BAIT und VAIT: Lösungen für das Response Management mit Hilfe von Playbooks
Response Management mittels Playbooks
Neue Anforderungen an die operative Informationssicherheit
Mit einer Erweiterung der bankaufsichtlichen Anforderungen an die IT (BAIT) nimmt der Regulierungsumfang noch einmal zu. Unter anderem rückt die operative Informationssicherheit immer deutlicher in den Fokus: Finanzdienstleister müssen nicht nur sicherstellen, dass sie einen Angriff wie beispielsweise eine Trojaner-Attacke rasch erkennen. Von ihnen wird auch erwartet, dass sie schnell und effizient Abwehrschritte einleiten und ihre Strategie kontinuierlich um mögliche neue Angriffsszenarien ergänzen. Viele Institute müssen ihre Systeme anpassen. So gelingt ein umfängliches Response Management.
Im August 2021 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die BAIT umfassend novelliert und ausgeführt, welche Rahmenbedingungen sie nun für eine sichere Informationsverarbeitung und Informationstechnik erwartet. Vergleichbare Vorgaben für Versicherer (VAIT) und Kapitalanlagegesellschaften (KAIT) befinden sich in der Konsultation.
Neu ist ein Kapitel zur „Operativen Informationssicherheit“ (BaFin-Dokument). Darin sind Anforderungen an das Logging und Monitoring von Vorgängen, deren Überwachung in Echtzeit sowie die Erkennung und Analyse von sicherheitsrelevanten Ereignissen aufgeführt. Zu den entscheidenden neuen Anforderungen der Aufsicht gehört dabei ein umfängliches Response Management.
Klassisches Response Management oft unzureichend
Kreditinstitute haben regelmäßig mit einer Reihe typischer Herausforderungen bei der Informationssicherheit zu kämpfen. So fehlt ihnen häufig Kontext, um Bedrohungen richtig zu erfassen und Informationssicherheitsvorfälle adäquat zu untersuchen. Unweigerlich verlängert das den Response-Prozess – also die Abfolge von Schritten, die es braucht, um adäquat auf einen Informationssicherheitsvorfall zu reagieren. Oft werden zu viele nebensächliche Ereignisse geprüft, was insbesondere bei fehlender oder unvollständiger Automatisierung zur Ermüdung der Analystinnen und Analysten und letztlich zu geringer Effizienz führt. Auch die Verteilung der Aufgaben auf nicht abgestimmte Teams, Werkzeuge und Anwendungen erschwert die Bearbeitung unnötig.
Ganzheitlicher Ansatz erleichtert rasche Reaktion
Um maximale Sicherheit zu garantieren, die Effizienz zu steigern und angemessen auf Vorfälle zu reagieren, ist eine ganzheitliche Betrachtung der durch die Regulatorik neu eingeführten Anforderungen an die operative Informationssicherheit sinnvoll. Erster Schritt ist die Normalisierung und Absicherung von Protokolldaten, das Log-Source-Management. Es folgt die Definition von Regelsets, welche zusammen genutzt werden müssen, um durch Korrelation typische Anwendungsfälle für die Erkennung von Informationssicherheitsvorfällen zu implementieren. Auf ihrer Basis kann das Response Management modelliert werden, einschließlich von Handlungsanweisungen, die sich automatisieren lassen.
Um diese Choreografie umzusetzen, besteht bei vielen Instituten ein erheblicher Anpassungsbedarf ihrer Systeme. Laut der neuen Vorschriften sind sie verpflichtet, sämtliche Komponenten zu berücksichtigen, die der Informationsverarbeitung dienen. Doch die meisten IT-Systeme sind nicht vollständig erfasst sowie disparate Alt-Systeme nicht sinnvoll verknüpft. So bleibt die Protokollierung von Ereignissen unzureichend, vielfach müssen Analystinnen und Analysten Informationen manuell nachfassen. Das verzögert die Reaktionen.
Playbooks als Vorlagen zur Abarbeitung von Informationssicherheitsvorfällen
Mit Hilfe von Vorlagen für den Umgang mit Informationssicherheitsvorfällen können Response-Prozesse schnell und zuverlässig abgearbeitet werden. Sie werden auch als Playbooks bezeichnet und beinhalten konkrete Handlungsanweisungen, die entweder manuell durchgeführt werden (durch Analystinnen und Analysten) oder von dafür vorgesehen Systemen abgearbeitet werden.
Playbooks sollten kontinuierlich geprüft und aktualisiert werden
Die Erstellung der Playbooks und deren Integration in den Prozess zur Vorfallsbehandlung markiert noch nicht das Ende der Aufgaben. Im Arbeitsalltag ist ihre regelmäßige Überprüfung erforderlich. Eine Frage lautet zum Beispiel, ob die eingesetzten Strategien und Playbooks zur Reaktion auf Informationssicherheitsvorfälle auch dem aktuellen Stand entsprechen. Die Aufsicht erwartet ferner, dass Institute aus Vorfällen lernen, aus ihnen Schlüsse für die Zukunft ziehen und ihre Erfahrungen in die Prozesse einbringen.
Bei diesen Arbeitsschritten geht es längst nicht nur darum, die Aufsichtsbehörden zufrieden zu stellen. Vielmehr schaffen die Playbooks eine wichtige Grundlage für die Automatisierung aller sicherheitsrelevanten Schritte – von der Herleitung relevanter Informationssicherheitsvorfälle über ihre Bewertung und Priorisierung bis hin zur Vorfallbehandlung im Rahmen der üblichen Phasen des Response-Prozesses. Sie sind damit ein Meilenstein für die kontinuierliche Verbesserung der Effizienz im Response Management und stärken die Cybersicherheit der Bank.