FINMA-RS 23/1 - Kritische Daten im Griff?

Worum geht es?

Per 1.1.2024 ist das FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken» in Kraft getreten. Es baut auf dem Rundschreiben aus dem Jahr 2008 auf und fokussiert auf das ­Management der Risiken im Bereich Informations- und Kommunikationstechnologie (IKT). Neben rechtlichen Grundlagen werden zudem weitere Rundschreiben referenziert: FINMA-Rundschreiben 2017/1 «Corporate Governance – Banken» und 2018/3 «Outsourcing». Man merkt bereits, dass das neue Rundschreiben nicht isoliert angegangen werden soll. Bezüglich der im Rundschreiben – und auch im Digital Operational Resilience Act / DORA, siehe Artikel vom 11.11.2023 in diesem Magazin - aufgeführten Themen Management der IKT-Risiken, Management der Cyber-Risiken und Business Continuity Management findet man in den internationalen Standards viel Hilfeleistung zu deren Handhabung. Vielfach gelten diese in einem Unternehmen bereits als Grundlage für Vorgaben, Massnahmen und Kontrollen, man denke an ISF, ISO, NIST, COBIT und viele mehr. Ich möchte in diesem Artikel jedoch auf eine spezifische Neuerung – oder Detaillierung – eingehen, der ein ganzes Kapitel gewidmet ist: Management der Risiken kritischer Daten.

Was das bedeutet, ist nicht unbedingt leicht verständlich, gehen die Anforderungen doch weit über Datenschutz- und ­Cyber (Sicherheits)-Themen hinaus. In diesem Rundschreiben geht es um den Umgang mit kritischen / lebensnotwendigen Daten (es wird nicht «Information» erwähnt), die je nach Geschäftsmodell anderer Art sein können. Bedeutet dies den Start eines neuen Projektes in Ihrem Unternehmen? Nicht unbedingt. Damit neuen Anforderungen nicht mit neuen, extra Aufwänden begegnet werden muss, sind allerdings ein paar Voraussetzungen nötig.


Was oft geschah und immer noch geschieht: Die Implementierung früherer Regulatorien und Vorgaben binden in ihren jeweiligen Bereichen Ressourcen zur Umsetzung, meist sind das Fachspezialisten – mit Fokus auf ihren Aufgabenbereich. Aufgrund der verschiedenen Ausprägungen und Fachrichtungen, sowie organisatorischer Abgrenzungen und Führungsverhaltens stehen deswegen manchmal nur Teilaspekte eines grossen Ganzen im Fokus – Synergien werden kaum genutzt.

Grundsätzlich stimmt jedermann damit überein, dass nur ein ganzheitliches Vorgehen, das die regulatorischen Anforderungen und die firmeneigenen Bedürfnisse berücksichtigt, ein effektives Management der Risiken und den optimalen Einsatz von Ressourcen ermöglicht, sowie gleichzeitig das Unternehmensziel fördert: mit Hilfe der Daten Werte zu erzeugen (etwas abstrakt formuliert). Das ist der Kern von Information Governance (nicht «nur» Data Governance). Diese hat sich als Disziplin in vielen Organisationen etabliert, doch ist das Verständnis, welche Kompetenzen und «Operating Models» sich dahinter verbergen, oftmals mangelhaft. Die Definition von Information Governance gemäss Kompetenzzentrum Records Management lautet wie folgt:

«Information Governance beschreibt die Verfahren, Organisation und Technologien welche benötigt werden, um Informationen während ihres gesamten ­Lebenszyklus (Nutzen, Erfassen, Klassieren, Speichern, Löschen) in Übereinstimmung mit den strategischen Vorgaben des Unternehmens und den externen und internen Vorschriften aktiv zu bewirtschaften. Information Governance umfasst Teilbereiche des Information Managements, der IT-Governance und des Risk Managements.»

Das Verständnis für den Zweck einer Datenbearbeitung, klärt bereits die Frage, welche Stakeholder zu involvieren sind und damit auch eine nicht unwesentliche Frage: Wer trägt für die Daten die Verantwortung?

Auf operativer Ebene bedeutet dies, die Daten, unabhängig davon, welches strategische Ziel erreicht werden soll, aktiv zu verwalten und zu kontrollieren. Dies umfasst die Tätigkeiten wie in der Graphik aufgeführt.

Der Cyberangriff im Juni 2023 beim Bund hat gezeigt, dass nicht alle Daten unter Kontrolle waren und wesentliche Grundlagen vernachlässigt wurden.

Fokusthemen bei der Umsetzung

Als Voraussetzung für ein erfolgreiches Datenmanagement und schlussendlich einer soliden und effizienten Information Governance sind diese zwei Bestandteile massgebend:

1. Miteinbezug der kritischen Daten in den gesamten Datenkatalog
Der Ansatzpunkt für das Risikomanagement lag im früheren FINMA-Rundschreiben eher auf den kritischen Applikationen und den damit verbundenen Infrastrukturen und Daten, sowie dem Umgang mit Cyber-­Risiken. Im neuen Rundschreiben sind die kritischen Daten in den Fokus gerückt. Vielleicht wurden solche Daten im Unternehmen bereits identifiziert, vielleicht auch nicht – oder anders. Während Daten für die Rechnungslegung in einer Unternehmung recht klar definiert sind, mussten für andere Vorgaben die entsprechenden Daten erst definiert und «gefunden» werden. Man denke dabei an die Projekte und Massnahmen im Zusammenhang mit dem Datenschutzgesetz (nDSG, DSGVO). Kritische Daten sind weitere/andere Daten, die gemäss FINMA Rundschreiben aufgrund der Kriterien Vertraulichkeit, Integrität und Verfügbarkeit identifiziert werden. Abhängig von der Grösse, der Komplexität, des Risikoprofils der Struktur und des Geschäftsmodells des Unternehmens kann es sich um andere Daten handeln. Miteinhergehend ist die Definition der geeigneten Schutzmassnahmen für die verschiedenen Datenkategorien – auch diese sind natürlich risikobasiert. Wiederum findet man in den internationalen Standards best practice Massnahmen dazu.


Damit nicht jede regulatorische Neuerung oder ein anderer Treiber im Umgang mit Daten ein neues «Projekt» im Sinne von Zusatzaufwand bedeutet, ist ein nachhaltiger Ansatz angebracht: das Management eines umfassenden «Daten­katalogs». Hierbei gilt es, einen aktuellen Überblick über alle Daten zu behalten, was eine regelmässige Überprüfung und Berücksichtigung von Änderungen bedeutet. Neue Anforderungen sollen in bestehende Prozesse und Kataloge integriert werden. Grössere Unternehmungen haben meistens spezialisierte Abteilungen dafür, zum Beispiel die Datenarchitektur. Wichtig zu erwähnen: die Klassifizierung der Daten muss transparent sein und von den entsprechenden Verantwortlichen, je nach Risiko, «abgesegnet» werden. Stichwort hierzu ist «Data Ownership» – die FINMA verlangt die «eindeutige Datenverantwortlichkeiten» in ihrem Rundschreiben ebenfalls.

2. Schutz der (kritischen) Daten in ­allen Phasen ihres «Lebens» – und ­darüber hinaus
Die Daten wurden identifiziert, die Datenverantwortlichen sind bestimmt, die Schutzmassnahmen definiert – ist wirklich alles Nötige getan? Die FINMA schreibt vor, dass die kritischen Daten entlang ihres gesamten Lebenszyklus verwaltet werden. Das ist eigentlich jedem klar, doch ist man sich des Ausmasses bewusst?

Kennt das Unternehmen bezüglich kritischer Daten (und ebenso für alle Unternehmensdaten):
a) Die «Standorte» / Lagerung
- Wo entstehen die Daten?
- Wo und von wem werden die Daten verarbeitet: welche Business-Applikationen, End-User-Applikationen, Out­sourcing (die entsprechenden FINMA-Vorgaben wie Due Diligence etc. nicht vergessen), in welchen Ländern, Art des Zugriffs?
- Wo werden die Daten gelagert, temporär bis Langzeit, inklusive Archivierungs- und Backupsysteme, im In- und Ausland, on-site, off-site, Cloud usw?

b) Die entsprechenden Schutzmass­nahmen
- Welche geeigneten Massnahmen sind implementiert, um die Daten entsprechend ihrer Klassifizierung zu schützen?
- Wurden die IT General Controls angewendet, wie sieht es mit weiteren speziellen Massnahmen aus, wie z.B. Kontrollen bei der Zugriffsvergabe, Datenanonymisierung, Verschlüsselung und deshalb auch Schlüsselverwaltung, Backups, Wiederherstellung?
- Wo werden die Daten «entsorgt», ist das vorschriftsgemäss und «endgültig»? Stichwort Recordsmanagement und Archivierung?
- Wie wird die Qualität der Daten über den ganzen Lebenszyklus sichergestellt?
- Gibt es einen aktuellen Überblick über alle Schutzmassnahmen für die Daten in den entsprechenden Phasen ihres Lebenszyklus? Während Fachabteilungen fokussiert sind, kann eine übergreifende «neutrale» Funktion Sinn machen.
- Wie wird ein zufälliger oder absichtlicher Verstoss oder eine Cyber-Attacke entdeckt und was geschieht dann, z.B. Notfallmassnahmen, Meldepflicht?

Sind diese Voraussetzungen erfüllt, wurde viel erreicht auf dem Weg zu einer guten Information Governance – und damit auch zur Erfüllung der FINMA-Vorgaben bezüglich kritischer Daten, die einen Teil einer umfassenden Information Governance ausmachen. Die Frage ist nun, wie gut funktionieren all die Massnahmen? Vielleicht geben der interne oder externe Auditor darauf Antwort. Es ist auch möglich, eine nachhaltigere Haltung einzunehmen und die entsprechenden Massnahmen in geeigneter Form in das interne Kontrollsystem zu integrieren. Deshalb füge ich einen weiteren Punkt dazu:

3. Gewissheit, dass die Massnahmen funktionieren
Dazu werden sämtliche Massnahmen in geeignete Prozesse und Kontrollen eingebettet und regelmässig auf ihre Sinnhaftigkeit und Wirksamkeit überprüft. Ich habe bewusst Sinnhaftigkeit geschrieben, denn die Art und Anzahl der Kontrollen sollte gut überlegt sein. Zuviele Kontrollen bergen die Gefahr von Doppelspurigkeiten und machen das System durch unnötigen Aufwand schwerfällig. Internationale Standards bieten Hilfe, was jedoch nicht heisst, dass jede Vorgabe eins zu eins übernommen werden muss, siehe auch den Artikel von Peter Bitterli. Ein kritischer «Filter», z.B. in Form einer übergreifenden Funktion, einer Gruppe oder eines Experten, hilft dabei.

Die Umsetzung der drei genannten Punkte ist umfassend. Wie zu Beginn bereits erwähnt und von der FINMA vorgegeben, hängen mehrere Disziplinen damit zusammen. Es kann sich lohnen, von unabhängigen (externen) Stellen und Experten Ratschläge einzuholen, z.B. vom KRM, siehe Ende Artikel. Bei der Erstellung eines Datenkatalogs und entsprechender Management-Aktivitäten können Information Governance Experten helfen, bei der Erstellung und/oder Überprüfung von sinnvollen Kontrollen (Entdecken von Zusammenhängen und Doppelspurigkeiten) sind es vor allem Audit Experten.

Fazit: Eine umfassende Information Governance, die mit dem ganzheitlichen internen Kontrollsystem verbunden ist, ermöglicht die Integration zukünftiger interner und externer / regulatorischer Anforderungen bezüglich des Managements der Risiken von (kritischen) Daten. Kurz gesagt: Eine gute Governance ermöglicht die agile Handhabung neuer Anforderungen. Zudem können die verschiedenen Ressourcen besser genutzt und zugunsten anderer Aktivitäten und schlussendlich der Wertoptimierung eingesetzt werden. Eine neue Anforderung muss nicht zwangsmässig ein neues Projekt generieren.

Herausforderungen

Das Thema wird uns in nächster Zeit vermehrt beschäftigen, vor allem weil die klassische Sicht auf die Daten je länger, je weniger mit den konkreten Bedrohungsszenarien übereinstimmt. Die Authentizität einer Information wird immer wichtiger, denn je mehr automatisch generierte Daten im Spiel sind, umso wichtiger wird die Beantwortung der Frage: Welche Daten sind originär und aus welcher Quelle stammen sie? Sind die abgeleiteten Informationen überhaupt aussagekräftig? Fragen, die man in Zukunft klären sollte, bevor man sich darüber Gedanken macht, wie der Schutz umgesetzt werden soll.


Das Kompetenzzentrum Records Management (KRM) unterstützt seit 2002 Unternehmen und Verwaltung in der richtigen Steuerung und Umgang mit Geschäftsinformationen und bietet unter anderem Hilfe bei der Umsetzung von regulatorischen Anforderungen. Informationen sollen im gesamten Lebenszyklus (Nutzen, Erfassen, Klassieren, Speichern, Löschen) in Übereinstimmung mit den strategischen Vorgaben des Unternehmens und externen und internen Vorschriften aktiv bewirtschaftet werden – nehmen Sie das FINMA-Rundschreiben als Start oder Weiterentwicklung Ihrer Information Governance Massnahmen.

Die Autorin

Daniela Gschwend, Inhaberin von IT Governance & More, hat über 30 Jahre IT Audit, Governance, Risk und Compliance Erfahrung in der Finanzbranche gesammelt, zuletzt als Leiterin der globalen IT Governance Funktion bei der Swiss Re. Daniela war während 20 Jahren Präsidentin des ISACA Switzerland Chapters.