Informationssicherheitsmanagement für Banken: ISO 27001, BAIT und Best Practices

Informationssicherheit ist das Rückgrat des digitalen Bankgeschäfts. Mit der Zunahme von Cyber-Angriffen, strengeren regulatorischen Anforderungen (BAIT, DORA, NIS2) und wachsenden Kundenerwartungen ist ein systematisches Informationssicherheitsmanagement (ISMS) für Banken unverzichtbar. Ein effektives ISMS schützt nicht nur vor Angriffen, sondern ist auch Voraussetzung für aufsichtsrechtliche Compliance und Geschäftserfolg.

Regulatorische Anforderungen an Informationssicherheit

BAIT-Vorgaben (Tz. 3)

Die BAIT fordern ein umfassendes ISMS, das folgende Elemente enthält:

• Informationssicherheitsleitlinie: Von der Geschäftsleitung verabschiedete Policy
• Schutzbedarfsfeststellung: Klassifizierung von Informationen und IT-Systemen
• Risikoanalyse: Identifikation und Bewertung von IT-Sicherheitsrisiken
• Sicherheitskonzept: Technische und organisatorische Maßnahmen (TOM)
• Sicherheitsorganisation: Klare Rollen (z.B. Informationssicherheitsbeauftragter - ISB)
• Awareness und Schulung: Regelmäßige Sensibilisierung der Mitarbeiter

Anerkannte Standards und Frameworks

Standard	Beschreibung	Relevanz für Banken
ISO/IEC 27001	International anerkannte Norm für ISMS	Zertifizierungsstandard, BaFin-empfohlen
BSI IT-Grundschutz	Deutscher Standard mit Bausteinkatalog	Praktische Umsetzungshilfe, BaFin-anerkannt
NIST Cybersecurity Framework	US-Standard für Cyber-Risikomanagement	Ergänzung für internationale Banken
ISO 27002	Code of Practice für Sicherheitsmaßnahmen	Detaillierte Kontrollkataloge
COBIT 2019	IT-Governance-Framework	Integration ISMS in Gesamt-IT-Governance

BaFin-Position: Die BaFin verlangt kein spezifisches Framework, erkennt aber ISO 27001 und BSI IT-Grundschutz als geeignete Standards an. Viele Institute streben eine ISO 27001-Zertifizierung an, um Compliance und Best-Practice-Konformität nachzuweisen.

Aufbau eines ISMS nach ISO 27001

Der PDCA-Zyklus (Plan-Do-Check-Act)

Das ISMS folgt dem kontinuierlichen Verbesserungsprozess:

PLAN (Planen)
├─ Scope definieren (Geltungsbereich des ISMS)
├─ Informationssicherheitspolitik festlegen
├─ Risikoassessment durchführen
└─ Sicherheitsziele und Maßnahmen planen
    ↓
DO (Umsetzen)
├─ Sicherheitsmaßnahmen implementieren
├─ Schulungen durchführen
└─ Prozesse etablieren
    ↓
CHECK (Überprüfen)
├─ Monitoring und Messung
├─ Interne Audits
└─ Management Review
    ↓
ACT (Handeln)
├─ Korrekturmaßnahmen umsetzen
├─ Kontinuierliche Verbesserung
└─ Anpassung an neue Risiken

Schritt 1: Informationssicherheitspolitik und Scope

Informationssicherheitsleitlinie (von Geschäftsleitung zu verabschieden):

• Grundsatz: Verpflichtung zur Vertraulichkeit, Integrität, Verfügbarkeit
• Geltungsbereich: Alle IT-Systeme, Informationen, Standorte
• Verantwortlichkeiten: ISB, System Owner, alle Mitarbeiter
• Compliance-Verpflichtung: Einhaltung gesetzlicher und regulatorischer Anforderungen

Scope-Definition:

Beispiel: Regionale Sparkasse
├─ Eingeschlossen: Alle IT-Systeme, Filialen, Rechenzentrum, Cloud-Services
├─ Ausgeschlossen: Externe Rechenzentren von Finanz Informatik (separate Zertifizierung)
└─ Schnittstellen: Klare Definition der Verantwortung bei Outsourcings

Schritt 2: Schutzbedarfsfeststellung

Die Schutzbedarfsfeststellung bewertet Informationen und IT-Systeme hinsichtlich der drei Schutzziele:

Schutzziel	Definition	Beispiel Banking
Vertraulichkeit	Unbefugter Zugriff wird verhindert	Kundendaten, Kontoauszüge, interne Ratings
Integrität	Daten sind korrekt und vollständig	Transaktionsdaten, Bilanzen, Verträge
Verfügbarkeit	System/Daten sind bei Bedarf verfügbar	Online-Banking, Zahlungsverkehr, ATM-Netz

Schutzbedarfskategorien (gemäß BSI):

• Normal: Schaden begrenzt und überschaubar (z.B. öffentliche Marketinginhalte)
• Hoch: Erheblicher Schaden möglich (z.B. Kreditdaten, Risikoreports)
• Sehr hoch: Existenzbedrohender Schaden (z.B. Zahlungsverkehr, Kryptoschlüssel)

Praxisbeispiel: Online-Banking-Portal

System: Online-Banking (Retail)
├─ Vertraulichkeit: SEHR HOCH (Kundendaten, Kontostände)
├─ Integrität: SEHR HOCH (Transaktionsdaten)
├─ Verfügbarkeit: HOCH (Kundenerwartung: 24/7, MTPD: 2h)
└─ Gesamtschutzbedarf: SEHR HOCH (= höchste Kategorie maßgeblich)

Schritt 3: Risikoanalyse und -bewertung

Risikobewertungsmethodik:

1. Asset-Identifikation: Alle schützenswerten Informationen/Systeme
2. Bedrohungsanalyse: Welche Gefährdungen bestehen? (Cyber-Angriffe, Ausfall, Insider-Bedrohungen)
3. Verwundbarkeitsanalyse: Welche Schwachstellen existieren?
4. Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist das Risiko?
5. Schadensauswirkung: Wie hoch ist der potenzielle Schaden?
6. Risikowert: Risiko = Eintrittswahrscheinlichkeit × Schadensauswirkung

Risikomatrix:

	Unbedeutend (1)	Gering (2)	Mittel (3)	Hoch (4)	Kritisch (5)
Sehr hoch (5)	Mittel (5)	Hoch (10)	Hoch (15)	Kritisch (20)	Kritisch (25)
Hoch (4)	Gering (4)	Mittel (8)	Hoch (12)	Hoch (16)	Kritisch (20)
Mittel (3)	Gering (3)	Mittel (6)	Mittel (9)	Hoch (12)	Hoch (15)
Niedrig (2)	Gering (2)	Gering (4)	Mittel (6)	Mittel (8)	Hoch (10)
Sehr niedrig (1)	Gering (1)	Gering (2)	Gering (3)	Mittel (4)	Mittel (5)

Risikobehandlungsstrategien:

• Vermeiden: Risiko eliminieren (z.B. Service einstellen)
• Vermindern: Sicherheitsmaßnahmen implementieren (häufigste Option)
• Übertragen: Versicherung, Outsourcing mit vertraglicher Haftung
• Akzeptieren: Bewusste Risikoübernahme (nur für niedrige Risiken, dokumentiert)

Schritt 4: Sicherheitsmaßnahmen (ISO 27001 Annex A)

ISO 27001 Annex A enthält 93 Controls in 14 Kategorien. Relevante Kernmaßnahmen für Banken:

Organisatorische Maßnahmen (A.5 - A.8)

• Informationssicherheitsorganisation: ISB mit direkter Berichtslinie zur Geschäftsleitung
• Richtlinien und Standards: Dokumentierte Policies für alle Sicherheitsbereiche
• Asset Management: Inventarisierung aller IT-Assets, Eigentümerschaft
• Klassifizierung: Labeling von Dokumenten nach Vertraulichkeitsstufe

Personelle Sicherheit (A.6)

• Hintergrundüberprüfung: Background Checks für sensible Rollen (rechtlich zulässig)
• Vertraulichkeitsvereinbarungen: NDA für alle Mitarbeiter und externe Dienstleister
• Security Awareness Training: Mindestens jährlich, Pflicht-E-Learning mit Zertifikat
• Off-Boarding: Strukturierter Prozess bei Austritt (Zugangsrechte, Rückgabe Equipment)

Zugangssteuerung (A.9)

Multi-Faktor-Authentifizierung (MFA):

• Pflicht für alle privilegierten Accounts (Admin)
• Pflicht für Remote-Zugriff (VPN, Remote Desktop)
• Empfohlen für alle Nutzer bei Cloud-Diensten

Berechtigungsmanagement:

• Need-to-know-Prinzip: Minimale erforderliche Berechtigungen
• Funktionstrennung: Separation of Duties (z.B. Anlage vs. Freigabe von Zahlungen)
• Rezertifizierung: Quartalsweise Überprüfung aller Berechtigungen durch Fachbereich

Privileged Access Management (PAM):

• Zentrale Verwaltung aller Admin-Accounts
• Session Recording für kritische Systeme
• Just-in-Time-Access (temporäre Rechtevergabe)

Kryptographie (A.10)

• Verschlüsselung im Transit: TLS 1.2+ für alle Verbindungen (Web, API, Datenbank)
• Verschlüsselung im Ruhezustand: Full Disk Encryption, Datenbank-Verschlüsselung (TDE)
• Schlüsselmanagement: Hardware Security Module (HSM) für kritische Schlüssel
• Hashing: Sichere Hash-Algorithmen (SHA-256+, kein MD5/SHA-1)

Betriebssicherheit (A.12)

Vulnerability Management:

• Patch Management: Kritische Patches innerhalb 48h, reguläre Updates monatlich
• Vulnerability Scanning: Automatisierte Scans (wöchentlich), Penetration Tests (jährlich)
• Bug Bounty: Externe Security Researcher incentivieren (für große Institute)

Malware-Schutz:

• Endpoint Detection and Response (EDR) auf allen Clients und Servern
• E-Mail-Security-Gateway mit Sandboxing
• Network-basierte Malware-Erkennung (IDS/IPS)

Logging und Monitoring:

• SIEM-System: Zentrale Log-Aggregation und Korrelation (z.B. Splunk, IBM QRadar)
• Aufbewahrung: Logs mindestens 6 Monate (BAIT), 1 Jahr empfohlen
• Monitoring 24/7: SOC (intern oder extern) für kritische Systeme

Netzwerksicherheit (A.13)

• Segmentierung: Trennung Produktions- / Test- / DMZ-Netze
• Firewall-Konzept: Whitelisting, Least-Privilege-Prinzip
• Network Access Control (NAC): Nur autorisierte Geräte im Netz
• Intrusion Detection/Prevention (IDS/IPS): Erkennung und Blockierung von Angriffen

ISMS-Organisation: Rollen und Verantwortlichkeiten

Informationssicherheitsbeauftragter (ISB)

Aufgaben:

• Entwicklung und Pflege der Informationssicherheitsstrategie
• Koordination aller ISMS-Aktivitäten
• Berichterstattung an Geschäftsleitung (quartalsweise)
• Schulung und Awareness-Maßnahmen
• Schnittstelle zu Internen Revision, Compliance, Datenschutz

Anforderungsprofil:

• Zertifizierung (z.B. CISM, CISSP, ISO 27001 Lead Implementer)
• Mehrjährige Erfahrung in IT-Sicherheit
• Kenntnisse regulatorischer Anforderungen (BAIT, DORA)

ISMS-Komitee (Information Security Committee)

Besetzung: ISB (Leitung), CIO, CISO, Compliance, Datenschutz, Risk Management

Aufgaben:

• Genehmigung von Sicherheitsrichtlinien
• Bewertung und Priorisierung von Risiken
• Entscheidung über Risikobehandlung
• Budget-Freigabe für Sicherheitsmaßnahmen

ISO 27001-Zertifizierung: Prozess und Nutzen

Zertifizierungsprozess

Phase 1: Gap-Analyse (3-6 Monate)

• Abgleich IST-Zustand mit ISO 27001-Anforderungen
• Identifikation von Lücken
• Roadmap für Umsetzung

Phase 2: Implementierung (6-12 Monate)

• Umsetzung fehlender Maßnahmen
• Dokumentation (Policies, Prozesse, Nachweise)
• Interne Audits (Probelauf)

Phase 3: Zertifizierungsaudit (Stage 1 + 2)

• Stage 1 (Dokumentenprüfung): Vollständigkeit und Eignung der Dokumentation
• Stage 2 (Implementierungsprüfung): Interviews, Stichproben, technische Prüfungen
• Zertifikatserteilung bei erfolgreicher Prüfung

Phase 4: Aufrechterhaltung

• Surveillance Audits: Jährliche Überwachungsaudits
• Rezertifizierung: Alle 3 Jahre vollständiges Re-Audit

Nutzen der ISO 27001-Zertifizierung

Regulatorisch:

• Nachweis der BAIT-Konformität gegenüber BaFin
• Erleichterte Due-Diligence bei Auslagerungen
• Erfüllung von Kundenanforderungen (B2B)

Geschäftlich:

• Wettbewerbsvorteil (Vertrauenssignal)
• Reduzierung von Cyber-Risiken
• Verbesserung der internen Prozesse

Kosten:

• Kleine Bank (< 500 MA): 50.000 - 100.000 EUR (Beratung + Zertifizierung)
• Mittlere Bank (500-2000 MA): 150.000 - 300.000 EUR
• Große Bank (> 2000 MA): 500.000+ EUR

Best Practices für Banken

Top 10 Empfehlungen:

1. Security by Design: Sicherheit von Anfang an in IT-Projekten berücksichtigen
2. Zero Trust Architecture: "Never trust, always verify" – auch intern
3. Phishing-Simulationen: Regelmäßige Fake-Phishing-Mails zur Sensibilisierung
4. Incident Response Plan: Dokumentierter Prozess für Cyber-Vorfälle mit regelmäßigen Übungen
5. Third-Party-Risk-Management: Sicherheitsanforderungen an alle Dienstleister
6. Cyber-Versicherung: Absicherung für Restrisiken (aber kein Ersatz für Prävention)
7. Red Team / Blue Team Exercises: Realistische Angriffssimulationen
8. Threat Intelligence: Externe Feeds zu aktuellen Bedrohungen integrieren
9. Secure Development Lifecycle: Security in Software-Entwicklung (SAST, DAST, Code Reviews)
10. Management Commitment: Sichtbare Unterstützung der Geschäftsleitung

---

Fazit: Ein effektives ISMS ist kein Kostenfaktor, sondern eine Investition in die Zukunftsfähigkeit der Bank. ISO 27001 bietet einen bewährten Rahmen für systematische Informationssicherheit, die BAIT-Anforderungen erfüllt und gleichzeitig echten Schutz vor Cyber-Bedrohungen bietet. Mit DORA wird Informationssicherheit noch stärker in den Fokus rücken – proaktive Institute sind klar im Vorteil.