben „BankaufsichtlicheAnforderungen an die IT (BAIT)“ und Versicherungsunternehmen „VersicherungsaufsichtlicheAnforderungen an die IT (VAIT)“
BaFin veröffentlicht Mindeststandards für KVGen mit dem zentralen Ziel die IT-Sicherheit zu erhöhen
Überblick
KAIT
Auslagerungen, sonstiger
FremdbezugIT-Strategie
IT-Governance
Informa-tionsrisiko-
manage-ment
Informations-sicherheits-management
Benutzer-berechtigungs-
management
IT-Projekte, Anwen-
dungsent-wicklung
IT-Betrieb
5Deloitte 2019
Herausforderungen und Diskussionspunkte KAIT
3| Festlegung des Informationsverbunds
4| Funktion des Informationssicherheitsbeauftragten
6| Änderungen von Dritten, Überprüfung des Quellcodes
7| Aufbau eines Konfigurationsmanagements (CMDB)
8| Abgrenzung sonstiger Fremdbezug von IT-Dienstleistungen
OP
ER
ATIV
STE
UE
RU
NG
GO
VE
RN
AN
CE
5| Benutzer-berechtigungs-management
6| IT-Projekte und Anwendungs-entwicklung
7| IT-Betrieb (inkl. Datensicherung)
3| Informations-risikomanagement
4| Informations-sicherheitsmanagement
8| Auslagerung und sonstiger Fremdbezug von IT-
Dienstleistungen
1| IT-Strategie
2| IT-Governance
6Deloitte 2019
Anforderungen und Herausforderungen im Detail
7Deloitte 2019
Anforderungen im DetailKAIT
1. IT-Strategie
• Die Geschäftsleitung hat eine mit der Geschäftsstrategiekonsistente IT-Strategie festzulegen
Mindestinhalte:z. B. die strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation sowie der Auslagerung von IT-Dienstleistungenoder die strategische Entwicklung der IT-Architektur
• Die in der IT-Strategie niedergelegten Ziele sind so zu formulieren, dass eine sinnvolle Überprüfung der Zielerreichung möglich ist
2. IT-Governance
• Regelungen zur IT-Aufbau-und zur IT-Ablauforganisation sind festzulegen, dies gilt auch bezüglich den Schnittstellen zu Verwahrstellen und wichtigen Auslagerungsunternehmen
• Quantitativ und qualitativ angemessene Personalausstattung
• Angemessene quantitative oder qualitative Kriterien zur Steuerung sind festzulegen und deren Einhaltung ist zu überwachen
• Für IT-Risiken sind angemessene Überwachungs-und Steuerungsprozesse einzurichten
• Notfallmaßnahmen für Störungen sind zu implementieren
8Deloitte 2019
Anforderungen im DetailKAIT
3. Informationsrisikomanagement
• Identifikations-, Bewertungs-, Überwachungs-und Steuerungsprozesse sind einzurichten
• Erstellung eines Überblicks über die Bestandteile des festgelegten Informationsverbunds
• Nachvollziehbare Methodik zur Ermittlung des Schutzbedarfs (insbesondere im Hinblick auf die Schutzziele)
• Festlegung der Anforderungen zur Umsetzung der Schutzziele (Sollmaßnahmenkatalog)
• Risikoanalyse; Überführung in den Prozess des OpRisk-Managements sowie vierteljährliche Berichterstattung
4. Informationssicherheitsmanagement
• Die Geschäftsleitung hat eine Informationssicherheitsleitlinie zu beschließen und Informationssicherheitsrichtlinien und Informationssicherheitsprozesse zu definieren
• Die Funktion des Informationssicherheitsbeauftragten ist einzurichten, organisatorisch und prozessual unabhängig auszugestalten sowie grundsätzlich im eigenen Haus vorzuhalten
(Ausnahmen z. B.: KVGen mit geringer Mitarbeiterzahl und ohne wesentlichen eigenen IT-Betrieb -> externer IT-Dienstleister übernimmt IT, Konzernangehörige KVGen mit geringer Mitarbeiterzahl, bei denen die IT-Dienstleistungen durch konzernangehörige Unternehmen erbracht werden)
• Auswirkungen auf Informationssicherheit durch Informationssicherheitsvorfälle sind zu analysieren und angemessene Nachsorgemaßnahmen zu veranlassen
• Vierteljährliche Berichterstattung
9Deloitte 2019
Anforderungen im DetailKAIT
5. Benutzerberechtigungsmanagement
• Berechtigungskonzepte legen Umfang und Nutzungsbedingungen der Berechtigungen vollständig und nachvollziehbar fest (Need-to-know-Prinzip, Wahrung der Funktionstrennung)
• Inventarisierung und Zuordnung von nicht personalisierten Berechtigungen und technischen Benutzern
• Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen sollen sicherstellen, dass Vorgaben des Berechtigungskonzeptes eingehalten werden–Rezertifizierung: Vorgänge an Berechtigungen müssen nachvollziehbar und auswertbar sein
• Prozesse zur Protokollierung und Überwachung sind einzurichten
6. IT-Projekte, Anwendungsentwicklung
• Wesentliche Veränderungen in IT-Systemen, die Auswirkung auf IT-Aufbau und Ablauforganisation sowie IT-Prozesse haben, sind durch eine Analyse des Risikogehalts zu bewerten
• IT-Systeme sind vor Übernahme in produktiven Betrieb zu testen
• IT-Projekte sind angemessen zu steuern, Festlegung von Vorgehensmodellen
• Wesentliche IT-Projekte und IT-Projektrisiken sind der Geschäftsleitung regelmäßig zu berichten
• Für Anwendungsentwicklung sind angemessene Prozesse festzulegen, die Vorgaben zur Anforderungsermittlung, zum Entwicklungsziel usw. enthalten
• Anforderungen an die Funktionalität der Anwendung müssen erhoben, bewertet und dokumentiert werden
10Deloitte 2019
Anforderungen im DetailKAIT
7. IT Betrieb
• Komponenten der IT-Systeme sowie deren Beziehungen zueinander sind zu verwalten und das Portfolio zu steuern (Lebens-Zyklus-Management)
• Prozesse zur Änderung von IT-Systemen sind auszugestalten und umzusetzen
• Anträge zur Änderungen von IT-Systemen sowie ungeplante Abweichungen vom Regelbetrieb sind in geordneter Art und Weise aufzunehmen, zu dokumentieren, zu bewerten, zu priorisieren, zu genehmigen sowie koordiniert und sicher umzusetzen
• Vorgaben für die Verfahren zur Datensicherung sind schriftlich in einem Datensicherungskonzept zu regeln
8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
• Für jeden Fremdbezug von IT-Dienstleistungen ist vorab eine Risikobewertung durchzuführen
• Die Maßnahmen aus der Risikobewertung sind in der Vertragsgestaltung angemessen zu berücksichtigen sowie zu steuern
• Die Risikobewertungen sind regelmäßig und anlassbezogen zu prüfen und Vertragsinhalte sind ggf. anzupassen
11Deloitte 2019
Beispiele für denErfüllungsgrad und Erfüllungsaufwand
12Deloitte 2019
ErfüllungsgradBeispielhaftes Ergebnis einer KAIT Analyse
Erfüllungsgrad bezogen auf die 8 Schwerpunktthemen der KAIT
0%
20%
40%
60%
80%
100%
IT-Strategie(30 %)
IT-Governance(80 %)
Informations-risikomanagement
(35 %)
Informations-sicherheits-
management(70 %)
Benutzer-berechtigungs-management
(50 %)
IT-Projekte undAnwendungs-entwicklung
(60 %)
IT-Betrieb(90 %)
Auslagerungenund sonstigerFremdbezug
(50 %)
KAIT-Erfüllungsgrad
13Deloitte 2019
IT-StrategieHerausforderungen für KVGen am Beispiel:
In der Regel nicht erfüllte Vorgaben der KAIT zur Erreichung eines vollständigen Abdeckungsgrades - IT-Strategie
• Die geforderten Mindestinhalte der IT-Strategie sind nicht vollständig in der aktuellen IT-Strategie der KVGen umgesetzt, hierzu zählen:
(a) Strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation der KVGen sowie der Auslagerungen von IT-Dienstleistungen,
(b) Zuordnung der gängigen Standards, an denen sich die KVGen orientieren, auf die Bereiche der IT,
(c) Zuständigkeiten und Einbindung der Informationssicherheit in die Organisation
(d) Strategische Entwicklung der IT-Architektur,
(e) Aussagen zum Notfallmanagement unter Berücksichtigung der IT-Belange,
(f) Aussagen zu den in den Fachbereichen selbst betriebenen bzw. entwickelten IT-Systemen (Hardware- und Software-Komponenten)
• Ein Prozess zur Überprüfung der Erreichung der in der IT-Strategie festgelegten Ziele ist nicht implementiert
• Ein Prozess, um dem Aufsichtsorgan der die IT-Strategie vorzulegen, ist noch nicht implementiert
• Die Inhalte der IT-Strategie sind noch nicht in geeigneter Weise innerhalb der KVGenkommuniziert
Offene Vorgaben
70 %
14Deloitte 2019
BenutzerberechtigungsmanagementHerausforderungen für KVGen am Beispiel:
50 %
In der Regel nicht erfüllte Vorgaben der KAIT zur Erreichung eines vollständigen Abdeckungsgrades - Benutzerberechtigungsmanagement
• Die Berechtigungskonzepte legen nicht vollständig den Umfang und die Nutzungsbedingungen der Berechtigungen für die IT-Systeme konsistent zum ermittelten Schutzbedarf sowie vollständig und nachvollziehbar ableitbar für alle von einem IT-System bereitgestellten Berechtigungen fest; Rollenkonzepte für alle Abteilungen liegen nicht vollständig vor
• Nicht personalisierte Berechtigungen sowie technische Benutzer können noch nicht zweifelsfrei einer handelnden Person (möglichst automatisiert) zugeordnet werden
• Die Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen für Benutzer berücksichtigen nicht vollständig die Vorgaben des Berechtigungskonzepts
• Nicht personalisierte Berechtigungen sowie technische Benutzer sind nicht in der Rezertifizierung eingebunden
• Die Einrichtung, Änderung, Deaktivierung sowie Löschung von Berechtigungen und die Rezertifizierung werden nicht auswertbar dokumentiert
• Es sind keine Prozesse zur Protokollierung und Überwachung eingerichtet, die überprüfbar machen, dass die Berechtigungen nur wie vorgesehen eingesetzt werden
• Begleitende technisch-organisatorische Maßnahmen zur Vorbeugung der Umgehung der Vorgaben der Berechtigungskonzepte sind nicht vollständig implementiert
Offene Vorgaben
Diese Präsentation enthält ausschließlich allgemeine Informationen und weder die Deloitte GmbH Wirtschaftsprüfungsgesellschaft noch Deloitte Touche Tohmatsu Limited, noch ihre Mitgliedsunternehmen oder deren verbundene Unternehmen (insgesamt das „Deloitte Netzwerk“) erbringen mittels dieser Präsentation professionelle Beratungs- oder Dienstleistungen. Diese Präsentation ist insbesondere nicht geeignet, eine persönliche Beratung zu ersetzen. Keines der Mitgliedsunternehmen des Deloitte Netzwerks ist verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Präsentation erlitten hat. Diese Präsentation ist vertraulich zu behandeln. Eine Weitergabe an Dritte – auch in Auszügen –bedarf unserer vorherigen schriftlichen Zustimmung.
Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited („DTTL“), eine „private company limited by guarantee“ (Gesellschaft mit beschränkter Haftung nach britischem Recht), ihr Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständig und unabhängig. DTTL (auch „Deloitte Global“ genannt) erbringt selbst keine Leistungen gegenüber Mandanten. Eine detailliertere Beschreibung von DTTL und ihren Mitgliedsunternehmen finden Sie auf www.deloitte.com/de/UeberUns.
Deloitte erbringt Dienstleistungen in den Bereichen Wirtschaftsprüfung, Risk Advisory, Steuerberatung, Financial Advisory und Consulting für Unternehmen und Institutionen aus allen Wirtschaftszweigen; Rechtsberatung wird in Deutschland von Deloitte Legal erbracht. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und unterstützt Kunden bei der Lösung ihrer komplexen unternehmerischen Herausforderungen. Making an impact that matters – für rund 286.000 Mitarbeiter von Deloitte ist dies gemeinsames Leitbild und individueller Anspruch zugleich.