itsm.jpg

Das IT Servicemanagement (ITSM) unterstützt Unternehmen bei der Verbesserung ihrer IT-Leistungen sowie deren Bereitstellung und Verwaltung und spielt damit eine wichtige Rolle bei der Bewältigung der vielfältigen Anforderungen, die sich aus BAIT, KAIT und VAIT ergeben. Mit den geeigneten ITSM-Werkzeugen fällt es den Unternehmen leichter, den gestiegenen Anforderungen an die Datensicherheit zu entsprechen und die eigene IT-Organisation optimal zu unterstützen. Dieser Beitrag gibt einen Überblick über BAIT, KAIT und VAIT und zeigt die Fähigkeiten von ITSM in diesem Zusammenhang auf.

Welche Anforderungen von BAIT/KAIT/VAIT betreffen ITSM?

Die BaFin stellt an Unternehmen in der Versicherungs- und Finanzwirtschaft hohe Anforderungen an deren Umgang mit IT-Risiken und möchte mit seiner Regulatorik das Risikobewusstsein für bestehende Risiken schärfen. Mit BAIT, VAIT und KAIT hat die Finanzdienstleistungsaufsicht mittlerweile drei Verwaltungsanweisungen veröffentlicht, deren Anforderungen teilweise Gegenstand der Prüfungen sind.

Die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) richten sich an Kapitalverwaltungsgesellschaften, die Bankaufsichtlichen Anforderungen an die IT (BAIT) formulieren Anforderungen an die IT-Governance von Kreditinstituten und die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) beziehen sich auf Versicherungsgesellschaften und deren IT-Sicherheit. Die Veröffentlichung dieser drei Verwaltungsanweisungen erfolgte jeweils innerhalb eines Jahres, alle drei betreffen das ITSM. Grundsätzlich sind neue Regulierungen anspruchsvoll, da die IT sie in die bestehenden ITSM-Prozesse integrieren muss. Das fällt den Verantwortlichen zunehmend schwer in einem Umfeld, in dem lokal betriebene IT und in die Cloud ausgelagerte IT nebeneinander existieren und die Kunden zunehmend Zugriff auf die Systeme erhalten (CIAM).

Interessant ist in diesem Zusammenhang zum Beispiel der § 2 Absatz 8 sowie § 4 Absatz 26 der KAIT. Er sieht vor, dass die Unternehmen in ihrer Informationssicherheit zumindest denStand der Technik umsetzen müssen. Was der Stand der Technik ist, befindet sich im Fluss.

Damit sind die Unternehmen dem Druck ausgesetzt, alle technischen Entwicklungen in der IT-Sicherheit genau zu verfolgen und rechtzeitig neue Ansätze zu adaptieren. Es ist für die Kapitalverwaltungsgesellschaften also vorteilhaft, den Anforderungen der BaFin einen Schritt voraus zu bleiben und neue Technologien rechtzeitig einzuführen. Eine laufende Überprüfung der ITSM-Prozesse und gegebenenfalls deren Anpassung sind also erforderlich.

Genügen aktuelle ITSM Systeme den Anforderungen der neuen Regulatorik?

Auf dem Markt existiert eine Vielzahl von ITSM-Lösungen, die mit den aktuellen Regularien der BaFin umgehen können und die dabei helfen, das Sicherheitsniveau der IT-Systeme zu verbessern. In einem entscheidenden Punkt sind viele dieser Lösungen jedoch nicht geeignet, den Anforderungen restlos zu genügen.

Dieser Schwachpunkt bezieht sich auf die Manipulationssicherheit gespeicherter Informationen und die Dokumentation der Änderungen an der CMDB sowie deren maschinenlesbare Auswertung. Die Configuration Management Database (CMDB) bzw. das Konfigurationsmanagement dient dem Zugriff und der Verwaltung sämtlicher Betriebsmittel der IT, im Rahmen der Herstellung einer möglichst hohen IT-Sicherheit kommt ihr daher eine wichtige Bedeutung zu.

Häufig führen Löschungen im Konfigurationsmanagement dazu, dass sich Lücken in den Eintragungen der Historie bilden und die Maschinenlesbarkeit ist in vielen Fällen ebenfalls nicht gegeben. Außerdem können häufig Personen mit höchsten Zugriffsrechten Änderungen an der CMDB unbemerkt vornehmen. Hier sind moderne Lösungen gefragt, die technisch alle Möglichkeiten ausschöpfen und entsprechende Methoden konsequent umsetzen.

IT Servicemanagement umsetzen mit SMILEdataguard

SMILEdataguard hält mit seinem Angebot eine Lösung bereit, die Datensicherungen in Übereinstimmung mit den regulatorischen Anforderungen ermöglicht. Die Informationen lassen sich manipulationssicher aufbewahren und es lassen sich die vorgenommenen Änderungen an der Datenbank lückenlos nachvollziehen.

Um das zu erreichen, setzt SMILEdataguard auf die Blockchain-Technologie. Die Blockchain besitzt grundsätzliche Eigenschaften, die Manipulationen erschweren bzw. den Aufwand für Manipulationen stark erhöhen. Die Blockchain von SMILEdataguard setzt auf verschlüsselte und miteinander verkettete Datenblöcke, die Änderungen an den Daten protokollieren und sich gegenseitig vor unautorisierten Zugriffen schützen. Die Verkettung der Datenblöcke erlaubt eine Rückverfolgung aller an den Datensätzen vorgenommenen Änderungen. Die Manipulationssicherheit ist dank dieser Technik sogar gegenüber den Systemadministratoren gegeben.

Fazit

Grundsätzlich steigen die Anforderungen an BaFin-regulierte Unternehmen kontinuierlich und davon ist auch das ITSM betroffen. Die Unternehmen stellen sich auf die Veränderungen am besten ein, wenn sie ITMS-Werkzeuge verwenden, die BAIT, VAIT und KAIT und damit alle relevanten Verwaltungsanweisungen berücksichtigen. So gelingt es am ehesten, die eigene IT-Sicherheit den neuen Anforderungen gemäß auszurichten. SMILEdataguard stellt hier eine geeignete Lösung dar, weil es neue Technologien wie die Blockchain einsetzt und den Unternehmen damit ermöglicht, den Regulierern einen Schritt voraus zu bleiben.