Eine wesentliche Voraussetzung dafür ist die jederzeitige Verfügbarkeit der IT-Systeme. Aus diesem Grund fordern sowohl u. a. das Institut der Wirtschaftsprüfer e. V. (IDW), das Bundesamt für Sicherheit in der Informationstechnik (BSI), die ISO/IEC 2700x als auch die Mindestanforderungen an das Risikomanagement (MaRisk) Vorkehrungen für einen Notbetrieb zu treffen. Ein Ausfall wesentlicher IT-Anwendungen ohne kompensierende Notfallstrategien und kurzfristige Ausweichmöglichkeit (Anforderung der Bankaufsichtliche Anforderungen an die IT (BAIT)) kann materielle und immaterielle Vermögensschäden nach sich ziehen und stellt einen wesentlichen Mangel der Buchführung dar.
Im Rahmen der Reihe „Notfallkonzept“ verweisen wir auf die dreiteilige Reihe in unserem novus IT 2019, Ausgaben 1 bis 3:
- Ausgabe 1/2019: Hintergrund bzw. der Weg hin zu einem Notfallkonzept
- Ausgabe 2/2019: Beschreibung von Maßnahmen zur Aufrechterhaltung des Notfallkonzeptes
- Ausgabe 3/2019: Aufbau eines (IT-)Notfallhandbuches (praxisbezogene Umsetzung)
Die Ausführungen, die sich im Folgenden insb. aus Anforderungen der MaRisk und den BAIT ergeben, können ebenfalls auf Unternehmen übertragen werden, die nicht den bankaufsichtlichen Anforderungen unterworfen sind. Berücksichtigt wird dabei die Konsultationsfassung der BAIT aus 2020. Es ist davon auszugehen, dass diese nach Verabschiedung ebenfalls auf die Konsultationsfassungen der Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT) und Versicherungsaufsichtliche Anforderungen an die IT (VAIT) übertragen werden.
Aufgrund der Bedeutung und der weitreichenden Konsequenzen der zu treffenden Entscheidungen muss der Prozess „Notfallmanagement“ von der obersten Leitungsebene der Unternehmen initiiert, gesteuert und kontrolliert werden.
Die Verfahren für den Notbetrieb umfassen organisatorische Regelungen zur Wiederherstellung der Betriebsbereitschaft und reichen von Maßnahmen bei Systemstörungen (Wiederanlaufkonzepte) bis hin zu Konzepten bei einem vollständigen Ausfall des IT-Systems (Katastrophenfall-Konzept).
Weiter sind Notfallhandbücher vorzuhalten und die betroffenen Mitarbeiter in den Maßnahmen zu schulen. Die definierten Maßnahmen haben den Bedürfnissen des Unternehmens zu entsprechen. Ferner sind die Notfalllösungen regelmäßig zu testen und der geordnete Wiederanlauf der einzelnen Systeme in der von der Unternehmensleitung vorgegebenen Zeit sicherzustellen (Testsequenz).
Ergänzend erwähnen die MaRisk das Erfordernis, dass die Notfallkonzepte des Instituts und des Auslagerungsunternehmens aufeinander abzustimmen sind.
Bisher war in den BAIT der Themenkomplex des Notfallbetriebs keinem eigenen Abschnitt zugeordnet. Vielmehr fand der Begriff des Notfallmanagements in den Abschnitten „IT-Strategie“ und „Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen" Anwendung. Die Konsultationsfassung aus Oktober 2020 der BAIT enthält nun einen gesonderten Abschnitt zum IT-Notfallmanagement.
Gemäß der BAIT und MaRisk müssen Ziele zum Notfallmanagement definiert und darauf aufbauend ein Notfallmanagementprozess implementiert werden. Für Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden zu erwarten ist, ist ein Notfallkonzept zu erstellen.
Des Weiteren sind auf Basis des Notfallkonzeptes für diejenigen Systeme, welche zeitkritische Aktivitäten und Prozesse unterstützen, IT-Notfallpläne auszuarbeiten. Die Wirksamkeit der Pläne ist mindestens jährlich zu überprüfen und das Notfallkonzept ist gemäß MaRisk anlassbezogen zu aktualisieren. Die Geschäftsleitung ist dazu aufgefordert, sich mindestens quartalsweise- oder anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
Nach den BAIT besteht darüber hinaus die Anforderung, nachzuweisen, dass bei einem Ausfall des Rechenzentrums die zeitkritischen Aktivitäten und Prozesse aus einem ausreichend entfernten Rechenzentrum, für eine angemessene Zeit sowie für die Wiederherstellung des IT-Normalbetriebs erbracht werden können.
Der Begriff des Notfallmanagements fordert gemäß dem BSI-Standard „100-4 Notfallmanagement“ definierte Leitlinien zum Notfallmanagement, Rollenbeschreibungen mit Aufgaben, Rechten und Pflichten, eine Übersicht über Ressourcen-Anforderungen und deren Bereitstellung sowie Notfallkonzepte nebst Notfallhandbuch (Anleitung zur Bewältigung des Notfalls).
Darüber hinaus stellt der Standard klar, dass das Notfallmanagement einen kontinuierlichen Verbesserungsprozess darstellt, der die Maßnahmen und Konzepte hinterfragt sowie auch die Sensibilisierung und Schulung der Mitarbeiter vorsieht.
Die folgende Aufstellung gibt Ihnen einen Überblick, welche Prüfungsfragen im Rahmen der IT-Revision durch den Jahresabschlussprüfer oder die Interne Revision hinsichtlich des IT-Notfallmanagements relevant sein könnten. Weiterhin bieten sie ergänzend zu den oben genannten Standards, z. B. vom BSI oder aus der Informationssicherheit, eine gute Grundlage für eine Selbsteinschätzung, z. B. zur Prüfungs- oder Zertifizierungsvorbereitung, oder als Unterstützung für eine Reifegradbestimmung.
Ausgewählte Prüfungsfragen zum Notfallmanagement:
- Nimmt die oberste Leitungsebene des Unternehmens eine angemessene Rolle (Initiieren, Steuern und Kontrollieren) im Notfallmanagement ein?
- Ist ein Notfallmanagementprozess, der die Notfallvorsorge, die Notfallbewältigung und die Notfallnachsorge umfasst, definiert?
- Wurde eine Klassifizierung/Kategorisierung der Systeme nach ihrer Wichtigkeit für den Geschäftsbetrieb durchgeführt?
- Ist ein IT-Notfallkonzept sachgerecht umgesetzt und wird dieses kontinuierlich angepasst?
- Sind hier u. a. auch wesentliche IT-Kontakte und Ansprechpartner von IT-Dienstleistern und Lieferanten festgehalten? Sind Verhaltensweisen und Prozesse für (IT-)Notfälle definiert?
- Ist das verantwortliche (IT-)Personal entsprechend geschult und sensibilisiert?
- Wie werden durchgeführte Wiederanlaufprozeduren dokumentiert und ausgewertet?
- Welche IT-Sicherheitsmaßnahmen sind festgelegt?
- Wie werden Sicherheitsvorfälle festgehalten und Maßnahmen aus diesen abgeleitet?
Abgeleitete Fragen aus BAIT und MaRisk
- Welche Ziele des Notfallmanagements wurden definiert? Wurden Schnittstellen zu anderen Bereichen (z. B. Risikomanagement, Informationssicherheitsmanagement) berücksichtigt?
- Wurden zeitkritische Aktivitäten und Prozesse definiert und finden diese Berücksichtigung im Notfallmanagement?
- Welche Regelungen sind für den Notbetrieb und zur Wiederherstellung der Betriebsbereitschaft getroffen? Liegen Wiederanlaufkonzepte für Systemstörungen und den vollständigen Ausfall des IT-Systems (Katastrophenfall-Konzept) vor?
- Werden Notfallhandbücher mit definierten Maßnahmen, die den Bedürfnissen des Instituts entsprechen, vorgehalten?
- Werden die definierten Notfalllösungen regelmäßig getestet, um den anforderungsgerechten Wiederanlauf der einzelnen Systeme sicherzustellen?
- Sind die Notfallkonzepte des Instituts und die der Auslagerungsunternehmen für Auslagerungen und auch sonstigen Fremdbezug aufeinander abgestimmt?
- Können zeitkritische Aktivitäten und Prozesse bei Ausfall eines Rechenzentrums in einem Ausweichrechenzentrum erbracht werden?
- Sind die Leitlinie zum Notfallmanagement, die Notfallkonzepte und -handbücher (Anleitung zur Bewältigung des Notfalls) kommuniziert und zugängig?
- Unterliegt das Notfallmanagement einem kontinuierlichem Review- und Verbesserungsprozess?