IKT Sicherheit Banner

Services

IKT-Sicherheit

Mindeststandards der FMA

Seit Mai 2018 veröffentlicht die FMA Leitfäden zur Informations- und Kommunikationstechnologie-Sicherheit – teilweise basierend auf den EBA-Leitlinien für die IKT-Risikobewertung im Rahmen des SREP und konkretisiert grundlegende Anforderungen für Kredit-, Zahlungs- und E-Geldinstitute, Wertpapierfirmen und Verwaltungsgesellschaften

Die FMA bietet mit den vorliegenden Leitfäden eine Orientierungshilfe zu Ausgestaltung, Anforderungen und Vorkehrungen an die IKT-Sicherheit. Es werden die folgenden Themen behandelt:

  • IKT-Strategie: Die Geschäftsführung definiert und überwacht IKT-Richtlinien mit folgendem Mindestinhalt: IKT-Zielarchitektur, Zuständigkeiten, Rollen und Aufgaben, Auslagerungsaspekte, Notfallmanagement und Aussagen zu Eigenentwicklungen
  • IKT-Governance: Die Verpflichteten implementieren Prozesse zur Identifikation, Bewertung, Steuerung und Überwachung der wesentlichen IKT-Risiken und evaluieren diese laufend. Es sind klare Abgrenzungen der Rollen und Verantwortlichkeiten für Identifikation, Beurteilung, Monitoring, Minimierung, Reporting und Beaufsichtigung der Risiken sowie eine angemessene Ressourcenausstattung vorhanden.
  • Sicherheitsrichtlinien: Institute definieren die reale Betroffenheit, den Schutzbedarf und das anzustrebende Sicherheitsniveau von jenen Daten, die IKT Risiken ausgesetzt sind. Der organisatorisch unabhängige
    Informationssicherheitsbeauftragte überwacht die Einhaltung der Vorgaben und dient als Ansprechperson für intern
    und externe Dritte.
  • Informationsrisiko- und sicherheitsmanagement/Cyber-Sicherheit: Institute identifizieren die Schwachstellen
    in ihren Systemen, ergreifen Maßnahmen zur Schwachstellenbeseitigung und überprüfen regelmäßig deren Wirksamkeit (Überprüfungen des Netzwerks und des Firewall-Logging durch Penetrationstests oder Virenscanner) um den effektiven Schutz vor Schadprogrammen („Malware“), Datendiebstahl und speziell auch Cyber-Risiken zu gewährleisten.
  • Benutzerberechtigungen
  • IKT-Projekte, Anwendungsentwicklung und zugekaufte Software
  • IKT-Betrieb und Datenintegrität: Der Ansatz der Ermittlung, Messung und Minderung des Datenintegrationsrisikos ist schriftlich festgehalten. Das Inventar der IKT-Komponenten wird einem Lebenszyklusmanagement unterzogen. Störungsfälle werden erfasst, bewertet und priorisiert behandelt.
  • IKT-Auslagerungen
  • Verfügbarkeit und Kontinuität/ Notfallmanagement: Ein Koordinierungsgremium, dem Personen aus verschiedenen Bereichen angehören, hilft bei der Umsetzung des Notfallmanagements. Regelmäßige Notfallübungen überprüfen, ob eine rechtzeitige Wiederherstellung nach Betriebsstörungen gewährleistet werden kann.

Festgestellte Mängel in der IKT-Sicherheit können sich bei Kreditinstituten auf den SREP-Score auswirken.

Weitere IKT-Standards

Empfehlungen der Aufsicht:

  • SO 27001: Aufbau eines Informationssicherheitssystems
  • ITIL & CoBIT: IT-Service-organisation und Schnittstelle zum Risikomanagement
  • BSI-Grundschutz bzw. Österr. IT-Sicherheitshandbuch: Kontrollausgestaltung zur Abwehr von Bedrohungen
IKT-Sicherheit Produktblatt

Anforderungen an das IKT-Management

  • Einrichtung detaillierter Prozess- und Führungsstrukturen der IKT-Landschaft
  • Festlegung der strategischen Entwicklung, des IKT-Aufbaus und der IKT-Ablauforganisation inkl. der IKT-Zielarchitektur
  • Implementierung eines zyklischen Prozesses zur Identifikation und Beseitigung von Schwachstellen
  • Festlegung und Dokumentation von regelmäßigen Penetrationstests & Virenscans
  • Erstellung einer zentralen Informationssicherheitsrichtlinie sowie genauer themenspezifischer Richtlinien
  • Entwurf eines schriftlichen Rahmenwerkes für die Minderung des Datenintegritätsrisikos
  • Erstellung eines Rahmenwerkes zur Identifikation, Messung und Begrenzung des Verfügbarkeits- und Kontinuitätsrisikos
  • Implementierung von Strategien und Maßnahmen zur Notfallvorsorge, -bewältigung und -nachsorge.
  • Festlegung von Kriterien, was eine wesentliche IKT-Auslagerung iSd § 25 Abs 2 BWG darstellt
  • Durchführung von Risikoanalysen und -bewertungen (nach jeder Änderung der Rahmenbedingungen)

Wir unterstützen Sie mit diesen Leistungen beim Thema IKT Sicherheit

  • Implementierung & Dokumentation einer IKT-Strategie, IKT-Governance und eines institutsspezifischen IKTStandards
  • Schulungen und Trainings zu
    ausgewählten Themen des
    Leitfadens, bspw. Strategie,
    Governance, Penetrationstesting
  • IKT-Gap Analyse anhand des
    Scoring-Systems der EBA-GL zum
    IKT-Risiko unter Berücksichtigung
    des FMA-Leitfadens
  • Optimierung des IKT-Risiko-
    Scorings durch Aufarbeitung der
    aufgezeigten Defizite im Rahmen
    der IKT – Gap Analyse
  • Durchführung von Security
    Assessments, Penetrationstests
    und Phishing-Prävention
  • Institutsspezifische Vorbereitung
    auf mögliche Prüfungen durch die
    Aufsichtsbehörde

Ihre Ansprechpartner

Mag. Alexander Ruzicka

Mag. Alexander Ruzicka

Partner Risk Advisory

Alexander Ruzicka ist Partner in der Wirtschaftsprüfung bei Deloitte in Wien und leitet den Bereich Risk Advisory. Neben der Durchführung von Abschlussprüfungen umfasst sein Aufgabengebiet die Organis... Mehr

Mag. Erika Singer (MBA)

Mag. Erika Singer (MBA)

Senior Consultant Risk Advisory

Erika Singer ist seit 2014 Mitarbeiterin der Deloitte FSI Advisory. Ihre fachlichen Schwerpunkte liegen im Risiko- und Prozessmanagement sowie im Bereich regulatorischer Fragestellungen. Bereits vor I... Mehr